Huolehtivatko sote-toimijoille palveluita tarjoavat yritykset riittävästä kyberturvallisuudesta?
Kunnollista tietosuojaa on mahdotonta toteuttaa ilman teknisiä ja organisatorisia tietoturvatoimia. Oikein ymmärrettynä kyberturvallisuus laajentaa tarkastelun koko toiminnan turvallisuudesta varmistumiseen. Kohtaavatko teoriat ja käytännöt sote-alalle palveluita tuotettaessa?
Sote-alan tiedonhallintaan ja erityisesti asiakas- ja potilastietojen tietoturvallisuudesta huolehtimisen yhteyteen liitetään mm. sote-kokonaisarkkitehtuuria, kanta-arkkitehtuuria sekä näiden kautta viittauksia lukemattomiin eri standardeihin ja hyviin käytäntöihin. Perusteltua on pohtia, että pystyvätkö kaikki sote-toimijoille palveluita tarjoavat tahot täyttämään kaikki myös keskenään hieman eri tavalla asioita painottavat hallinnolliset menettelyt täydellisesti. Etenkin tietoturvallisuuteen ja myös tietosuojaan liittyy riskien tunnistaminen ja riskiperusteisuus – siis riskienhallinnan näkökulma. Riskiperusteisuudessa korostetaan riskienhallinnan jatkuvuutta ja arviointien toistuvuutta – ei siis pelkästään yhteen tiettyyn hetkeen ja tietyissä olosuhteissa vallinneeseen tilanteeseen pysähtyvää käsitystä.
Onko riskienhallinta tarpeeksi aktiivista ja oikeassa suhteessa vaatimuksiin nähden?
Sote-toimijan tulisi säännöllisesti pysähtyä tarkistamaan kaikkien alihankintatahojensa osalta, milloin niiden kyberturvallisuuden taso ja vaatimustenmukaisuus on viimeksi arvioitu. Liian helposti hyvät käytännöt jäävät vain mantrana toisteltaviksi korulauseiksi, joiden toteutuminen tai niiden noudattaminen jää käytännössä osoittamatta. EU:n tietosuoja-asetuksen (2016/679) viidennen artiklan ensimmäisessä kohdassa luetellaan pakollisesti noudatettaviksi säädetyt tietosuojaperiaatteet. Saman artiklan toisessa kohdassa säädetään osoitusvelvollisuudesta, eli rekisterinpitäjän on kyettävä osoittamaan noudattaneensa ensimmäisessä kohdassa mainittuja tietosuojaperiaatteita.
Palveluita tarjoavan yrityksen kyberturvallisuuden arvioinnissa sote-toimijan kannattaa kiinnittää huomiota erityisesti seuraaviin seikkoihin:
- Kuinka yritys on toteuttanut tietoturvallisuuden hallinnan?
- Miten yritys huolehtii sisäänrakennetusta ja oletusarvoisesta tietosuojasta?
- Kattaako yrityksen riskienhallinta koko organisaation toiminnan?
- Onko olemassa selkeää menettelyä poikkeamien (mukaan lukien henkilötietojen tietoturvaloukkaukset) havaitsemiseen ja käsittelyyn?
Kaikkiin em. näkökulmiin liittyy ohjeita ja kuvauksia, vastuiden määrittelyä sekä prosessin hallintaa, jotka ovat organisaation ylimmän johdon hyväksymiä. Mahdollisilla sertifikaateilla tai standardeilla voidaan helpottaa yleistä vaatimustenmukaisuuden osoittamista.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Terveys- ja sosiaalipalvelut |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
- Laura - Software Engineer
- Red & Blue Oy - Senior Web Developer
- Laura - Cybersecurity Compliance Lead
- Efima Oyj - Senior Data Engineer
- Laura - Tietosuojasuunnittelija: tiedonhallinta- ja tietosuojayksikkö; Joensuu; määräaikainen (id8753)
Premium-asiakkaiden viimeisimmät referenssit
- Roidu Oy - Eloisa - työntekijäkokemuksen kehittäminen osa toimintaa ja strategiaa
- Roidu Oy - Eerikkilä sai kerättyä palautetta erityisesti lapsilta ja nuorilta Roidun avulla
- Roidu Oy - Pohjanmaan hyvinvointialue tavoittelee Pohjoismaiden huippua asiakas- ja potilasturvallisuudessa
- Roidu Oy - Esperi Caren asiakaskokemuksen mittaaminen vietiin uudelle tasolle
- Virnex Group Oy - Palvelu asumisturvallisuuden parantamiseen
- Lekab Communication Systems Oy - Lekab Communication Systems Oy voitti Kansaneläkelaitoksen kilpailutuksen ohjelmistorobotiikan alustaratkaisusta
- Verkkovaraani Oy - Google Ads -konsultaatio Nordic Progressille
Tapahtumat & webinaarit
- 30.04.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales: Integroinnit CRM-ratkaisun kanssa
- 07.05.2024 - Koulutus: Tekoäly markkinoijan työkaluna
- 07.05.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales | Sisäänrakennetun BI-moduulin käyttö toimintojen suunnitteluun ja tulosraportointiin
- 07.05.2024 - Aamiaisseminaari: Kehitä ohjelmistoja tehokkaammin tekoälyllä
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
Premium-asiakkaiden viimeisimmät bloggaukset
- Rakettitiede Oy - Kaksi yrityskulttuuria, yksi konsultti
- Zone Media Oy - Zone blogissa joka viikko uusi blogijuttu
- Zone Media Oy - Zone+:n hyödyllisiä ominaisuuksia: WordPressin staging-ympäristö
- Zone Media Oy - Zone+ WordPress Assistant: kuinka luoda verkkosivusto sekunneissa tekoälyn avulla
- Kamu Digital Oy - Koulutus: Tekoäly markkinoijan työkaluna
- Kamu Digital Oy - Tekoäly markkinoinnissa
- Kamu Digital Oy - Vinkit tekoälyn promtaamiseen eli kehotemuotoiluun
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |