Into Security

SOTE-tietoturva – osa 4: SOTE-tietoturvakartoitus – miksi ja kenelle?

Tämä on SOTE-tietoturva – opastusta sääntelyn ja käytäntöjen ymmärtämiseen -blogisarjamme osa 4.

  • Tarvitseeko B-luokan järjestelmä tietoturva-arviointia?
  • Riittääkö pelkkä rekisteröinti Valviraan?
  • Miten voit varmistaa vaatimusten täyttymisen ennen virallista arviointia?
  • Mitä eroa on A- ja B-luokan järjestelmien vaatimusten täyttymisessä?

Nämä kysymykset askarruttavat monia SOTE-tietojärjestelmätuottajia ja palvelunantajia. Erityisesti B-luokan järjestelmien tietojärjestelmätuottajat saattavat pohtia, mitä vaatimuksia heihin kohdistuu ja mitä vaatimukset sisältävät. Palvelunantajat saattavat pohtia, mitä eroa on vaatimusten täyttymisessä B- ja A-luokan järjestelmien välillä ja mitä velvoitteita palvelunantajiin kohdistuu. Kolmannen osapuolen toteuttama arviointi parantaa potilas- ja asiakasturvallisuutta sekä tietoturvaa ja toimii laadunvarmistuksena. 

Tässä artikkelissa kuvaan, miksi SOTE-tietoturvakartoitus kannattaa, kenelle se sopii ja miten siitä on käytännön hyötyä.

B-luokan järjestelmät muodostavat enemmistön

THL:n määräyksen 5/2024 olennaiset vaatimukset velvoittavat myös B-luokan järjestelmiä. Tällä hetkellä (05/2025) Astori-rekisteriin on rekisteröity B-luokan järjestelmiä 242 kappaletta ja A-luokan järjestelmiä 101 kappaletta. B-luokan järjestelmät muodostavat 70% kaikista tuotantokäytössä olevista asiakastietolain mukaisista tietojärjestelmistä, hyvinvointisovelluksista ja asiointipalveluista.

B-luokan järjestelmiltä ei edellytetä tietoturvallisuuden arviointia, mutta ne on rekisteröitävä Valviran tietojärjestelmärekisteriin (Astori) ennen tuotantokäyttöä. Rekisteröinnin liitteenä toimitetaan lain velvoittama selvitys, järjestelmälomake, jossa tietojärjestelmätuottaja kuvaa, mitkä vaatimukset eivät sovellu, mitä vaatimuksia järjestelmä täyttää, onko vaatimusten täyttyminen ulkoistettu ja tarvittaessa antaa lisätietoja vaatimusten täyttymisestä. – B-luokan rekisteröinti-ilmoitukseen voi suhtautua tietojärjestelmätuottajan itsearviointina vaatimustenmukaisuudesta.

Valvira voi edellyttää tietojärjestelmätuottajaa tekemään korjauksia tai täsmennyksiä lomakkeeseen. Tietojärjestelmätuottaja on aina itse vastuussa siitä, että se täyttää riittävällä tasolla sitä velvoittavat vaatimukset. Tietoturvallisuuden arvioinneissa arviointilaitos tarkastaa, miten järjestelmä täyttää sitä velvoittavat vaatimukset ja arvioi vaatimuksenmukaisuutta. Tietojärjestelmätuottajien ja palvelunantajien on hyvä tiedostaa, että Astori-rekisterin rekisteröinti-ilmoituksen hyväksyntä ei ole hyväksyntä vaatimusten täyttymisestä. 

Tietoturvakartoitus ja esiarvionti – kevyt tapa varmistaa vaatimustenmukaisuus

Tietoturvakartoitus on erinomainen palvelu, kun halutaan varmistaa järjestelmän vaatimustenmukaisuus, tukea omavalvontaa tai selvittää  järjestelmäkokonaisuuden tietoturvan taso. Into Security tarjoaa tietoturvallisuuden konsultointipalveluita ja Into Certificationin on mahdollista tarjota esiarviointia B- ja A-luokan tietojärjestelmätuottajille, jotka ovat varsinaista arviointia kevyempiä, mutta riittäviä selvittämään vaatimusten täyttymisen taso. – Puolueettomuuden varmistaminen on toimintamme kulmakivi ja emme tarjoa arviointilaitospalveluita ja konsultointipalveluita yhdessä.

Tietoturvakartoituksen ja esiarvioinnin hyödyt

Tietoturvakartoituksen ja esiarvioinnin tuloksena saat Into Securityn kokeneen asiantuntijan arvion tietoturvavaatimusten täyttymisestä, korjausehdotuksista ja huomioista. Tietoturvakartoituksesta ja esiarvioinnista toimitetaan asiakkaalle raportti, jota voi hyödyntää:

  • Omavalvonnan tukena
  • Laadunvarmistuksessa
  • Tietoturvallisuuden kehittämisen tukena
  • Varsinaiseen arviointiin valmistelevana työkaluna

Kenelle tietoturvakartoitus ja esiarviointi sopivat?

Tietoturvakartoitusta suositellaan erityisesti palvelunantajille omavalvonnan tueksi, kun he haluavat selvittää käyttämiensä järjestelmiensä vaatimuksenmukaisuutta, ohjeistuksien mukaista käyttöä ja palvelunantajille kohdistuneita vastuita. Tietoturvakartoituksen avulla palvelunantaja on selvillä, mitä vaatimuksia sille on ulkoistettu, täyttävätkö he nämä vaatimukset ja millä tasolla järjestelmäkokonaisuuden tietoturva on. Lue myös blogisarjan osa, joka käsitteli vastuunjakoa tietojärjestelmätuottajan ja palavelunantajan välillä

Esiarviointia suositellaan erityisesti B-luokan järjestelmille sekä ensimmäiseen arviointiin hakeuduttaessa. Esiarvioinnin laajuus ja painotukset suunnitellaan aina asiakkaan toiveiden mukaisesti. Esiarvioinnin avulla tietojärjestelmätuottaja pystyy osoittamaan huolehtineensa vaatimuksenmukaisuudesta, tietoturvallisuudesta ja kehityksestä. 

Tietoturvakartoituksen ja esiarvioinnin käytännön toteutus

Palvelu koostuu haastatteluista ja työpajan yhteydessä katselmoitavista dokumenteista. Palvelun laajuus ja painotukset suunnitellaan aina asiakkaan toiveiden mukaisesti ja siihen on myös mahdollista sisällyttää teknistä tarkastusta. Palvelun laajuus on suoraan riippuvainen tarkastettavan kohteen laajuudesta. 

Palvelun tuloksena asiakkaalle toimitetaan raportti, jossa kuvataan tarkastettu kohde, tarkastuksen laajuus, tehdyt havainnot, korjausehdotukset ja koontitaulukko vaatimusten täyttymisestä. Esiarviointi ei sisällä korjausehdotuksia. Raportin tulokset käydään asiakkaan kanssa läpi.

Miksi kannattaa investoida ennakkoon?

Palvelunantajilla voi olla käytössään useampia tietojärjestelmiä, joissa vastuunjako saattaa vaihdella tapauskohtaisesti. Tietojärjestelmätuottajien on mahdollista vastuuttaa tietoturvavaatimuksia palvelunantajille. Kokonaisuuden hahmottaminen ja vastuunjaon toteutuminen käytännössä voi olla epäselvää. B-luokan järjestelmiltä eivät vaadita arviointilaitoksen tietoturvallisuuden arviointia, mutta vaatimusten täyttyminen on pakollista, jolloin vaatimustenmukaisuudesta huolehtiminen on tietojärjestelmätuottajan vastuulla. Vaatimusten tulkinta ja tietoturvaosaaminen vaativat sosiaali- ja terveydenhuollon toimialan osaamista sekä riittävää kompetenssia tietoturvallisuuden eri osa-alueiden hallinnasta.

Yhteenvetona, tietoturvakartoitus ja esiarviointi auttavat:

  1. Tunnistamaan puutteet ja riskit ajoissa
  2. Priorisoimaan korjaukset
  3. Välttämään kalliita korjauksia myöhemmin
  4. Varmistamaan että järjestelmä todella täyttää vaatimukset
  5. Valmistautumaan mahdolliseen varsinaiseen arviointiin
  6. Parantamaan asiakkaiden luottamusta järjestelmään
  7. Osoittamaan, että tietoturvasta ja vaatimustenmukaisuudesta on huolehdittu

Kiinnostaako tietoturvakartoitus tai esiarviointi? Olen Heidi Saikkonen ja erikoistunut SOTE-järjestelmien regulaatioon. Otathan yhteyttä, jos haluat keskustella järjestelmäsi vaatimustenmukaisuudesta!

Seuraavassa artikkelissa käsittelen modulaarisia järjestelmiä ja integraatioita – miten arviointi toimii kun järjestelmä koostuu useista osista tai on integroitu muihin järjestelmiin.

Sarjan aiemmat osat löydät täältä →

Osa 1: Sote-järjestelmien luokittelu

Osa 2: Sote-tietoturvan käsitteistä

Osa 3: Vastuunjako

sote-tietoturva tietoturvallisuus