Liikenne- ja viestintävirasto Traficom on määritellyt, millä edellytyksillä sen hyväksymä tietoturvallisuuden arviointilaitos voi tehdä sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain mukaisen käyttöympäristön tietoturvallisuuden arvioinnin ja antaa vaatimusten täyttymistä koskevan todistuksen.
Traficomin mukaan arviointilaitoksen pätevyysalueen tulee kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI) tai Katakri.
Tällä hetkellä edellä mainittu pätevyys on kahdella arviointilaitoksella: Nixu Certification Oy:llä ja KPMG IT Sertifiointi Oy:llä. Lisätietoja Traficomin Kyberturvallisuuskeskuksen verkkosivuilta: https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/arviointi-hyvaksynta-ja-neuvonta/hyvaksytyt-tietoturvallisuuden-arviointilaitokset
Tietoturvallisten käyttöympäristöjen palveluntarjoajat voivat olla suoraan yhteydessä arviointilaitoksiin, mikäli haluavat teettää käyttöympäristölleen kyseisen arvioinnin ja saada siitä todistuksen.
”Jos käyttöympäristön arviointi on vielä suorittamatta, liikkeelle kannattaa lähteä mahdollisimman pian. Silloin työt tietoturva-auditointia vaativissa käyttöympäristöissä voivat jatkua jouhevasti”, sanoo yksikön päällikkö Janne Allonen Traficomin Kyberturvallisuuskeskuksesta.
On hyvä huomioida, että yleensä tietoturvallisuuden arviointi edellyttää valmistautumista myös palveluntarjoajalta.
”Arviointiin on hyvä varata riittävästi aikaa, koska tietoturva-auditoinnissa käsitellään organisaation tietoturvaa laaja-alaisesti ja se vie oman aikansa”, Allonen jatkaa.
Taustalla Findatan antama määräys tietoturvallisten käyttöympäristöjen vaatimuksista
Sosiaali- ja terveysalan tietolupaviranomainen Findata antoi 5.10.2020 määräyksen, joka kuvaa muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset. Sen tarkoitus on antaa kriteerit tietoturva-auditoinnille. Määräys koskee sosiaali- ja terveystietojen toissijaista käyttöä.
Yksilötasoisten aineistojen analysointi on 1.5.2021 lähtien sallittua ainoastaan määräyksen vaatimukset täyttävissä käyttöympäristöissä. Lisäksi käyttöympäristön on oltava arvioitu tietoturvallisuuden arviointilaitoksen toimesta ja arvioinnista tulee olla todistus.
Määräystä sovelletaan kaikkiin niihin toisiolaissa säädettyihin käyttötarkoituksiin, joihin tarvitaan tietolupa. Näitä käyttötarkoituksia ovat tieteellinen tutkimus, tilastointi, opetus sekä viranomaisen suunnittelu- ja selvitystehtävä. Opetuksen osalta määräys koskee opetusaineiston valmistamista, ei varsinaista opetusta.
Aineistot luovutetaan pääsääntöisesti aina Findatan käyttöympäristöön. Toisiolaki kuitenkin mahdollistaa tietojen luovuttamisen myös muuhun käyttöympäristöön, mikäli se on välttämätöntä.
Määräys ei koske ennen 1.5.2021 voimassa olevia lupia ja niiden perusteella luovutettuja aineistoja.
Katso myös:
- Hyväksytyt tietoturvallisuuden arviointilaitokset (Traficomin Kyberturvallisuuskeskus): https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/arviointi-hyvaksynta-ja-neuvonta/hyvaksytyt-tietoturvallisuuden-arviointilaitokset
- Uutinen: Findata on antanut määräyksen tietoturvallisten käyttöympäristöjen vaatimuksista
- Sosiaali- ja terveysalan tietolupaviranomaisen määräys: Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset (PDF 2,6 Mt, aukeaa uuteen ikkunaan)
Lisätietoa:
Janne Allonen
yksikön päällikkö, Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus
etunimi.sukunimi@traficom.fi
