Sosiaali- ja terveydenhuollon tietojärjestelmien tulee Suomessa täyttää kyberturvan ja tietosuojan osalta tiukat vaatimukset, joita viranomaiset valvovat. Päävastuu valvonnasta on Valviralla, ja tietoturva-auditointeja suorittavien yritysten kelpoisuudet hyväksyy Traficomin alainen Kyberturvallisuuskeskus. Erityisesti Vastaamo-tietomurron vuoksi, mutta myös yleisten kyberturvauhkien kasvun takia tietojärjestelmien kyberturvasta huolehtimisen merkitys on kasvanut valtavasti viime aikoina.
”Procompin järjestelmät on tietenkin jo lähtökohtaisesti suunniteltu vastaamaan korkean turvatason vaatimuksia”, kertoo Procompin kotihoitojärjestelmistä vastaava johtaja Timo Mäntylä. ”Mutta katsoimme silti tarpeelliseksi hakea R2-optimoinnille sote-järjestelmien A-luokitusta, mikä tarkoitti ulkopuolisen auditoijan käyttöä ja perinpohjaista selvitystä R2:n tietoturvan riittävyydestä ulkoisia uhkia vastaan.”
Auditoinnin suoritti KPMG, joka on toinen Kyberturvallisuuskeskuksen hyväksymästä auditoijasta Suomessa. Auditointiin kuuluu kattava lista erilaisia teknisiä vaatimuksia, jotka järjestelmän tulee täyttää. Sen piiriin kuuluvat myös järjestelmän vaatimuksenmukaisuuden arviointi sekä ohjelmistokehittäjän laatujärjestelmä, jota kehitystyössä on noudatettava.
”Hyväksytysti läpiviety auditointi sekä meille myönnetty tietoturvallisuustodistus osoittavat, että R2-optimointi täyttää kaikki kyberturvaa ja tietosuojaa koskevat viranomaismääräykset”, Mäntylä sanoo. ”Valmistaudumme näin myös uuteen asiakastietolakiin, jonka määräykset astuvat voimaan 1.1.2024. Toki määräykset ovat pääosin olleet voimassa asetusten muodossa. Mutta toisaalta viranomaisvaatimukset kiristyvät jatkuvasti, ja myös asiakkaat osaavat vaatia auditoituja järjestelmiä. A1-tietoturvaluokitus on siis monella tavalla meillä arvokas asia.”
Saatu tietoturvaluokitus ei liity vain menneen, vaan myös tulevan kehitystyön arviointiin. A1-luokitellun järjestelmätoimittajan on pidettävä laatujärjestelmä jatkuvasti ajan tasalla, huolehdittava Valviran rekisteri-ilmoituksista, kun järjestelmiä otetaan tuotantokäyttöön tai siihen tehdään muutoksia sekä vastattava vaatimustenmukaisuustodistusten voimassaolosta.
”Kyberturvasta huolehtiminen on jatkuva projekti”, toteaa Timo Mäntylä. ”Ja niin sen kuuluu ollakin.”
