Sisältöjulkaisija

Miten varmistetaan Kanta-palvelujen tietoturvallinen käyttö?

Artikkeli - Järjestelmäkehittäjät Kirjoitettu 26.10.2018 Kaikki artikkelit

Sosiaali- ja terveydenhuollon palveluntuottajat huolehtivat tietosuojan ja tietoturvallisuuden omavalvonnan kautta asianmukaisista tietoturvakäytännöistä. Sertifioinnilla varmistetaan, että käytetyt tietojärjestelmät täyttävät tietoturvavaatimukset järjestelmätoimittajien osalta.

Kaikilla sosiaali- ja terveydenhuollon palveluntarjoajilla, apteekeilla ja Kanta-välityspalveluiden tuottajilla on velvollisuus valvoa tietosuojan ja tietoturvallisuuden toteutumista omassa toiminnassaan. Heidän tulee laatia omavalvontasuunnitelma, jossa kuvataan miten organisaatio toteuttaa tietosuojaa ja tietoturvallisuutta.

”Organisaation pitää myös itse valvoa, että suunnitelmaa noudatetaan ja kehitetään. Sitten kun oma toiminta on kunnossa, tietosuojaan ja tietoturvallisuuteen aletaan kiinnittää huomiota myös esimerkiksi sopimuksissa alihankkijoiden kanssa”, sanoo Terveyden ja hyvinvoinnin laitoksen kehittämispäällikkö Juha Mykkänen.

Omavalvonnassa on olennaista, että johto on sitoutunut tietosuoja- ja tietoturvallisuusasioihin. Kun esimerkiksi tietosuojavastaavien työlle on luotu hyvät edellytykset, valvonnasta tulee luonteva osa toimintaa. Keskeisenä tavoitteena on, että palveluita tuottavat ammattilaiset tuntevat ja huomioivat tietosuojaan ja tietoturvallisuuteen liittyvät menettelyt asiakas- ja potilastietojen käsittelyssä.

”Omavalvonta on tärkein keino varmistaa se, että päivittäisessä sote-palvelujen toiminnassa pystytään varautumaan tietoturvauhkiin ja varmistamaan asiakkaiden tietosuojan toteutuminen. Omavalvonnan avulla pystytään myös osoittamaan, että tietoturva- ja tietosuoja-asiat on hoidettu asianmukaisesti. Tämä asia on korostunut myös EU:n tietosuoja-asetuksen myötä”, Mykkänen sanoo.

Omavalvonta ja sertifiointi muodostavat kokonaisuuden

Kanta-palvelujen tietoturvallisuuteen linkittyy vahvasti Kanta-palveluihin liittyvien tietojärjestelmien sertifiointi. Mykkänen korostaa, että sertifiointi ja omavalvonta on tärkeää nähdä kokonaisuutena.

”Sertifiointi ja omavalvonta muodostavat jatkumon tietojärjestelmien valmistajien ja käyttäjien välille. Omavalvonnassa keskiössä on sote-toimijan päivittäinen toiminta, jonka pitää olla tuettuna käytetyissä tietojärjestelmissä. Sertifiointi on menettely, jolla Kanta-palveluihin liittyvissä tietojärjestelmissä varmistetaan, että järjestelmä pystyy liittymään Kanta-palveluihin ja että se täyttää vaadittavat tietoturva- ja tietosuojaominaisuudet.”

Tietojärjestelmän valmistaja tai tietojärjestelmäpalvelun tuottaja vastaa siitä, että Kanta-käytössä oleva järjestelmä on sertifioitu. Sertifiointiprosessiin kuuluu Kelan Kanta-palvelujen kanssa suoritettava yhteistestaus ja tietoturvallisuuden arviointilaitoksen tekemä tietoturvallisuuden auditointi. Hyväksytysti sertifioitu järjestelmä saa vaatimustenmukaisuustodistuksen, jonka saamisen jälkeen se voidaan liittää tuotantokäytössä Kanta-palveluihin.

”Todistus on voimassa tietyn ajan, jonka jälkeen se tulee uusia. Kun järjestelmiin tehdään merkittäviä muutoksia, sertifiointi myös uusitaan tarvittaessa. Sertifiointia ohjaavat THL:n antamat määräykset, ja viranomaiset kuten Valvira valvovat vaatimustenmukaisuutta ja omavalvonnan toteuttamista.”, Mykkänen kertoo.

Lue lisää: