Resepti-palvelun selvityspyyntö 2020: Sosiaali- ja terveydenhuollossa ja apteekeissa oltava toimintatavat tietoturvaloukkausten havaitsemiseksi
Ohjeet ja toimintatavat on tarpeen päivittää, jotta toimitaan oikein, kun epäillään tai havaitaan tietoturvapoikkeama. Vaikutustenarvioinnin avulla saadun riskiluettelon avulla voi konkreettisesti havaita kehitettävät kohteet. Organisaation johdon tehtävä on päättää riskienhallintaan liittyvistä riittävistä toimenpiteistä.
Resepti-palvelun asiakkaaksi liittyneille apteekeille, sosiaali- ja terveydenhuollon toimintayksiköille ja itsenäisille ammatinharjoittajille alkuvuodesta lähetettyyn selvityspyyntöön saadut vastaukset on analysoitu. Vastausten pohjalta on hahmotettu kokonaiskuvaa tämänhetkisestä tietosuojatyön tilanteesta ja mahdollisista ongelmakohdista sote-organisaatioissa.
Tietosuojavastaava hoitaa laajaa kokonaisuutta
Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasääntelyn noudattamisessa. Tietosuojavastaava seuraa tietosuojasääntelyn noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita, antaa tietoja ja neuvoja sekä organisaation johdolle että henkilökunnalle.
Tunnista ja havaitse henkilötietoon kohdistuva tietoturvaloukkaus
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.
Sosiaali- ja terveydenhuollossa ja apteekeissa on varauduttava henkilötietojen tietoturvaloukkausten varalle riittävin tietoturvallisuuteen liittyvin toimenpitein. Toimintatavat on tarpeen olla tietoturvaloukkausten tunnistamiseksi ja havaitsemiseksi. Kirjalliset ohjeet ja koulutusmateriaalit on päivitettävä, jos ne eivät sisällä ajantasaisia ohjeita sellaisten tietoturvaloukkausten varalle, jotka kohdistuvat Reseptikeskukseen tallennettuihin henkilötietoihin.
Jos henkilötietojen tietoturvaloukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille, on rekisterinpitäjän ilmoitettava tapahtumasta tietosuojavaltuutetun toimistolle. Jos riski on korkea, on tapahtumasta ilmoitettava myös kyseessä oleville henkilöille.
Huomio vaikutustenarviointeihin
Johdon tehtävä on varmistua riskienhallinnasta ja henkilötietojen käsittelyn lainmukaisuudesta. Tietosuojaa koskevan vaikutustenarvioinnin avulla voidaan konkretisoida kohteet, jotka edellyttävät toimenpiteitä. Tietosuojavastaavan tehtävä on pyydettäessä antaa ohjeita vaikutustenarvioinnista. Organisaation johto vastaa henkilötietojen käsittelyä koskevien ratkaisujen tekemisestä, kuten mahdollisten jäännösriskien vuoksi tehtävistä toimenpiteistä.
Kehitystarpeet Reseptikeskuksen tietojen käsittelyn seurannan ja valvonnan osalta on tärkeää nostaa riskilähtöisesti esille, jos on havaittu tarpeita kehittää valvontavälineitä tai toimintatapoja.
Seuranta ja valvonta toteutetaan pääsääntöisesti käsin. Seuranta ja valvonta olisi tarpeellista siirtää automaattisesti toimivan valvontajärjestelmän piiriin, kun lokeja muodostuu suuria määriä. Niin seurannan ja valvonnan välineitä kuin automatiikkaakin tulisi kehittää voimakkaasti, jotta väärinkäytöstapaukset tunnistettaisiin tehokkaammin.
Taustaa
Selvityspyyntö toimitettiin noin 2 200:lle Resepti-palvelun tietosuojavastaavalle ja itsenäiselle ammatinharjoittajalle. Vastausaktiivisuuden taso oli suhteellisen korkea (59 %). Kela, THL ja tietosuojavaltuutetun toimisto ovat tehneet selvityspyynnön ja analyysin yhteistyössä. Osana yhteistyötä tietosuojavaltuutetun toimisto voi hyödyntää tuloksia laatiessaan tietosuojasääntelyä koskevaa ohjausmateriaalia. Samoin THL voi hyödyntää tuloksia terveydenhuollon ammattihenkilöiden toimintamallikoulutuksessa ja ohjauksessa. Selvityspyyntö on toteutettu sähköisen lääkemääräyslain (61/2007) 24 §:n nojalla.
Lisätiedot:
Asiakkuus ja tuki: Kanta Ekstranet
Kanta-palveluja käyttävät asiakkaat -tietosuojaseloste (PDF)
Omavalvontasuunnitelman mallipohja pienille sosiaali- ja terveydenhuollon palveluntuottajille (THL)
Lisätietoja ammattilaisille:
kanta@kanta.fi