Terveydenhuoltoalan ohjelmistosovelluksen sopimuksellinen tietoturvariskien hallinta pilvipalveluympäristössä
Laasala, Pasi (2018)
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Pilvipalvelut yleistyvät nopeaa vauhtia yritysten käytössä. Palvelun käyttöön otosta on yrityksille useita hyötyjä. Se esimerkiksi mahdollistaa käyttöönottomallista riippuen sovelluksen käytön mistä tahansa internetyhteyden mahdollistavasta päätelaitteesta, laitteisto ja sovellus ovat aina käyttökunnossa sekä tietojen varmuuskopiointi ja suojaus on ajan tasalla palveluntoimittajan vastatessa niistä. Ulkopuolisen palveluntoimittajan vastatessa yritykselle arvokkaasta tiedosta, se aiheuttaa kuitenkin enemmän pohtimista yrityksessä tietoturvan sekä tiedon asianmukaisen säilytyksen varmistamisesta. Tietoturvariskit voivat liittyähenkilöstöturvallisuuteen, fyysiseen- ja laitteistoturvallisuuteen, tietoliikenneturvallisuuteen, ohjelmistoturvallisuuteen tai käyttöturvallisuuteen.
Myös terveydenhuoltoalan yritykset ovat alkaneet hyödyntämään pilvipalveluympäristöä asiakas- ja potilastietojen säilytys- ja käsittelyalustana. Koska yritysten käsittelemä tieto sisältää henkilö- sekä jopa arkaluonteisia sairaustietoja, tulee tietoturvan varmistaminen vielä tavallistakin oleellisemmaksi seikaksi. Yrityksen jonka toimipaikka sijaitsee Suomen alueella, tulee pilvipalveluita koskevissa juridisissa kysymyksissä soveltaa Suomen voimassaolevaa tietosuojalainsäädäntöä. Koska pilvipalveluissa palvelin, jolla yrityksen tietoja säilytetään voi periaatteessa sijaita missä päin maailmaa tahansa, on tietosuojan varmistamiseksi yrityksen oltava selvillä palvelimen sijainnista. Terveydenhuoltoalan yrityksissä henkilötietoja käsiteltäessä tietoja ei saa siirtää muutamia poikkeuksia lukuun ottamatta EU/ETA maiden ulkopuolisiin valtioihin.
Jotta, yritys pystyisi varmistamaan mahdollisimman hyvän tietoturvan, sen tulisi varmistua hyvästä tiedonhallintatavasta. Keskeistä on tiedon laadun säilyttäminen, tiedon saatavuus, eheys sekä tiedon suojaaminen. Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä on säädetty ohjelmistovalmistajan yleisistä velvollisuuksista. Pilvipalveluasiakkaan vastuista on säädetty henkilötietolaissa. Pilvipalveluntoimittajan vastuuta ohjaa lähinnä lainsäädäntö, pilvipalvelusopimus sekä millä pilvipalveluntasolla toimitaan.
Myös terveydenhuoltoalan yritykset ovat alkaneet hyödyntämään pilvipalveluympäristöä asiakas- ja potilastietojen säilytys- ja käsittelyalustana. Koska yritysten käsittelemä tieto sisältää henkilö- sekä jopa arkaluonteisia sairaustietoja, tulee tietoturvan varmistaminen vielä tavallistakin oleellisemmaksi seikaksi. Yrityksen jonka toimipaikka sijaitsee Suomen alueella, tulee pilvipalveluita koskevissa juridisissa kysymyksissä soveltaa Suomen voimassaolevaa tietosuojalainsäädäntöä. Koska pilvipalveluissa palvelin, jolla yrityksen tietoja säilytetään voi periaatteessa sijaita missä päin maailmaa tahansa, on tietosuojan varmistamiseksi yrityksen oltava selvillä palvelimen sijainnista. Terveydenhuoltoalan yrityksissä henkilötietoja käsiteltäessä tietoja ei saa siirtää muutamia poikkeuksia lukuun ottamatta EU/ETA maiden ulkopuolisiin valtioihin.
Jotta, yritys pystyisi varmistamaan mahdollisimman hyvän tietoturvan, sen tulisi varmistua hyvästä tiedonhallintatavasta. Keskeistä on tiedon laadun säilyttäminen, tiedon saatavuus, eheys sekä tiedon suojaaminen. Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä on säädetty ohjelmistovalmistajan yleisistä velvollisuuksista. Pilvipalveluasiakkaan vastuista on säädetty henkilötietolaissa. Pilvipalveluntoimittajan vastuuta ohjaa lähinnä lainsäädäntö, pilvipalvelusopimus sekä millä pilvipalveluntasolla toimitaan.