Onnistunut sote-järjestelmien tietoturvallisuuden arviointi ja sertifiointi edellyttää hyvää ymmärrystä vaatimuksista, mutta myös huolellista valmistautumista. Into Securityn CBO ja Lead Auditor Tatu Suhonen on erikoistunut sote-järjestelmien arviointiin ja nähnyt lukuisia sertifiointiprosesseja. Tatu jakaa seuraavassa näkemyksensä siitä, miten sertifiointiprosessiin kannattaa valmistautua.
Uusien sote-tietojärjestelmien käyttöönoton yhteydessä on usein vaatimuksena tietoturvallisuuden ulkopuolinen arviointi. Sertifiointiprosessi vie aikaa, joten siihen ei kannata lähteä ilman huolellista valmistautumista. Valmistautumatta tuotantokäyttö saattaa viivästyä, kun viranomaisvelvoitteiden täyttyminen vie odotettua pidempään.
Taustaa sote-tietojärjestelmien arvioinnille (THL)
Sosiaali- ja terveydenhuollon asiakastietojen käsittelyä ja suojaamista ohjataan Asiakastietolailla (703/2023). Lakia tarkennetaan THL:n määräyksillä. THL:n määräykset edellyttävät osalta tietojärjestelmistä sertifiointia ennen kuin ne voidaan ottaa tuotantokäyttöön.
Määräyksiä kohdistuu asiakastietojen tietorakenteisiin ja tietojen välittämiseen sosiaali- ja terveyspalvelujen ulkopuolelle. Määräysten avulla sosiaali- ja terveydenhuollon toimijoita ohjataan riittäviin ja yhdenmukaisiin tietoturva- ja tietosuojakäytäntöihin.
Toimijat, joita määräykset koskevat
Määräyksillä velvoitetaan muun muassa seuraavia toimijoita:
- Sosiaali- ja terveydenhuollon asiakas- ja potilastietojärjestelmien valmistajat sekä apteekkien tietojärjestelmien valmistajat
- Sosiaali- ja terveydenhuollon tietojärjestelmäpalvelujen tuottajat
- Kanta-välityspalveluiden tuottajat
- Hyvinvointisovellusten valmistajat
Tatun 7 vinkkiä sote-järjestelmien toimittajille
Tie sertifiointiin edellyttää sarjan järjestelmällisiä toimenpiteitä. Tatun kuvaamat seitsemän vaihetta vähentävät kitkaa tässä erittäin monitahoisessa prosessissa. Näistä on iloa esimerkiksi sosiaali- ja terveydenhuollon tai hyvinvointisovellusten toimittajille.
Vinkki 1: Tutustu määräyksiin ja vaatimuksiin
Aloita tutustumalla THL:n määräyksiin ja vaatimuksiin. Näistä tärkeimmät alkuun ovat:
- Määräys 4/2024: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten luokittelusta ja sertifioinnista sekä
- Määräys 5/2024: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten olennaisista vaatimuksista.
Nämä määräykset luovat pohjan sertifiointiprosessille ja auttavat ymmärtämään vaatimuksia kokonaisuutena.
Vinkki 2: Tunnista järjestelmän luokka, soveltuvat profiilit ja riskitaso
Jos tarvetta, luokasta, profiileista ja riskitasosta kannattaa keskustella arviointilaitoksen ja viranomaisten kanssa.
- Järjestelmän luokka määrittää sertifiointivaatimukset. Määräyksen 4/2024 mukaisesti voit määritellä järjestelmälle luokan, joka määrittelee ylätasoisesti vaatimukset sertifioinnille perustuen järjestelmän käyttöön ja sisältämään tietoon. Sosiaali- ja terveydenhuollon tietojärjestelmät luokitellaan luokkiin A (sertifioitavat) ja B (ei-sertifioitavat).
- Hyvinvointisovellukset kuuluvat luokkaan A. Luokkaan A kuuluvat tietojärjestelmät ja hyvinvointisovellukset luokitellaan tarkemmin luokkiin A1, A2 ja A3, joista A3 on vaativin.
- Luokittelusta vastaa tietojärjestelmäpalvelun tuottaja. Luokittelu vaikuttaa siihen, millaisia sertifioinnin ja rekisteröinnin toimenpiteitä järjestelmille ja hyvinvointisovelluksille on suoritettava.
- Profiili määrittelee järjestelmätyypin vaatimukset. Määräyksen 5/2024 mukaan järjestelmälle määritellään soveltuva profiili, joka osoittaa eri järjestelmätyyppien käyttötapauksiin soveltuvat vaatimukset. Profiileja voi olla valittuna useita, mutta vähintään tulee soveltaa vaatimuksia profiilista 3g, joka sisältää vähimmäisvaatimukset. Hyvinvointisovellusten osalta voidaan noudattaa profiilia 3h.
- Riskitason arviointi vaikuttaa auditoinnin toteutukseen. Riskitaso (perustaso/korkea) määrittää kuinka laajasti vaatimukset tulee todentaa osana auditointia. Korkeampi riskitaso edellyttää perusteellisempaa todentamista. Riskitason määrittelyyn on olemassa valmis viranomaisen tarjoama työkalu, jota suositellaan käytettäväksi arvioinnissa.
Oikea luokka ja profiilit ovat tärkeitä määrittää jo alkuvaiheessa, koska niiden muuttaminen myöhemmässä vaiheessa on työläämpää.
Vinkki 3: Täytä järjestelmälomake huolellisesti
Järjestelmälomake on keskeinen dokumentti koko sertifiointiprosessissa. Se toimii tärkeänä tietolähteenä eri viranomaisille ja toimijoille prosessin eri vaiheissa. Lomake sisältää oleelliset tiedot järjestelmästä ja sen täyttämiseen kannattaa panostaa.
Järjestelmälomake tulee toimittaa neljässä eri tilanteessa:
Ensinnäkin, Kelalle yhteistestausta varten. Tämä koskee yhteistestaukseen hakeutuvia luokan A2 tai A3 järjestelmiä tai hyvinvointisovelluksia. Kela tarvitsee lomakkeen tiedot voidakseen valmistautua asianmukaisesti testauksen järjestämiseen.
Toiseksi, tietoturvallisuuden arviointilaitokselle. Lomake toimitetaan arvioinnin yhteydessä, kun kyseessä on luokan A1, A2 tai A3 järjestelmä tai hyvinvointisovellus, jolle suoritetaan tietoturvallisuuden arviointi. Arviointilaitos käyttää lomakkeen tietoja arviointiprosessin suunnittelussa.
Kolmanneksi, Valviralle rekisteröinnin yhteydessä. Lomake liitetään tietojärjestelmärekisteriin tehtävään rekisteri-ilmoitukseen, kun kyseessä on luokan A tai luokan B järjestelmä tai luokan A hyvinvointisovellus. Tämä koskee sekä uutta rekisteröintiä että rekisterin tietojen muutoksen ilmoittamista.
Neljänneksi, sote-palvelunantajille tarjousten yhteydessä. Lomake toimitetaan osana järjestelmästä, osajärjestelmästä tai palvelunantajan toiminnassa käytettävästä hyvinvointisovelluksesta jätettävää tarjousta sote-palvelunantajalle. Tämä koskee tilanteita, joissa tarjouspyynnössä tai muussa hankintaprosessiin kuuluvassa menettelyssä joko:
- a) edellytetään olennaisten vaatimusten tai niistä muodostettujen profiilien täyttämistä tarjouspyynnössä esitettyihin vaatimuksiin vastaavassa järjestelmässä tai osajärjestelmässä, tai
- b) edellytetään järjestelmälomakkeen toimittamista.
Huolelliseen järjestelmälomakkeen täyttämiseen käytetty aika maksaa itsensä takaisin prosessin myöhemmissä vaiheissa. Tarkka ja kattava lomake vähentää lisäselvityspyyntöjä ja nopeuttaa prosessin etenemistä.
Vinkki 4: Järjestä tarvittaessa yhteistestaus Kelan kanssa (luokat A2 ja A3)
Luokkien A2- ja A3- järjestelmille vaaditaan yhteistestaus, joka tehdään Kelan kanssa.
Yhteistestauksessa testataan järjestelmän tai hyvinvointisovelluksen käyttötarkoituksen kuuluviin profiileihin sisältyvät yhteistestattavat vaatimukset ja muut sellaiset toiminnot ja tietosisällöt, joita järjestelmä tai hyvinvointisovellus toteuttaa Kanta-palveluihin liittyen ja joihin kohdistuu yhteistestauksen testitapauksia. Yhteistestauksesta saat järjestelmällesi yhteistestauslausunnon todistuksena testauksen hyväksymisestä.
Yhteistestaus on kriittinen vaihe, joka kannattaa aikatauluttaa hyvissä ajoin, koska testausaikojen saamisessa ja toteutuksessa voi olla suuriakin viiveitä.
Vinkki 5: Suunnittele aikataulu järjestelmän sertifioinnille
Sertifiointiprosessi vie aikaa, tyypillisesti viikkoja, laajoissa järjestelmäkokonaisuuksissa jopa useita kuukausia etenkin, jos järjestelmälle tehdään yhteistestaus, joten siihen ei voi lähteä ilman valmistautumista.
Jos järjestelmälle tehdään yhteistestaus, tulee se suorittaa ennen sertifiointia.
Riittävä dokumentointi ja järjestelmän turvallinen konfigurointi on syytä varmistaa ennen sertifiointia. Järjestelmällinen valmistautuminen tältäkin osin säästää aikaa ja kustannuksia. Vaaditut dokumentit ja järjestelmän turvallisuusasetukset saat selville järjestelmän luokan, profiilin ja riskitason perusteella.
Vinkki 6: Toteuta tietoturvallisuuden auditointi ja hanki tietoturvallisuustodistus
Tietoturvallisuuden arvioinnissa todennetaan tietojärjestelmän olennaiset tietoturvavaatimukset kokonaisvaltaisesti, huomioiden järjestelmän käyttötarkoitus, luokka, kriittisyys ja tietojen luonne. Onnistuneen arvioinnin päätteeksi järjestelmälle voidaan myöntää tietoturvallisuustodistus, jonka avulla järjestelmän tietoturvallisuus voidaan osoittaa osana Valviran rekisteröintiprosessia.
Into Certification Oy auttaa tietoturvallisuuden arvioinnin toteuttamisessa. Arvioinnissa käytetään THL:n määräyksen 5/2024 sekä Traficomin ohjeiden mukaisia hallinnollisia ja teknisiä todentamistapoja. Todennettaviin vaatimuksiin sisältyvät järjestelmän käyttötarkoitusta vastaavien profiilien mukaiset tietoturvavaatimukset sekä muut järjestelmän kautta toteutetut vaatimukset.
Auditointiprosessissa arvioidaan soveltuvat tietoturvavaatimukset. Jos järjestelmänne täyttää joitakin vaatimuksia toisten sertifioitujen järjestelmien kautta, todentaminen tehdään vain siltä osin kuin vaatimusten täyttymisen toteaminen kohteena olevassa järjestelmässä edellyttää. Tämä tekee prosessista tehokkaampaa ja välttää päällekkäistä työtä.
Into Certification Oy pystyy tarvittaessa toteuttamaan järjestelmälle kattavat teknisen testauksen palvelut.
Vinkki 7: Varmista järjestelmän rekisteröinti Valviran rekisteriin
Kun järjestelmälle on olemassa tietoturvallisuustodistus, tulee järjestelmä rekisteröidä Valviran rekisteriin.
THL ohjeistaa näin: ”Tietojärjestelmäpalvelun tuottajan on ilmoitettava järjestelmästä Valviralle rekisteri-ilmoituksella ennen järjestelmän ottamista tuotantokäyttöön. Tämä on kriittinen vaihe, sillä ilman rekisteröintiä järjestelmää ei saa ottaa tuotantokäyttöön.”
Rekisteri-ilmoituksessa tulee huomioida Asiakastietolain 80 §:n vaatimukset. Ilmoituksessa on oltava järjestelmän yksilöimiseksi tarvittavat tiedot, tiedot järjestelmän käyttötarkoituksesta ja sen hyödyntämisestä, selvitys tietoturvaan ja tietosuojaan liittyvien vaatimusten täyttämisestä, sekä tieto siitä, missä laajuudessa järjestelmä on arvioitu.
Mikäli järjestelmään tehdään merkittäviä muutoksia, jotka voivat vaikuttaa tietoturvallisuuteen, tulee tietojärjestelmän uudelleenarviointi ja rekisteröinti toteuttaa ennen muutosten käyttöönottoa. Tämä varmistaa, että järjestelmä täyttää vaatimukset jatkuvasti myös päivitysten jälkeen.
Tatun yhteenveto
Sertifiointiprosessit ovat monivaiheisia, mutta oikein toteutettuna ne tarjoavat merkittävää lisäarvoa sekä järjestelmän toimittajalle että loppukäyttäjille. Kyse on toki lakisääteisestä velvoitteesta, mutta saat myös varmuuden siitä, että järjestelmänne täyttää yhtenäiset tietoturvallisuuskriteerit.
Huolellinen valmistautuminen ja prosessin ymmärtäminen säästävät suuresti aikaa ja resursseja. Parhaimmillaan huolellinen valmistautuminen nopeuttaa sertifiointiprosessia ja markkinoille pääsyä huomattavasti.
Kokemukseni mukaan järjestelmällinen lähestymistapa ja asiantunteva auditoijakumppani mukana matkassa auttaa varmistamaan, että prosessi sujuu mutkattomasti.
Jos kaipaat apua minkä tahansa vaiheen kanssa, ota yhteyttä allekirjoittaneeseen tai kollegoihini Into Certificationissa.