Palvelunantajan tulee sisällyttää tietoturvasuunnitelmaansa tai sen liitteisiin perustiedot ja tarkemmat kuvaukset kaikista sen käytössä olevista, asiakastietolain mukaisista tietojärjestelmistä. Näitä ovat tietojärjestelmät, jotka on tarkoitettu käytettäväksi sosiaalihuollon asiakastietojen ja potilastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai joilla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja.
Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan on toteutettava olennaiset vaatimukset tietojärjestelmiin, joita käytetään palvelunantajan toiminnassa (vrt. THL:n määräys 5/2021). Palvelunantajan on osaltaan huolehdittava näiden vaatimusten täyttymisestä tietojärjestelmiin liittyvissä järjestelyissä, kuten esimerkiksi hankinnoissa ja sopimuksissa. Tietoturvallisuuden omavalvonnan kohde vastaa osaltaan olennaisten vaatimusten täyttymisestä omassa toiminnassaan. Olennaisten vaatimusten täyttymisen varmistamiseen liittyvät menettelyt kuvataan tietoturvasuunnitelmaan.
Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti. Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.
Valvira ylläpitää julkista rekisteriä sosiaalihuollon asiakastietojen ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä. Valviran tietojärjestelmärekisteri perustuu tietojärjestelmäpalvelujen tuottajien ilmoituksiin ja luokan A järjestelmien sertifioinnin tuloksiin. Tietojärjestelmiin liittyvissä tietoturvasuunnitelman sisällöissä tulisi nojautua Valviran tietojärjestelmärekisterin hyödyntämiseen. Valviran tietojärjestelmärekisteri sisältää tietoja siitä, mitä olennaisia vaatimuksia eri tietojärjestelmiin on toteutettu ja kuinka luokan A järjestelmissä on todennettu olennaisten vaatimusten täyttyminen.
Tietoturvallisuuden omavalvonnan kohteen on kuvattava tietoturvasuunnitelmaan tai siinä viitatuissa dokumenteissa, mistä löytyy tieto seuraavan tyyppisistä tietojärjestelmistä ja niiden versioista, joita tietoturvallisuuden omavalvonnan kohteen toiminnassa käytetään (vrt. THL:n määräys 4/2021):
- sertifioidut – tietoturva-auditoidut ja yhteistestatut Kanta-palveluihin liitettävät luokkaan A2 tai A3 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sertifioidut – tietoturva-auditoidut luokkaan A1 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut luokkaan B kuuluvat tietojärjestelmät
- muut tietojärjestelmät, joilla on vaikutusta ja jotka on otettava huomioon tietoturvasuunnitelman mukaisissa asennuksissa, ylläpidossa ja päivityksissä arkaluonteisten asiakastietojen suojaamisen kannalta.
Lisäksi tietojärjestelmistä on kuvattava niiden versiotiedot tai muut tietojärjestelmän statusta kuvaavat tiedot.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.
Määräyksen 5/2021 mukaisesti palvelunantajan on huomioitava omassa toiminnassaan ja tietojärjestelmien käyttöönotossa, tuotantokäytössä sekä tietoturvasuunnitelman mukaisessa toiminnassa ne olennaisiin vaatimuksiin kohdistuvat huomioitavat seikat ja sertifioinnissa esiin nousseet havainnot ja edellytykset, jotka vaikuttavat olennaisten vaatimusten toteutumiseen palvelunantajan käyttämissä tietojärjestelmissä. Erityisesti on huomioitava Valviran tietojärjestelmärekisterin kautta julkaistavat tarkennukset järjestelmien vaatimustenmukaisuuden toteutumiseen.
Tietoturvasuunnitelman ei tarvitse kattaa omavalvonnan kohteessa käytettäviä sovellusohjelmistoja tai tietojärjestelmiä, joiden käyttötarkoituksena ei ole asiakas- tai potilastietojen käsittely, mutta myös niitä on mahdollista sisällyttää suunnitelmaan.
Organisation must maintain a listing of used data systems and their owners. Owner is responsible for completing the related documentation and possible other security actions directly related to the data system.
Data system documentation must include at least:
Whenever new data systems are acquired, a pre-defined procurement process and rules are followed. The rules ensure that the supplier is able to guarantee an adequate level of security, taking into account the priority of the system.
The organization must maintain a list of partners who have access to confidential information. System vendors and processors of personal data are listed separately from other stakeholders because they play an active role in the processing of data.
Omavalvonnan kohteen on kuvattava selkeästi, mitä tietojärjestelmiä organisaation toiminnassa käytetään, mikä versio on nyt käytössä ja mitä tyyppiä seuraavista järjestelmät edustavat:
Tietoturvallisuuden omavalvonnan kohteen on huomioitava ja seurattava Valviran tietojärjestelmärekisterissä mahdollisesti julkaistavia tarkennuksia tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuuden toteuttamiseksi.
Samalla tulisi tunnistaa, minkä profiilien mukaisia käyttötarkoituksia omassa toiminnassa käytettävissä tietojärjestelmissä tulisi olla toteutettuna.
Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.
Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.
Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.
Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.
A designated responsible person actively monitors the supplier's activities and services to ensure compliance with the security terms of the contracts and the proper management of security incidents.
Monitoring includes the following:
Minimum security requirements have been set for partner companies handling our confidential information and these have been included in supplier agreements. Requirements vary depending on how critical information the partner handles.
It makes sense for requirements to consist of rules and practices that are followed in your own organization. You can divide the requirement levels into low, medium and high risk suppliers.
In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.
.png)
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
