1

Omavalvonnan ja olennaisten vaatimusten säädökset, määräykset

ja ohjeet

Paasitorni 28.1.2016

Olennaiset vaatimukset ja omavalvonta: miksi?

• Varmistettava, että

– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa

tietojärjestelmien OLENNAISET VAATIMUKSET

– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta

OMAVALVONTA

– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa

2

Vastuut tietosuojasta ja tietoturvasta

• Sosiaali- ja terveydenhuollon palvelunantajille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa

• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla

• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on terveydenhuollon toimintayksikön vastaavalla johtajalla

• Toimintayksikkö vastaa:

Henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä

Tietoturvapolitiikan laatimisesta ja noudattamisesta

Tietosuojavastaavan nimeämisestä ja toimenkuvasta

Asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta

Väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle

Sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä

Toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta

• Valvontaviranomaisella (kuten Valvira) on oikeus ja velvollisuus tehdä tarkastuksia

3 28.1.2016 THL / OPER

Omavalvonnan ja olennaisten vaatimusten säädökset

• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)

• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)

• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset

• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

• Lisäksi saatavilla ohjeita ja tukimateriaalia

• Perusperiaate: järjestelmien olennaiset vaatimukset ja sote-palvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä

4

Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia

• etukäteissuunnittelun vaatimus

• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus

• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)

• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.

• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)

• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)

• asiakkaan tarkastusoikeus

• virheellisen tiedon korjaamisoikeus

5

[T. Itälä ja P. Ruotsalainen, Tietoturvallinen

kommunikaatioalusta, Luovutusten ja luovutuslokin

hallinnan suositukset, OSVE 6/2004]

Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset

• Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta

• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa

• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin

• Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta

6

7

Omavalvonta: yleiskuva ja suhde tietojärjestelmien olennaisiin

vaatimuksiin

Miksi omavalvontasuunnitelma?

• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä

• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä

• Huomioi arkaluonteisen tiedon salassapidon merkityksen

• Helpottaa ymmärtämään väärinkäytöksen seuraamukset

• Ohjaa ja tukee tietoturvavaatimusten noudattamista

• Auttaa seuraamaan toimintaa käytännössä

• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan

• Selkeyttää roolit ja vastuut toteutuksessa

8

Olennaisten vaatimusten todentamistavat

• Vaatimusten todentamisen perusvaihtoehdot

– Itseauditointi tai omavalvonta TAI

– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)

• Todentamistavat

– Haastattelu

– Dokumentaatio

– Toiminnallinen testaus

– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit, järjestelmän tuottamat raportit)

• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa

9

Huomioitavaa / olennaiset vaatimukset

• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia

• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:

– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle

• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille

• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!

10

11

Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen

Omavalvontasuunnitelman minimivaatimukset ja selvitykset

• Omavalvonnan kautta varmistutaan vähintään:

1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta

2. Asianmukaisten käyttöohjeiden saatavuudesta

3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan

4. Menettelytavoista virhe- ja ongelmatilanteissa

5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa

6. Käyttöympäristön vaatimustenmukaisuudesta

7. Tietojärjestelmien vaatimustenmukaisuudesta

8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin

9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä

12

Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn

osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin

kohdistuvista vaatimuksista

Suunnitelman kohde

• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee

– ”kenen omavalvontasuunnitelma on kyseessä”

– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia

• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä

• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.

• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä

13 13

Yleiset tietoturvakäytännöt

Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:

• Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä

• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista

• Koulutus, ohjeistus, kokemus ja niiden seuranta

• Toimintamallien koulutus ja perehdytys

• Tietojärjestelmien käyttökoulutus

• Riittävä kokemus

• Ohjeet ja koulutus potilastietojen käsittelystä

14

Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä

on jo tehty

• Omavalvontasuunnitelmassa

– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)

– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.

– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat

15

HYÖDYNNÄ:

Tietoturvapolitiikka

Kokonaisarkkitehtuurikuvaukset

Laatukäsikirja

Omat tietoturvallisuusohjeet

Tietojärjestelmäpalvelujen tuottajien ohjeet

Jne.

Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä

Omavalvonta-

suunnitelman

kokoaminen

Projektin

hallinnointi

Viestintä

Organisaatioiden

toimintamallit

Henkilöstön

koulutus

ja muu

tukimateriaali

Jatkuvuuden

varmistaminen

Varmenteiden

hankinta ja

käyttö

Hallinnolliset

päätökset

Rekisteritiedot

Koodisto-

palveluun

Esimerkki: potilastiedon arkiston

käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet

Teknisen

ympäristön

toteutus

Käyttöönotto ja

käytön

aloittaminen

Kanta –palvelun

liittymissopimus

ja käyttöönotto-

koe

Arkiston hallinta

16

HUOM

• Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN

• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä

• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa

– Esim. pieni liite perusteluineen

• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta

– Nämä oltava myös todennettavissa

17

Omavalvontasuunnitelman mallipohjat

• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava

• Lisäksi saatavilla mm.

– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille)

– Mallipohja apteekeille (Suomen Apteekkariliitto)

– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset

• Sovellettava omaa tilannetta vastaavalla tavalla

– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa

– Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan huomioitava

– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta

18

Yhteenveto

• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta

– Yhtenä pohjana omavalvontasuunnitelman mallipohjat

– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen myös sopimusten kautta hallittaviin seikkoihin

• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!

19

20

Useimmin kysytyt kysymykset omavalvontasuunnitelmaan

liittyen

Suhde Valviran omavalvontasuunnitelmaan

• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan?

– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä

– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan

21

Tietosuojavastaava

• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?

– Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia

– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava

– Tietosuojavastaavan tehtäväkuva –mallipohja

– Koulutusta tietoturvasta ja tietosuojasta:

• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla

• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG)

• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto

– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen)

22

Tietoturvapolitiikka

• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?

– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta

23

Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassa

Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?

• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla

• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti

• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)

• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvatta miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa

• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.

24

Omavalvontasuunnitelman julkisuus

• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä?

– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä

– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta

– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat

25

Mikä on riittävä henkilöstön kokemus?

• Miten määritellään henkilöstön riittävä kokemus?

– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä

– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön

26

Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti

• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen."

– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.

– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.

– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.

27

Lokivalvonnan toteuttaminen

• Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä?

– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille

– Lokivalvontaa tehdään

• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)

• Potilaan pyytäessä lokitietoja

• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta

– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä

28

Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?

• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia

– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä

• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta

– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”

• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)

29

30

Kiitos!

Kysymyksiä ja

lisätietopyyntöjä voi

lähettää kantapalvelut@thl.fi

Lisätietoja sertifioinnista ja omavalvonnasta:

Tiedon ja vaatimusten yhdenmukaistaminen

https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-

terveysalalla/tiedon-ja-vaatimusten-

yhdenmukaistaminen

Kanta sertifiointi

http://www.kanta.fi/web/ammattilaisille/sertifiointi

Yksityiset ja itsenäiset ammatinharjoittajat

http://www.kanta.fi/web/ammattilaisille/potilastiedon-

arkiston-kayttoonoton-kasikirja