Ohje sote-tietojärjestelmien pilvipalveluihin valmistunut — pilvipalveluiden tietoturva paremmalla tasolla kuin perinteisillä ICT-palveluilla

Uuden sote-tietojärjestelmät pilvipalveluina -soveltamisohjeen mukaan pilvipalveluiden tietoturva on yleensä parempaa kuin perinteisissä ICT-palveluissa.

Lataa ohje käyttöösi Kuntaliiton sivuilta. 

Katso myös julkaisuseminaarin tallenne. Tallenteella on mielenkiintoisia keskusteluja muun muassa julkishallinnon pilvistrategiasta ja jatkuvuudenhallinnasta.

— Uuden ohjeemme mukaan pilvipalvelut soveltuvat oikein hyvin myös salassa pidettäviin soten asiakastietoihin. Pilvipalveluiden tietoturva on yleensä jopa paremmalla tasolla kuin lähikonesalista tuotetussa palvelussa, NHG Salivirran Jouko Kuisma kertoo.

Sote-tiedot ovat isolta osalta salassa pidettäviä sosiaali- ja terveydenhuollon asiakastietoja, jotka on aina suojattava ulkopuolisilta. Pilvipalveluita käytetään hyvin laajasti myös salassa pidettävän soten asiakastiedon käsittelyyn.

Suomessa julkisen terveydenhuollon kriittiset järjestelmät on toteutettu yhä pääsääntöisesti kotimaassa sijaitsevista konesaleista. Maailmalla näitäkin järjestelmiä on viety pilveen.

— Tulevaisuuden trendinä näyttää olevan, että pilviteknologian käyttö yleistyy myös sote-palveluissa. Tätä varmasti vauhdittaa ymmärrys siitä, että sote-palveluille olennainen tietoturva toteutuu lähtökohtaisesti paremmin pilvipalvelussa, Kuisma arvioi.

Sääntelyssä ei ole esiteitä asiakastietojen käsittelyyn pilvipalveluissa

Valtionvarainministeriö suosittelee pilvipalveluiden käyttöä aina ensisijaisena, silloin kun ne ovat paras ratkaisu tarpeeseen.

Sääntely on sama pilvipalveluille sekä perinteisemmillä palvelu- ja tuotantomalleilla tuotetuille ICT-palveluille.

— Sääntelyn osalta asiakastietojen käsittelylle pilvipalvelussa ei ole esteitä. Euroopan tietosuoja-asetus, eli GDPR, takaa henkilötiedon vapaan liikkuvuuden. Tietoja voidaan siis käsitellä EU tai ETA-alueella samoilla perusteilla kuin Suomessakin, toteaa soveltamisopas-projektia vetänyt NHG Salivirran Perttu Pöyhtäri.

Pilvipalveluiden jatkuvuudenhallintaan työkaluksi skenaariopohjainen riskianalyysi

Julkaistussa soveltamisohjeessa keskitytään lisäksi pilvipalveluiden jatkuvuudenhallintaan. Ohjeessa järjestelmät on luokiteltu neljään luokkaan toiminnan kriittisyyden mukaisesti: operatiivisesti kriittiset, operatiivista toimintaa tukevat, tukijärjestelmät sekä tutkimus ja kehittäminen

— Kun pilvipalvelut yleistyvät, korostuu myös jatkuvuudenhallinnan merkitys. Olemme ohjeessa tuoneet tähän työkaluksi skenaarioihin pohjautuvan riskianalyysin, jossa hyödynnetään niin sanottua sipulimallia. Sipulimallissa eri kerrokset kuvaavat tuotannon eri osia. Se visualisoi pilvipalveluiden vaikutusta erilaisissa riskeissä, Kuisma kertoo.

Sote-tietojärjestelmät pilvipalveluina -soveltamisohjeen on tuottanut AKUSTI. AKUSTI on verkosto, joka tukee sosiaali- ja terveydenhuollon tietohallinnon muutoksia.