Sosiaali- ja terveydenhuollon toimijoiden tulee olla tietoisia kaikista käytössään olevista alusta- ja verkkopalveluista. Verkon kautta käytettävien palvelujen osalta on oltava selvää, mistä palveluista vastaa palvelunantaja itse, mistä palveluista vastaa tietojärjestelmäpalvelun tuottaja ja mistä kolmas osapuoli.
Sosiaali- ja terveydenhuollon toimijoiden tulee varmistaa tietosuojasäädösten, kuten EU:n yleisen tietosuoja- asetuksen mukaan toimiminen. Henkilötietojen siirto ja säilytys EU/ETA-alueella on pääsääntöisesti sallittua vastaavilla suojatoimenpiteillä kuin Suomessa.
Tietoturvasuunnitelmassa tulee kuvata sekä palvelimien että niiden edellyttämien käyttöympäristöjen tietoturvallisuustoimenpiteet, joita ovat esimerkiksi tietoverkon suojaaminen sekä tietojen kahdennus-, ylläpito- ja huoltotoimenpiteet.
Tietoturvasuunnitelmassa on kuvattava, kuinka huolehditaan tietoliikenneasioiden käytännön järjestelyistä, palveluiden saatavuudesta, verkkojen tietoturvallisuuskäytänteiden järjestämisestä, verkkolaitteiden ja niiden komponenttien, laiteohjelmistojen sekä langattomien verkkojen ja reitittimien päivityksistä ja tietoturvasta, etäyhteyksiin ja etätyöskentelyyn liittyvistä ohjeistuksista sekä etähallintaratkaisuista.
Tietoliikenteen ja viestinvälityksen tietosuojaa ja tietoturvaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa palvelunantajan ja tietoliikenne- tai viestinvälitysoperaattorin välistä sopimusta.
Tietojärjestelmät ja niiden käyttöympäristöt tulee pitää kunnossa ja sosiaali- ja terveydenhuollon toimijoiden tulee varautua toimimaan poikkeustilanteissa ilman tietojärjestelmiä.
Alusta- ja verkkopalvelujen, kuten esimerkiksi pilvipohjaisten ratkaisujen, etähallintapalvelujen, palvelinvuokrauksen, palvelinhallinnan, varmistuspalveluiden ja konesalipalvelujen osalta on kuvattava, mitä ratkaisuja on käytössä, sekä kuinka niihin liittyvissä sopimuksissa ja käytännöissä on varmistettu seuraavat seikat:
- Tietojen siirron riskitaso on arvioitava (EU:n yleisen tietosuoja-asetuksen mukainen vaikutustenarviointi). Jos tietoja siirretään kolmansiin maihin, on noudatettava lainsäädännössä säädettyjä, hyväksyttyjä siirtoperusteita ja toteutettava tarvittavat organisatoriset, sopimuspohjaiset ja tekniset suojatoimet tapaus- ja maakohtaisesti.
- Arkaluonteisten ja salassa pidettävien sosiaalihuollon asiakastietojen tai potilastietojen laaja tietojoukko on suojattava siten, ettei sivullisilla ole pääsyä salaamattomiin asiakastietoihin. Mikäli tietoja välitetään tai siirretään kolmansien osapuolien palveluihin, asiakastietojen laajamittaisessa säilytyksessä salausavaimet pitää olla palvelunantajan ja/tai tietojärjestelmäpalvelun tuottajan hallussa. Alustapalvelun toimittajalla ja/tai siihen liittyvässä käyttöympäristössä ei saa olla mahdollista päästä käsiksi salausavaimiin.
- Erityisesti kriittisissä palveluissa kuten julkisen terveydenhuollon päivystysvastuulla olevat palvelut varaudutaan tietojen käsittelyyn normaalista poikkeavissa olosuhteissa. Varautumisessa on huomioitava keskeisimmät riskiuhat mukaan lukien tiedon hallinnointi tilanteissa, joissa yhteiskunnan verkkoyhteydet on rajoitettu Suomen maantieteellisten rajojen sisäpuolelle.
- Käytössä olevia alusta- ja verkkopalveluja seurataan säännöllisesti muun muassa toimivuuden, tietoturvallisuusriskien, häiriötilanteiden ja käyttöehtomuutosten näkökulmasta. Tarvittaessa sopimusten ja käytäntöjen päivittäminen muuttunutta tilannetta vastaavaksi.
- Palvelunantajalla ja tälle palveluja tuottavilla toimijoilla on oltava tietojärjestelmien, osajärjestelmien, laitekomponenttien sekä verkkojen ja huolto-, päivitys- ja uusimissuunnitelma ja selkeä toimintamalli huoltotoimenpiteisiin liittyvään päätöksentekoon. Lisäksi tulee huolehtia näihin liittyvien päivitystarpeiden seurannasta.
- Tietojärjestelmät täyttävät niihin kohdistuvat olennaiset tietoturvavaatimukset myös siltä osin kuin niiden toteutus tai käyttö nojautuu kolmansien osapuolten alusta- tai kapasiteettipalveluihin.
Nämä edellä mainitut seikat tulee erityisesti huomioida ja varmistaa palvelunantajan ja tietojärjestelmäpalvelun tuottajan välisissä sopimuksissa.
Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.
Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.
Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.
Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.
Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.
Tietosuoja-asetus määrittelee edellytykset henkilötietojen lainmukaiselle siirtämiselle EU:n tai ETA:n ulkopuolelle.
Organisaatio dokumentoi kaikki tietosiirrot ja niissä sovellettavat siirtoperusteet. Tietosiirtoja voi syntyä esimerkiksi tietojärjestelmän, tietoja käsittelevän kumppanin tai tietoluovutuksen vastaanottajan sijainnin perusteella.
Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.
Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:
Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:
Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.
Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.
Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.
Seurantaan sisältyvät seuraavat asiat:
Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.
Näitä erityisiä toimenpiteitä voivat olla mm.:
Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.
Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.
Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:
Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.
Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.
Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.
Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
