Tietoturvasuunnitelma

Tietoturvasuunnitelma on osa omavalvontaohjelmaa. Näiden lisäksi omavalvontaohjelmaan sisältyvät yrityksen omavalvontasuunnitelma ja mahdollinen lääkehoitosuunnitelma. Julkisilla terveydenhuollon palveluntuottajilla omavalvontaohjelmaan sisältyy myös potilasturvallisuuteen liittyvä suunnitelma. Tässä blogikirjoituksessa ajatuksenani on kuvata tietoturvasuunnitelman sekä riskienhallinnan tarkoitusta ja tavoitteita.

Tietoturvasuunnitelman keskeisin tarkoitus on se, että palvelunantaja kuvaa siinä, miten se on omassa toiminnassaan järjestänyt tietoturvan ja -suojan omavalvonnan. Erityisen tärkeää on se, että tietoturvasuunnitelmasta selviää miten palvelunantaja käytännössä täyttää asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät asiakastietolain 27 §:n vaatimukset.

 

Näiden vaatimuksien osalta tärkeimmiksi nousevat seuraavat kahdeksan näkökulmaa:

Tietojärjestelmien käyttäjillä on käytön vaatima koulutus.

Käytännössä tämä tarkoittaa sitä, että suunnitelmassa on hyvä tuoda esille ainakin seuraavat asiat. Ensinnäkin on tärkeää, että erityisesti asiakas- ja potilastietojärjestelmän käyttöönottotilanteessa kaikki sitä käyttävät ovat saaneet perusteellisen koulutuksen järjestelmän käytön osalta. Samoin yrityksen tulee varmistaa, että myös uudet työntekijät saavat samanlaisen käyttöönotto-opastuksen. Yhtä tärkeää on se, että mahdolliset järjestelmään tehtävät muutokset on perehdytetty henkilöstölle, ennen järjestelmän varsinaista tuotantokäyttöä. Tämä on tärkeää erityisesti asiakastietojen kirjaamisten osalta varsinkin Kanta-palvelussa.

Tietojärjestelmien käytön vaatimaan koulutukseen sisältyy myös Kanta-palvelu asiakkuuden mukanaan tuomia koulutustarpeita. Tämä tarkoittaa käytännössä sitä, että yrityksen asiakas- tai potilastietojärjestelmiä käyttävien tulisi saada täydennyskoulutusta niin kirjaamisen, tietosuojan ja tietoturvan, kuin Kanta-palvelu perusteidenkin osalta. Kaikki tämä turvaa tietojärjestelmien tarkoituksenmukaista ja turvallista käyttöä, sekä muutoinkin laadukasta kirjaamista.

 

Tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus

Käytännössä tämän vaatimuksen osalta olemme pitkälti tietojärjestelmätoimittajien asiantuntemuksen varassa. Lähinnä tällä vaatimuksella halutaan varmistaa, ettei kuka tahansa pääse asentamaan yrityksen käytössä oleviin laitteisiin ohjelmistoja ilman asianmukaista osaamista. Tietoturvasuunnitelmassa onkin hyvä kuvata yrityksen periaatteita kuka voi yrityksen laitteisiin asentaa ja päivittää ohjelmistoja. Samoin on tärkeä tuoda esille, ettei niihin laitteisiin joilla käsitellään henkilötietoja asenneta muutoinkaan mitään turhia ohjelmistoja, jotka voivat aiheuttaa haasteita laitteiden toimivuudelle ja vaikkapa käytössä olevalle tietoliikenne kapasiteetille.

 

Käyttöohjeet ovat saatavilla järjestelmän yhteydessä

Tämänkin osalta olemme pitkälti tietojärjestelmätoimittajien käytäntöjen varassa. Tietojärjestelmiä käyttävillä organisaatioilla on kuitenkin viime kädessä vastuu varmistua siitä, että käytettävissä on viimeisimmät käyttöohjeet etenkin niissä tilanteissa jolloin järjestelmään on tehty päivityksiä. Tämä korostuu erityisesti Kanta-palveluun liittymisen yhteydessä, jossa järjestelmä päivittyy entisestä. Tällöin mutkattoman käyttöönoton takaa tuoreimpien käyttöohjeiden saatavuus. Toinen tärkeä seikka käyttöohjeiden saatavuuden varmistamisen osalta on se, että jokainen tietojärjestelmää käyttävä tietää mistä käyttöohjeet on löydettävissä tietojärjestelmästä. Tämä onkin hyvä käydä läpi yhdessä tietokoneen äärellä.

 

Käyttäjät noudattavat tietojärjestelmäpalvelun tuottajan ohjeita

Tietojärjestelmiä käyttävän yrityksen on varmistettava oman toimintansa osalta se, ettei erityisesti henkilötietoja sisältävien järjestelmien käyttöön ole päässyt syntymään toimintatapoja, jotka eivät vastaa tietojärjestelmätoimittajan suosituksia. Näin voi käydä esimerkiksi silloin jos järjestelmiä käyttävät kokevat jonkin toiminnon tai työvaiheen liian työlääksi ja haluavat oikaista. Tällöin voi syntyä toimintatapoja, jotka vaarantavat esimerkiksi asiakkaan yksityisyydensuojan. Näin ollen onkin tärkeää, että järjestelmien käyttöä seurataan myös tämän osalta ja yrityksellä on jokin suunnitelma miten se seurantaa käytännössä toteuttaa. Samoin on tärkeää, että järjestelmän käyttöön liittyvistä havainnoista keskustellaan avoimesti työyhteisössä mikä myös omalta osaltaan estää haitallisten toimintamallien syntymisen.

 

Tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti

Mikäli jotkin päivityksistä ovat sellaisia, jotka yritys voi hoitaa itsenäisesti on tässäkin yhteydessä tärkeää, että päivityksen tekee ennalta määritetty henkilö, jolla on riittävä kokemus järjestelmän käytöstä. Samoin on tärkeää tehdä päivitykset aina sellaisessa hetkessä, jolloin päivityksen lataamiselle on oikeasti aikaa, sujuvat verkkoyhteydet ja itse laite kiinni verkkovirrassa, ettei esimerkiksi kannettavan tietokoneen akku lopu kesken päivityksen. Samoin on tärkeä varmistua siitä, että kaikki tärkeät työt on tallennettu ja varmuuskopioitu ennen päivityksen aloittamista.

 

Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen käyttöön ja varmistaa tietoturvan ja tietosuojan

Käyttöympäristön turvallisuutta kuvataan tarkemmin tietoturvasuunnitelman kappaleessa seitsemän. Yrityksen tulee siis kiinnittää huomiota riittävän osaamisen, tietojärjestelmien ja laitteiden turvallisuuden ohella myös fyysiseen turvallisuuteen, joilla suojataan henkilöitä, tietoja, laitteita ja ohjelmistoja esimerkiksi yrityksen toimitiloissa.

Tyypillisiä fyysisen turvallisuuden uhkia ovat esimerkiksi toimitiloihin kohdistuvat tuli-, sähkö- ja vesivahingot, sekä varkaudet, väärinkäytökset ja ilkivalta. Jälkimmäisiin liittyen esimerkiksi toimitilojen sijainti voi olla yksi seikka mihin olisi hyvä ottaa tietoturvasuunnitelmassa kantaa. Kaiken kaikkiaan fyysisen turvallisuuden keinoin pyritään estämään luvaton fyysinen kontakti, kuten mahdollinen tunkeutuminen yrityksen toimitiloihin ja yrityksen hallussa olevien tietojen luvaton käyttö. Fyysinen tunkeutuminen saattaa kohdistua niin tietoverkkoihin, laitteisiin, kuin muuhun fyysiseen aineistoon.

Fyysisen tietoturvallisuuden suojauskeinot ja niiden mitoitukset perustuvat hallinnolliseen turvallisuuteen, riskiarviointeihin, palveluntuottajien välisiin sopimuksiin, sekä myös lainsäädäntöön erityisesti silloin kun suojataan viranomaisten tai julkisen tilaajatahon palveluiden tuottamiseen luovuttamaa aineistoa.

Fyysisen tietoturvallisuuden näkökulmasta huolellisten riskiarvioiden laatiminen on erityisen tärkeää, sillä myös esimerkiksi toimitilojen sijainnilla ja pohjaratkaisuilla voi olla suurikin merkitys sen osalta, miten suojaustoimet voidaan tai on välttämätöntä toteuttaa. Riskienhallintaan perehdymme paremmin näitä blogikirjoituksia tukevilla podcasteilla.

Fyysinen tietoturvallisuus pitää siis sisällään ne keinot, joilla yritykselle tärkeää tietoa suojataan kaikilta kuviteltavissa olevilta fyysisiltä uhilta. Perustan tälle toiminnalle muodostavat tiedon käsittely- ja säilytystiloja suojaavat ympäröivät fyysiset rakenteet sekä esimerkiksi tarvittavat näkösuojat ja äänieristykset.

Yritys voi käyttää suojauskeinoina myös erilaisia sähköisiä turvallisuusjärjestelmiä, kuten kameravalvontaa-, kulunvalvontaa- ja murtohälyttimiä. Tähän sisältyy myös lukitus- ja paloilmaisinjärjestelmiä ja vartiointipalvelut. Olipa yrityksellä käytössä mitä tahansa turvallisuusjärjestelmiä tulisi niiden käytön ja laajuuden pohjautua aiemmin laadittuun riskiarviointiin. Tällöin voidaan varmistua siitä, että kohteeseen suunnitellut turvallisuusratkaisut ovat riskeihin nähden riittäviä, mutta eivät kuitenkaan ylimitoitettuja, sillä tällöin saatamme sitoa resursseja sellaiseen, johon meidän ei tarvitsisi.

 

Tietojärjestelmiin liitetyt muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia

Tällä vaatimuksella ja sen huomioimisella halutaan varmistua, että yritys on huomioinut toiminnassaan sen mahdollisuuden, että yrityksen laitteilla käytettävät muut tietojärjestelmät saattavat aiheuttaa riskin asiakas- ja potilastietojärjestelmälle. Käytännössä, jos jossakin muussa käytössä olevassa tietojärjestelmässä olisi jokin heikkous, joka mahdollistaisi vaikkapa kyberrikollisille pääsyn ko. tietojärjestelmään, saattaisi tämä avata ”ovet” kaikkiin muihinkin laitteella oleviin ohjelmistoihin ja tietoihin. Samoin useat käytössä olevat ohjelmistot vievät oman siivunsa laitteen kapasiteetista, joka taas voi vaikuttaa laitteen suorituskykyyn ja toimintavarmuuteen.

Tämän osalta onkin tärkeää, että työkäytössä olevilla laitteilla on vain työntekoon tarvittavat välttämättömät ohjelmistot käytössä ja tämä on tärkeä tuoda esille myös tietoturvasuunnitelmassa. Samoin tämä aihe linkittyy myös häiriö- ja poikkeamatilanteiden hallintaan ja erityisesti yrityksen kykyyn reagoida, mikäli poikkeavaa toimintaa havaitaan.

 

Tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset

Kantaan liitettäville asiakas- ja potilastietojärjestelmille on asetettu erinäisiä vaatimuksia, jotka niiden tulee täyttää ennen kuin ne voidaan yhdistää esimerkiksi potilas- tai asiakastiedonarkistoon. Se, että järjestelmä on kerran nämä vaatimukset täyttänyt, eli sillä on todistus tietoturvallisuusarvioinnista ja vaatimuksenmukaisuudesta, ei tarkoita automaattisesti sitä, että se on Kanta kelpoinen ikuisesti.

Asiakas- ja potilastietojärjestelmien tietoturvallisuusarviointi on suoritettava määräajoin uudestaan ja jokaisella arviointi kerralla arvioidaan tietojärjestelmän nykytilaa suhteessa ajankohtaisiin vaatimuksiin ja päivittyneisiin uhkiin. Tietojärjestelmien vaatimustenmukaisuus tulee myös testata määräajoin, suhteessa Kanta-palvelun päivittyneisiin toiminnallisuus vaatimuksiin. Kanta-palvelu päivittyy sitä mukaa, kun uusita toiminnallisuuksia tai lainsäädännön vaatimuksia tulee voimaan.

Tämän osalta onkin tärkeää, että yritys ottaa tietoturvasuunnitelmassa kantaa siihen, miten se säännöllisesti seuraa tietojärjestelmien vaatimustenmukaisuutta. Käytännönkeinoina tässä ovat sekä säännöllinen vuoropuhelu järjestelmätoimittajan kanssa, kuin myös järjestelmän nykytilan tarkistaminen Valviran tietojärjestelmärekisteristä.

SoteTraining (Salus Qualitas Consulting Oy) on sote-alaan erikoistunut yritys. Kouluttajamme, yrittäjä Heidi Ilmonen kouluttaa ja auttaa kehittämään erityisesti alan pienyrityksiä.

Heidi tuntee sote-arjen ja lainsäädännön lisäksi myös alan ohjelmistot, koska SQC Oy  toimittaa ohjelmisto- ja toiminnanohjausratkaisuja pienille 1-3 työntekijän sote-yrityksille.

Heidillä on vuosien kokemus tietosuojaan ja tietoturvaan liittyvistä koulutuksista. Hän on toteuttanut koulutuksia ryhmille ja yrityskohtaisesti, minkä lisäksi SoteTrainingin sivuilta löytyy runsaasti Heidin rakentamia verkkomuotoisia koulutuksia.  Heidi on toiminut pääkouluttajana SOPIEN 1 ja SOPIEN 2.0- hankkeissa aiheina mm. tietosuoja. Heidi toimii myös ELY:n kilpailuttamana yritysten kehittämispalveluiden asiantuntijana ”Tuottavuus ja digitalisaatio”- aihepiirissä sote- ja hyvinvointialalla toimiville yrityksille.

Heidillä on MBA ja tradenomin tutkinnot sekä yritysneuvojan erikoisammattitutkinto.

Lue Heidin sote-alan yrittäjille suunnattua blogia täältä.