Lausunto terveyden ja hyvinvoinnin laitokselle 17.12.2021 (1099/03.01.00/2021), Kaisa-Maria Kimmel, Jari Ylikoski, Kauko Hartiainen

Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset

Terveyden ja hyvinvoinnin laitos pyytää Kuntaliitolta lausuntoa muutoksista Sosiaali- ja terveysalan tietolupaviranomaisen määräykseen muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista.

Muiden palveluntarjoajien tietoturvalliset käyttöympäristöt

Palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset on suhteutettava toisiolain tavoitteiden toteuttamiseen ja aineistojen käsittelyyn liittyviin riskeihin käyttöympäristössä.

Käyttöympäristöön kohdistuvien vaatimusten tulee mahdollistaa toisiolain tavoitteiden toteuttaminen. Palveluntarjoajan käyttöympäristöön siirrettävä aineisto on valikoitu lähtökohtaisesti jo tietoluvan perusteella, mikä tulee huomioida käyttöympäristölle asetettavien vaatimusten määrittelyssä.

Palveluntarjoajan tietoturvallista käyttöympäristöä koskevien vaatimusten tulee varmistaa toisiolain 18 §:n, 20.2 §:n sekä 21–29 §:ien edellytysten lisäksi toisiolain mukaan käsiteltävän tiedon käytettävyys ja saatavuus.

Määräyksen kohtaan 1.2 ehdotettua lisäystä "tietojen siirtäminen käyttäjäympäristöjen välillä on estetty" tulee arvioida toisiolain sallimien käyttötarkoitusten kannalta. Vaatimusten ei tule muodostua esteeksi sellaiselle tietojen yhdistämiselle, joka on toisiolain mukaan mahdollista.

Esimerkiksi pitkäaikaisessa rekisteritutkimuksessa saatetaan tehdä useita poimintoja eri aikoina, jolloin näiden aineistojen yhdistämiseksi tulee olla tarjolla käyttäjäystävällinen ja tietoturvallinen ratkaisu käyttäjäympäristön kautta. Siten tietolupaa koskevassa hakumenettelyssä on kiinnitettävä erityistä huomiota hankekokonaisuuden kannalta tarkoituksenmukaisen tietoluvan määrittelyyn ja neuvontaan, jotta käyttäjäympäristöön poimittavat tiedot ja käyttövaltuudet vastaavat hankekokonaisuuden käyttötarkoituksia.

Lisäksi pitkäkestoisen rekisteritutkimuksen lähteet myös elävät ajassa, jolloin saman hankkeen puitteissa voi nousta tarve poimintojen uusimiselle tai päivittämiselle. Tietoturvalliselle käyttöympäristölle asetettuja vaatimuksia tulee arvioida jatkossa esimerkiksi rekisterinpitäjyydessä mahdollisesti tapahtuvien muutosten sekä henkilötietojen kasautumisvaikutuksen varalta. Määräyksestä ei saa muutostilanteessa aiheutua kohtuuttomia vaatimuksia palveluntarjoajan vastuiden ja velvoitteiden toteuttamiselle eikä merkittäviä käyttöympäristön ylläpidon kustannusten nousua.

Tekniset vaatimukset

Palveluntarjoajan tietoturvallista käyttöympäristöä koskevat vaatimukset kiinnittyvät toimintaympäristön kannalta kriittisiin ja oleellisiin osa-alueisiin.

Teknisten vaatimusten osalta tulee kuitenkin kiinnittää huomiota palveluntarjoajalle aiheutuviin kustannuksiin, kun käyttöympäristöön kohdistuu palveluntarjoajan muihin järjestelmiin nähden poikkeavia tietoturvavaatimuksia.

Kohdan 2.4.2 vaatimukset lokitietojen keräämisestä ja säilyttämisestä tulee suhteuttaa lokienhallinnan kustannuksiin ja säilytettävien lokitietojen tarpeeseen. Palvelutarjoajan vastuulla on tietoturvallinen käyttöympäristö, tietoturvallisuuden hallinta ja ylläpito. Tietoturvallinen käyttöympäristö on samalla osa palveluntarjoajan laajempaa toimintaympäristöä, jota koskee sille asetetut velvoitteet sekä käyttöön otetut käytänteet. Nämä ovat palveluntarjoajan näkökulmasta toteutukseltaan yhteisen hallinnan alla.

2.4.2 kohdan 3. alakohdan vaatimusta 5 vuoden säilytysajasta olisi syytä täsmentää tietojärjestelmien, tietovarantojen (rekisterien), tietoaineistojen, pääsynhallinnan ja käyttövaltuushallinnan tasoilla. Viiden vuoden säilytysajan toteuttaminen on palveluntarjoajalle vaativa edellytys, joka pitäisi rajata vain toisiolain mukaan välttämättömiin toteutusten osa-alueisiin.

Toimijan luotettavuus

Määräyksen 3.1.2 kohdan vaatimuksia palveluntarjoajan ja käyttöympäristön tuottamiseen osallistuvien organisaatioiden luotettavuudesta tulee arvioida myös kansainvälisen rekisteritutkimuksen mahdollistamisen kannalta. Toisiolain 20.3 §:n mukainen aineiston luovuttamisen käsiteltäväksi muussa vaatimukset täyttävässä käyttöympäristössä tulee olla mahdollista niissä tilanteissa, joissa käsittely muussa käyttöympäristössä on hankkeen kannalta välttämätöntä. Määräyksessä asetettujen vaatimusten soveltamisessa tulee ottaa huomioon kansainvälisen tutkimusyhteistyön käytännön reunaehdot, jotta soveltaminen tukee toisiolain keskeistä tavoitetta kansainvälisen rekisteritutkimuksen edistämisestä. 

Liittyen 3.1.2 kohtaan 4. toimijan luotettavuuden osoittamisesta turvallisuuden hallintajärjestelmällä: Julkisen hallinnon toimintaympäristön käyttämien arviointimenetelmien soveltamisen tulisi riittää lähtökohtaisesti määräyksellä asetettujen vaatimusten täyttämiseksi. 

Tietoturvallinen käyttöympäristö toisiolain tavoitteiden mahdollistajana

Tietoturvallisen käyttöympäristön edellyttämien käytänteitten tulisi toimia mahdollistajana toisiolaissa esitetyille tiedon jakamisen ja hyödyntämisen tarpeille. Toisiokäytön mukaiselle tiedon käytettävyydelle ja saatavuudelle tulee antaa tarkoituksenmukainen painoarvo. Pistemäisten, teknologisten ratkaisujen tarve tulee kyetä arvioida kokonaisuuden kannalta käyttöympäristöä hallinnoivan tahon puolelta riskipohjaisen päätöksenteon mukaisesti, jotta teknologisesti liian kompleksiset ratkaisut ovat vältettävissä.

Suomen Kuntaliitto ry

Sari Raassina                                    Kaisa-Maria Kimmel
johtaja, sosiaali- ja terveysyksikkö       lakimies

tags