Toiminta häiriötilanteessa ja tietoturvaloukkausepäilyssä

Toiminta häiriötilanteessa ja tietoturvaloukkausepäilyssä

Jokainen palvelujen antaja, niin viranomainen kuin yritys, vastaa tuottamansa palvelun toiminnasta ja tiedottamisesta. Palvelujen antajan tulee sopia paikalliset toimintamallit poikkeustilanteiden varalle. Palvelujen antajalla tulee olla omat ohjeet häiriötilanteisiin ja tietosuojaohjeet tilanteisiin, joissa epäillään henkilötietojen tietoturvaloukkausta.

Kun havaitaan häiriö käytetyssä Kanta-palvelussa, tarkistetaan ensin, onko asiasta häiriötiedote kanta.fi-sivustolla. Jos ei, otetaan yhteyttä oman organisaation tai tietojärjestelmätoimittajan käyttötukeen. Käyttötuki arvioi ongelman laadun ja jatkotoimet. 

Jos epäillään henkilötietojen tietoturvaloukkausta, ilmoitetaan asiasta oman organisaation nimeämälle taholle, joka käynnistää tarvittavat toimenpiteet. Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen

  • tuhoaminen
  • häviäminen
  • muuttaminen
  • luvaton luovuttaminen
  • pääsy tietoihin.

Henkilötietojen tietoturvaloukkaustapauksissa noudatetaan EU:n yleisen tietosuoja-asetuksen (eur-lex.eu) säännöksiä.

Häiriöilmoitus Kelaan

Kanta-palveluja käyttävän palvelujen antajan käyttötuen tai tietojärjestelmätoimittajan on ilmoitettava havaitsemastaan häiriöstä Kelan tekniseen tukeen aina kun yksi tai useampi seuraavista kriteereistä täyttyy:

  • Häiriö ei liity palvelujen antajan käytössä olevaan apteekki-, asiakas- tai potilastietojärjestelmään, vaan se paikallistetaan Kelan palvelukokonaisuuteen.
  • Häiriö aiheuttaa epäilyn potilasturvallisuuden tai sosiaalihuollon asiakkaan saaman palvelun vaarantumisesta. Häiriö liittyy suoraan tai välillisesti Kanta-palveluihin.
  • Häiriö aiheuttaa epäilyn potilaan tai asiakkaan tietosuojan vaarantavasta tietojärjestelmän ongelmasta. Häiriö liittyy suoraan tai välillisesti Kanta-palveluihin.
  • Häiriö estää tai hidastaa merkittävästi palvelujen käyttöä.
  • Häiriön paikallisuudesta ei voida varmistua, vaan voidaan olettaa sen vaikuttavan palvelujen antajan lisäksi myös muihin toimijoihin.

Häiriöstä ilmoitetaan Kelan tekniseen tukeen häiriöilmoituslomakkeella. Se lähetetään sähköpostin liitteenä osoitteeseen tekninentuki@kanta.fi.

Kriittisistä ja laajavaikutteisista häiriöistä tulee häiriöilmoituslomakkeen lähettämisen lisäksi soittaa Kelan tekniseen tuen numeroon 020 634 7787. Palvelujen häiriötilanteissa vikailmoitusten vastaanotto 24/7.

Kelan tekniseen tukeen ilmoitetaan myös, kun henkilötietojen tietoturvaloukkaus tai sen epäily kohdistuu Reseptikeskuksen tai Tiedonhallintapalvelun tietoihin.

Kelan tekninen tuki ja häiriöviestintä

Kelan tekninen tuki palvelee 24/7 palvelujen antajien ja järjestelmätoimittajien tukitahoja sekä Kelain-palvelun käyttäjiä. Myös Omakanta-palvelun kansalaisasiakkaita palvellaan teknisissä ongelmissa ympärivuorokautisesti. Lisäksi tekninen tuki vastaa häiriöviestinnästä Kelan tuottamien palvelujen osalta. Häiriötiedotteista on tilattavissa RSS-syöte.

Laajoissa häiriötilanteissa tekninen tuki

  • tiedottaa häiriöstä kanta.fi-sivuston häiriötiedotteissa
  • lähettää häiriötiedotteet palvelujen antajille ja sidosryhmille sähköpostilla ja/tai tekstiviestillä
  • tiedottaa häiriöistä niiden alkaessa, tilanteen muuttuessa ja häiriön päättyessä.

Suunnitelluista palveluihin liittyvistä muutoksista ja huoltotöistä tiedotetaan häiriötiedotteiden vastaanottajille

  • kaksi viikkoa aikaisemmin sähköpostilla sekä kanta.fi-sivuston huoltotiedotteissa
  • muutosta tai huoltotyötä edeltävänä päivänä tekstiviestillä.

Palvelujen antaja ilmoittaa häiriötiedotteiden vastaanottajien yhteystiedot palvelun käyttöönoton yhteydessä ja ylläpitää yhteystietoja Kanta Ekstranetissä.

Toiminta sosiaali- ja terveydenhuollossa

Reseptikeskuksen käytön estävä häiriö terveydenhuollossa

Reseptit laaditaan atk-, paperi- tai puhelinlääkemääräyksinä ja ne kirjataan potilastietojärjestelmään. Reseptikeskukseen ei häiriön aikana automaattisesti tallennu reseptitietoja eikä niitä tallenneta häiriön jälkeen käsin. Tutustu Sosiaali- ja terveydenhuollon toimintamalli häiriötilanteissa.

Potilastiedon arkiston ja Sosiaalihuollon asiakastiedon arkiston käytön estävä häiriö

Potilas- ja asiakastietojärjestelmä tallentaa automaattisesti siihen häiriön aikana kirjatut merkinnät, kun arkisto on taas käytettävissä. Tutustu Sosiaali- ja terveydenhuollon toimintamalli häiriötilanteissa.

Toiminta apteekissa

Potilaan välttämätön lääkehoito turvataan Kanta-palvelujen häiriötilanteessa. Tutustu apteekkien toimintamalli häiriötilanteissa.

Kansalaisten toiminta häiriötilanteissa

Tutustu kansalaisten ohjeistus häiriötilanteessa

Vaaratilanneilmoitus Valviraan

Jos kyseessä on potilasturvallisuutta vaarantanut tilanne tai epäily sen vaarantumisesta, ovat sekä järjestelmätoimittaja että palvelujen antaja velvollisia tekemään vaaratilanneilmoituksen Valviralle (valvira.fi).

Henkilötietojen tietoturvaloukkauksesta tai sen epäilystä ilmoittaminen 

Henkilötietojen tietoturvaloukkauksesta tai sen epäilystä ilmoitetaan rekisterinpitäjälle ilman viivytystä. Jos palvelun antaja on itse rekisterinpitäjä, tulee sen selvittää tilanne ja tarvittaessa tehdä ilmoitus (tietosuoja.fi) 72 tunnin kuluessa Tietosuojavaltuutetun toimistolle. Tarvittaessa asiasta on ilmoitettava rekisteröidyille. Eri osapuolten tulee avustaa rekisterinpitäjää henkilötietojen tietoturvaloukkauksen selvittelyssä ja vaikutusten rajaamisessa. Tutustu Apteekkien ja sosiaali- ja terveydenhuollon toimintaohjeeseen henkilötietojen tietoturvaloukkauksessa (pdf).

Viranomaisten toiminta vakavassa häiriö- ja poikkeustilanteessa

Viranomaiset (THL, Kela, Valvira, VRK, STM, Fimea) arvioivat häiriötilanteen vakavuuden. Vakavassa häiriö- ja poikkeustilanteissa viranomaiset ohjeistavat, miten häiriötilanteen aikana toimitaan ja miten palataan normaaliin toimintaan. Arvioinnin perusteella laadittu ohje välitetään palvelujen antajien ilmoittamille yhteyshenkilöille, jotka vastaavat ohjeen jakelusta omassa organisaatiossa.

Lue lisää

Sivua päivitetty 31.07.2019