Huolehtivatko sote-toimijoille palveluita tarjoavat yritykset riittävästä kyberturvallisuudesta?
Kunnollista tietosuojaa on mahdotonta toteuttaa ilman teknisiä ja organisatorisia tietoturvatoimia. Oikein ymmärrettynä kyberturvallisuus laajentaa tarkastelun koko toiminnan turvallisuudesta varmistumiseen. Kohtaavatko teoriat ja käytännöt sote-alalle palveluita tuotettaessa?
Sote-alan tiedonhallintaan ja erityisesti asiakas- ja potilastietojen tietoturvallisuudesta huolehtimisen yhteyteen liitetään mm. sote-kokonaisarkkitehtuuria, kanta-arkkitehtuuria sekä näiden kautta viittauksia lukemattomiin eri standardeihin ja hyviin käytäntöihin. Perusteltua on pohtia, että pystyvätkö kaikki sote-toimijoille palveluita tarjoavat tahot täyttämään kaikki myös keskenään hieman eri tavalla asioita painottavat hallinnolliset menettelyt täydellisesti. Etenkin tietoturvallisuuteen ja myös tietosuojaan liittyy riskien tunnistaminen ja riskiperusteisuus – siis riskienhallinnan näkökulma. Riskiperusteisuudessa korostetaan riskienhallinnan jatkuvuutta ja arviointien toistuvuutta – ei siis pelkästään yhteen tiettyyn hetkeen ja tietyissä olosuhteissa vallinneeseen tilanteeseen pysähtyvää käsitystä.
Onko riskienhallinta tarpeeksi aktiivista ja oikeassa suhteessa vaatimuksiin nähden?
Sote-toimijan tulisi säännöllisesti pysähtyä tarkistamaan kaikkien alihankintatahojensa osalta, milloin niiden kyberturvallisuuden taso ja vaatimustenmukaisuus on viimeksi arvioitu. Liian helposti hyvät käytännöt jäävät vain mantrana toisteltaviksi korulauseiksi, joiden toteutuminen tai niiden noudattaminen jää käytännössä osoittamatta. EU:n tietosuoja-asetuksen (2016/679) viidennen artiklan ensimmäisessä kohdassa luetellaan pakollisesti noudatettaviksi säädetyt tietosuojaperiaatteet. Saman artiklan toisessa kohdassa säädetään osoitusvelvollisuudesta, eli rekisterinpitäjän on kyettävä osoittamaan noudattaneensa ensimmäisessä kohdassa mainittuja tietosuojaperiaatteita.
Palveluita tarjoavan yrityksen kyberturvallisuuden arvioinnissa sote-toimijan kannattaa kiinnittää huomiota erityisesti seuraaviin seikkoihin:
- Kuinka yritys on toteuttanut tietoturvallisuuden hallinnan?
- Miten yritys huolehtii sisäänrakennetusta ja oletusarvoisesta tietosuojasta?
- Kattaako yrityksen riskienhallinta koko organisaation toiminnan?
- Onko olemassa selkeää menettelyä poikkeamien (mukaan lukien henkilötietojen tietoturvaloukkaukset) havaitsemiseen ja käsittelyyn?
Kaikkiin em. näkökulmiin liittyy ohjeita ja kuvauksia, vastuiden määrittelyä sekä prosessin hallintaa, jotka ovat organisaation ylimmän johdon hyväksymiä. Mahdollisilla sertifikaateilla tai standardeilla voidaan helpottaa yleistä vaatimustenmukaisuuden osoittamista.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Terveys- ja sosiaalipalvelut |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Tecinspire Oy - Dev Team Lead - Kehityksen tiimipäällikkö
- Laura - IT Manager
- Laura - Network Specialist
- Laura - Tiedonhallinnan erityisasiantuntija
- Laura - Junior Cyber Security Specialist
- Laura - Senior Cyber Security Specialist
- Red & Blue Oy - Projektipäällikkö verkkopalvelu- ja verkkokauppaprojekteihin
Premium-asiakkaiden viimeisimmät referenssit
- Verkkovaraani Oy - Lentorata.fi-sivuston saavutettavuusauditointi
- Innofactor Oyj - Apotek 1 tarjoaa innovatiivisia palveluja Azure Kubernetes -ratkaisun avulla
- Innofactor Oyj - Business Centralin lisäarvoratkaisut tehostavat Domicetin liiketoimintaa
- Efima Oyj - Case Martela: Luottamus ERP-kumppaniin rakentui tehtaan lattialla
- Valve - Korsisaari uudistunut verkkopalvelu
- Valve - Musiikkituottajat – IFPI Finland ry verkkopalvelun uudistus
- Valve - Näytelmät.fi verkkosivusto
Tapahtumat & webinaarit
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 23.05.2024 - Ilmainen BI ja ERP-webinaari: Paradigman muutos
- 28.05.2024 - SprintIT webinaari ti 28.5. klo 10: Odoo Raportointi - Sitä saat mitä mittaat!
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
- 29.05.2024 - Ilmainen ERP-webinaari: Forbesin maailman parhaaksi valitseman liiketoimintaohjelmiston, Business Centralin, esittely ja demo
- 30.05.2024 - Palvelumuotoilu osana DevOpsia
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Milesight UR32L Lite Series teollisuusreititin hintaan 115,00€!
- Innofactor Oyj - Dynasty Asiointipalvelun 3 tärkeintä hyötyä
- Efima Oyj - Microsoft Fabric -sanakirja: esittelyssä Fabricin analytiikkatyökalut
- Staria Oyj - Citycon ulkoistaa pohjoismaiseen talous- ja vuokrahallintoon liittyvät toiminnot Starialle
- Timeless Technology - Perlen 4G ja 5G reitittimet: Virtaviivaista verkonhallintaasi Docker OCI-säilöillä.
- Ready Solutions Oy - Lakehouse – alusta vai tietovarasto moderniin analytiikkakehitykseen?
- Ready Solutions Oy - Mitä on saatavienhallinnan analytiikka?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |