Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon.
Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja?
Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Ostopalvelujen valtuutus osana ostopalvelujen toiminnanohjaustaTHL
Ostopalvelujen valtuutus osana ostopalvelujen toiminnanohjausta. Minna Lindberg, Jyväskylän kaupunki. 31.10.2019 Tiedonhallinnan kehittämisen seminaari (sessio 1)
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
Esityksessä on kuvattu sote- ja maakuntauudistuksen sekä valinnanvapauden toimeenpanoa varten kehitettävä tietojärjestelmäkokonaisuus. Tilanne 12/2018.
Syftet med lagstiftningsreformen är framför allt att förbättra service som tillhandahålls hemma och boendeservice enligt socialvårdslagen. För socialvårdslagens del gäller reformen utöver äldre personer även andra klienter inom socialvården. Reformen träder i huvudsak i kraft samtidigt som strukturreformen av ordnandet av social- och hälsovårdstjänster, det vill säga den 1 januari 2023.
Genom reformen ändras socialvårdslagen och äldreomsorgslagen. Till följd av dessa ändringar medför reformen även tekniska ändringar i klientavgiftslagen och i lagen om privat socialservice.
Lainsäädäntöuudistuksessa parannetaan erityisesti sosiaalihuoltolain kotiin annettavia palveluja ja asumispalveluja. Sosiaalihuoltolain osalta uudistus koskee iäkkäiden lisäksi myös muita sosiaalihuollon asiakkaita. Uudistus tulee pääsääntöisesti voimaan 1.1.2023 yhtä aikaa sosiaali- ja terveyspalveluiden järjestämisen rakenneuudistuksen kanssa.
Uudistuksella muutetaan sosiaalihuoltolakia ja vanhuspalvelulakia. Muutosten johdosta uudistuksessa tehdään myös teknisiä muutoksia asiakasmaksulakiin ja yksityisistä sosiaalipalveluista annettuun lakiin.
Diaesitykseen on päivitetty 16.12.22 ohjeistus yhteisöllisen asumisen ja ympärivuorokautisen palveluasumisen toteuttamisesta samassa rakennuskokonaisuudessa.
More from Sosiaali- ja terveysministeriö / yleiset (20)
Tässä tutkimuksessa olemme tarkastelleet laajasti SAK:n nais- ja miesvaltaisten alojen vastaajien arvioita työelämästä ja elämän arvoista. Kysyimme mielipidettä yhteensä 55:ssä eri asiassa. Tarkasteltavana olevista asioista lähes 90 prosenttia on sellaisia, joissa ei havaittu juurikaan mielipide-eroja nais- ja miesvaltaisten alojen välillä.
Suuri osa vastaajista odottaa työltä työturvallisuutta ja hyvää työporukkaa. Monen odotukset kohdistuvat myös työpaikan jatkuvuuteen ja siihen, että esimies on helposti lähestyttävä.
SAK:n uusi strategia täsmentää keskusjärjestön roolia ja uudistaa sen toimintatapoja vastamaan työmarkkinoilla ja yhteiskunnassa tapahtuneita muutoksia. Strategiakausi ulottuu vuoteen 2028.
SAK:n keinovalikoimassa on jatkossakin neuvotteleminen niin työnantajien kuin kolmikantaisesti yhdessä työnantajien ja kulloisenkin hallituksen kanssa. Aiempaa tärkeämpään rooliin strategiassa nostetaan vaikuttaminen poliittiseen päätöksentekoon Suomessa ja Euroopan unionissa. Myös asiantuntijuuden ja viestinnän rooli korostuu.
Strategiassa huomioidaan myös digitalisaation ja ilmastonmuutoksen työntekijöille aiheuttamat haasteet. Muutos kohti ekologisesti kestävää taloutta on toteutettava oikeudenmukaisesti.
3. Olennaiset vaatimukset ja omavalvonta: miksi?
• Kanta-palvelujen kautta on mahdollista päästä laajasti eri
organisaatioissa syntyneisiin asiakas- ja potilastietoihin
• Varmistettava, että
– Liittyvissä järjestelmissä on käyttötarkoituksen kannalta oikeat
toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne
pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa
tietojen vaihtoa tietojärjestelmien OLENNAISET
VAATIMUKSET
– Liittyvissä organisaatioissa ja palveluntuottajilla on asianmukaiset
tietoturvakäytännöt ja käyttöympäristössä huolehditaan
asianmukaisesta tietoturvasta palvelunantajien
OMAVALVONTA
5.2.2015 Riitta Konttinen/ OPER
4. Tietoturvallisuuden varmistaminen Kanta-
palveluissa
• Kaikkien Kanta-palveluihin liittyvien osapuolten riittävän
tietoturvan ja tietosuojan toteutuminen tulee varmistaa
– Palvelunantajat (sote-palvelujen tuottajat)
– Tietojärjestelmät (valmistajat, tietojärjestelmäpalvelujen tuottajat)
– Välityspalvelut
• THL antoi seuraavat määräykset, joilla varmistetaan
tietoturvan ja tietosuojan toteutuminen
• 1. Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien
olennaisista tietoturvavaatimuksista (Määräys 1/2015)
– Määräys 1/2015 Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja
järjestelmien käyttöympäristöille
• 2. Määräys omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja
vaatimuksista (Määräys 2/2015)
– Määräys 2/2015 Liite 1: Omavalvontasuunnitelman mallipohja
• Jatkossa määräysten / vaatimusten päivityksiä ja mahd. uusia määräyksiä
5.2.2015 Riitta Konttinen/ OPER
5. Olennaiset vaatimukset ja niiden todentaminen
• Lakisääteisiä (250/2014), tarkemmat määräykset THL:ltä
– Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon
tietojärjestelmien olennaisista tietoturvavaatimuksista (1/2015)
• Kanta-järjestelmien osalta kuvattava ja todennettava
– Toiminnalliset vaatimukset
• Valmistajan / tietojärjestelmäpalvelun tuottajan selvitys
– Yhteentoimivuusvaatimukset
• Todennetaan Kanta-yhteistestauksen kautta
– Tietoturva- ja tietosuojavaatimukset
• Todennetaan arviointilaitoksen suorittaman tietoturva-
auditoinnin kautta
• Hyväksytyn sertifioinnin tuloksena järjestelmä saa
vaatimustenmukaisuustodistuksen
5.2.2015 Riitta Konttinen/ OPER
6. Olennaiset vaatimukset ja järjestelmien
luokittelu
• Järjestelmien luokittelut A- ja B-luokkiin
– A: Kanta-palveluihin liittyvät järjestelmät
• Myös Kanta-välityspalvelut
– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät
– (on myös järjestelmiä, joita ei tarvitse luokitella)
• Luokiteltujen järjestelmien ilmoittaminen Valviralle
– A-luokan järjestelmien
• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan
yhteistestaus ja ulkoinen tietoturva-auditointi
• laki ja määräys jo voimassa
– B-luokan järjestelmien
• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien
järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta
• Kirjallinen selvitys ja ilmoitus Valviralle
5.2.2015 Riitta Konttinen/ OPER
8. Olennaisten vaatimusten täyttäminen
• Järjestelmän käyttötarkoitus ohjaa, mitä vaatimuksia pitää
täyttää
• Tietoturvavaatimukset täytettävä järjestelmän kautta tai
kuvattava miten ne saadaan toteutettua (kompensointitapa)
• Erityyppisiä vaatimuksia
– Kaikkia A-luokkaan kuuluvia järjestelmiä koskevat vaatimukset
– Apteekkijärjestelmiä koskevat vaatimukset
– Sähköisen lääkemääräyksen toiminnallisuutta toteuttavien
järjestelmien vaatimukset
– Potilastiedon arkistoon liittyvän tietojärjestelmän vaatimukset
– Kanta-välityspalveluihin kohdistuvat vaatimukset
• Todentamistavat
– Validointi / tekninen tarkastus, toiminnallinen testaus,
dokumentaatio, haastattelu
5.2.2015 Riitta Konttinen/ OPER
9. Sertifioidut/auditoidut tietojärjestelmät:
sähköinen resepti05.03.2015
9
Hyväksytty Tietojärjestelmä Versio Valmistaja
18.05.2010 Linnea eReseLinnea 1.0.0 Receptum Oy
17.09.2014 (18.05.2010) Pegasos 8.1..SP.8.1.8 Logica Oy
19.05.2010 Reseptikeskus Kela
18.12.2014 (23.03.2011) Salix 18.3.2011/08.00 Pharmadata Oy
18.12.2014 (24.03.2011) Effica 4.0. 13.00 Tieto Oyj
18.12.2014 (08.04.2011) Uranus 8.1.1. Logica Oy
18.12.2014 (19.04.2011) Maxx 12.4.2011 Receptum Oy
29.12.2014 (22.11.2011) Graafinen Finstar 4.0 Logica Oy
22.11.2011 Mediatri 2011.12 Mediconsult Oy
19.03.2012 Abilita Terveydenhuolto v2012/01 Abilita Oy
04.01.2013 Acute v2012.11 Acute FDS Oy
12.03.2013 Esko PTJ v.3.7
Lääkehoitosovellusosio v3.0
Pohjois-Pohjanmaa shp
02.07.2013 DynamicHealth 7.16 Tieto Healthcare & Welfare Oy
03.02.2014 SoftMedic 5.0 CGI Suomi Oy
29.04.2014 MAXX-eResepti Receptum Oy
AssisCare Entteri Professional Software Oy
22.05.2014 eDoctoral PlusTerveys Oy
20.08.2014 eRA Atostek Oy
17.09.2014 Pegasos 8.2 CGI Suomi Oy
16.12.2014 MediResepti Mediconsult Oy
http://www.kanta.fi/fi/web/ammattilaisille/auditoidut-jarjestelmat-ja-valittajat
20
10. Kelan yhteistestauksessa olevat
potilastietojärjestelmät:
Potilastiedon arkisto05.03.2015
10
Aloitus Tietojärjestelmä Valmistaja
03 / 2014 *Graafinen Finstar CGI Suomi Oy
04 / 2014 Esko Pohjois-Pohjanmaa shp
08 / 2014 Multilab MyLab Oy
08 / 2014 Radu Lforce Oy
10 / 2014 Mediatri Mediconsult Oy
02 / 2015 Diarium Finnish Net Solutions Oy
04 / 2015 DynamicHealth Tieto Healthcare & Welfare Oy
04 / 2015 eRA Atostek Oy
04 / 2015 SoftMedic CGI Suomi Oy
04 / 2015 **eDoctoral PlusTerveys Oy
04 / 2015 **Lifecare Tieto Healthcare & Welfare Oy
04 / 2015 **WinHIT In Net Oy
http://www.kanta.fi/fi/web/ammattilaisille/testaus
12
*Kuvantamisen osalta
**Suun terveydenhuolto
11. Sertifioidut/auditoidut tietojärjestelmät:
Potilastiedon arkisto05.03.2015
11
Hyväksytty Järjestelmä Versio Valmistaja
(11.11.2011) Pegasos / eArkisto (pilotti) 8.2.18 Logica Oy
22.11.2012 Mediatri / Yhteisrekisteri 2012.07 Mediconsult Oy
29.11.2012 Effica / Yhteisrekisteri (ei tth) 4.1 MF22 Tieto Oyj
28.10.2013 Effica / Potilastiedon arkisto 4.1 vuosijulkaisu 2013 (H2) Tieto Oyj
03.02.2014 Navitas / Yhteisrekisteri 4.6 Appelsiini Finland Oy
09.03.2014 Uranus / Yhteisrekisteri 8.2.4 CGI Suomi Oy
10.03.2014 neaRIS / Yhteisrekisteri
neaLINK / Yhteisrekisteri
1.8
3.14
Neagen Oy
09.05.2014 Altti / Yhteisrekisteri 01.03.00 Fujitsu Finland Oy
16.05.2014 Pegasos 9.1.00 CGI Suomi Oy
22.09.2014 Uranus / Potilastiedon arkisto 8.4 CGI Suomi Oy
23.10.2014 Graafinen Finstar (GFS) 5.0 CGI Suomi Oy
27.11.2014 Acute 4.3 Acuvitec Oy
19.12.2014 Abilita 2014.02 Abilita Oy Ab
02.11.2013
http://www.kanta.fi/fi/web/ammattilaisille/auditoidut-jarjestelmat-ja-valittajat
13
22.05.2014
05.11.2014
19.12.2014
04.12.2014
03.02.2015
12. Vastuu tietosuojasta ja tietoturvasta
• Terveydenhuollon toimintayksikölle lainsäädännöllinen velvoite varmistaa
tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa
• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla
• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen
vastuu on terveydenhuollon toimintayksikön vastaavalla johtajalla
• Toimintayksikkö vastaa:
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta
– tietosuojavastaavan nimeämisestä ja toimenkuvasta
– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta
– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta
henkilöstölle
– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen
tietojärjestelmäpalveluun liittämistä
– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja
käyttöoikeushallinnasta
• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia
5.2.2015 Riitta Konttinen/ OPER
13. Omavalvontasuunnitelma
Keiden on laadittava
• Sosiaali- ja terveydenhuollon palvelun antajien,
• apteekkien
• itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen
• Kanta-välityspalveluiden tuottajien
tulee laatia omavalvontasuunnitelma.
Miksi
• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja
kehitetään organisaation tietoturvaa ja tietosuojaa
Milloin
• 31.3.2015 mennessä
5.2.2015 Riitta Konttinen/ OPER
14. Omavalvontasuunnitelma
• Laissa (159/2007 19 h§) määritellään keskeiset
omavalvontasuunnitelman sisällöt
• THL;n määräys Omavalvontasuunnitelmaan
sisällytettävistä selvityksistä ja vaatimuksista (Määräys
2/2015,THL/1305/4.09.00/2014).
• Pääasiallisena lähtökohtana ovat olleet aiemmat
organisaation itseauditointivaatimukset Kanta-
käyttöönottoihin
5.2.2015 Riitta Konttinen/ OPER
15. Omavalvontasuunnitelman laatiminen
• Omavalvontasuunnitelmassa
– viitataan aina kuin mahdollista olemassa oleviin erikseen
ylläpidettäviin ohjeisiin ja dokumentteihin
– Olennaista on, että suunnitelman linkkien tai tietojen avulla on
selvää, mistä dokumentaatio on löydettävissä tai vaatimuksen
täyttyminen on todennettavissa.
– Mikäli muuta valmista dokumentaatiota ei ole olemassa tai
saatavissa, on mahdollista kuvata vaadittavat asiakokonaisuudet
ja toimintatavat suoraan omavalvontasuunnitelmaan
• Kun kokoat omavalvontasuunnitelmaa esimerkiksi THL:n
mallipohjaan, pystyt samalla toteamaan, miten hyvin tietosuoja- ja
tietoturva-asiat ovat omassa organisaatiossasi jo hoidettu ja missä
vielä tarvitaan parannusta
• Vasta suunnitelman mukaisesti toimiminen parantaa
tietoturvallisuutta!
5.2.2015 Riitta Konttinen/ OPER
16. Omavalvontasuunnitelman mallipohja
• Yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille,
joihin omavalvonnassa (ja suunnitelmassa) on vastattava
• Sovellettava omaa tilannetta vastaavalla tavalla
– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä
organisaatioissa ja palveluissa
– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti
omien palvelujen / oman käyttöympäristön kannalta
• Osa ratkaistavista asioista voi perustua esim. sopimuksiin IT-
palveluja tuottavien tai tietojärjestelmäympäristöä
hallinnoivien tahojen kanssa
– Myös nämä seikat mainittava ja oltava todennettavissa
5.2.2015 Riitta Konttinen/ OPER
17. Yhteenveto
• Olennaisten vaatimusten ja omavalvonnan kautta
varmistetaan, että
– järjestelmissä on riittävällä tavalla huomioitu käyttötarkoituksen
edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat
– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja
tietosuojakäytännöillä palvelujen tuottajien toiminnassa
• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin
• Omavalvontasuunnitelman soveltaminen sovitettava palvelun
tuottajan toimintatapojen mukaiseksi
– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta
vaatimukset pystyttävä todentamaan myös näissä tilanteissa
• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun
kansallisia palveluita ja sisältöjä tulee lisää
5.2.2015 Riitta Konttinen/ OPER