Tietoturvasuunnitelmassa ja sen liitedokumenteissa on kuvattava käyttövaltuuksien, tunnistautumisen ja pääsynhallinnan (ks. luku 6.8) käytännöt rajauksineen. Tietojärjestelmien käyttäjät ja erilaiset käyttäjäryhmät, käyttäjäroolit ja rooleihin liittyvät käyttövaltuudet on kuvattava. Keskeistä on kuvata myös se, missä määrin käyttövaltuuksia hallinnoidaan asiakas- tai potilastietojärjestelmien tai ulkoisen tietojärjestelmän, kuten identiteetin ja pääsynhallinta (IAM) -järjestelmän avulla.
Tietoturvasuunnitelmassa kuvataan se, kuinka hyväksytään ja dokumentoidaan muutokset esimerkiksi työroolien muutoksista johtuvissa asiakastietojen käyttövaltuuksissa. Tietoturvasuunnitelmassa on lisäksi kuvattava ne henkilöt tai roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä. Käyttövaltuuksia tulee läpikäydä ja seurata säännöllisesti niiden ajantasaisuuden varmistamiseksi.
Käyttövaltuuksien hallinnointiin liittyvät toimintatavat on kuvattava käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytäntöjen osalta. Esimerkiksi, kuinka uudelle työntekijälle tai sijaiselle tietoturvallisesti järjestetään käyttöoikeudet erilaisissa käytännön tilanteissa ja ajankohdissa. Vastaavasti on kuvattava, kuinka, milloin ja millä tavalla poistuneiden työntekijöiden käyttöoikeudet poistetaan. Myös pääsyoikeuksien erityisen nopea poistaminen tarvittaessa yksittäisten tai useiden tunnusten osalta tulee kuvata. Asiakastietoon liittyvistä käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa ja lokia.
Kanta-palvelujen osalta omavalvonnan kohteen tulee hallinnoida huolellisesti tietojärjestelmän käyttäjien oikeuksia käyttää sähköiseen lääkemääräykseen, valtakunnalliseen potilastiedon arkistoon, sosiaalihuollon asiakastiedon arkistoon ja muuhun potilastietojen käsittelyyn liittyviä toimintoja.
Tunnisteellisten asiakastietojen katselu on rajoitettava vain niihin henkilöihin, jotka työtehtävissään tietoja tarvitsevat. STM:n valmisteilla oleva sosiaali- ja terveydenhuollon asiakastietojen käyttöoikeuksia koskeva asetus3 ohjaa käyttövaltuuksien myöntämistä.
Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn, kuten luovutushaku ja asiakirjan hakeminen omaan käyttöön. Poikkeuksen tähän muodostaa virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa oman organisaationsa tai sen organisaation, jonka lukuun tietojärjestelmäasiantuntijat selvityksen aikana toimivat, tietoja Kanta-palveluista. Kanta-oikeudet rajataan edellä mainituissa virhetilanneselvityksissä ainoastaan oman organisaation tietojen hakuun Kanta-arkistointipalveluissa. Kaikki selvityksissä tehdyt haut tulee näkyä lokeista.
Asiakastietolain 17 §:n mukaan asiakastietojen käsittelyn osapuolet on tunnistettava luotettavasti ja asiakastietoja käsittelevät henkilöt on todennettava. Tietoturvasuunnitelmaan on kuvattava erilaisten tunnistautumisvälineiden, kuten toimikorttien hallinta.
Tietoturvasuunnitelmassa on kuvattava tietojärjestelmiä käyttävien henkilöiden tunnistautumistavat asiakastietoja käsittelevien tietojärjestelmien käyttöön. Asiakaskohtaisten tietojen tarkastelussa käyttäjä on tunnistettava ja todennettava yksiselitteisesti riippumatta siitä, minkä tyyppinen tietojärjestelmä on kyseessä (esimerkiksi asiakas- tai potilastietojärjestelmä, apteekkijärjestelmä, Kanta-palveluista tai paikallisista tietovarannoista tai tietoaltaista tietoja asiakaskohtaisesti yhdistävä katselin).
Tietojärjestelmien käytön tarkastelun lisäksi tulee kuvata ainakin työasemiin ja mobiililaitteisin liittyvät kirjautumis- ja tunnistautumiskäytännöt sekä mahdolliset kulunvalvontaan liittyvät pääsynhallinnan ratkaisut. Toimitilojen fyysisen turvallisuuden ratkaisut voidaan yhdistää tietojärjestelmiin liittyviin turvakäytäntöihin.
Tietoturvasuunnitelmassa tulisi kuvata, missä järjestelmissä, tiedoissa, laitteissa tai tilanteissa edellytetään monivaiheista tunnistautumista (Multi-Factor Authentication, MFA) ja erityisesti toimikorttitunnistautumista sote- varmenteita käyttäen asiakastiedon luottamuksellisuuden ja eheyden varmistamiseksi.
Henkilön vahva sähköinen tunnistaminen on edellytys tietosuojan ja tietoturvan toteutumiselle Kanta-palveluissa. Kanta-palveluihin liittyvissä tietojärjestelmissä kirjautuminen valtakunnalliseen potilastiedon ja sosiaalihuollon asiakastiedon arkistoon liittyviin toiminnallisuuksiin, joilla saadaan luovutuksella saatavia tietoja, on sallittu ainoastaan vahvaa sähköistä tunnistautumista (sosiaali- ja terveydenhuollon toimikorttien varmenteet) käyttäen.
Käyttäjän henkilöllisyys on aina varmistettava ennen käyttöoikeuksien tai tunnistusvälineiden myöntämistä. Varmistamisen ja todentamisen tapa kuvataan tietoturvasuunnitelmassa.
Käyttäjätunnuksella ja salasanalla tunnistautumista voidaan käyttää ainoastaan paikallisesti omavalvonnan kohteen asiakas- ja potilastietojärjestelmissä tapahtuvassa asiakastietojen käsittelyssä.
Potilastietoja tai sosiaalihuollon asiakastietoja käsittelevissä tietojärjestelmissä, riippumatta siitä liittyykö järjestelmä Kanta-palveluihin, ei saa olla käytössä yhteiskäyttöisiä tunnuksia asiakastietojen muokkaamiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muita vastaavia käyttöoikeuksia.
Yhteiskäyttöisten tunnusten käyttö on sallittu tilanteissa, joissa tarkastellaan resurssien käyttöä tai muita prosesseihin liittyviä ei-tunnisteellisia, yksittäisiin henkilöihin liittymättömiä tietoja tai yhteenvetotietoja useista asiakkaista.
Usean käyttäjän näkymiä tunnisteellisiin asiakastietoihin on mahdollista käyttää osaston potilaspaikkojen koontinäyttöissä tai vastaavissa käytännön työn kannalta välttämättömissä potilashallinnollisissa, ei-hoidollisissa ratkaisuissa. Joka tapauksessa tällaiset tiedot ja näkymät tulee aina suojata sivullisilta esimerkiksi tila- ja kulunhallintaratkaisuilla ja tietojen tarkastelijat on pystyttävä tarvittaessa jäljittämään esimerkiksi työvuorojen hallinnan kautta.
Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.
Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.
Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.
Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.
Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.
Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.
Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.
Määrittelyn tueksi pitää harkita seuraavia asioita:
Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.
Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.
Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida.
Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn (kuten luovutushaku tai asiakirjan hakeminen omaan käyttöön) paitsi virhetilanteiden selvityksessä, jolloin on oikeus tarkistaa oman organsiaationsa tietoja potilastiedon arkistosta.
Kanta-oikeudet on rajattava edellä mainituissa selvitystilanteissa ainoastaan omien tietojen hakuun. Kaikkien selvityksessä tehtyjen hakujen tulee näkyä lokeista.
Kaikilla pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei lähtökohtaisesti ole oikeutta asiakastietoihin riippumatta siitä, missä asiakastieto sijaitsee.
Poikkeuksen tähän muodostaa paikallisiin rekistereihin liittyvät virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa ja korjata oman organisaationsa tietoja tai sen organisaation tietoja, jonka lukuun he selvityksen aikana toimivat.
Organisaation on kuvattava käytännöt virhetilanteiden selvityksiin.
Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:
Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.
Organisaatio on määritellyt roolit, joissa toimivat henkilöt voivat hyväksyä käyttöoikeuspyyntöjä. Organisaatio on lisäksi määritellyt, kuinka dokumentoidaan muut henkilöt, jotka voivat hyväksyä käyttöoikeuspyyntöjä.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
