mykkanen: sote-tietojarjestelmien olennaiset vaatimukset suomessa

Sote-tietojärjestelmien olennaiset vaatimukset Suomessa: säädökset ja määräykset

Standardin SFS-EN ISO 27799 julkaisutilaisuus

13.12.2016 SFS:llä

Juha Mykkänen

Kehittämispäällikkö, FT, dos.

Terveyden ja hyvinvoinnin laitos

Sote-tietojärjestelmien olennaiset vaatimukset Suomessa: säädökset ja

määräykset

SFS Tiedonhallinta terveydenhuollossa –julkistamistilaisuus

13.12.2016

Juha Mykkkänen, kehittämispäällikkö FT, dos.

THL OPER

Määräykset: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-

vaatimusten-yhdenmukaistaminen/julkaisut/maaraykset

Sertifiointi, omavalvonta ja olennaiset vaatimukset:

http://www.kanta.fi/web/ammattilaisille/sertifiointi

2

https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/julkaisut/maaraykset















Hippokrateen vala, ote

3

Hippokrates (n. 460-370 eKr)

”Mikäli parannustyössäni

tai sen ulkopuolella

ihmisten keskuudessa

näen tai kuulen sellaista,

mitä ei pidä levitettämän,

vaikenen ja pidän sitä

salaisuutena.”

Sisältö

• Omavalvonnan ja sertifioinnin kokonaisuus

• Sertifiointi ja olennaiset vaatimukset

• Olennaiset toiminnalliset vaatimukset ja järjestelmän käyttötarkoitus

• Olennaiset tietoturvallisuusvaatimukset

• Standardien suhde olennaisiin vaatimuksiin

4

Tietoturvallisuuden perusperiaatteet

• Eheys

– tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan

– luvaton muokkaaminen ei onnistu tai se havaitaan

• Luottamuksellisuus

• Saatavuus ja luotettavuus

– tieto on saatavilla, kun sitä tarvitaan

– ohjelmistot, laitteet, turvallisuus- ja viestinvälitysmekanismit toimivat

• Autenttisuus

– tiedon alkuperä on tiedossa

– tiedonvaihdon osapuolet tunnistetaan luotettavasti

• Kiistämättömyys ja velvoittavuus

– sopimuksen velvoitteet täytetään

– osapuoli ei voi kiistää osallistumistaan tapahtumaan (transaction)

5

Olennaiset vaatimukset ja omavalvonta: miksi?

• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille

• Varmistettava, että

– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa

tietojärjestelmien OLENNAISET VAATIMUKSET

– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta

sote-palvelun antajan tietosuojan ja tietoturvallisuuden OMAVALVONTA

– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa

6

Sote-tietojärjestelmien omavalvonnan ja olennaisten vaatimusten säädökset Suomessa

• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)

• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)

• Määräykset:

– THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset

– THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

– THL:n Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

• Lisäksi saatavilla ohjeita ja tukimateriaalia

7

Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin

kokonaisuuteen kuuluvat dokumentit:

1. Johdanto

2. Suunnitelman kohde:

– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna

3. Yleiset tietoturvakäytännöt:

– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus

4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:

– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt

5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:

– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt

6. Kanta-palvelujen käytön tietoturvakäytännöt

7. Tietojärjestelmät:

– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:

– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan

8

Tietojärjestelmiin kohdistuvat olennaiset vaatimukset

• Asiakastietolain nojalla sote-tietojärjestelmiä koskevat olennaiset vaatimukset (”kansalliset vähimmäisvaatimukset”)

– Toiminnalliset vaatimukset (ilmoitus + järjestelmälomake – sekä A- että B-luokassa)

– Yhteentoimivuuden vaatimukset (Sertifiointi: yhteistestaus A-luokassa)

– Tietoturvallisuuden vaatimukset (Sertifiointi: auditointi A-luokassa)

• Kaikki sote-tietojärjestelmät pitää ilmoittaa Valviran ylläpitämään rekisteriin

– Rekisteri verkossa viim. 1.1.2017

• A-luokan järjestelmät (Kanta-palveluihin liittyvät) pitää sertifioida ennen tuotantokäyttöä

– Käyttötarkoituksen kuvaus, yhteistestauksen hyväksytty suorittaminen, tietoturva-auditoinnin hyväksytty suorittaminen

9

Asiakastietolain 250/2014 mukaiset olennaiset vaatimukset

• I Toiminnalliset vaatimukset

– Kuvattava käyttötarkoitus, valmistajan annettava selvitys toiminnallisten vaatimusten täyttymisestä (A- ja B-luokan järjestelmät)

– Ei todenneta erikseen osana sertifiointiprosessia, uuden määräyksen kautta luotu pohjaa jota vasten selvitys voidaan antaa vertailtavalla tavalla

• II Yhteentoimivuuden vaatimukset

– Todennetaan A-luokan järjestelmille (Kanta-palveluihin liittyvät) Kelan yhteistestauksen kautta

• III Tietoturvavaatimukset

– Todennetaan A-luokan järjestelmille (Kanta-palveluihin liittyvät) tietoturvallisuuden arviointilaitoksen tietoturva-auditoinnilla

• Sekä A- että B-luokan järjestelmistä ilmoitus Valviran rekisteriin

• I + II + III hyväksytty Kanta-palveluihin liittyvässä järjestelmässä yhteistestauksen lausunto + vaatimustenmukaisuustodistus, hyväksyntä tuotantokäyttöön

• II + III nojautuvat kohtaan I (käyttötarkoitus ja siitä annettu kuvaus)

10












11

A-luokan järjestelmien sertifioinnissa

todennettavat vaatimukset












12

A- ja B-luokan järjestelmissä kuvattava ja

ilmoitettava

Olennaisten toiminnallisten vaatimusten määräys ja siihen liittyvä materiaali

• Ohjaa:

– Mahdollistaa kansallisesti yhdenmukaisen toiminnallisten vaatimusten ryhmittelyn ja viestinnän sote-tietojärjestelmien kehittämisessä

– Ohjeistaa ja yhdenmukaistaa lain ja määräysten mukaista sote-tietojärjestelmien käyttötarkoitusten viestintää (ilmoitukset, Valviran rekisteri, sertifioinnin testaus- ja tietoturva-osiot, hankinta- ja kehittämisprojektit)

• Tukee:

– Tukee sote-palveluntuottajia oman tietojärjestelmäkokonaisuutensa ja tietojärjestelmäratkaisujen olennaisten vaatimusten määrittelemisessä ja toiminta-arkkitehtuurin linkittämisessä tietojärjestelmäarkkitehtuuriin

– Tukee tietojärjestelmien valmistajia ja tietojärjestelmäpalvelujen tuottajia lakisääteisten vaatimusten tulkinnassa ja täyttämisessä sekä omien ratkaisujen toiminnallisten ominaisuuksien määrittelemisessä suhteessa määrittelyihin

– Myös suhteessa kumppaneihin ja ”työnjakoon” eri järjestelmien välillä

– Esim. sama ”järjestelmälomake” yhteistestauksessa ja rekisteri-ilmoituksissa

– Selkeyttää valtakunnallisten palvelujen kehittämiseen liittyvien määrittelyjen ja niihin liittyvien kehitys-, testaus- ja sertifiointitoimenpiteiden rakennetta

• Muutoshallinta ja riippuvuuksien hallinta

13

THL Määräys 2/2016

AsTL

Sote-palvelunantaja

Miten olennaisia toiminnallisia vaatimuksia käytetään?

Määräys Toiminnallisten

vaatimusten

luokitus

Määrittely Määrittely

Määrittely -yksityis-

kohtaiset

vaatimukset ja

kuvaukset

Viittaukset

Järjestelmä-

lomake:

järjestelmässä

toteutetut

toiminnot ja

sisällöt

Tietojärjestelmä-

palvelun tuottaja

Viranomaiset: THL,

Kela, Valvira, STM

Alijoukko

toiminnoista

Kansallinen

profiili: tietyn

tyyppisen

järjestelmän tai

toimijan vaaditut

toiminnot

Alijoukko

toiminnoista

Valviran

rekisteri

Ilmoitus A-

tai B-luokan

tietojärjestelmästä

Yhteis-

testaus

Testaukseen

hakeutuminen

(A-luokka)

Kela

Tietoturva-

auditointi

Tietoturva-auditointiin

hakeutuminen

(A-luokka) Arviointilaitos

Vaatimus-

määrittely,

hankinta- tai

kehittämisprojekti

Omavalvonta

Perustietoja

14

Määräys ja luokitus sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista: materiaali

• Määräys:

– Järjestelmiä ja tietojärjestelmäpalveluja tuottavien ja käyttävien tahojen velvoitteet

• Liite 1: Määräyksen perustelut ja soveltaminen

– Yleiskuva, taustaa ja soveltamisohjeistusta

• Liite 2: Olennaisten toiminnallisten vaatimusten luokitus

– Sote-tietojärjestelmien toiminnot (=järjestelmätoiminnot) ja tietosisällöt ”otsikkotasolla”

– Viittaukset tarkempiin määrittelyihin ja yksityiskohtaisiin vaatimuksiin

– Painopisteenä Kanta-palvelujen kautta muodostuvat vaatimukset järjestelmille

• mutta määräyksen piirissä myös muut kuin suoraan Kanta-palveluihin liittyvät

• Liitteet 3: Profiilit

– Vähimmäisvaatimusten profiilit: eri käyttötarkoituksiin käytettävissä järjestelmissä pakolliset toiminnot ja sisällöt

• Liite 4: Järjestelmälomake

– Pohjana, kun järjestelmä ilmoitetaan Valviran sote-tietojärjestelmien rekisteriin tai kun se hakeutuu sertifiointiin (yhteistestaus ja tietoturvallisuuden auditointi)

15

Määräyksen mukana julkaistut profiilit (Liitteet 3) • Seuraaviin keskeisiin järjestelmien käyttötarkoituksiin ”pakollisten” vaatimusten koonti

tarkemmista määrittelyistä

– Sähköisen reseptin profiilit

• Lääkemääräystä käsittelevä potilastietojärjestelmä (PTJ)

• Apteekkijärjestelmä

– Kanta-arkistoon liittyvien järjestelmien vähimmäisvaatimusprofiilit

• Kanta-arkistosta tietoja hakeva sovellus tai palvelu

• Kanta-arkistosta haettuja tietoja hyödyntävä sovellus

• Kanta-arkistoon tietoja toimittava sovellus tai palvelu

• Kanta-arkistoon toimitettavia tietoja tuottava sovellus

– Potilastiedon arkiston profiilit

• Potilaskertomusjärjestelmä (perusvaatimukset)

• Suun terveydenhuollon järjestelmä

– Sosiaalihuollon asiakastiedon arkiston profiilit

• Sosiaalihuollon asiakastietojen arkiston vaiheen I liittyvä järjestelmä

• Sosiaalihuollon asiakastiedon arkistoon vaiheessa I tallentava järjestelmä

– Kuvantamisen profiilit

• Kuvantamisen valtakunnalliseen Kvarkki-arkistoon liittyvä järjestelmäkokonaisuus

• Kuvantamisen alueellisen arkiston toteuttava järjestelmäkokonaisuus

• Kvarkki-arkistosta kuva-aineistoja hyödyntävä järjestelmä

• Lisäksi tunnistettu joukko tulevia profiilitarpeita

16

Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet

• Osa-alueet / kriteerit

– Sähköinen allekirjoitus

– Käyttövaltuushallinta

– Tunnistaminen (sis. Sulkulistat, ammattioikeuden rajoitukset)

– Valvonta ja lokitus

– Tietojen käsittely

– Muut pakolliset vaatimukset

– Sovellusturvallisuus

– Käyttöympäristö / luottamuksellisuus ja eheys

17

• Kohteet

– Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille

– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat

– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat

– A: Arkistoon liittyvät toiminnallisuudet

– (VÄ: Välityspalvelut)

Olennaisten vaatimusten todentamistavat

• Vaatimusten todentamisen perusvaihtoehdot

– Itseauditointi tai omavalvonta TAI

– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)

• Tietoturvallisuusvaatimusten auditoinnissa käytetyt todentamistavat

– Haastattelu

– Dokumentaatio

– Toiminnallinen testaus

– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit, järjestelmän tuottamat raportit)

• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa

18

Sertifioinnin kokonaisuus

• Olennaisten vaatimusten täyttämisen ja sertifioinnin muodostettava eheä kokonaisuus toimijoiden omavalvonnan kanssa

• Tietojärjestelmän valmistaja (tai sen puolesta toimiva tietojärjestelmäpalvelun tuottaja) vastaa kuvaamisesta, luokittelusta, olennaisten muutosten ilmoittamisesta jne.

• Asiakastietolain mukainen Kanta-sertifiointi koskee A-luokan tietojärjestelmiä ja teknisiä Kanta-välityspalveluita

– Kohteena järjestelmien valmistajat / tietojärjestelmäpalvelujen tuottajat, ei käyttäjäorganisaatiot

• Sertifioinnin osana yhteentoimivuuden ja tietoturvallisuuden ulkoinen todentaminen (mutta ei kattavaa toiminnallisten vaatimusten todentamista)

• Sertifioidut järjestelmät: http://www.kanta.fi/web/ammattilaisille/auditoidut-jarjestelmat-ja-valittajat-2

• Yksi kesällä 2016 ilmestyneen toiminnallisten vaatimusten määräyksen tavoitteista on selkeyttää sertifiointikokonaisuutta

– Vaikka toiminnalliset vaatimukset eivät ole ulkoisesti todennettavia osana sertifiointia, ne luovat pohjan myös testaukselle ja tietoturva-auditoinnille

19

http://www.kanta.fi/web/ammattilaisille/auditoidut-jarjestelmat-ja-valittajat-2










Sertifiointiprosessi ja toiminnalliset vaatimukset sen lähtökohtana

20

(uuden järjestelmän sertifiointiprosessi)

Olennaiset vaatimukset ja standardit

• Standardien kautta luodaan yhdenmukaisuutta erityisesti tietoturvallisuuden toimintakäytäntöihin

– Ja sitä enemmän, mitä laajemmin standardiin liittyy myös esim. koulutus-, auditointi- ja tukipalveluita

• Standardit tärkeä pohja myös valtakunnallisesti asetettaville vaatimuksille ja niiden päivityksille

• Standardien sisällöt vaativat kuitenkin usein kontekstisidonnaista tai paikallista tulkintaa ja tarkennusta, esimerkki:

– ISO 27799 Liite 1 tarkistuslista, kohta B1: ”Onko vähintään yksi henkilö vastuussa terveystietojen tietoturvallisuudesta organisaatiossa?”

– Asiakastietolain mukaan omavalvontasuunnitelman laatimisesta ja toteuttamisesta vastuu on sote-toimintayksikön vastaavalla johtajalla

• Yksikössä myös nimettävä tietosuojavastaava

• Standardien saatavuuden vaivattomuus ja sisällön arvioitavuus tärkeä seikka erityisesti IT-standardien hyödynnettävyyden näkökulmasta

21

ISO/IEC 27000-standardiperhe

22

Terminologia

Yleiset

vaatimukset

Yleiset

ohjeet

Sektorikohtaiset

ohjeet

Hallintakeinojen

ohjeet

27000

Yleiskatsaus ja sanasto

27001

Vaatimukset 27006

Sertifiointielinten vaatimukset

27002

Menettelyohjeet

27003

Toteuttamisohjeet

27004

Mittaukset

27005

Riskienhallinta

27007

Auditointiohjeet

TR 27008 27013

27014 TR 27016

27010

Viestintä

27011

Tietoliikenne TR 27015

Rahoitus

27017

Pilvipalvelut

27018

Henkilötiedot pilvipalveluissa

TR 27019

Energia

27799

Terveydenhuolto

2703X 2703X

2703X 2703X

2703X 2704X

Mukaillen: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden

hallintajärjestelmät. ISO/IEC 27000 –standardiperhe - SFSEdu

• 27031 ICT jatkuvuuden hallinnassa,

27032 Kyberturvallisuus, 27033

Verkkoturvallisuus, 27034

Ohjelmistoturvallisuus, 27035

Turvallisuustapahtumien hallinta, 27037

Digitaalinen forsensiikka, 27039

Tunkeutumisen havainnointi ja esto

• 27040 Tallennuksen turvallisuus, 27041-

27043 Digitaalinen todistusaineisto

Kiitokset!!

[email protected]

23

mykkanen: sote-tietojarjestelmien olennaiset vaatimukset suomessa

Technology