Sosiaali- ja terveydenhuollon hankintojen tietoturva- ja tietosuojavaatimukset

Tietojärjestelmän tietoturvallisuus ja tietosuoja on helpointa ja tehokkainta huomioida jo siinä vaiheessa, kun järjestelmän hankintaa vasta suunnitellaan. Huolellisella hankinnan suunnittelulla voidaan estää tietoturvaloukkauksia ja välttää kalliita korjauksia. Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa kehitettiin vuosina 2018-2019 tietoturva- ja tietosuojavaatimusten lista käytettäväksi sosiaali- ja terveysalan hankinnoissa. Listan käyttö vaatii hieman perehtymistä hankintaa tekevältä organisaatiolta. Listaa ei ole tarkoitettu liitettäväksi sellaisenaan jokaiseen tarjouspyyntöön.

""

Käytä vapaasti - parilla ehdolla

Kyber-Terveys-hanke on julkaissut listan Creative Commons Nimeä 4.0 -lisenssillä (CC BY 4.0) (Ulkoinen linkki). Se tarkoittaa, että saat käyttää listaa mihin tarkoitukseen haluat, muokata sitä niin kuin haluat ja jakaa sitä eteenpäin niin kuin haluat, seuraavilla ehdoilla:

  • Nimeä - Sinun on mainittava lähde asianmukaisesti, tarjottava linkki lisenssiin sekä merkittävä, mikäli olet tehnyt muutoksia. Voit tehdä yllä olevan millä tahansa kohtuullisella tavalla, mutta et siten, että annat ymmärtää lisenssinantajan suosittelevan sinua tai teoksen käyttöäsi.
  • Ei muita rajoituksia -  Et voi asettaa sellaisia oikeudellisia ehtoja tai teknisiä estoja, jotka estävät oikeudellisesti muita tekemästä mitään sellaista, minkä lisenssi sallii.

Hyvä käytäntö, muttei virallinen ohje

Tietoturva- ja tietosuojavaatimusten lista on luonteeltaan sote-alan kyberturvallisuuden ja tietosuojan asiantuntijoiden yhteinen käsitys hyvistä käytännöistä, mutta se ei ole virallinen ohje tai suositus. Kyber-Terveys-hankkeessa tehtiin huomattava työ sen eteen, että listassa olisi esimerkkejä siitä, miten erityisesti terveydenhuoltoalan tietojärjestelmien ja laitteiden virallisesti vaadittuja tietoturva- ja tietosuojatavoitteita voitaisiin toteuttaa.

Versiot ja laitokset

Kyberturvallisuuskeskus pitää tällä verkkosivulla julkisesti saatavilla suomen- ja englanninkielistä versiota listasta. Kieliversiot ovat keskenään yhtäpitävät. Tällä verkkosivulla on saatavilla kummankin version uusin laitos. Jos haluat käyttöösi aikaisemman laitoksen, pyydä sitä Kyberturvallisuuskeskukselta. Yhteystiedot ovat alla.

Suomenkielinen versio on erityisen hyödyllinen vaatimusten läpikäyntiin ja valitsemiseen hankintojen ja lääkinnän asiantuntijoiden kanssa, joille englanninkielinen kyberturvallisuuden ja tietosuojan sanasto ei ole tuttua. Hankittavan tuotteen myyjälle puolestaan on yleensä parasta lähettää englanninkielisestä versiosta poimitut vaatimukset, sillä useimpia sote-alan tuotteita myyvät kansainväliset yritykset, joille suomenkielisten tarjouspyyntöjen käsittely on vaikeaa ja virhealtista.

Kyberturvallisuuskeskus pitää saatavilla myös kalvosarjaa, joka perehdyttää tietojärjestelmän tai laitteen hankintaa suunnittelevan organisaation käyttämään listaa tuottavalla ja tarkoituksenmukaisella tavalla. Muista lukea myös kalvojen esittelijän muistiinpanot ("speaker's notes")!Kyberturvallisuuskeskus kokoaa kommentteja ja muutosehdotuksia listaa ja koulutusmateriaalia koskien. Kyberturvallisuuskeskus käsittelee ne säännöllisesti SOTE-ISAC:n kanssa ja julkaisee listasta ja koulutusmateriaalista tarvittaessa uudet laitokset

Kommentit, ehdotukset ja pyynnöt vaatimuslistaan liittyen

Ota yhteyttä: cert@traficom.fi

Vaatimuslista ja koulutusmateriaali

Lista perustuu Jari Seppälän Tampereen teknillisessä korkeakoulussa ja Tampereen yliopistossa tekemään alkuperäiseen työhön sekä Huoltovarmuuskeskuksen COREQ-VE teollisuusautomaation tietoturvahankkeeseen (2011-2012).