Hur säkerställs informationssäker användning av Kanta-tjänsterna?
Producenterna av social- och hälsovårdstjänster ombesörjer behövlig IT-säkerhetspraxis genom egenkontrollen som gäller dataskydd och informationssäkerhet. Genom certifiering säkerställs att de informationssystem som används uppfyller kraven på informationssäkerhet för systemleverantörernas del.
Alla som tillhandahåller social- och hälsovårdstjänster, apotek och producenter av Kanta-förmedlingstjänster är skyldiga att övervaka att dataskydd och informationssäkerhet genomförs i den egna verksamheten. De ska göra upp en plan för egenkontroll (endast på finska, thl.fi), där det beskrivs hur organisationen genomför dataskyddet och informationssäkerheten.
”Organisationen måste också själv övervaka att planen följs och utvecklas. När den egna verksamheten är i skick börjar man också fästa uppmärksamhet vid dataskyddet och informationssäkerheten till exempel i avtal med underentreprenörer”, säger utvecklingschef Juha Mykkänen från Institutet för hälsa och välfärd.
Inom egenkontrollen är det väsentligt att ledningen är engagerad i dataskydds- och informationssäkerhetsfrågor. Till exempel när det har skapats goda förutsättningar för de dataskyddsansvarigas arbete, blir tillsynen en naturlig del av verksamheten. Det främsta målet är att de yrkesmänniskor som producerar tjänsterna känner till och beaktar de förfaranden som hänför sig till dataskydd och informationssäkerhet vid behandlingen av klient- och patientuppgifter.
”Egenkontrollen är det viktigaste sättet att säkerställa att man i den dagliga social- och hälsotjänstverksamheten kan förbereda sig på datasäkerhetshot och säkerställa att kundernas dataskydd tillgodoses. Med hjälp av egenkontrollen kan man också påvisa att datasäkerhets- och dataskyddsfrågorna är ändamålsenligt skötta. Detta har också accentuerats i och med EU:s dataskyddsförordning”, säger Mykkänen.
Egenkontroll och certifiering bildar en helhet
Kanta-tjänsternas informationssäkerhet är starkt kopplad till certifieringen av de informationssystem som ansluts till Kanta-tjänsterna. Mykkänen betonar att det är viktigt att se certifieringen och egenkontrollen som en helhet.
”Certifieringen och egenkontrollen bildar ett kontinuum mellan tillverkarna och användarna av informationssystemen. I centrum för egenkontrollen står social- och hälsovårdsaktörens dagliga verksamhet, som måste stödjas i de informationssystem som används. Certifiering är ett förfarande som säkerställer att det går att ansluta de informationssystem som ska anslutas till Kanta-tjänsterna och att de har de informationssäkerhets- och dataskyddsegenskaper som krävs.”
Informationssystemtillverkaren eller producenten av informationssystemtjänsten ansvarar för att ett system som används för Kanta är certifierat. I certifieringsprocessen ingår samtestning med FPAs Kanta-tjänster och auditering av informationssäkerheten som utförs av ett bedömningsorgan för informationssäkerhet. Ett system som godkänts i certifieringen ges ett intyg om överensstämmelse, varefter det kan anslutas till Kanta-tjänsterna för produktionsanvändning.
”Intyget är i kraft en viss tid, varefter det måste förnyas. Certifieringen förnyas också vid behov när det företas betydande ändringar i systemen. Certifieringen styrs av THL:s föreskrifter, och myndigheter som Valvira övervakar överensstämmelsen med kraven och genomförandet av egenkontrollen.”, berättar Mykkänen.
Läs mer:
- Certifiering, väsentliga krav och egenkontroll
- Juha Mykkänens blogg Vårdproffs och egenkontroll i täten för dataskyddet (på finska)