Into Security

SOTE-tietoturva – osa 3: Tietojärjestelmätuottajan ja palvelunantajan työnjako – kenelle kuuluu vastuu? 

Tämä on SOTE-tietoturva – opastusta sääntelyn ja käytäntöjen ymmärtämiseen -blogisarjamme osa 3.

  • Kuka vastaa käyttöympäristön tietoturvasta?
  • Pitääkö asiakkaan osallistua tietoturva-arviointiin?
  • Miten vastuunjako kirjataan sopimuksiin?

Nämä vastuukysymykset aiheuttavat päänvaivaa lähes jokaisessa SOTE-tietoturva-arvioinnissa. Tietojärjestelmätuottajat ja palvelunantajat miettivät, kuka lopulta vastaa mistäkin vaatimuksesta ja miten se käytännössä toteutetaan. 

Epäselvä vastuunjako voi johtaa siihen, että kriittisiä tietoturvakontrolleja jää ”harmaalle alueelle” – molemmat luulevat toisen hoitavan asian. Tai päinvastoin: samoja vaatimuksia toteutetaan turhaan päällekkäin.

Käyn läpi, miten vastuunjako määräytyy käytännössä, mitä se tarkoittaa tietoturva-arvioinnille ja miten vastuut kannattaa sopia selkeästi.

Toteutustapa ratkaisee vastuunjaon

Sosiaali- ja terveydenhuollon tietojärjestelmäkokonaisuuteen kuuluvat tietojärjestelmät, osajärjestelmät, asiointi- ja hyvinvointisovellukset voivat olla tuotantokäytössä kahdella tavalla:

  1. Tietojärjestelmätuottajan hallitsemassa käyttöympäristössä (esim. SaaS-palvelu)
  2. Palvelunantajan hallitsemassa käyttöympäristössä (asennettuna asiakkaan infrastruktuuriin)

Toteutustapa vaikuttaa olennaisesti vastuunjakoon tietojärjestelmätuottajan ja palvelunantajan välillä. Tietoturvallisuuden arviointikertomukseen kirjataan aina vastuunjakoon liittyvät havainnot ja tietoturvallisuustodistukseen nostetaan lisätietoihin vaatimukset, joiden täyttyminen on täysin tai osittain palvelunantajan vastuulla.

Tuotearviointi on yleensä käytännöllisin ratkaisu

Tietoturvallisuuden arvioinneissa palvelunantajilta ei edellytetä osallistumista arviointiin, ja usein tietojärjestelmätuottajalla voi olla useita palvelunantajia asiakkainaan. Lopullisia käyttöympäristöjen toteutuksia voi siis olla lukuisia.

Näissä tilanteissa arviointi toteutetaan tuotearviointina. Tällöin lopullisten käyttöympäristöjen toteutuksien tarkastaminen ei kuulu arvioinnin laajuuteen, vaan ne jäävät palvelunantajien vastuulle.

Tuotearvioinneissa järjestelmä arvioidaan laajimman mahdollisen toteutuksen mukaan ja tarkastetaan, että järjestelmä täyttää sekä toiminnoiltaan että käyttö- ja asennusohjeiltaan olennaiset vaatimukset. Mikäli järjestelmä asennetaan tietojärjestelmätuottajan hallinnoimaan käyttöympäristöön, kuuluu se arvioinnin laajuuteen.

Palvelunantajan vastuut käytännössä

Palvelunantajan vastuulla on huolehtia, että sen käyttämät tietojärjestelmät vastaavat käyttötarkoitukseltaan palvelunantajan toimintaa ja täyttävät palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Nämä vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Palvelunantajalta edellytetään:

  • Tietoturvasuunnitelma, jossa kuvataan tuotantokäytössä toimivat järjestelmät ja niiden vaatimuksenmukaisuudesta huolehtiminen
  • Valviran Astori-rekisterin seuranta – sisältää tiedot rekisteröidyistä B- ja A-luokan asiakastietojärjestelmistä ja hyvinvointisovelluksista sek toisiolain käyttöympäristöistä 
  • Asiakastietolain (703/2023, 90§) mukaan palvelunantajan on ilmoitettava Valviralle ja tietojärjestelmätuottajalle, mikäli se havaitsee merkittäviä puutoksia järjestelmän tietoturvassa tai potilasturvallisuudessa.

THL:n määräyksessä 5/2024 luvussa 9 käsitellään tarkemmin, miten palvelunantajan tulee huolehtia käyttämiensä järjestelmien vaatimuksenmukaisuudesta.

Vastuunjaon sopiminen osapuolten välillä

Mikäli tietojärjestelmä asennetaan palvelunantajan käyttöympäristöön eikä tietojärjestelmätuottajan, on palvelunantajan vastuulla huolehtia käyttöympäristöä koskevien vaatimusten täyttymisestä.

Vastuunjako osapuolien välillä tulisi huomioida sopimuksissa sekä tietoturvasuunnitelmassa. Vastuunjako on mahdollista toteuttaa tietojärjestelmätuottajan ja palvelunantajan välillä samalla tavalla kaikkien osalta tai jokaisen kanssa palvelunantajakohtaisesti.

Eroja voi olla esimerkiksi:

  • Kuka asentaa järjestelmän käyttöympäristöön?
  • Kuka vastaa sen päivityksistä ja asetuksista?
  • Kuka hoitaa konfiguraatiot?
  • Kuka vastaa käyttövaltuushallinnasta?

Kolmannen osapuolen alustapalvelut

Kolmannen osapuolen alustapalveluita (esim. pilvi- ja konesalipalvelut) käytettäessä on huolehdittava olennaisten vaatimusten täyttymisestä sovitun vastuunjaon mukaisesti. Käsittelen käyttöympäristöön liittyviä alustapalveluita tulevassa blogipostauksessa.

Palvelunantajan muut velvollisuudet

Palvelunantajan vastuulla on myös huolehtia, että se käyttää järjestelmiään tietojärjestelmäpalvelun tuottajan antamien ohjeiden mukaisesti.

Käytännössä tämä tarkoittaa:

  • Ohjeiden noudattaminen – järjestelmää käytetään tuottajan antamien ohjeiden mukaisesti
  • Täydentävät järjestelmät – tietyissä tapauksissa osa olennaisista vaatimuksista on mahdollista täyttää jollakin toisella järjestelmällä palvelunantajan toiminnassa
  • Rekisterin seuranta – seurata Valviran tietojärjestelmärekisteristä (Astori), että käytetyt järjestelmät on rekisteröity ja niissä ei ole havaittu viranomaisen toimesta merkittäviä poikkeamia.
  • Todistusten voimassaolo – huolehtia, että A-luokan järjestelmillä on tarvittava voimassa oleva tietoturvallisuustodistus ja yhteistestaus

Seuraavassa artikkelissa käsittelen esiarvioinnin hyötyjä – milloin se kannattaa ja miten siitä on apua varsinaiseen tietoturva-arviointiin valmistautumisessa. Herättääkö vastuunjako kysymyksiä? Olen Heidi Saikkonen ja erikoistunut SOTE-järjestelmien regulaatioon. Otathan yhteyttä, mikäli kaipaat tukea vastuukysymysten selvittämisessä!

Sarjan aiemmat osat löydät täältä →

Osa 1: Sote-järjestelmien luokittelu

Osa 2: Sote-tietoturvan käsitteistä

sote-tietoturva tietoturvallisuus