Turvallisuusympäristömme pysyvä muuttuminen on luonut lisää uhkia ja lisännyt samaa tahtia myös lainsäädännön vaatimuksia hyvinvointialueiden tietosuojalle ja -turvalle. Siksi on ensisijaisen tärkeää saattaa yhden kansallisen hyvinvointimme peruspilarin, terveydenhuollon, kyberturvallisuus tavoitetasolle.
Hyvinvointialueiden perustaminen on ollut merkittävä askel kohti tehokkaampaa ja keskitetympää sosiaali- ja terveydenhuollon palveluiden järjestämistä. Muutos ei ole kuitenkaan tapahtunut ilman haasteita, erityisesti tietoturvan ja tietosuojan näkökulmasta. Uusien hyvinvointialueiden on kyettävä täyttämään useiden lakien ja asetusten asettamat vaatimukset, jotka koskevat henkilötietojen käsittelyä ja tietojärjestelmien turvallisuutta.
Miten hyvinvointialueet voivat saavuttaa lainmukaisuuden tietoturvan ja tietosuojan osalta?
Terveydenhuollon tietojärjestelmien tulee täyttää muun muassa EU:n yleisen tietosuoja-asetuksen (GDPR), Sosiaali- ja terveysministeriön asetusten, Terveyden ja hyvinvoinnin laitoksen määräysten, Kyberturvallisuuskeskuksen ohjeistusten sekä Euroopan Unionin NIS2-direktiivin, eli Suomessakin pian voimaan astuvan kyberturvallisuuslain, vaatimukset. Näillä toimenpiteillä hyvinvointialueiden on mahdollista päästä alkuun vaatimusten täyttämiseksi.
Millä toimenpiteillä alkuun?
- Hyvinvointialueiden tulee rekisteröidä käyttämänsä ja käyttöön otettavat tietojärjestelmät THL:n rekisteriin ja
- arvioida niiden tietosuojan ja tietoturvan riittävä taso.
- Tietosuojan vaikutustenarviointi (DPIA) on tehtävä ja dokumentoitava aina, kun uudet terveydenhuollon järjestelmät tai lääkinnälliset laitteet otetaan käyttöön ja kun ne käsittelevät salassa pidettäviä potilas- ja henkilötietoja.
Hyvinvointialueilla tämä työ on monelta osin vielä kesken, ja säästöpaineiden keskellä tietosuojan ja -turvan saattaminen lain ja vaatimusten mukaiselle tasolle on merkittävä haaste, mutta se on työ, joka on kuitenkin tehtävä.
Tietoturvan haasteet haltuun – arvioinnista dokumentaatioon
Kyberturvallisuusyksikön asiantuntijamme ovat tukeneet hyvinvointialueita saavuttamaan tietoturvan ja tietosuojan hyväksytyn tason askel kerrallaan. Pystymme tukemaan monissa asioissa, niin kokonaistilannekuvan hahmottamisessa kuin yksittäisten järjestelmien tietosuoja- ja tietoturva-arvioinneissa. On myös erittäin tärkeää seurata muuttuvaa toimintaympäristöä, jotta pystyy ennakoimaan pelkän reagoinnin sijaan. Tämä helposti unohtuu silloin, kun kyberturvallisuus ei ole organisaation ydintoimintaa.
Usein arviointien riskiarvion yhteydessä nousee esiin riskejä, jotka täytyy “mitigoida” eli saattaa hyväksyttävälle tasolle. Tämä vaatii joko hallinnollisten tietoturvaprosessien täsmentämistä ja dokumentointia, tai toisinaan myös teknisiä ratkaisuja. Usein ongelmat ovat puutteellisessa dokumentoinnissa, vaikka itse prosessi olisikin olemassa. Kuitenkin lainsäädännön mukaan asioiden tulee olla dokumentoituja, jotta vaatimusten täyttyminen on osoitettavissa. Asiantuntijamme auttavat tarvittavan dokumentaation laatimisessa ja pystyvät tarvittaessa luomaan koko tietoturvan johtamisen mallin säännöllisine raportointeineen ja siihen liittyvine työkaluineen.
Tarjoomaamme kuuluu paljon muutakin tietoturva- ja tietosuojan konsultointia ja asiantuntijatyötä, aina koulutuksista tekniseen konsultointiin.
Esimerkkeä palveluistamme:
- Käyttövaltuushallinnan ja monivaiheisen tunnistuksen (MFA) ratkaisut
- Identiteetinhallinnan ja salausteknologioiden asiantuntijatyö
- Uhkamallinnus ja jatkuva hyökkäysyritysten tunnistaminen
- NIS2-mukainen tietoturvan johtamismalli pakollisine raportointityökaluineen
