tietoturvallisuuden omavalvonta suunnitelma ja toteuttaminen, juha mykkänen, 8.11.2016
TRANSCRIPT
Tietoturvallisuuden omavalvonta: suunnitelma ja toteuttaminen
8.11.2016 Helsinki
Juha Mykkänen, kehittämispäällikkö, FT, dos.
THL / Oper
1
Iltapäivän ohjelma
• 13:30 Avaus
• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet
• 14:10 Omavalvonta ja tietojärjestelmien olennaiset vaatimukset – yleiskuva
• 14:35 Tauko
• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen
• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan liittyen
• 15:40 Keskustelu ja kysymykset
• 16:00 Tilaisuuden päätös
2
Kysymyksiä tapahtuman aikana voi
lähettää myös osoitteeseen:
Materiaaleja
• THL määräykset: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/julkaisut/maaraykset
• Kanta sertifiointi, olennaiset vaatimukset ja omavalvonta: http://www.kanta.fi/web/ammattilaisille/sertifiointi
• Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://www.kanta.fi/documents/12105/4063473/Luokittelut+Omavalvonta+Sertifiointi_UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b
• Kanta-palvelujen käsikirja: http://www.kanta.fi/web/ammattilaisille/kanta-palvelujen-kasikirja-etusivu
– Yksityiset ja itsenäiset ammatinharjoittajat / Vanhat materiaalit: http://www.kanta.fi/fi/web/ammattilaisille/vanhat-materiaalit
• Tietojärjestelmien ilmoittaminen ja valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/tuotteen_markkinoille_saattaminen/tietojarjestelmat
• Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen
3
Kontekstia ja tilannetta / Kanta-palvelut:
• Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7
• Potilastiedon arkisto on käytössä laajasti julkisessa terveydenhuollossa
• Yksityisen terveydenhuollon Potilastiedon arkiston käyttöönotot alkoivat 10.02.2016 (73 toimijaa)
• Julkisessa terveydenhuollossa sähköisen reseptin käyttö on jo osa päivittäistä toimintaa
• Yksityisen terveydenhuollon liittymiset sähköiseen reseptiin etenevät (330 toimijaa); pakolliseksi kaikille 01.01.2017 alkaen
• Kanta-palvelut laajenevat sosiaalihuoltoon Kansa-hankkeen avulla (1. vaihe käynnistyi 29.04.2016; tuotantoon 02/2018)
• Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta
– Toimeenpano sosiaali- ja terveydenhuollossa valtakunnallisilla Kanta-palveluilla
4 7.11.2016
5
Tietosuojan ja tietoturvallisuuden omavalvonta: säädökset,
määräykset ja ohjeet
Olennaiset vaatimukset ja omavalvonta: miksi?
• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille
• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
tietojärjestelmien OLENNAISET VAATIMUKSET
– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
OMAVALVONTA
– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa
6
Vastuu tietosuojasta ja tietoturvasta
• Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
• Omavalvonnasta laaditaan suunnitelma
• Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Vastuu
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta
– tietosuojavastaavan nimeämisestä ja toimenkuvasta
– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle
– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä
– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta
• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia
7
Omavalvonnan ja olennaisten vaatimusten säädökset
• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)
• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)
• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset
• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
• THL:n Määräys 2/2016: Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista
• Lisäksi saatavilla ohjeita ja tukimateriaalia
• Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä
8
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta
• 3 § määritelmät, erityisesti
– Tietojärjestelmä …sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin
– Palvelujen antajien määritelmät / sosiaali- ja terveydenhuolto
9
Laki sosiaali- ja terveydenhuollon
asiakastietojen sähköisestä käsittelystä
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta • 19 h § Omavalvontasuunnitelma
– Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:
• Käyttäjillä käytön vaatima koulutus ja kokemus
• Järjestelmillä käytön kannalta tarpeelliset käyttöohjeet
• Järjestelmiä käytetään ohjeistuksen mukaisesti
• Järjestelmiä ylläpidetään ja päivitetään ohjeistuksen mukaisesti
• Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen ja tietoturvalliseen käyttöön
• Liitetyt tai muut järjestelmät eivät vaaranna sorituskykyä tai tietoturvaa
• Asennuksessa ja ylläpidossa henkilöt joilla tarvittava asiantuntemus
– Kanta-palvelujen osalta kuvattava tietoturvallisen käytön vaatimusten varmistaminen
– Omavalvontasuunnitelman toteutumista seurattava
10
Laki sosiaali- ja terveydenhuollon
asiakastietojen sähköisestä käsittelystä
• 19 a § Olennaiset vaatimukset
• Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.
• Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.
• (+ THL:n ja Kelan määräysvaltuudet, velvollisuus kuulla sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa)
11
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta
Laki sosiaali- ja terveydenhuollon
asiakastietojen sähköisestä käsittelystä
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta: muut omavalvonnassa olennaiset kohdat
• 19 b § Järjestelmien luokat A ja B
• 19 c § Tietojärjestelmän valmistajan velvollisuudet
• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus)
• 19 e § Yhteistestaus
• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)
• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja
• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)
• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto
12
Laki sosiaali- ja terveydenhuollon
asiakastietojen sähköisestä käsittelystä,
uudistumassa
Laki sähköisestä lääkemääräyksestä
viittaa samoihin vaatimuksiin
Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta
• 22 a § (28.3.2014/251) Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto
• Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 3, 19 a–19 g, 20 a–20 h ja 22 §:ssä säädetään.
13
Laki sähköisestä lääkemääräyksestä – viittaa asiakastietolain ko. kohtiin
Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta
• 22 b § Omavalvonta
• Sähköisiä lääkemääräyksiä laativien toimintayksiköiden, apteekkien ja itsenäisten ammatinharjoittajien sekä Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi, seurattava toimintaa ja ilmoitettava poikkeamista siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 h ja 19 i §:ssä säädetään.
14
Laki sähköisestä lääkemääräyksestä
Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia
• etukäteissuunnittelun vaatimus
• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus
• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)
• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.
• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)
• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)
• asiakkaan tarkastusoikeus
• virheellisen tiedon korjaamisoikeus
15
[T. Itälä ja P. Ruotsalainen, Tietoturvallinen
kommunikaatioalusta, Luovutusten ja luovutuslokin
hallinnan suositukset, OSVE 6/2004]
Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista • Voimaan 1.2.2015, voimassa toistaiseksi
• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-tietojärjestelmille
• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan
– vaatimus täyttyy täysin
– vaatimus täyttyy osittain ja täyttymättä jäävä osa kompensoidaan; kompensointitapa kuvattava
– vaatimus ei täyty
– mikäli vaatimus ei ole relevantti tai on vain osin relevantti arvioitavan tietojärjestelmäpalvelun osalta, maininta tästä perusteluineen
– todentamistapa auditoinnissa ja kuinka vaatimuksen täyttyminen on todettu
• Hallinnolliset ja soveltuvin osin tekniset todentamistavat
• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille
– Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa
16
Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
• Voimaan 1.2.2015, voimassa toistaiseksi
• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset
– Soveltamisala
– Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa
– Määritelmät
– Suhde muihin ohjaaviin määräyksiin ja ohjeisiin
– Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin
– Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
– Ohjaus ja neuvonta
• Liite 1: Omavalvontasuunnitelman mallipohja
17
Sertifiointi ja omavalvonta: toimijat 1/2
• Palvelun antaja: terveydenhuollon toimintayksikkö, sosiaalihuollon palvelujen antaja (järjestävä viranomainen, julkinen tai yksityinen palvelun tuottaja), työterveydenhuollosta vastaava työnantaja, apteekki, itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilö
– vastaa omavalvonnasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan
• Välityspalvelun tuottaja(t):
– Välittäjä: Kanta-välityspalvelun palveluntuottaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilas- tai asiakastietoja esimerkiksi ylläpitotoimien yhteydessä, vastaa omasta omavalvontasuunnitelmastaan, usein esim. varmenteiden hankinnasta jne.
– Välityspalvelun toteuttaja: vastaa teknisen Kanta-välityspalvelun sertifiointivaatimusten täyttämisestä, sen tietoturva-auditoinnista sekä välityspalvelulta vaadittavista ilmoituksista
• Järjestelmän valmistaja: taho, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta, riippumatta siitä toimiiko tämä taho myös tietojärjestelmäpalvelun tuottajana
– vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä
• Tietojärjestelmäpalvelun tuottaja: taho, joka tarjoaa palvelun antajalle tietojärjestelmäpalvelua, jossa käsitellään asiakas- ja potilastietoja, ja joka vastaa tietojärjestelmän valmistajalle asetettuihin vaatimuksiin valmistajana, valmistajan lukuun tai valmistajan puolesta
– vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista
18
Sertifiointi ja omavalvonta: toimijat 2/2
• Tietoturvallisuuden arviointilaitos: viestintäviraston hyväksymä taho, joka suorittaa sertifiointiprosessin osana olevan tietoturvallisuuden auditoinnin, tuottaa vaatimustenmukaisuustodistuksen ja ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista
• Kanta-palvelut: Kelan palvelu, jonka vastuulla on Kanta-palveluiden (Sähköinen resepti-, Potilastiedon arkisto- ja Omakanta –palvelut sekä Lääketietokanta) toteuttaminen, ylläpito ja kehittäminen
– Kanta-yhteistestaus(vastaava): suunnittelee ja koordinoi yhteistestauksen
– Kanta-asiakastuki: tarjoaa tukipalveluja Kanta-palveluiden asiakkaille
• THL/OPER: viranomainen, joka antaa määräykset olennaisista vaatimuksista ja omavalvontasuunnitelmasta
• Valvira: valvontaviranomainen, joka ylläpitää rekisteriä tietojärjestelmistä ja valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta sekä valvoo palvelun antajia
• Viestintävirasto: valvontaviranomainen, joka hyväksyy tietoturvallisuuden auditointilaitokset ja valvoo niitä
19
Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennuksia
• Lain mukaan Kanta-välityspalvelut kuuluvat A-luokkaan (sertifioitava / tietoturva-auditointi + ilmoitettava Valviralle)
• Sertifiointi koskee välityspalvelussa käytettävää teknistä ratkaisua
– Välityspalvelun sertifioinnissa tietoturva-auditointi vaatimustenmukaisuustodistus
– Sama sertifioitu välityspalvelu voi olla käytössä useissa eri Kanta-liityntäpisteissä
• Välittäjätahoilta EI edellytetä ulkoista tietoturva-auditointia
– Välittäjätaho on eri asia kuin Kanta-välityspalvelu
– Välittäjätaholla oltava kuitenkin omavalvontasuunnitelma jonka kautta vaatimusten täyttäminen todennettavissa
– Huolehdittava että Kanta-liityntäpisteessä käytössä sertifioitu välityspalvelu tai järjestelmä
• Mutta samaa teknistä välityspalvelua ei tarvitse auditoida ulkoisesti kaikissa liityntäpisteissä erikseen
– Jos välittäjätaho ei ole sote-palveluntuottaja, huolehdittava että välittäjätaho on myös THL:n välittäjärekisterissä
20
Ohje 3/2015
Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset
• Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta
• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa
• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin
• Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta
21
22
Omavalvonta ja tietojärjestelmien olennaiset vaatimukset –
yleiskuva
Hippokrateen vala, ote
23
Hippokrates (n. 460-370 eKr)
”Mikäli parannustyössäni
tai sen ulkopuolella
ihmisten keskuudessa
näen tai kuulen sellaista,
mitä ei pidä levitettämän,
vaikenen ja pidän sitä
salaisuutena.”
Tietoturvallisuuden perusperiaatteet
• Eheys
– tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan
– luvaton muokkaaminen ei onnistu tai se havaitaan
• Luottamuksellisuus
• Saatavuus ja luotettavuus
– tieto on saatavilla, kun sitä tarvitaan
– ohjelmistot, laitteet, turvallisuus- ja viestinvälitysmekanismit toimivat
• Autenttisuus
– tiedon alkuperä on tiedossa
– tiedonvaihdon osapuolet tunnistetaan luotettavasti
• Kiistämättömyys ja velvoittavuus
– sopimuksen velvoitteet täytetään
– osapuoli ei voi kiistää osallistumistaan tapahtumaan (transaction)
24
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen
• Helpottaa ymmärtämään väärinkäytöksen seuraamukset
• Ohjaa ja tukee tietoturvavaatimusten noudattamista
• Auttaa seuraamaan toimintaa käytännössä
• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan
• Selkeyttää roolit ja vastuut toteutuksessa
25
Omavalvontasuunnitelma
Keiden on laadittava
• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien
– Sosiaali- ja terveydenhuollon palvelun antajien
– Apteekkien
– Itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen
• Kanta-välityspalveluiden tuottajien
Miksi
• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa
Milloin
• 31.3.2015 mennessä (1. versio)
26
HUOM. Koskee myös
muita kuin Kanta-
palveluihin liittyviä
toimijoita ja järjestelmiä
Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden
käyttöönoton yhteydessä tehdyt itseauditoinnit
Omavalvonnan ja olennaisten vaatimusten suhde
• Tietoturvallisuuden varmistaminen on jatkumo
– Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta
– Käytettävät tietojärjestelmäratkaisut
– Järjestelmien tekninen ja toiminnallinen käyttöympäristö
• Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin
• Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä
• Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset
27
Olennaiset vaatimukset ja niiden todentaminen • Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014)
• Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille)
– Toiminnalliset vaatimukset
• THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista
• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä
– Yhteentoimivuusvaatimukset
• Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta
– Tietoturva- ja tietosuojavaatimukset
• THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista
• Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla
• Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen
– => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville
28
Olennaiset vaatimukset ja järjestelmien luokittelu
• Järjestelmien luokittelut A- ja B-luokkiin
– A: Kanta-palveluihin liittyvät järjestelmät
• Myös Kanta-välityspalvelut
– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät
– (on myös järjestelmiä, joita ei tarvitse luokitella)
• Luokiteltujen järjestelmien ilmoittaminen Valviralle
– A-luokan järjestelmien
• vaatimustenmukaisuustodistuksen edellytyksenä sertifiointi: hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi
• laki 2014, tarkennettu määräys ja kriteerit 2015
– B-luokan järjestelmien
• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta
– Käytännössä yleiset lainsäädännön vaatimukset ja velvoite ilmoittaa järjestelmät ja käyttötarkoitus Valviralle
– Sekä luokissa A että B kirjallinen selvitys ja ilmoitus Valviralle
29
Olennaisten toiminnallisten vaatimusten määräys ja siihen liittyvä materiaali
• Ohjaa:
– Mahdollistaa kansallisesti yhdenmukaisen toiminnallisten vaatimusten ryhmittelyn ja viestinnän sote-tietojärjestelmien kehittämisessä
– Ohjeistaa ja yhdenmukaistaa lain ja määräysten mukaista sote-tietojärjestelmien käyttötarkoitusten viestintää (ilmoitukset, Valviran rekisteri, sertifioinnin testaus- ja tietoturva-osiot, hankinta- ja kehittämisprojektit)
• Tukee:
– Tukee sote-palveluntuottajia oman tietojärjestelmäkokonaisuutensa ja tietojärjestelmäratkaisujen olennaisten vaatimusten määrittelemisessä ja toiminta-arkkitehtuurin linkittämisessä tietojärjestelmäarkkitehtuuriin
– Tukee tietojärjestelmien valmistajia ja tietojärjestelmäpalvelujen tuottajia lakisääteisten vaatimusten tulkinnassa ja täyttämisessä sekä omien ratkaisujen toiminnallisten ominaisuuksien määrittelemisessä suhteessa määrittelyihin
– Myös suhteessa kumppaneihin ja ”työnjakoon” eri järjestelmien välillä
– Esim. sama ”järjestelmälomake” yhteistestauksessa ja rekisteri-ilmoituksissa
– Selkeyttää valtakunnallisten palvelujen kehittämiseen liittyvien määrittelyjen ja niihin liittyvien kehitys-, testaus- ja sertifiointitoimenpiteiden rakennetta
• Muutoshallinta ja riippuvuuksien hallinta
30
AsTL
Sote-palvelunantaja
Miten olennaisia toiminnallisia vaatimuksia käytetään?
Määräys Toiminnallisten
vaatimusten
luokitus
Määrittely Määrittely
Määrittely -yksityis-
kohtaiset
vaatimukset ja
kuvaukset
Viittaukset
Järjestelmä-
lomake:
järjestelmässä
toteutetut
toiminnot ja
sisällöt
Tietojärjestelmä-
palvelun tuottaja
Viranomaiset: THL,
Kela, Valvira, STM
Alijoukko
toiminnoista
Kansallinen
profiili: tietyn
tyyppisen
järjestelmän tai
toimijan vaaditut
toiminnot
Alijoukko
toiminnoista
Valviran
rekisteri
Ilmoitus A-
tai B-luokan
tietojärjestelmästä
Yhteis-
testaus
Testaukseen
hakeutuminen
(A-luokka)
Kela
Tietoturva-
auditointi
Tietoturva-auditointiin
hakeutuminen
(A-luokka) Arviointilaitos
Vaatimus-
määrittely,
hankinta- tai
kehittämisprojekti
Omavalvonta
31
Määräys ja luokitus sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista: materiaali
• Määräys:
– Järjestelmiä ja tietojärjestelmäpalveluja tuottavien ja käyttävien tahojen velvoitteet
• Liite 1: Määräyksen perustelut ja soveltaminen
– Yleiskuva, taustaa ja soveltamisohjeistusta
• Liite 2: Olennaisten toiminnallisten vaatimusten luokitus
– Sote-tietojärjestelmien toiminnot (=järjestelmätoiminnot) ja tietosisällöt ”otsikkotasolla”
– Viittaukset tarkempiin määrittelyihin ja yksityiskohtaisiin vaatimuksiin
– Painopisteenä Kanta-palvelujen kautta muodostuvat vaatimukset järjestelmille
• mutta määräyksen piirissä myös muut kuin suoraan Kanta-palveluihin liittyvät
• Liitteet 3: Profiilit
– Vähimmäisvaatimusten profiilit: eri käyttötarkoituksiin käytettävissä järjestelmissä pakolliset toiminnot ja sisällöt
• Liite 4: Järjestelmälomake
– Pohjana, kun järjestelmä ilmoitetaan Valviran sote-tietojärjestelmien rekisteriin tai kun se hakeutuu sertifiointiin (yhteistestaus ja tietoturvallisuuden auditointi)
32
Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet
• Osa-alueet / kriteerit
– Sähköinen allekirjoitus
– Käyttövaltuushallinta
– Tunnistaminen (sis. Sulkulistat, ammattioikeuden rajoitukset)
– Valvonta ja lokitus
– Tietojen käsittely
– Muut pakolliset vaatimukset
– Sovellusturvallisuus
– Käyttöympäristö / luottamuksellisuus ja eheys
33
• Kohteet
– Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille
– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat
– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat
– A: Arkistoon liittyvät toiminnallisuudet
– (VÄ: Välityspalvelut)
Olennaisten vaatimusten todentamistavat
• Vaatimusten todentamisen perusvaihtoehdot
– Itseauditointi tai omavalvonta TAI
– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)
• Tietoturvallisuusvaatimusten auditoinnissa käytetyt todentamistavat
– Haastattelu
– Dokumentaatio
– Toiminnallinen testaus
– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit, järjestelmän tuottamat raportit)
• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa
34
Kanta-sertifiointi ja omavalvonta – yleiskuva ja prosessit - tukimateriaali
• Kuvaa sertifioinnin ja omavalvonnan kokonaisuutta
• Sertifioinnin ja omavalvonnan tukimateriaalia
• Yleiskuva
• Toimijat
• Prosessien ylätason kuvaukset
– Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen – yleiskuva
– Välityspalvelun sertifiointi
– Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kanta-yhteistestaus ja tietoturvallisuuden auditointi
– Vaatimustenmukaisuustodistuksen uudistaminen
35
Sertifiointiprosessi: ”uusi järjestelmä”
36
Teknisen Kanta-välityspalvelun sertifiointi
37
Tiet
otur
valli
suu
den
arvi
oint
ilait
os
Väl
itys
palv
elu
n t
uott
aja
Kan
ta-t
uota
nto
pal
velu
Välityspalvelunvaatimustenmukaisuuden
arvioiminen
1.4
VA
LVIR
A
Ilmoitus käyttöön otettavasta
välityspalvelusta
Välityspalvelun omavalvonta
Rekisterin ylläpitäminen
Välityspalvelun tietoturvallisuudentarkastusraportti
Ilmoitus käyttöön otettavasta
välityspalvelusta
Välityspalvelun tietoturvallisuuden
tarkastusraportin laatiminen
2.3
2.8
§ 19 K
Välityspalvelun vaatimustenmukaisuus-
todistus
Välityspalvelunvaatimustenmukaisuus-todistuksen laatiminen
2.4
Käyttöön otettavastavälityspalvelusta
Ilmoittaminen
§ 19 F2.6
2.7
Välityspalvelun tietoturvallisuudentarkastusraportti
Auditiointiprosessinkäynnistäminen
2.1
2.2
Ilmoitus
vaatimustenmu-
kaisuudesta
§ 19 M
Käyttöönoton edellyttämästätekniikasta sopiminen
Käyttöönoton edellyttämästätekniikasta sopiminen
2.5
2.5
Ilmoitus
vaatimustenmu-
kaisuudesta
huom. eri asia kuin Kanta-välittäjäksi hakeutuminen
38
Yht
eist
esta
usv
asta
ava
3.2
Kan
taas
iaka
stuk
iJä
rjes
telm
ä-va
lmis
taja
1.6
Yhteistestauksentarpeen
arvioiminen
4.5
Ilmoituksenvastaanottaminen
Käsittelypyynnönvälittäminen
Va
lvir
a
4.24.1
Tietojärjestelmän vaatimustenmukaisuudenarviointi
Ilmoitus yhteistestaukseen
tarpeettomuudesta
Ilmoitus testaustarpeesta
Tiet
otur
valli
suu
den
arvi
oin
tila
ito
s
4.8
4.7
Ilmoitus yhteistestaukseen
tarpeettomuudesta
4.6
Ilmoitus tietojärjestelmä-
muutoksesta
Tietoturvan uudelleenarviointitarpeen
arvioiminen
Tiedon toimittaminen Valviran
rekisteriin
4.12
Tietojärjestelmän tai välityspalvelun vaatimustenmukaisuuden arviointi4.3
Järjestelmä eikä
välityspalvelu?
Rekisterin ylläpitäminen
Ilmoitus päivitetystä vaatimusten-
mukaisuudesta
4.4
Kelanyhteistestaus-
lausunto
Vaatimustenmukaisuus-todistuksen päivittäminen
Vaatimusten-mukaisuus-
todistus
4.11
4.10
4.9
3.8
2.1
Ilmoitusvaatimustenmu-
kaisuudesta
Ilmoitusvaatimustenmu-
kaisuudesta
Ilmoitus tietoturva-auditoinnin tarpeesta tai
tarpeettomuudesta
Vaatimustenmukaisuustodistuksen
uudistaminen
Huomioitavaa / olennaiset vaatimukset
• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia
• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:
– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle
• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille
• Lisäksi huomioitava yleislainsäädäntö mm. henkilötietolain tietosuojavaatimukset, lääkinnällisten laitteiden säädökset jne.
– Myös nämä taustalla, mutta ei suoraa vastaavuutta asiakastietolain mukaisiin vaatimuksiin
– Esim. potilastietojärjestelmän käyttötarkoitus päätöksenteon tukijärjestelmäksi TAI potilastietojen tallentamiseen ja arkistointiin / Medical Device directive tulkintaohjeet / EU komissio CE-merkki, Laki terveydenhuollon laitteista ja tarvikkeista
• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!
39
Iltapäivän ohjelma
• 13:30 Avaus
• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet
• 14:10 Omavalvonta ja tietojärjestelmien olennaiset vaatimukset – yleiskuva
• 14:35 Tauko
• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen
• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan liittyen
• 15:40 Keskustelu ja kysymykset
• 16:00 Tilaisuuden päätös
40
Kysymyksiä tapahtuman aikana voi
lähettää myös osoitteeseen:
41
Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen
Omavalvontasuunnitelman minimivaatimukset ja selvitykset
• Omavalvonnan kautta varmistutaan vähintään:
– Henkilöstön riittävästä koulutuksesta ja kokemuksesta
– Asianmukaisten käyttöohjeiden saatavuudesta
– Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan
– Menettelytavoista virhe- ja ongelmatilanteissa
– Toimintamallista asennus-, ylläpito- ja päivitystilanteissa
– Käyttöympäristön vaatimustenmukaisuudesta
– Tietojärjestelmien vaatimustenmukaisuudesta
– Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin
– Riittävistä käytön seuranta- ja valvontatoimenpiteistä
42
Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn
osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin
kohdistuvista vaatimuksista
Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin
kokonaisuuteen kuuluvat dokumentit:
1. Johdanto
2. Suunnitelman kohde:
– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
3. Yleiset tietoturvakäytännöt:
– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:
– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt
5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:
– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6. Kanta-palvelujen käytön tietoturvakäytännöt
7. Tietojärjestelmät:
– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:
– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
43
Esimerkkinä omavalvontasuunnitelman
mallipohjan rakenne
Luku 2 Suunnitelman kohde
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee
– ”kenen omavalvontasuunnitelma on kyseessä”
– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia
• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.
• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä
44 44
Luku 3 Yleiset tietoturvakäytännöt
Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:
• Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä
• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista
• Koulutus, ohjeistus, kokemus ja niiden seuranta
• Toimintamallien koulutus ja perehdytys
• Tietojärjestelmien käyttökoulutus
• Riittävä kokemus
• Ohjeet ja koulutus potilastietojen käsittelystä
45
Koulutusmalli ja seurantakäytänteet
Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta
• Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen ja käyttökokemuksen seurannan suunnitelmiin
• Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin
• Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta
Toimintamallien koulutus ja perehdytys
• Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista
• Miten koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan)
46
Luku 3
Tietojärjestelmän koulutusmalli ja seurantakäytänteet
Tietojärjestelmien käyttökoulutus
• Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista
• Miten nyt koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)
Riittävä kokemus
• Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas- ja / tai potilastietojärjestelmien käytön vaatima kokemus
• Miten on järjestetty käyttäjien ohjaus
Ohjeet ja koulutus potilastiedon käsittelystä
• Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa
47
Luku 3
Luku 4 Käyttöympäristön tietoturvakäytännöt
Kuvataan, mistä on saatavissa tiedot tai kuvaukset:
• Menettelyt virhe- ja ongelmatilanteista
• Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta
• Järjestelmien asennuksesta ja ylläpidosta yleisesti
• Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta
• Muista käyttöympäristön tietoturvakäytännöistä
48
Menettelyt virhe- ja ongelmatilanteissa
• Kuvataan selvittelykäytänteet ja määritellään vastuut
– verkko- tai tietoliikenneongelmien selvittelyssä
– järjestelmien käyttöön liittyvien ongelmien yhteydessä
– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien tai ongelmien hallintamallit ja käytäntö
• Ohjeistetaan A tai B järjestelmien olennaisten vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi
– Organisaation sisällä
– Tietojärjestelmän valmistajalle
– Kelalle huomioiden häiriöviestintäohje ( mikäli A-luokan järjestelmä )
– Valviralle, jos poikkeama aiheuttaa merkittävän riskin potilasturvallisuudelle
49
Luku 4
Järjestelmien käyttöohjeiden hallinnointi ja saatavuus
• Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien
– käyttöohjeiden hallinnointi ja saatavuus
– henkilöstön perehdyttäminen ja sen toteuman todennettavuus
– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu
• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten
– Hankinta ja saanti
– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa
– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti
50
Luku 4
Järjestelmien asennus ja ylläpito yleisesti
Kuvataan yleisellä tasolla:
• Mikäli järjestelmäkohtaiset seikat poikkeavat määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen
• Määritellään järjestelmien asennuksen, ylläpidon ja päivityksen roolit ja vastuut
• Tarkennetaan ylläpitotehtävien vaatima koulutus, ammattitaito ja asiantuntemus
• Kuvataan järjestelmien muutoshallinnan, testauksen ja hyväksymisen menettelytavat
51
Luku 4
Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallinta
Kuvataan ja luetellaan seuraavat turvallisuustekijät:
• Suojattavat fyysiset tilat ja niiden suojauskäytännöt
• Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta
• Työasemien virus- ja haittaohjelmilta suojautuminen
• Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien hallinta, SIM-korttien hallinta, ohjelmalliset suojaukset
• Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille
• Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt
• Ulkoiset tallennuslaitteet ja tallennusvälineet
• Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen vastuut ja niiden sisällyttäminen sopimuksiin
• Etäyhteydet, langattomat verkot ja reitittimet
52
Luku 4
Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt
Kuvaukset ja toteuma (viitataan tai laaditaan)
Käyttäjäryhmät
• Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai potilastietojärjestelmiä.
• Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden käyttöoikeudet ja -aika
Käyttövaltuushallinnan ja käytön seuranta ja välineet
• Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt
• Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt
• Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa
• Kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi
53
Luku 6 Kanta-palvelujen käytön tietoturvakäytännöt Voidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä
Kuvataan Kanta-palvelujen edellyttämien
• Tunnistamis- ja todentamisratkaisujen toteuttaminen
• Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)
• Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
• Kanta-liityntäpisteen tietoturvakäytännöt ja vastuut (esim. mitä toteuttaa välittäjä, onko käytössä sertifioitu välityspalvelu (=luokan A järjestelmä), jne.)
• Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa
• Kanta-palvelujen pääsynhallinnan toteuttaminen
• Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen
• Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut
• Kansallisten mallien hallinta
• Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
54
Luku 7 Tietojärjestelmäluettelo tai viite
Kanta-palveluihin liitettävät järjestelmät (luokka A):
• Järjestelmä, versio, toimittaja, yhteystiedot, vaatimuksenmukaisuustodistus
Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)
• Järjestelmä, versio, toimittaja, yhteystiedot
Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
• Järjestelmä, versio, toimittaja, yhteystiedot
A- ja B-luokan järjestelmistä tietoja Valviran rekisterissä 1.1.2017 alkaen
55
Usein järkevää koota tämän kohdan sisältö ensimmäisten
asioiden joukossa
Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat Soveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen
vastaavissa osioissa:
• Esim. A-luokkaan kuuluva: – Järjestelmä, versio, toimittaja, yhteystiedot
– Käyttötarkoitus
– Käyttäjäryhmät
– Käyttöohjeet
– Ohjeiden päivittäminen ja jakelu
– Menettelyt virhe- ja ongelmatilanteissa
– Järjestelmäkohtaiset tukipalvelut
– Asennus- ja ylläpitovastuut ja -vaatimukset
– Menettelytavat ja vastuut virhe- ja poikkeustilanteissa
– Käyttövaltuushallinta järjestelmässä
– Tunnistautuminen järjestelmässä
– Lokit
– Järjestelmän lukittuminen
– Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen
– Järjestelmän tiedot Valviran rekisterissä
56
Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä
on jo tehty
• Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
57
HYÖDYNNÄ:
Tietoturvapolitiikka
Kokonaisarkkitehtuurikuvaukset
Laatukäsikirja
Omat tietoturvallisuusohjeet
Tietojärjestelmäpalvelujen tuottajien ohjeet
Jne.
Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä
Omavalvonta-
suunnitelman
kokoaminen
Projektin
hallinnointi
Viestintä
Organisaatioiden
toimintamallit
Henkilöstön
koulutus
ja muu
tukimateriaali
Jatkuvuuden
varmistaminen
Varmenteiden
hankinta ja
käyttö
Hallinnolliset
päätökset
Rekisteritiedot
Koodisto-
palveluun
Esimerkki: potilastiedon arkiston
käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet
Teknisen
ympäristön
toteutus
Käyttöönotto ja
käytön
aloittaminen
Kanta –palvelun
liittymissopimus
ja käyttöönotto-
koe
Arkiston hallinta
58
Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi
• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen
• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa
– Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim.
• Säännöllisen omavalvonnan materiaalit 5v
• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v
• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt
• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua
59
HUOM
• Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN
• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä
• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa
– Esim. pieni liite perusteluineen
• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta
– Nämä oltava myös tarvittaessa todennettavissa
60
Yhteenveto
• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta
– Yhtenä pohjana omavalvontasuunnitelman mallipohjat
– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen myös sopimusten kautta hallittaviin seikkoihin
• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!
61
62
Useimmin kysytyt kysymykset omavalvontasuunnitelmaan
liittyen
Kysymyksiä tapahtuman aikana voi
lähettää myös osoitteeseen:
Omavalvontasuunnitelman mallipohjat
• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava
– Yleinen pohja suunnitelmalle, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa on vastattava
• Sovellettava omaa tilannetta vastaavalla tavalla
– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta
• Osa ratkaistavista asioista voi perustua esim. sopimuksiin IT-palveluja tuottavien tai tietojärjestelmäympäristöä hallinnoivien tahojen kanssa
– Myös nämä seikat mainittava ja oltava todennettavissa
• Yleisen pohjan lisäksi saatavilla mm.
– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille) http://www.kanta.fi/fi/web/ammattilaisille/vanhat-materiaalit (mallilomakkeet)
– Mallipohja apteekeille (Suomen Apteekkariliitto)
– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset
63
THL:n määräyksen 2/2015 liite 1
(THL:n määräyksen 2/2015 liite 1)
(IAH omavalvontasuunnitelman mallipohja / yksityisten käyttöönoton käsikirja)
Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan?
• Mitkä järjestelmät on sisällytettävä omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kanta-palveluihin? Millä perusteilla poimitaan mukaan otettavat?
– Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista sähköisistä tietojärjestelmistä
– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin
– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu kuvausten laatimisesta
– Omavalvontasuunnitelmaan saa ja kannattaa ottaa myös mahdolliset muut järjestelmät, jotka on syytä saada yhtenäisten tietosuoja- ja tietoturvakäytäntöjen piiriin
64
Suhde Valviran omavalvontasuunnitelmaan
• Mikä on Asiakastietolain mukaisen tietosuojan ja tietoturvallisuuden omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan?
– Valviraan tehtävä sosiaalipalvelujen omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä
– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan
– Erillisiä asioita
– Erilaiset tiedon saatavuustarpeet ja sisällöt: suunnitelmia ei yleensä kannata yhdistää
65
Omavalvontasuunnitelman julkisuus
• Tuleeko tietosuojan ja tietoturvallisuuden omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä?
– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä
– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta
– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat
• Mutta kaikki omavalvontasuunnitelman asiat eivät yleensä kuulu sote-palveluja tuottavan henkilöstön tai järjestelmän käyttäjien työnkuvaan
66
Tietosuojavastaava
• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?
– Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia
– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava
– Tietosuojavastaavan tehtäväkuva –mallipohja
– Koulutusta tietoturvasta ja tietosuojasta:
• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla
• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG)
• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto
– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen)
67
Tietoturvapolitiikka
• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?
– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjan oman toimintansa näkökulmasta
68
Kanta-palveluihin liittyminen ja omavalvontasuunnitelma
• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti Kantaan liittyviä järjestelmiä
• Mitä uusia vaatimuksia Kantaan siirtyminen tuo omavalvontasuunnitelman sisältöön?
– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi
– Kantaan liittyvien järjestelmien erityisiä vaatimuksia mm. – Tunnistamis- ja todentamisratkaisujen toteuttaminen
– Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)
– Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin
– Kanta-palvelujen käytön seuranta ja valvonta (erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa
– Kanta-palvelujen pääsynhallinnan toteuttaminen
– Luokan A järjestelmät, mm. Vaatimuksenmukaisuustodistuksen edellyttäminen
– Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
69
Vastuut järjestelmätoimittajan ja sote-palveluja tuottavan yrityksen välillä omavalvonnassa
Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan / ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?
• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla (sote-palvelun tuottaja)
• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin ja sopimusten mukaisesti
• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)
• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvattava miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa
• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja yleensä vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.
70
Mikä on riittävä henkilöstön kokemus?
• Miten määritellään henkilöstön riittävä kokemus?
– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä
– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön
71
Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti
• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen."
– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.
– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.
– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.
72
Lokivalvonnan toteuttaminen
• Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä?
– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille
– Lokivalvontaa tehdään
• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)
• Potilaan pyytäessä lokitietoja
• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta
– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä
– Lokivalvonnan / käyttölokien valtakunnallisten määrittelyjen tarkentaminen suunnitteilla / ota yhteyttä esim. OPER-yksikköön
73
Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?
• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia
– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä
• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta
– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”
• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)
74
75
Yhteenveto, keskustelu ja kysymykset
Kysymyksiä voi lähettää myös
osoitteeseen: [email protected]
Keskiössä roolit ja vastuut
• Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä
• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi
• Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun
Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu
Tietoliikenne ja viestinvälitys ulkoistettu
Ostopalvelun yhteydessä
Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä
• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat:
– toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen
76
Ajankohtaista ja tulevaa
• Asiakastietolaki on uudistumassa: lausuntopyyntö tulossa STM:stä lähiaikoina – Omavalvonnan perusmalleihin ei kuitenkaan todennäköisesti tulossa merkittäviä muutoksia
• Tietojärjestelmien olennaisten toiminnallisten vaatimusten määräys (THL määräys 2/2016) tarkentaa eri tarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia
• Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan
• 1.1.2017 olennaisia ja ajankohtaisia asioita
– Sähköisen lääkemääräyksen pakollisuus
– Valviran rekisteri sote-tietojärjestelmistä tulossa verkkoon saataville
• Standardeihin (esim. ISO 27000-sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan
• Jatkossa: päivityksiä määräyksiin ja olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten ja lakiuudistusten pohjalta
77
Yhteenveto
• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa!
• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että
– järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat
– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa
• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin
• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojen mukaiseksi
– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa
– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja omavalvontasuunnitelmasta
• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää
78
79
Kiitos!
Kysymyksiä ja
lisätietopyyntöjä voi
lähettää [email protected]
Lisätietoja sertifioinnista ja omavalvonnasta:
Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-
terveysalalla/tiedon-ja-vaatimusten-
yhdenmukaistaminen
Kanta / Sertifiointi, olennaiset vaatimukset ja
omavalvonta:
http://www.kanta.fi/web/ammattilaisille/sertifiointi
Yksityiset ja itsenäiset ammatinharjoittajat tarkempia
esimerkkejä mm.:
http://www.kanta.fi/fi/web/ammattilaisille/vanhat-
materiaalit