Lausunto annettu 23.6.2020.
Suomen itsenäisyyden juhlarahaston Sitran lausunto Sosiaali- ja terveysalan tietolupaviranomainen Findatalle
MUIDEN PALVELUNTARJOAJIEN TIETOTURVALLISILLE KÄYTTÖYMPÄRISTÖILLE ASETETTAVAT VAATIMUKSET
Lausuntopyyntö: THL/2492/4.00.00/2020
Määräyskirje
Lausuntonne tästä kohdasta:
Kokonaisuudessaan tietoturvaa pitää arvioida riskiperusteisesti. Tietolupaviranomaisen ympäristö on tarkoitettu erittäin laajoille aineistoille, jotka ovat kasautumisvaikutuksen takia korkean teknisen suojauksen tarpeessa.
Määräyksellä tulee ennen kaikkea tukea toisiolain tavoitetta (1§) …/mahdollistaa sosiaali- ja terveydenhuollon toiminnassa …/… tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely. Tietoturvallisille käsittely-ympäristöille asetettavat vaatimukset tulee siis olla oikein mitoitetut mahdollistavan ja tehokkaan toimeenpanon kanssa. Väärin mitoitetut tai käytännön työtä kohtuuttomasti haittaavat vaatimukset voivat tosiasiallisesti heikentää tietoturvaa.
1.1 Toiminnallinen yleiskuvaus
Toiminnallinen yleiskuvaus on asianmukainen:
Jokseenkin samaa mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riski on, että ratkaisusta tulee liian vaativa, raskas ja kallis.
Yleisesti ottaen olisi syytä huomioida eri tietoluokkien vaatimat tietoturvatasot. Tekniset ratkaisut tulisi miettiä laissa määriteltyjen ja tiedon käyttötarkoituksen mukaisesti.
Teknisten vaatimusten tulisi luoda reunaehdot tietoturvalliselle käytölle. Näiden reunaehtojen mukaisia käyttöympäristön palveluja voi tuottaa useat palveluntarjoajat, jotka voivat olla sekä yksityisiä että julkisia.
1.2 Tekninen arkkitehtuuri
Tekninen arkkitehtuuri on asianmukainen:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Arkkitehtuurikuvaus ei tuo esiin sitä, että tietoturvallisia käyttöympäristöjä voi olla useita. Toisiolain tavoitteena ei ole ollut se, että olisi olemassa ainoastaan yksi Findatan yhteydessä toimiva kansallinen tietoturvallinen käyttöympäristö.
Arkkitehtuurikuvaus on siten ristiriidassa toisiolain hengen kanssa.
1.3 Määritelmät
Lausuntonne tästä kohdasta:
Määritelmistä puuttuu muiden palveluntarjoajien näkökulma.
1.4 Käyttöympäristöjen palveluntarjoajat
Lausuntonne tästä kohdasta:
Resurssien tehokkuuden kannalta olisi tärkeää olla runsaasti niin julkisia kuin yksityisiä palveluntarjoajia. Kriteeristöjen tulisi mahdollistaa tämä.
1.5 Luotetut tunnistefederaatiot
Lausuntonne tästä kohdasta:
Tunnistautumisjärjestelmien tulee mahdollistaa myös ulkomaisten tahojen turvallinen pääsy järjestelmiin.
2.1.2 Tietolupaviranomaisen asettamat vaatimukset:
Tunnistautumiseen liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä voi olla, että ratkaisusta tulee liian vaativa ja raskas. Tunnistautumisjärjestelmien tulee mahdollistaa myös ulkomaisten tahojen turvallinen pääsy järjestelmiin.
2.2.2 Tietolupaviranomaisen asettamat vaatimukset:
Käyttäjien ja käyttöoikeuksien hallintaan liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä voi olla, että ratkaisusta tulee liian vaativa ja raskas. Tunnistautumisjärjestelmien tulee mahdollistaa myös ulkomaisten tahojen turvallinen pääsy järjestelmiin.
2.3.2 Tietolupaviranomaisen asettamat vaatimukset:
Ympäristön suojaamiseen liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Tiedon ensisijaisen käytön vaatimukset ovat kevyemmät kuin toissijaisen käytön. Esimerkiksi terveydenhuollon käytössä olevien tietojärjestelmien hyväksytyt tietoturvavaatimukset ovat kevyempiä kuin tässä ehdotetut toisiokäytön vaatimukset. Ehdotuksessa tulisi ottaa huomioon nykyinen taso ja olemassa olevat käytännöt ja rakentaa niiden päälle realistinen polku tietoturvalliseen käyttöympäristöön.
Tietoturvallisen käyttöympäristön ratkaisun tulisi huomioida myös se, että palveluntuottajia tulee voida olla useita.
Yleisesti ottaen eurooppalaiset arkaluontoista dataa käsittelevät julkiset toimijat käyttävät jo tietoturvallisia pilvipalveluratkaisuja, jotka ovat kustannustehokkaita ja joiden tietoturvaa kehitetään ajantasaisesti.
2.4.2 Tietolupaviranomaisen asettamat vaatimukset:
Lokitukseen liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin samaa mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä voi olla, että ratkaisusta tulee liian vaativa ja raskas.
2.5.1 Tietolupaviranomaisen asettamat vaatimukset:
Valvontaan liittyvät vaatimukset ovat asianmukaisia:
Täysin samaa mieltä
Lausuntonne tästä kohdasta:
Ei kommentoitavaa
2.6.1 Tietolupaviranomaisen asettamat vaatimukset:
Aineistojen poistoon liittyvät vaatimukset ovat asianmukaisia:
Täysin samaa mieltä
Lausuntonne tästä kohdasta:
Huomioitava myös arkistointiin liittyvät vaatimukset, erityisesti yhteiskunnallisesti merkittävien aineistojen arkistointi.
2.7.1 Tietolupaviranomaisen asettamat vaatimukset:
Ympäristön hallintaan ja valvontaan liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä voi olla, että ratkaisusta tulee liian vaativa ja raskas.
3.1.2 Tietolupaviranomaisen asettamat vaatimukset:
Toimijan luotettavuuteen liittyvät yleiset vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä on, että ratkaisusta tulee liian vaativa ja raskas.
Ehdotuksessa olisi hyvä selventää mitä kohdalla kolme (Palveluntarjoajan tulee olla kokonaan Suomen lainsäädännön piirissä ja Sosiaali- ja terveysalan lupa- ja valvontaviraston valvottavissa.) Otettava huomioon myös EU lainsäädännön kehitys.
3.2.1 Tietolupaviranomaisen asettamat vaatimukset:
Tietosuojaan liittyvät vaatimukset ovat asianmukaisia:
Täysin samaa mieltä
Lausuntonne tästä kohdasta:
Ei kommentoitavaa
3.3.1 Tietolupaviranomaisen asettamat vaatimukset:
Toimitiloihin liittyvät vaatimukset ovat asianmukaisia:
Täysin eri mieltä
Lausuntonne tästä kohdasta:
Tiedon ensisijaisen käytön vaatimukset ovat kevyemmät kuin toissijaisen käytön. Esimerkiksi terveydenhuollon käytössä olevien tietojärjestelmien hyväksytyt tietoturvavaatimukset ovat kevyempiä kuin tässä ehdotetut toisiokäytön vaatimukset. Ehdotuksessa tulisi ottaa huomioon nykyinen taso ja olemassa olevat käytännöt ja rakentaa niiden päälle realistinen polku tietoturvalliseen käyttöympäristöön.
Tietoturvallisen käyttöympäristön ratkaisun tulisi huomioida myös se, että palveluntuottajia tulee voida olla useita. Teknologinen, esimerkiksi pilvipalveluratkaisujen kehitys tulisi ottaa huomioon. Vaarana on, että ehdotettu ratkaisu halvaannuttaa tutkimustoiminnan täysin. Ratkaisussa otettava huomioon myös eri tasoiset tutkimushankkeet, jota kyseinen ehdotus ei huomioi.
3.4.1 Tietolupaviranomaisen asettamat vaatimukset:
Henkilöstöön liittyvät vaatimukset ovat asianmukaisia:
Täysin samaa mieltä
Lausuntonne tästä kohdasta:
Ei kommentoitavaa
4 Tietoturvallisen käyttöympäristön keskeiset prosessivaiheet
Keskeisiin prosessivaiheisiin liittyvät vaatimukset ovat asianmukaisia:
Jokseenkin eri mieltä
Lausuntonne tästä kohdasta:
Vaatimustaso on tavoitteena sinänsä hyvä, mutta riskinä voi olla, että ratkaisusta tulee liian vaativa ja raskas. Tulisi ottaa huomioon nykytilanne ja muodostaa realistinen, toteutettavissa oleva polku niin resurssien kuin aikataulun osalta kohti tavoitetilaa, jota tämä määräys kuvaa.
Suosittelemme
Tästä eteenpäin.