Tietoturvasuunnitelmassa ja sen liitedokumenteissa on kuvattava käyttövaltuuksien, tunnistautumisen ja pääsynhallinnan (ks. luku 6.8) käytännöt rajauksineen. Tietojärjestelmien käyttäjät ja erilaiset käyttäjäryhmät, käyttäjäroolit ja rooleihin liittyvät käyttövaltuudet on kuvattava. Keskeistä on kuvata myös se, missä määrin käyttövaltuuksia hallinnoidaan asiakas- tai potilastietojärjestelmien tai ulkoisen tietojärjestelmän, kuten identiteetin ja pääsynhallinta (IAM) -järjestelmän avulla.
Tietoturvasuunnitelmassa kuvataan se, kuinka hyväksytään ja dokumentoidaan muutokset esimerkiksi työroolien muutoksista johtuvissa asiakastietojen käyttövaltuuksissa. Tietoturvasuunnitelmassa on lisäksi kuvattava ne henkilöt tai roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä. Käyttövaltuuksia tulee läpikäydä ja seurata säännöllisesti niiden ajantasaisuuden varmistamiseksi.
Käyttövaltuuksien hallinnointiin liittyvät toimintatavat on kuvattava käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen, tarkistamisen/varmistamisen ja poistamisen käytäntöjen osalta. Esimerkiksi, kuinka uudelle työntekijälle tai sijaiselle tietoturvallisesti järjestetään käyttöoikeudet erilaisissa käytännön tilanteissa ja ajankohdissa. Vastaavasti on kuvattava, kuinka, milloin ja millä tavalla poistuneiden työntekijöiden käyttöoikeudet poistetaan. Myös pääsyoikeuksien erityisen nopea poistaminen tarvittaessa yksittäisten tai useiden tunnusten osalta tulee kuvata. Asiakastietoon liittyvistä käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa ja lokia.
Kanta-palvelujen osalta omavalvonnan kohteen tulee hallinnoida huolellisesti tietojärjestelmän käyttäjien oikeuksia käyttää sähköiseen lääkemääräykseen, valtakunnalliseen potilastiedon arkistoon, sosiaalihuollon asiakastiedon arkistoon ja muuhun potilastietojen käsittelyyn liittyviä toimintoja.
Tunnisteellisten asiakastietojen katselu on rajoitettava vain niihin henkilöihin, jotka työtehtävissään tietoja tarvitsevat. STM:n valmisteilla oleva sosiaali- ja terveydenhuollon asiakastietojen käyttöoikeuksia koskeva asetus3 ohjaa käyttövaltuuksien myöntämistä.
Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn, kuten luovutushaku ja asiakirjan hakeminen omaan käyttöön. Poikkeuksen tähän muodostaa virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa oman organisaationsa tai sen organisaation, jonka lukuun tietojärjestelmäasiantuntijat selvityksen aikana toimivat, tietoja Kanta-palveluista. Kanta-oikeudet rajataan edellä mainituissa virhetilanneselvityksissä ainoastaan oman organisaation tietojen hakuun Kanta-arkistointipalveluissa. Kaikki selvityksissä tehdyt haut tulee näkyä lokeista.
Asiakastietolain 17 §:n mukaan asiakastietojen käsittelyn osapuolet on tunnistettava luotettavasti ja asiakastietoja käsittelevät henkilöt on todennettava. Tietoturvasuunnitelmaan on kuvattava erilaisten tunnistautumisvälineiden, kuten toimikorttien hallinta.
Tietoturvasuunnitelmassa on kuvattava tietojärjestelmiä käyttävien henkilöiden tunnistautumistavat asiakastietoja käsittelevien tietojärjestelmien käyttöön. Asiakaskohtaisten tietojen tarkastelussa käyttäjä on tunnistettava ja todennettava yksiselitteisesti riippumatta siitä, minkä tyyppinen tietojärjestelmä on kyseessä (esimerkiksi asiakas- tai potilastietojärjestelmä, apteekkijärjestelmä, Kanta-palveluista tai paikallisista tietovarannoista tai tietoaltaista tietoja asiakaskohtaisesti yhdistävä katselin).
Tietojärjestelmien käytön tarkastelun lisäksi tulee kuvata ainakin työasemiin ja mobiililaitteisin liittyvät kirjautumis- ja tunnistautumiskäytännöt sekä mahdolliset kulunvalvontaan liittyvät pääsynhallinnan ratkaisut. Toimitilojen fyysisen turvallisuuden ratkaisut voidaan yhdistää tietojärjestelmiin liittyviin turvakäytäntöihin.
Tietoturvasuunnitelmassa tulisi kuvata, missä järjestelmissä, tiedoissa, laitteissa tai tilanteissa edellytetään monivaiheista tunnistautumista (Multi-Factor Authentication, MFA) ja erityisesti toimikorttitunnistautumista sote- varmenteita käyttäen asiakastiedon luottamuksellisuuden ja eheyden varmistamiseksi.
Henkilön vahva sähköinen tunnistaminen on edellytys tietosuojan ja tietoturvan toteutumiselle Kanta-palveluissa. Kanta-palveluihin liittyvissä tietojärjestelmissä kirjautuminen valtakunnalliseen potilastiedon ja sosiaalihuollon asiakastiedon arkistoon liittyviin toiminnallisuuksiin, joilla saadaan luovutuksella saatavia tietoja, on sallittu ainoastaan vahvaa sähköistä tunnistautumista (sosiaali- ja terveydenhuollon toimikorttien varmenteet) käyttäen.
Käyttäjän henkilöllisyys on aina varmistettava ennen käyttöoikeuksien tai tunnistusvälineiden myöntämistä. Varmistamisen ja todentamisen tapa kuvataan tietoturvasuunnitelmassa.
Käyttäjätunnuksella ja salasanalla tunnistautumista voidaan käyttää ainoastaan paikallisesti omavalvonnan kohteen asiakas- ja potilastietojärjestelmissä tapahtuvassa asiakastietojen käsittelyssä.
Potilastietoja tai sosiaalihuollon asiakastietoja käsittelevissä tietojärjestelmissä, riippumatta siitä liittyykö järjestelmä Kanta-palveluihin, ei saa olla käytössä yhteiskäyttöisiä tunnuksia asiakastietojen muokkaamiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muita vastaavia käyttöoikeuksia.
Yhteiskäyttöisten tunnusten käyttö on sallittu tilanteissa, joissa tarkastellaan resurssien käyttöä tai muita prosesseihin liittyviä ei-tunnisteellisia, yksittäisiin henkilöihin liittymättömiä tietoja tai yhteenvetotietoja useista asiakkaista.
Usean käyttäjän näkymiä tunnisteellisiin asiakastietoihin on mahdollista käyttää osaston potilaspaikkojen koontinäyttöissä tai vastaavissa käytännön työn kannalta välttämättömissä potilashallinnollisissa, ei-hoidollisissa ratkaisuissa. Joka tapauksessa tällaiset tiedot ja näkymät tulee aina suojata sivullisilta esimerkiksi tila- ja kulunhallintaratkaisuilla ja tietojen tarkastelijat on pystyttävä tarvittaessa jäljittämään esimerkiksi työvuorojen hallinnan kautta.
The organization should have defined guidelines for the generally acceptable use of data systems and for the management of the necessary credentials.
In addition, the owners of data systems classified as 'High' or 'Critical' priority can define, document, and implement more specific guidelines for the use of that particular data system. These guidelines can describe e.g. security requirements related to the data contained in the system.
Data system owner determines the access roles to the system in relation to the tasks of users. The compliance of the actual access rights with the planned ones must be monitored and the rights reassessed at regular intervals.
When reviewing access rights, care must also be taken to minimize admin rights and eliminate unnecessary accounts.
The organization has predefined authentication methods that employees should prefer when using data systems.
When using cloud services, the user can often freely decide how he or she authenticates with the service. A single centralized authentication account (such as a Google or Microsoft 365 account) can help close a large number of access rights at once when the main user account that acts as the authentication method is closed.
Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn (kuten luovutushaku tai asiakirjan hakeminen omaan käyttöön) paitsi virhetilanteiden selvityksessä, jolloin on oikeus tarkistaa oman organsiaationsa tietoja potilastiedon arkistosta.
Kanta-oikeudet on rajattava edellä mainituissa selvitystilanteissa ainoastaan omien tietojen hakuun. Kaikkien selvityksessä tehtyjen hakujen tulee näkyä lokeista.
Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida.
The organization implements role-based access control with predefined access roles for the various protected assets that entitle access to the associated asset. Strictness of the access roles should reflect the security risks associated with the asset.
The following should be considered to support access management:
Shared accounts should only be allowed if they are necessary for business or operational reasons and should be separately approved and documented.
If shared accounts are used for admin purposes, passwords must be changed as soon as possible after any user with admin rights leaves their job.
Kaikilla pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei lähtökohtaisesti ole oikeutta asiakastietoihin riippumatta siitä, missä asiakastieto sijaitsee.
Poikkeuksen tähän muodostaa paikallisiin rekistereihin liittyvät virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa ja korjata oman organisaationsa tietoja tai sen organisaation tietoja, jonka lukuun he selvityksen aikana toimivat.
Organisaation on kuvattava käytännöt virhetilanteiden selvityksiin.
Organisaatio on määritellyt roolit, joissa toimivat henkilöt voivat hyväksyä käyttöoikeuspyyntöjä. Organisaatio on lisäksi määritellyt, kuinka dokumentoidaan muut henkilöt, jotka voivat hyväksyä käyttöoikeuspyyntöjä.
To ensure that authorized users have access to data systems and to prevent unauthorized access, the organization has defined formal processes for:
The implementation of these things must always take place through a defined, formal process.
In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.
.png)
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
