Digitaalisten palvelukanavien tietoturva hyvinvointialueilla – Varmista ainakin nämä asiat!
Tietoturvan sekä tietosuojan huomioiminen terveydenhuollon alalla ei ole uutta, sillä arkaluontoisten tietojen käsittely on oleellinen osa ydintoimintoja. Myös tietoturvasuunnitelma on lakisääteinen osa hyvinvointialueiden omavalvontasuunnitelmaa ja sellainen on oltava jokaisella hyvinvointialueella. Viime aikoina digitaalisten palveluiden yleistyminen on kuitenkin monimutkaistanut tilannetta myös tietoturvan osalta.
Tietoturvasta ja asiakkaan tietosuojasta on huolehdittava palvelun koko elinkaaren ajan, riippumatta siitä minkälaisia palveluja käytetään. Samalla tiedon on myös oltava ammattihenkilöiden sekä asiakkaan käytettävissä ja hyödynnettävissä aina tarvittaessa.
Hyvinvointialueella on tietoturvan ja -suojan osalta huomioitavana useita erilaisia asioita. Mitä kaikkea sitten pitäisi tarkastella, kun asiakkaan tieto liikkuu digitaalisissa palvelukanavissa mm. organisaation sisällä ja organisaatiosta toiseen?
1. Tunnista riskit alusta alkaen
Toimintaa muutettaessa on syytä huomioida, miten muutos vaikuttaa tiedon turvallisuuteen ja henkilötietojen suojaan. Suunniteltaessa uutta digitaalista palvelua tai kun digitalisoidaan olemassa olevia toimintoja tai prosesseja, on erittäin tärkeää tunnistaa muutokseen liittyvät tietoturva- ja tietosuojariskit. Näin voidaan välttää monta ongelmaa etukäteen ja minimoida myös niitä ongelmia ja uhkia, joiden välttäminen on mahdotonta.
2. Varmista tietosuoja-asetuksen mukainen toiminta
Digitaalisia palvelukanavia luodessa on tärkeää arvioida, syntyykö hankkeen myötä uusia tarkoituksia henkilötietojen käsittelylle vai onko kyse ainoastaan uusien keinojen käyttöönotosta. Mikäli hanke synnyttää uuden tarkoituksen henkilötietojen käsittelylle, ei esimerkiksi henkilöiden informointi ja vaikutustenarvioinnin tarpeen arvioiminen riitä. Uusi käsittelytoimi täytyy arvioida perinpohjaisesti tietosuojaperiaatteiden kannalta.
Kun palveluita digitalisoidaan, kannattaa samassa yhteydessä myös suunnitella, kuinka palvelua käyttävää henkilöä voitaisiin palvella mahdollisimman monipuolisesti ja turvallisesti. Yksi käytännön esimerkki on suunnitella, kuinka palvelu voi avustaa tietosuoja-asetuksen määrittämissä ja henkilölle kuuluvien oikeuksien toteuttamisessa. Voiko henkilö esimerkiksi digitaalista palvelua käyttäessään pyytää nähtäväksi, mitä häneen liittyviä tietoja palvelussa käsitellään, ja halutessaan oikaista tai poistaa omat henkilötietonsa?
Palvelun tekninen toteutus tai palveluun liittyvien kumppaneiden toiminta saattaa mahdollistaa henkilötietojen siirron EU:n tai ETA-alueen ulkopuolelle. On siis tärkeää määrittää etukäteen, mihin ns. kolmansiin maihin tietoja saa siirtyä ja mihin ei. Nämä päätökset ohjaavat merkittävästi teknologia- ja kumppanivalintoja. Myötämielisyys siirtoja kohtaan nostaa tietosuojariskejä palvelua käyttävien henkilöiden kannalta, mutta mahdollistaa monipuolisemmat tekniset valinnat ja mahdollisuudet.
3. Suunnittele käytännön toteutus ja turvaa sekä salaa tiedot
Käytännön toteutusta suunniteltaessa on tärkeää huomioida, kuinka perusteellisesti palvelua käyttävä henkilö täytyy tunnistaa ja yksilöidä. Tähän liittyy käsiteltävien tietojen arkaluonteisuus. On myös syytä arvioida, missä määrin uudessa palvelussa käsiteltävää tietoa täytyy tallentaa uusiin kohteisiin vai voidaanko tiedot varastoida jo olemassa oleviin järjestelmiin. Muutoshankkeen alussa tehty riskiarvio auttaa ymmärtämään, mitä tietojen salaamisessa täytyy huomioida, miten käyttöoikeudet voidaan tehokkaasti rajata minimiin, sekä voidaanko käyttäjään liittyvät henkilötiedot vahvan tunnistamisen jälkeen joltain osin pseudonymisoida.
Palvelussa käsiteltävien tietojen suojaamiseen liittyy myös lokienhallinta ja kyky palautua riittävän nopeasti tiettyyn ajanhetkeen. Lokienhallinnan osalta merkittävin ponnistus liittyy siihen, mitä käyttäjien toimenpiteistä halutaan tietää, mihin lokit tallennetaan ja miten lokeja analysoidaan tehokkaasti.
4. Huomioi jokainen järjestelmä ja sen eri osaset
Mitä enemmän palveluja ja toimintaa digitalisoidaan, sitä enemmän todennäköisesti syntyy järjestelmiä ja näihin järjestelmiin liittyviä komponentteja. Kukin uusi komponentti täytyy tavalla tai toisella huomioida haavoittuvuuksien hallinnassa eli prosessissa, jossa pyritään tunnistamaan haavoittuvuuden olemassaolo, arvioimaan tarve haavoittuvuuden korjaamiselle sekä suunnittelemaan ja toteuttamaan tarvittavat toimenpiteet.
Suunniteltaessa käytännön toteutusta on syytä huomioida palvelua käyttävien työntekijöiden ja asiakkaiden lisäksi palvelun ylläpitoon ja turvaamiseen liittyvät henkilöt. Tämä tarkoittaa sitä, että tunnistetaan etukäteen, mitä palvelun ylläpitäminen ja turvaaminen vaatii läpi palvelun elinkaaren ja suunnitellaan palvelu niin, että sen ylläpitäminen ja turvaaminen olisi mahdollisimman helppoa.
5. Käyttöönotto ja koulutus
Erityisesti otettaessa käyttöön digitaalista palvelua, jossa käsitellään terveystietoja, täytyy palvelua testata ennen kuin siinä aloitetaan oikeiden henkilötietojen käsittely. Suositeltavaa on testata palvelua säännöllisesti läpi kehityshankkeen, mutta perusteellinen tekninen testaus on syytä tehdä ennen käyttöönottoa.
Samassa yhteydessä on tärkeää perehdyttää ja kouluttaa henkilöstö palvelun käyttämiseen. Ideaalisesti palvelua työssään käyttävää henkilöstö on hyvä ottaa huomioon jo riskien tunnistamisessa sekä itse palvelun kehittämisessä. Näin voidaan huomioida konkreettiset työnteon haasteet. Tämä myös vaikuttaa siihen, kuinka helppoa henkilöstön on omaksua uusi palvelu, etenkin jos se on suunniteltu heidän näkökulmastansa.
6. Arvioi tilannetta myös kumppaneiden osalta
Henkilöstön ja asiakkaiden lisäksi on vielä huomioitava kumppanit. Palvelun toteutukseen, ylläpitoon, ja kehitykseen saattaa liittyä useitakin ulkopuolisia toimijoita. Vaikkakin palvelun toteutus olisi tilattu yhdeltä taholta tämä ei lähtökohtaisesti tarkoita sitä, etteikö kyseinen taho käyttäisi alihankkijoita. On siis syytä ymmärtää, mitä sopimukset toimittajien kanssa tarkoittavat, miten vastuut on rajattu, millaiset organisaatiot toteutukseen liittyvät sekä miten ja missä tilanteissa tieto virtaa näiden toimijoiden kesken. Kun sopimukset on saatu tehtyä, pitää niiden sisältöä ja toimittajan toimintaa arvioida säännöllisesti.
Me Atean ja Tiera Verkkokaupan asiantuntijat olemme tukenasi palveluita digitalisoitaessa. Autamme kartoittamaan nykytilaa, parantamaan näkyvyyttä, suunnittelemaan turvallisempaa tulevaisuutta, ja autamme sinua myös käyttöönottojen ja jatkuvan kehityksen poluilla. Kysy lisää, olemme sinua varten.