Tietojärjestelmän tietoturvallisuus ja tietosuoja on helpointa ja tehokkainta huomioida jo siinä vaiheessa, kun järjestelmän hankintaa vasta suunnitellaan. Huolellisella hankinnan suunnittelulla voidaan estää tietoturvaloukkauksia ja välttää kalliita korjauksia. Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa kehitettiin vuosina 2018-2019 tietoturva- ja tietosuojavaatimusten lista käytettäväksi sosiaali- ja terveysalan hankinnoissa. Listan käyttö vaatii hieman perehtymistä hankintaa tekevältä organisaatiolta. Listaa ei ole tarkoitettu liitettäväksi sellaisenaan jokaiseen tarjouspyyntöön.
Käytä vapaasti - parilla ehdolla
Kyber-Terveys-hanke on julkaissut listan Creative Commons Nimeä 4.0 -lisenssillä (CC BY 4.0) (Ulkoinen linkki). Se tarkoittaa, että saat käyttää listaa mihin tarkoitukseen haluat, muokata sitä niin kuin haluat ja jakaa sitä eteenpäin niin kuin haluat, seuraavilla ehdoilla:
- Nimeä - Sinun on mainittava lähde asianmukaisesti, tarjottava linkki lisenssiin sekä merkittävä, mikäli olet tehnyt muutoksia. Voit tehdä yllä olevan millä tahansa kohtuullisella tavalla, mutta et siten, että annat ymmärtää lisenssinantajan suosittelevan sinua tai teoksen käyttöäsi.
- Ei muita rajoituksia - Et voi asettaa sellaisia oikeudellisia ehtoja tai teknisiä estoja, jotka estävät oikeudellisesti muita tekemästä mitään sellaista, minkä lisenssi sallii.
Hyvä käytäntö, muttei virallinen ohje
Tietoturva- ja tietosuojavaatimusten lista on luonteeltaan sote-alan kyberturvallisuuden ja tietosuojan asiantuntijoiden yhteinen käsitys hyvistä käytännöistä, mutta se ei ole virallinen ohje tai suositus. Kyber-Terveys-hankkeessa tehtiin huomattava työ sen eteen, että listassa olisi esimerkkejä siitä, miten erityisesti terveydenhuoltoalan tietojärjestelmien ja laitteiden virallisesti vaadittuja tietoturva- ja tietosuojatavoitteita voitaisiin toteuttaa.
Versiot ja laitokset
Kyberturvallisuuskeskus pitää tällä verkkosivulla julkisesti saatavilla suomen-, ruotsin- ja englanninkielistä versiota listasta. Kieliversiot ovat keskenään yhtäpitävät. Tällä verkkosivulla on saatavilla jokaisen version uusin laitos. Jos haluat käyttöösi aikaisemman laitoksen, pyydä sitä Kyberturvallisuuskeskukselta. Yhteystiedot ovat alla.
Suomen- ja ruotsinkieliset versiot ovat erityisen hyödyllisiä vaatimusten läpikäyntiin ja valitsemiseen paikallisten hankintojen ja lääkinnän asiantuntijoiden kanssa, joille englanninkielinen kyberturvallisuuden ja tietosuojan sanasto ei ole tuttua. Hankittavan tuotteen myyjälle puolestaan on yleensä parasta lähettää englanninkielisestä versiosta poimitut vaatimukset, sillä useimpia sote-alan tuotteita myyvät kansainväliset yritykset, joille suomen- tai ruotsinkielisten tarjouspyyntöjen käsittely on vaikeaa ja virhealtista.
Kyberturvallisuuskeskus pitää saatavilla myös kalvosarjaa, joka perehdyttää tietojärjestelmän tai laitteen hankintaa suunnittelevan organisaation käyttämään listaa tuottavalla ja tarkoituksenmukaisella tavalla. Muista lukea myös kalvojen esittelijän muistiinpanot ("speaker's notes")! Kyberturvallisuuskeskus kokoaa kommentteja ja muutosehdotuksia listaa ja koulutusmateriaalia koskien. Kyberturvallisuuskeskus käsittelee ne säännöllisesti SOTE-ISAC:n kanssa ja julkaisee listasta ja koulutusmateriaalista tarvittaessa uudet laitokset.
Kommentit, ehdotukset ja pyynnöt vaatimuslistaan liittyen
Ota yhteyttä: kyberturvallisuuskeskus@traficom.fi
Vaatimuslista ja koulutusmateriaali
Lista perustuu Jari Seppälän Tampereen teknillisessä korkeakoulussa ja Tampereen yliopistossa tekemään alkuperäiseen työhön sekä Huoltovarmuuskeskuksen COREQ-VE teollisuusautomaation tietoturvahankkeeseen (2011-2012).