Tietoturvallisuuden omavalvonta: suunnitelma ja toteuttaminen

8.11.2016 Helsinki

Juha Mykkänen, kehittämispäällikkö, FT, dos.

THL / Oper

1

Iltapäivän ohjelma

• 13:30 Avaus

• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet

• 14:10 Omavalvonta ja tietojärjestelmien olennaiset vaatimukset – yleiskuva

• 14:35 Tauko

• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen

• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan liittyen

• 15:40 Keskustelu ja kysymykset

• 16:00 Tilaisuuden päätös

2

Kysymyksiä tapahtuman aikana voi

lähettää myös osoitteeseen:

kantapalvelut@thl.fi

Materiaaleja

• THL määräykset: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/julkaisut/maaraykset

• Kanta sertifiointi, olennaiset vaatimukset ja omavalvonta: http://www.kanta.fi/web/ammattilaisille/sertifiointi

• Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://www.kanta.fi/documents/12105/4063473/Luokittelut+Omavalvonta+Sertifiointi_UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b

• Kanta-palvelujen käsikirja: http://www.kanta.fi/web/ammattilaisille/kanta-palvelujen-kasikirja-etusivu

– Yksityiset ja itsenäiset ammatinharjoittajat / Vanhat materiaalit: http://www.kanta.fi/fi/web/ammattilaisille/vanhat-materiaalit

• Tietojärjestelmien ilmoittaminen ja valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/tuotteen_markkinoille_saattaminen/tietojarjestelmat

• Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen

3

Kontekstia ja tilannetta / Kanta-palvelut:

• Omakanta-palvelu kansalaisille avoinna tietoturvallisesti verkossa 24/7

• Potilastiedon arkisto on käytössä laajasti julkisessa terveydenhuollossa

• Yksityisen terveydenhuollon Potilastiedon arkiston käyttöönotot alkoivat 10.02.2016 (73 toimijaa)

• Julkisessa terveydenhuollossa sähköisen reseptin käyttö on jo osa päivittäistä toimintaa

• Yksityisen terveydenhuollon liittymiset sähköiseen reseptiin etenevät (330 toimijaa); pakolliseksi kaikille 01.01.2017 alkaen

• Kanta-palvelut laajenevat sosiaalihuoltoon Kansa-hankkeen avulla (1. vaihe käynnistyi 29.04.2016; tuotantoon 02/2018)

• Digitaalisuuteen liittyvät toiminnan muutokset edellyttävät tietojen liikkuvuutta ja tietojärjestelmiltä yhteentoimivuutta

– Toimeenpano sosiaali- ja terveydenhuollossa valtakunnallisilla Kanta-palveluilla

4 7.11.2016

5

Tietosuojan ja tietoturvallisuuden omavalvonta: säädökset,

määräykset ja ohjeet

Olennaiset vaatimukset ja omavalvonta: miksi?

• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia sekä sote-palvelujen tuottajille että järjestelmätoimittajille

• Varmistettava, että

– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa

tietojärjestelmien OLENNAISET VAATIMUKSET

– Organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta

OMAVALVONTA

– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen saatavuudessa, mutta huomioitava kaikessa toiminnassa

6

Vastuu tietosuojasta ja tietoturvasta

• Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa

• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla

• Omavalvonnasta laaditaan suunnitelma

• Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla

• Vastuu

– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä

– tietoturvapolitiikan laatimisesta ja noudattamisesta

– tietosuojavastaavan nimeämisestä ja toimenkuvasta

– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta

– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle

– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä

– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta

• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia

7

Omavalvonnan ja olennaisten vaatimusten säädökset

• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (päivitetty 2014)

• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)

• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset

• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

• THL:n Määräys 2/2016: Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

• Lisäksi saatavilla ohjeita ja tukimateriaalia

• Perusperiaate: järjestelmien olennaiset vaatimukset ja omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä

8

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta

• 3 § määritelmät, erityisesti

– Tietojärjestelmä …sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin

– Palvelujen antajien määritelmät / sosiaali- ja terveydenhuolto

9

Laki sosiaali- ja terveydenhuollon

asiakastietojen sähköisestä käsittelystä

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta • 19 h § Omavalvontasuunnitelma

– Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:

• Käyttäjillä käytön vaatima koulutus ja kokemus

• Järjestelmillä käytön kannalta tarpeelliset käyttöohjeet

• Järjestelmiä käytetään ohjeistuksen mukaisesti

• Järjestelmiä ylläpidetään ja päivitetään ohjeistuksen mukaisesti

• Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen ja tietoturvalliseen käyttöön

• Liitetyt tai muut järjestelmät eivät vaaranna sorituskykyä tai tietoturvaa

• Asennuksessa ja ylläpidossa henkilöt joilla tarvittava asiantuntemus

– Kanta-palvelujen osalta kuvattava tietoturvallisen käytön vaatimusten varmistaminen

– Omavalvontasuunnitelman toteutumista seurattava

10

Laki sosiaali- ja terveydenhuollon

asiakastietojen sähköisestä käsittelystä

• 19 a § Olennaiset vaatimukset

• Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.

• Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.

• (+ THL:n ja Kelan määräysvaltuudet, velvollisuus kuulla sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa)

11

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta

Laki sosiaali- ja terveydenhuollon

asiakastietojen sähköisestä käsittelystä

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta: muut omavalvonnassa olennaiset kohdat

• 19 b § Järjestelmien luokat A ja B

• 19 c § Tietojärjestelmän valmistajan velvollisuudet

• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus, yhteentoimivuus, tietoturvallisuus)

• 19 e § Yhteistestaus

• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön (vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)

• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen / valmistaja

• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)

• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto

12

Laki sosiaali- ja terveydenhuollon

asiakastietojen sähköisestä käsittelystä,

uudistumassa

Laki sähköisestä lääkemääräyksestä

viittaa samoihin vaatimuksiin

Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta

• 22 a § (28.3.2014/251) Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto

• Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 3, 19 a–19 g, 20 a–20 h ja 22 §:ssä säädetään.

13

Laki sähköisestä lääkemääräyksestä – viittaa asiakastietolain ko. kohtiin

Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta

• 22 b § Omavalvonta

• Sähköisiä lääkemääräyksiä laativien toimintayksiköiden, apteekkien ja itsenäisten ammatinharjoittajien sekä Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi, seurattava toimintaa ja ilmoitettava poikkeamista siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 h ja 19 i §:ssä säädetään.

14

Laki sähköisestä lääkemääräyksestä

Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia

• etukäteissuunnittelun vaatimus

• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus

• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)

• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.

• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)

• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)

• asiakkaan tarkastusoikeus

• virheellisen tiedon korjaamisoikeus

15

[T. Itälä ja P. Ruotsalainen, Tietoturvallinen

kommunikaatioalusta, Luovutusten ja luovutuslokin

hallinnan suositukset, OSVE 6/2004]

Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista • Voimaan 1.2.2015, voimassa toistaiseksi

• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-tietojärjestelmille

• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen todennetaan

– vaatimus täyttyy täysin

– vaatimus täyttyy osittain ja täyttymättä jäävä osa kompensoidaan; kompensointitapa kuvattava

– vaatimus ei täyty

– mikäli vaatimus ei ole relevantti tai on vain osin relevantti arvioitavan tietojärjestelmäpalvelun osalta, maininta tästä perusteluineen

– todentamistapa auditoinnissa ja kuinka vaatimuksen täyttyminen on todettu

• Hallinnolliset ja soveltuvin osin tekniset todentamistavat

• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille

– Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa

16

Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista

• Voimaan 1.2.2015, voimassa toistaiseksi

• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja vaatimukset

– Soveltamisala

– Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn varmistamisessa

– Määritelmät

– Suhde muihin ohjaaviin määräyksiin ja ohjeisiin

– Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin

– Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

– Ohjaus ja neuvonta

• Liite 1: Omavalvontasuunnitelman mallipohja

17

Sertifiointi ja omavalvonta: toimijat 1/2

• Palvelun antaja: terveydenhuollon toimintayksikkö, sosiaalihuollon palvelujen antaja (järjestävä viranomainen, julkinen tai yksityinen palvelun tuottaja), työterveydenhuollosta vastaava työnantaja, apteekki, itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilö

– vastaa omavalvonnasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan

• Välityspalvelun tuottaja(t):

– Välittäjä: Kanta-välityspalvelun palveluntuottaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilas- tai asiakastietoja esimerkiksi ylläpitotoimien yhteydessä, vastaa omasta omavalvontasuunnitelmastaan, usein esim. varmenteiden hankinnasta jne.

– Välityspalvelun toteuttaja: vastaa teknisen Kanta-välityspalvelun sertifiointivaatimusten täyttämisestä, sen tietoturva-auditoinnista sekä välityspalvelulta vaadittavista ilmoituksista

• Järjestelmän valmistaja: taho, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta, riippumatta siitä toimiiko tämä taho myös tietojärjestelmäpalvelun tuottajana

– vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä

• Tietojärjestelmäpalvelun tuottaja: taho, joka tarjoaa palvelun antajalle tietojärjestelmäpalvelua, jossa käsitellään asiakas- ja potilastietoja, ja joka vastaa tietojärjestelmän valmistajalle asetettuihin vaatimuksiin valmistajana, valmistajan lukuun tai valmistajan puolesta

– vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista

18

Sertifiointi ja omavalvonta: toimijat 2/2

• Tietoturvallisuuden arviointilaitos: viestintäviraston hyväksymä taho, joka suorittaa sertifiointiprosessin osana olevan tietoturvallisuuden auditoinnin, tuottaa vaatimustenmukaisuustodistuksen ja ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista

• Kanta-palvelut: Kelan palvelu, jonka vastuulla on Kanta-palveluiden (Sähköinen resepti-, Potilastiedon arkisto- ja Omakanta –palvelut sekä Lääketietokanta) toteuttaminen, ylläpito ja kehittäminen

– Kanta-yhteistestaus(vastaava): suunnittelee ja koordinoi yhteistestauksen

– Kanta-asiakastuki: tarjoaa tukipalveluja Kanta-palveluiden asiakkaille

• THL/OPER: viranomainen, joka antaa määräykset olennaisista vaatimuksista ja omavalvontasuunnitelmasta

• Valvira: valvontaviranomainen, joka ylläpitää rekisteriä tietojärjestelmistä ja valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta sekä valvoo palvelun antajia

• Viestintävirasto: valvontaviranomainen, joka hyväksyy tietoturvallisuuden auditointilaitokset ja valvoo niitä

19

Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennuksia

• Lain mukaan Kanta-välityspalvelut kuuluvat A-luokkaan (sertifioitava / tietoturva-auditointi + ilmoitettava Valviralle)

• Sertifiointi koskee välityspalvelussa käytettävää teknistä ratkaisua

– Välityspalvelun sertifioinnissa tietoturva-auditointi vaatimustenmukaisuustodistus

– Sama sertifioitu välityspalvelu voi olla käytössä useissa eri Kanta-liityntäpisteissä

• Välittäjätahoilta EI edellytetä ulkoista tietoturva-auditointia

– Välittäjätaho on eri asia kuin Kanta-välityspalvelu

– Välittäjätaholla oltava kuitenkin omavalvontasuunnitelma jonka kautta vaatimusten täyttäminen todennettavissa

– Huolehdittava että Kanta-liityntäpisteessä käytössä sertifioitu välityspalvelu tai järjestelmä

• Mutta samaa teknistä välityspalvelua ei tarvitse auditoida ulkoisesti kaikissa liityntäpisteissä erikseen

– Jos välittäjätaho ei ole sote-palveluntuottaja, huolehdittava että välittäjätaho on myös THL:n välittäjärekisterissä

20

Ohje 3/2015

Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset

• Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien ja itseauditointien toteuttamisesta

• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja omavalvonnan suunnittelussa ja toteuttamisessa

• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia lakikohtien määritelmiin ja toimijoiden vastuisiin

• Erityisesti omavalvonnan osalta painotuksena omavalvonnan toteuttaminen ja seuranta

21

22

Omavalvonta ja tietojärjestelmien olennaiset vaatimukset –

yleiskuva

Hippokrateen vala, ote

23

Hippokrates (n. 460-370 eKr)

”Mikäli parannustyössäni

tai sen ulkopuolella

ihmisten keskuudessa

näen tai kuulen sellaista,

mitä ei pidä levitettämän,

vaikenen ja pidän sitä

salaisuutena.”

Tietoturvallisuuden perusperiaatteet

• Eheys

– tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan

– luvaton muokkaaminen ei onnistu tai se havaitaan

• Luottamuksellisuus

• Saatavuus ja luotettavuus

– tieto on saatavilla, kun sitä tarvitaan

– ohjelmistot, laitteet, turvallisuus- ja viestinvälitysmekanismit toimivat

• Autenttisuus

– tiedon alkuperä on tiedossa

– tiedonvaihdon osapuolet tunnistetaan luotettavasti

• Kiistämättömyys ja velvoittavuus

– sopimuksen velvoitteet täytetään

– osapuoli ei voi kiistää osallistumistaan tapahtumaan (transaction)

24

Miksi omavalvontasuunnitelma?

• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä

• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä

• Huomioi arkaluonteisen tiedon salassapidon merkityksen

• Helpottaa ymmärtämään väärinkäytöksen seuraamukset

• Ohjaa ja tukee tietoturvavaatimusten noudattamista

• Auttaa seuraamaan toimintaa käytännössä

• Auttaa varmistamaan myös muiden palvelun tuottamiseen osallistuvien tahojen tietoturvallisen toiminnnan

• Selkeyttää roolit ja vastuut toteutuksessa

25

Omavalvontasuunnitelma

Keiden on laadittava

• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua tietojärjestelmää käyttävien

– Sosiaali- ja terveydenhuollon palvelun antajien

– Apteekkien

– Itsenäisten ammatinharjoittajien

• Kansaneläkelaitoksen

• Kanta-välityspalveluiden tuottajien

Miksi

• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa

Milloin

• 31.3.2015 mennessä (1. versio)

26

HUOM. Koskee myös

muita kuin Kanta-

palveluihin liittyviä

toimijoita ja järjestelmiä

Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden

käyttöönoton yhteydessä tehdyt itseauditoinnit

Omavalvonnan ja olennaisten vaatimusten suhde

• Tietoturvallisuuden varmistaminen on jatkumo

– Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta

– Käytettävät tietojärjestelmäratkaisut

– Järjestelmien tekninen ja toiminnallinen käyttöympäristö

• Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin

• Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä

• Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset

27

Olennaiset vaatimukset ja niiden todentaminen • Lakisääteisiä (lain 159/2007 ja 61/2007 muutos 250 ja 251/2014)

• Todentaminen = sertifiointiprosessi (järjestelmille ja teknisille Kanta-välityspalveluille)

– Toiminnalliset vaatimukset

• THL:n määräys (2/2016) Sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista

• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys määräyksen mukaisilla menettelyillä

– Yhteentoimivuusvaatimukset

• Todennetaan A-luokan järjestelmissä Kanta-yhteistestauksen kautta

– Tietoturva- ja tietosuojavaatimukset

• THL:n määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista

• Todennetaan A-luokan järjestelmissä tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla

• Hyväksytyn sertifioinnin tuloksena A-luokan järjestelmä saa vaatimustenmukaisuustodistuksen

– => tiedot sertifioiduista järjestelmistä ilmoitettava Valviralle, vaatimusten mukaisten järjestelmien rekisteri tulee nähtäville

28

Olennaiset vaatimukset ja järjestelmien luokittelu

• Järjestelmien luokittelut A- ja B-luokkiin

– A: Kanta-palveluihin liittyvät järjestelmät

• Myös Kanta-välityspalvelut

– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät

– (on myös järjestelmiä, joita ei tarvitse luokitella)

• Luokiteltujen järjestelmien ilmoittaminen Valviralle

– A-luokan järjestelmien

• vaatimustenmukaisuustodistuksen edellytyksenä sertifiointi: hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi

• laki 2014, tarkennettu määräys ja kriteerit 2015

– B-luokan järjestelmien

• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta

– Käytännössä yleiset lainsäädännön vaatimukset ja velvoite ilmoittaa järjestelmät ja käyttötarkoitus Valviralle

– Sekä luokissa A että B kirjallinen selvitys ja ilmoitus Valviralle

29

Olennaisten toiminnallisten vaatimusten määräys ja siihen liittyvä materiaali

• Ohjaa:

– Mahdollistaa kansallisesti yhdenmukaisen toiminnallisten vaatimusten ryhmittelyn ja viestinnän sote-tietojärjestelmien kehittämisessä

– Ohjeistaa ja yhdenmukaistaa lain ja määräysten mukaista sote-tietojärjestelmien käyttötarkoitusten viestintää (ilmoitukset, Valviran rekisteri, sertifioinnin testaus- ja tietoturva-osiot, hankinta- ja kehittämisprojektit)

• Tukee:

– Tukee sote-palveluntuottajia oman tietojärjestelmäkokonaisuutensa ja tietojärjestelmäratkaisujen olennaisten vaatimusten määrittelemisessä ja toiminta-arkkitehtuurin linkittämisessä tietojärjestelmäarkkitehtuuriin

– Tukee tietojärjestelmien valmistajia ja tietojärjestelmäpalvelujen tuottajia lakisääteisten vaatimusten tulkinnassa ja täyttämisessä sekä omien ratkaisujen toiminnallisten ominaisuuksien määrittelemisessä suhteessa määrittelyihin

– Myös suhteessa kumppaneihin ja ”työnjakoon” eri järjestelmien välillä

– Esim. sama ”järjestelmälomake” yhteistestauksessa ja rekisteri-ilmoituksissa

– Selkeyttää valtakunnallisten palvelujen kehittämiseen liittyvien määrittelyjen ja niihin liittyvien kehitys-, testaus- ja sertifiointitoimenpiteiden rakennetta

• Muutoshallinta ja riippuvuuksien hallinta

30

AsTL

Sote-palvelunantaja

Miten olennaisia toiminnallisia vaatimuksia käytetään?

Määräys Toiminnallisten

vaatimusten

luokitus

Määrittely Määrittely

Määrittely -yksityis-

kohtaiset

vaatimukset ja

kuvaukset

Viittaukset

Järjestelmä-

lomake:

järjestelmässä

toteutetut

toiminnot ja

sisällöt

Tietojärjestelmä-

palvelun tuottaja

Viranomaiset: THL,

Kela, Valvira, STM

Alijoukko

toiminnoista

Kansallinen

profiili: tietyn

tyyppisen

järjestelmän tai

toimijan vaaditut

toiminnot

Alijoukko

toiminnoista

Valviran

rekisteri

Ilmoitus A-

tai B-luokan

tietojärjestelmästä

Yhteis-

testaus

Testaukseen

hakeutuminen

(A-luokka)

Kela

Tietoturva-

auditointi

Tietoturva-auditointiin

hakeutuminen

(A-luokka) Arviointilaitos

Vaatimus-

määrittely,

hankinta- tai

kehittämisprojekti

Omavalvonta

31

Määräys ja luokitus sote-tietojärjestelmien olennaisista toiminnallisista vaatimuksista: materiaali

• Määräys:

– Järjestelmiä ja tietojärjestelmäpalveluja tuottavien ja käyttävien tahojen velvoitteet

• Liite 1: Määräyksen perustelut ja soveltaminen

– Yleiskuva, taustaa ja soveltamisohjeistusta

• Liite 2: Olennaisten toiminnallisten vaatimusten luokitus

– Sote-tietojärjestelmien toiminnot (=järjestelmätoiminnot) ja tietosisällöt ”otsikkotasolla”

– Viittaukset tarkempiin määrittelyihin ja yksityiskohtaisiin vaatimuksiin

– Painopisteenä Kanta-palvelujen kautta muodostuvat vaatimukset järjestelmille

• mutta määräyksen piirissä myös muut kuin suoraan Kanta-palveluihin liittyvät

• Liitteet 3: Profiilit

– Vähimmäisvaatimusten profiilit: eri käyttötarkoituksiin käytettävissä järjestelmissä pakolliset toiminnot ja sisällöt

• Liite 4: Järjestelmälomake

– Pohjana, kun järjestelmä ilmoitetaan Valviran sote-tietojärjestelmien rekisteriin tai kun se hakeutuu sertifiointiin (yhteistestaus ja tietoturvallisuuden auditointi)

32

Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet

• Osa-alueet / kriteerit

– Sähköinen allekirjoitus

– Käyttövaltuushallinta

– Tunnistaminen (sis. Sulkulistat, ammattioikeuden rajoitukset)

– Valvonta ja lokitus

– Tietojen käsittely

– Muut pakolliset vaatimukset

– Sovellusturvallisuus

– Käyttöympäristö / luottamuksellisuus ja eheys

33

• Kohteet

– Y: Yhteinen vaatimus kaikille luokkaan A kuuluville tietojärjestelmille

– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat

– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat

– A: Arkistoon liittyvät toiminnallisuudet

– (VÄ: Välityspalvelut)

Olennaisten vaatimusten todentamistavat

• Vaatimusten todentamisen perusvaihtoehdot

– Itseauditointi tai omavalvonta TAI

– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)

• Tietoturvallisuusvaatimusten auditoinnissa käytetyt todentamistavat

– Haastattelu

– Dokumentaatio

– Toiminnallinen testaus

– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit, järjestelmän tuottamat raportit)

• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa

34

Kanta-sertifiointi ja omavalvonta – yleiskuva ja prosessit - tukimateriaali

• Kuvaa sertifioinnin ja omavalvonnan kokonaisuutta

• Sertifioinnin ja omavalvonnan tukimateriaalia

• Yleiskuva

• Toimijat

• Prosessien ylätason kuvaukset

– Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen – yleiskuva

– Välityspalvelun sertifiointi

– Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kanta-yhteistestaus ja tietoturvallisuuden auditointi

– Vaatimustenmukaisuustodistuksen uudistaminen

35

Sertifiointiprosessi: ”uusi järjestelmä”

36

Teknisen Kanta-välityspalvelun sertifiointi

37

Tiet

otur

valli

suu

den

arvi

oint

ilait

os

Väl

itys

palv

elu

n t

uott

aja

Kan

ta-t

uota

nto

pal

velu

Välityspalvelunvaatimustenmukaisuuden

arvioiminen

1.4

VA

LVIR

A

Ilmoitus käyttöön otettavasta

välityspalvelusta

Välityspalvelun omavalvonta

Rekisterin ylläpitäminen

Välityspalvelun tietoturvallisuudentarkastusraportti

Ilmoitus käyttöön otettavasta

välityspalvelusta

Välityspalvelun tietoturvallisuuden

tarkastusraportin laatiminen

2.3

2.8

§ 19 K

Välityspalvelun vaatimustenmukaisuus-

todistus

Välityspalvelunvaatimustenmukaisuus-todistuksen laatiminen

2.4

Käyttöön otettavastavälityspalvelusta

Ilmoittaminen

§ 19 F2.6

2.7

Välityspalvelun tietoturvallisuudentarkastusraportti

Auditiointiprosessinkäynnistäminen

2.1

2.2

Ilmoitus

vaatimustenmu-

kaisuudesta

§ 19 M

Käyttöönoton edellyttämästätekniikasta sopiminen

Käyttöönoton edellyttämästätekniikasta sopiminen

2.5

2.5

Ilmoitus

vaatimustenmu-

kaisuudesta

huom. eri asia kuin Kanta-välittäjäksi hakeutuminen

38

Yht

eist

esta

usv

asta

ava

3.2

Kan

taas

iaka

stuk

iJä

rjes

telm

ä-va

lmis

taja

1.6

Yhteistestauksentarpeen

arvioiminen

4.5

Ilmoituksenvastaanottaminen

Käsittelypyynnönvälittäminen

Va

lvir

a

4.24.1

Tietojärjestelmän vaatimustenmukaisuudenarviointi

Ilmoitus yhteistestaukseen

tarpeettomuudesta

Ilmoitus testaustarpeesta

Tiet

otur

valli

suu

den

arvi

oin

tila

ito

s

4.8

4.7

Ilmoitus yhteistestaukseen

tarpeettomuudesta

4.6

Ilmoitus tietojärjestelmä-

muutoksesta

Tietoturvan uudelleenarviointitarpeen

arvioiminen

Tiedon toimittaminen Valviran

rekisteriin

4.12

Tietojärjestelmän tai välityspalvelun vaatimustenmukaisuuden arviointi4.3

Järjestelmä eikä

välityspalvelu?

Rekisterin ylläpitäminen

Ilmoitus päivitetystä vaatimusten-

mukaisuudesta

4.4

Kelanyhteistestaus-

lausunto

Vaatimustenmukaisuus-todistuksen päivittäminen

Vaatimusten-mukaisuus-

todistus

4.11

4.10

4.9

3.8

2.1

Ilmoitusvaatimustenmu-

kaisuudesta

Ilmoitusvaatimustenmu-

kaisuudesta

Ilmoitus tietoturva-auditoinnin tarpeesta tai

tarpeettomuudesta

Vaatimustenmukaisuustodistuksen

uudistaminen

Huomioitavaa / olennaiset vaatimukset

• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia

• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:

– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle

• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille

• Lisäksi huomioitava yleislainsäädäntö mm. henkilötietolain tietosuojavaatimukset, lääkinnällisten laitteiden säädökset jne.

– Myös nämä taustalla, mutta ei suoraa vastaavuutta asiakastietolain mukaisiin vaatimuksiin

– Esim. potilastietojärjestelmän käyttötarkoitus päätöksenteon tukijärjestelmäksi TAI potilastietojen tallentamiseen ja arkistointiin / Medical Device directive tulkintaohjeet / EU komissio CE-merkki, Laki terveydenhuollon laitteista ja tarvikkeista

• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!

39

Iltapäivän ohjelma

• 13:30 Avaus

• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet

• 14:10 Omavalvonta ja tietojärjestelmien olennaiset vaatimukset – yleiskuva

• 14:35 Tauko

• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen

• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan liittyen

• 15:40 Keskustelu ja kysymykset

• 16:00 Tilaisuuden päätös

40

Kysymyksiä tapahtuman aikana voi

lähettää myös osoitteeseen:

kantapalvelut@thl.fi

41

Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen

Omavalvontasuunnitelman minimivaatimukset ja selvitykset

• Omavalvonnan kautta varmistutaan vähintään:

– Henkilöstön riittävästä koulutuksesta ja kokemuksesta

– Asianmukaisten käyttöohjeiden saatavuudesta

– Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden mukaan

– Menettelytavoista virhe- ja ongelmatilanteissa

– Toimintamallista asennus-, ylläpito- ja päivitystilanteissa

– Käyttöympäristön vaatimustenmukaisuudesta

– Tietojärjestelmien vaatimustenmukaisuudesta

– Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin

– Riittävistä käytön seuranta- ja valvontatoimenpiteistä

42

Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn

osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin

kohdistuvista vaatimuksista

Omavalvontasuunnitelman sisältö Jaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin

kokonaisuuteen kuuluvat dokumentit:

1. Johdanto

2. Suunnitelman kohde:

– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna

3. Yleiset tietoturvakäytännöt:

– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus, toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus

4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:

– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt

5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:

– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt

6. Kanta-palvelujen käytön tietoturvakäytännöt

7. Tietojärjestelmät:

– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B), muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:

– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan

43

Esimerkkinä omavalvontasuunnitelman

mallipohjan rakenne

Luku 2 Suunnitelman kohde

• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee

– ”kenen omavalvontasuunnitelma on kyseessä”

– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia

• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä

• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.

• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä

44 44

Luku 3 Yleiset tietoturvakäytännöt

Sisällytettävä kuvaukset tai viittaukset seuraavista asioista:

• Tietoturvapolitiikka: tiedot sen tarkastamisen ja kehittämisen käytännöistä

• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista, seurannasta ja valvonnasta sekä tietosuojavastaavista

• Koulutus, ohjeistus, kokemus ja niiden seuranta

• Toimintamallien koulutus ja perehdytys

• Tietojärjestelmien käyttökoulutus

• Riittävä kokemus

• Ohjeet ja koulutus potilastietojen käsittelystä

45

Koulutusmalli ja seurantakäytänteet

Koulutus, ohjeistus ja käyttökokemus ja niiden seuranta

• Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen ja käyttökokemuksen seurannan suunnitelmiin

• Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin

• Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta

Toimintamallien koulutus ja perehdytys

• Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista

• Miten koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan)

46

Luku 3

Tietojärjestelmän koulutusmalli ja seurantakäytänteet

Tietojärjestelmien käyttökoulutus

• Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen liittyvistä toimintatavoista ja koulutussuunnitelmista

• Miten nyt koulutusten toteutumista ja oppimista seurataan (esim. todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)

Riittävä kokemus

• Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas- ja / tai potilastietojärjestelmien käytön vaatima kokemus

• Miten on järjestetty käyttäjien ohjaus

Ohjeet ja koulutus potilastiedon käsittelystä

• Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa

47

Luku 3

Luku 4 Käyttöympäristön tietoturvakäytännöt

Kuvataan, mistä on saatavissa tiedot tai kuvaukset:

• Menettelyt virhe- ja ongelmatilanteista

• Järjestelmien käyttöohjeiden hallinnoinnista ja saatavuudesta

• Järjestelmien asennuksesta ja ylläpidosta yleisesti

• Tilojen, työasemien, tallennusvälineiden ja tulosteiden turvallisuudesta

• Muista käyttöympäristön tietoturvakäytännöistä

48

Menettelyt virhe- ja ongelmatilanteissa

• Kuvataan selvittelykäytänteet ja määritellään vastuut

– verkko- tai tietoliikenneongelmien selvittelyssä

– järjestelmien käyttöön liittyvien ongelmien yhteydessä

– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien tai ongelmien hallintamallit ja käytäntö

• Ohjeistetaan A tai B järjestelmien olennaisten vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi

– Organisaation sisällä

– Tietojärjestelmän valmistajalle

– Kelalle huomioiden häiriöviestintäohje ( mikäli A-luokan järjestelmä )

– Valviralle, jos poikkeama aiheuttaa merkittävän riskin potilasturvallisuudelle

49

Luku 4

Järjestelmien käyttöohjeiden hallinnointi ja saatavuus

• Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien

– käyttöohjeiden hallinnointi ja saatavuus

– henkilöstön perehdyttäminen ja sen toteuman todennettavuus

– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu

• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten

– Hankinta ja saanti

– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa

– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti

50

Luku 4

Järjestelmien asennus ja ylläpito yleisesti

Kuvataan yleisellä tasolla:

• Mikäli järjestelmäkohtaiset seikat poikkeavat määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen

• Määritellään järjestelmien asennuksen, ylläpidon ja päivityksen roolit ja vastuut

• Tarkennetaan ylläpitotehtävien vaatima koulutus, ammattitaito ja asiantuntemus

• Kuvataan järjestelmien muutoshallinnan, testauksen ja hyväksymisen menettelytavat

51

Luku 4

Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallinta

Kuvataan ja luetellaan seuraavat turvallisuustekijät:

• Suojattavat fyysiset tilat ja niiden suojauskäytännöt

• Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta

• Työasemien virus- ja haittaohjelmilta suojautuminen

• Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien hallinta, SIM-korttien hallinta, ohjelmalliset suojaukset

• Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille

• Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt

• Ulkoiset tallennuslaitteet ja tallennusvälineet

• Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen vastuut ja niiden sisällyttäminen sopimuksiin

• Etäyhteydet, langattomat verkot ja reitittimet

52

Luku 4

Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt

Kuvaukset ja toteuma (viitataan tai laaditaan)

Käyttäjäryhmät

• Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai potilastietojärjestelmiä.

• Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden käyttöoikeudet ja -aika

Käyttövaltuushallinnan ja käytön seuranta ja välineet

• Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt

• Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt

• Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa

• Kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi

53

Luku 6 Kanta-palvelujen käytön tietoturvakäytännöt Voidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä

Kuvataan Kanta-palvelujen edellyttämien

• Tunnistamis- ja todentamisratkaisujen toteuttaminen

• Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)

• Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin

• Kanta-liityntäpisteen tietoturvakäytännöt ja vastuut (esim. mitä toteuttaa välittäjä, onko käytössä sertifioitu välityspalvelu (=luokan A järjestelmä), jne.)

• Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa

• Kanta-palvelujen pääsynhallinnan toteuttaminen

• Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen

• Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut

• Kansallisten mallien hallinta

• Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet

54

Luku 7 Tietojärjestelmäluettelo tai viite

Kanta-palveluihin liitettävät järjestelmät (luokka A):

• Järjestelmä, versio, toimittaja, yhteystiedot, vaatimuksenmukaisuustodistus

Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)

• Järjestelmä, versio, toimittaja, yhteystiedot

Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

• Järjestelmä, versio, toimittaja, yhteystiedot

A- ja B-luokan järjestelmistä tietoja Valviran rekisterissä 1.1.2017 alkaen

55

Usein järkevää koota tämän kohdan sisältö ensimmäisten

asioiden joukossa

Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat Soveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen

vastaavissa osioissa:

• Esim. A-luokkaan kuuluva: – Järjestelmä, versio, toimittaja, yhteystiedot

– Käyttötarkoitus

– Käyttäjäryhmät

– Käyttöohjeet

– Ohjeiden päivittäminen ja jakelu

– Menettelyt virhe- ja ongelmatilanteissa

– Järjestelmäkohtaiset tukipalvelut

– Asennus- ja ylläpitovastuut ja -vaatimukset

– Menettelytavat ja vastuut virhe- ja poikkeustilanteissa

– Käyttövaltuushallinta järjestelmässä

– Tunnistautuminen järjestelmässä

– Lokit

– Järjestelmän lukittuminen

– Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen

– Järjestelmän tiedot Valviran rekisterissä

56

Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä

on jo tehty

• Omavalvontasuunnitelmassa

– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)

– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.

– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat

57

HYÖDYNNÄ:

Tietoturvapolitiikka

Kokonaisarkkitehtuurikuvaukset

Laatukäsikirja

Omat tietoturvallisuusohjeet

Tietojärjestelmäpalvelujen tuottajien ohjeet

Jne.

Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä

Omavalvonta-

suunnitelman

kokoaminen

Projektin

hallinnointi

Viestintä

Organisaatioiden

toimintamallit

Henkilöstön

koulutus

ja muu

tukimateriaali

Jatkuvuuden

varmistaminen

Varmenteiden

hankinta ja

käyttö

Hallinnolliset

päätökset

Rekisteritiedot

Koodisto-

palveluun

Esimerkki: potilastiedon arkiston

käyttöönotto Käyttöönottoa edeltävät tehtäväkokonaisuudet

Teknisen

ympäristön

toteutus

Käyttöönotto ja

käytön

aloittaminen

Kanta –palvelun

liittymissopimus

ja käyttöönotto-

koe

Arkiston hallinta

58

Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi

• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla

• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen

• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa

– Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim.

• Säännöllisen omavalvonnan materiaalit 5v

• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v

• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt

• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua

59

HUOM

• Omavalvontasuunnitelma on sovellettava OMAAN TOIMINTAAN

• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen piirteitä

• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman / määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa

– Esim. pieni liite perusteluineen

• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta

– Nämä oltava myös tarvittaessa todennettavissa

60

Yhteenveto

• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta

– Yhtenä pohjana omavalvontasuunnitelman mallipohjat

– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen myös sopimusten kautta hallittaviin seikkoihin

• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!

61

62

Useimmin kysytyt kysymykset omavalvontasuunnitelmaan

liittyen

Kysymyksiä tapahtuman aikana voi

lähettää myös osoitteeseen:

kantapalvelut@thl.fi

Omavalvontasuunnitelman mallipohjat

• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava

– Yleinen pohja suunnitelmalle, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa on vastattava

• Sovellettava omaa tilannetta vastaavalla tavalla

– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa

– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta

• Osa ratkaistavista asioista voi perustua esim. sopimuksiin IT-palveluja tuottavien tai tietojärjestelmäympäristöä hallinnoivien tahojen kanssa

– Myös nämä seikat mainittava ja oltava todennettavissa

• Yleisen pohjan lisäksi saatavilla mm.

– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston käyttöönoton käsikirja yksityisille) http://www.kanta.fi/fi/web/ammattilaisille/vanhat-materiaalit (mallilomakkeet)

– Mallipohja apteekeille (Suomen Apteekkariliitto)

– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja kuin minimivaatimukset

63

THL:n määräyksen 2/2015 liite 1

(THL:n määräyksen 2/2015 liite 1)

(IAH omavalvontasuunnitelman mallipohja / yksityisten käyttöönoton käsikirja)

Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan?

• Mitkä järjestelmät on sisällytettävä omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kanta-palveluihin? Millä perusteilla poimitaan mukaan otettavat?

– Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista sähköisistä tietojärjestelmistä

– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin

– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu kuvausten laatimisesta

– Omavalvontasuunnitelmaan saa ja kannattaa ottaa myös mahdolliset muut järjestelmät, jotka on syytä saada yhtenäisten tietosuoja- ja tietoturvakäytäntöjen piiriin

64

Suhde Valviran omavalvontasuunnitelmaan

• Mikä on Asiakastietolain mukaisen tietosuojan ja tietoturvallisuuden omavalvontasuunitelman suhde Valviran omavalvontasuunnitelmaan?

– Valviraan tehtävä sosiaalipalvelujen omavalvontasuunnitelma laajemmin toiminnan kannalta tehtävä

– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan

– Erillisiä asioita

– Erilaiset tiedon saatavuustarpeet ja sisällöt: suunnitelmia ei yleensä kannata yhdistää

65

Omavalvontasuunnitelman julkisuus

• Tuleeko tietosuojan ja tietoturvallisuuden omavalvontasuunnitelman olla julkisesti nähtävillä esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä?

– Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti nähtävillä

– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta

– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat

• Mutta kaikki omavalvontasuunnitelman asiat eivät yleensä kuulu sote-palveluja tuottavan henkilöstön tai järjestelmän käyttäjien työnkuvaan

66

Tietosuojavastaava

• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?

– Tietosuojavastaavan tehtävään ei ole erityisiä soveltuvuuskriteereitä tai koulutusvaatimuksia

– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava

– Tietosuojavastaavan tehtäväkuva –mallipohja

– Koulutusta tietoturvasta ja tietosuojasta:

• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla

• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV, FCG)

• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys) tietosuojavastaavien jaosto

– Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson, Koivisto, Ylipartanen)

67

Tietoturvapolitiikka

• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?

– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun tuottaja sisäistää asian, ja täydentää mallipohjan oman toimintansa näkökulmasta

68

Kanta-palveluihin liittyminen ja omavalvontasuunnitelma

• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti Kantaan liittyviä järjestelmiä

• Mitä uusia vaatimuksia Kantaan siirtyminen tuo omavalvontasuunnitelman sisältöön?

– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi

– Kantaan liittyvien järjestelmien erityisiä vaatimuksia mm. – Tunnistamis- ja todentamisratkaisujen toteuttaminen

– Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)

– Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin

– Kanta-palvelujen käytön seuranta ja valvonta (erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa

– Kanta-palvelujen pääsynhallinnan toteuttaminen

– Luokan A järjestelmät, mm. Vaatimuksenmukaisuustodistuksen edellyttäminen

– Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet

69

Vastuut järjestelmätoimittajan ja sote-palveluja tuottavan yrityksen välillä omavalvonnassa

Mistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan / ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?

• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla (sote-palvelun tuottaja)

• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin ja sopimusten mukaisesti

• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)

• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvattava miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa

• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja yleensä vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.

70

Mikä on riittävä henkilöstön kokemus?

• Miten määritellään henkilöstön riittävä kokemus?

– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä

– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön

71

Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti

• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan, että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen."

– Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.

– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.

– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.

72

Lokivalvonnan toteuttaminen

• Onko yksityiskohtaisempia ohjeita lokivalvonnan toteuttamisesta eri potilastietojärjestelmissä?

– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa Vaatimukset potilastietojärjestelmien käyttölokeille

– Lokivalvontaa tehdään

• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)

• Potilaan pyytäessä lokitietoja

• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta

– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä

– Lokivalvonnan / käyttölokien valtakunnallisten määrittelyjen tarkentaminen suunnitteilla / ota yhteyttä esim. OPER-yksikköön

73

Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?

• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia

– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä

• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta

– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”

• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)

74

75

Yhteenveto, keskustelu ja kysymykset

Kysymyksiä voi lähettää myös

osoitteeseen: kantapalvelut@thl.fi

Keskiössä roolit ja vastuut

• Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä

• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi

• Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun

Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu

Tietoliikenne ja viestinvälitys ulkoistettu

Ostopalvelun yhteydessä

Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja ammatinharjoittajien vastuiden määrittelyiden yhteydessä

• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen toiminnan valvonta ja menettelytavat:

– toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja takaisinkytkentä jatkuvaan kehittämiseen

76

Ajankohtaista ja tulevaa

• Asiakastietolaki on uudistumassa: lausuntopyyntö tulossa STM:stä lähiaikoina – Omavalvonnan perusmalleihin ei kuitenkaan todennäköisesti tulossa merkittäviä muutoksia

• Tietojärjestelmien olennaisten toiminnallisten vaatimusten määräys (THL määräys 2/2016) tarkentaa eri tarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia

• Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan

• 1.1.2017 olennaisia ja ajankohtaisia asioita

– Sähköisen lääkemääräyksen pakollisuus

– Valviran rekisteri sote-tietojärjestelmistä tulossa verkkoon saataville

• Standardeihin (esim. ISO 27000-sarja) perustuva tietoturvallisuuden toteuttaminen antaa hyvät lähtökohdat lakisääteisten vaatimusten ja suunnitelman vähimmäisvaatimusten lisäksi mm. riskien hallintaan ja jatkuvaan tietoturvallisuuden hallintaan

• Jatkossa: päivityksiä määräyksiin ja olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten ja lakiuudistusten pohjalta

77

Yhteenveto

• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien hallinnassa ja oikeusturvan toteuttamisessa!

• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että

– järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat

– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa

• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin

• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan omien toimintatapojen mukaiseksi

– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa

– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja omavalvontasuunnitelmasta

• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää

78

79

Kiitos!

Kysymyksiä ja

lisätietopyyntöjä voi

lähettää kantapalvelut@thl.fi

Lisätietoja sertifioinnista ja omavalvonnasta:

Tiedon ja vaatimusten yhdenmukaistaminen

https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-

terveysalalla/tiedon-ja-vaatimusten-

yhdenmukaistaminen

Kanta / Sertifiointi, olennaiset vaatimukset ja

omavalvonta:

http://www.kanta.fi/web/ammattilaisille/sertifiointi

Yksityiset ja itsenäiset ammatinharjoittajat tarkempia

esimerkkejä mm.:

http://www.kanta.fi/fi/web/ammattilaisille/vanhat-

materiaalit