Kunnollista tietosuojaa on mahdotonta toteuttaa ilman teknisiä ja organisatorisia tietoturvatoimia. Oikein ymmärrettynä kyberturvallisuus laajentaa tarkastelun koko toiminnan turvallisuudesta varmistumiseen. Kohtaavatko teoriat ja käytännöt sote-alalle palveluita tuotettaessa?
Sote-alan tiedonhallintaan ja erityisesti asiakas- ja potilastietojen tietoturvallisuudesta huolehtimisen yhteyteen liitetään mm. sote-kokonaisarkkitehtuuria, kanta-arkkitehtuuria sekä näiden kautta viittauksia lukemattomiin eri standardeihin ja hyviin käytäntöihin. Perusteltua on pohtia, että pystyvätkö kaikki sote-toimijoille palveluita tarjoavat tahot täyttämään kaikki myös keskenään hieman eri tavalla asioita painottavat hallinnolliset menettelyt täydellisesti. Etenkin tietoturvallisuuteen ja myös tietosuojaan liittyy riskien tunnistaminen ja riskiperusteisuus – siis riskienhallinnan näkökulma. Riskiperusteisuudessa korostetaan riskienhallinnan jatkuvuutta ja arviointien toistuvuutta – ei siis pelkästään yhteen tiettyyn hetkeen ja tietyissä olosuhteissa vallinneeseen tilanteeseen pysähtyvää käsitystä.
Onko riskienhallinta tarpeeksi aktiivista ja oikeassa suhteessa vaatimuksiin nähden?
Sote-toimijan tulisi säännöllisesti pysähtyä tarkistamaan kaikkien alihankintatahojensa osalta, milloin niiden kyberturvallisuuden taso ja vaatimustenmukaisuus on viimeksi arvioitu. Liian helposti hyvät käytännöt jäävät vain mantrana toisteltaviksi korulauseiksi, joiden toteutuminen tai niiden noudattaminen jää käytännössä osoittamatta. EU:n tietosuoja-asetuksen (2016/679) viidennen artiklan ensimmäisessä kohdassa luetellaan pakollisesti noudatettaviksi säädetyt tietosuojaperiaatteet. Saman artiklan toisessa kohdassa säädetään osoitusvelvollisuudesta, eli rekisterinpitäjän on kyettävä osoittamaan noudattaneensa ensimmäisessä kohdassa mainittuja tietosuojaperiaatteita.
Palveluita tarjoavan yrityksen kyberturvallisuuden arvioinnissa sote-toimijan kannattaa kiinnittää huomiota erityisesti seuraaviin seikkoihin:
- Kuinka yritys on toteuttanut tietoturvallisuuden hallinnan?
- Miten yritys huolehtii sisäänrakennetusta ja oletusarvoisesta tietosuojasta?
- Kattaako yrityksen riskienhallinta koko organisaation toiminnan?
- Onko olemassa selkeää menettelyä poikkeamien (mukaan lukien henkilötietojen tietoturvaloukkaukset) havaitsemiseen ja käsittelyyn?
Kaikkiin em. näkökulmiin liittyy ohjeita ja kuvauksia, vastuiden määrittelyä sekä prosessin hallintaa, jotka ovat organisaation ylimmän johdon hyväksymiä. Mahdollisilla sertifikaateilla tai standardeilla voidaan helpottaa yleistä vaatimustenmukaisuuden osoittamista.
Tarvitessasi ammattilaisten apua tietosuojan tai kyberturvallisuuden suunnitteluun ja käytäntöön viemiseen, tietosuojan vaikutustenarviointeihin tai vaikkapa tekniseen tietoturvallisuuden testaamiseen, niin pyydä ISO/IEC 27001 sertifioidun Netumin koulutettuja ja sertifioituja asiantuntijoita avuksesi. Pystymme auttamaan vahvan kokemuksemme ansiosta monipuolisesti niin hallinnollisissa kuin teknisissä toimissa joko kertaluonteisesti tai jatkuvana palveluna.
Arto Kangas
Johtava kyberturvallisuuskonsultti
arto.kangas@netum.fi
Arto Kangas, johtava kyberturvallisuuskonsultti. Arto on toiminut Netumilla turvallisuuden, tietoturvallisuuden, tietosuojan ja riskienhallinnan sekä valmius-, jatkuvuus- ja toipumissuunnittelun konsulttina vuodesta 2010 lähtien. Tietoturvallisuuden parissa hän on toiminut vuodesta 1999 alkaen ja tietosuojaan liittyviä tehtäviä on ollut noin puolet aktiivisesta työajasta jo vuodesta 2017 lähtien.