Terveydenhuolto

Toisiokäytön keskeiset määritelmät ja lisätiedot

På svenska ⁄ In English

Toisiokäytön keskeiset määritelmät ja lisätiedot Pääsisältö

Keskeiset määritelmät

Tietoturvallinen käyttöympäristö

Tietoturvallinen käyttöympäristö tarkoittaa teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä, jossa tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin. Asianmukaisilla toimilla tarkoitetaan toisiolaissa kuvattuja ja Sosiaali- ja terveysalan tietolupaviranomaisen Findatan määräyksen vaatimukset täyttäviä toimia.

Käyttöympäristön palveluntarjoaja

Käyttöympäristön palveluntarjoaja tarkoittaa toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita. Mikäli käyttöympäristö koostuu useiden palveluntarjoajien kokonaisuudesta, ilmoitetaan Valviran toisiokäyttöympäristöjen rekisteriin yksi kokonaisuutta edustava palveluntarjoaja. Palveluntarjoajaorganisaatiot vastaavat keskenään omista sopimus- ja vastuusuhteistaan. Valvira hoitaa ohjaus- ja valvontatoimet rekisteriin ilmoitetun palveluntarjoajan kanssa.

UKK - Usein kysytyt kysymykset

Rekisteröinti

1A. Kysymys

Miksi toisiokäyttöympäristöt tulee rekisteröidä Valviran rekisteriin?

1A. Vastaus

Toisiokäyttöympäristöjen rekisteröintiä edellytetään toisiolaissa. Rekisteröinti on osa käyttöympäristön vaatimustenmukaisuuden osoittamista. Käyttöympäristön palveluntarjoaja vastaa sille kohdistuvista lakisääteisistä velvoitteista ja tietoturvalliselle käyttöympäristölle kohdistuvista vaatimuksista, joiden tulee täyttyä rekisteröntihetkellä ja sen jälkeen. Valviran tehtävänä on rekisterin ylläpidon lisäksi valvoa ja edistää tietoturvallisten käyttöympäristöjen tietosuoja- ja tietoturvavaatimusten täyttymistä. Valvira voi tehdä tarvittaessa esimerkiksi rekisteröityjen käyttöympäristöjen tarkastuksia.

Rekisteröinnillä on merkitystä myös toisiolain tarkoittamien tietoaineistojen luovutuksiin. Tietolupaa edellyttävät aineistot voidaan luovuttaa vain vaatimustenmukaisiin ja rekisteröityihin toisiokäyttöympäristöihin.

2A. Kysymys

Kun sairaanhoitopiirin tieteellisen tutkimuksen toisiokäyttöympäristön toteuttaa IT-palveluntuottaja, kumpi taho sairaanhoitopiiri vai IT-palveluntuottaja ilmoittaa käyttöympäristön Valviran rekisteriin?

2A. Vastaus

Sairaanhoitopiiri ja IT-palveluntuottaja päättävät keskenään, kumman organisaation nimeävät palveluntarjoajaksi, joka kantaa kokonaisvaltaisesti vastuun palveluntarjoajalle kohdistuvista velvoitteista ja toisiokäyttöympäristölle kohdistuvista vaatimuksista. Oleellista on, että tietoturvallisuuden arviointilaitoksen myöntämä vaatimustenmukaisuustodistus kirjoitetaan kokonaisvaltaisen vastuun kantavalle organisaatiolle käyttöympäristön palveluntarjoajana ja että sama taho ilmoittaa käyttöympäristön Valviran rekisteriin. Palveluntarjoajalla tulee olla Y-tunnus tai VAT-tunnus. Kokonaisvaltaisen vastuun kantava organisaatio voi edelleen sopimuksin jakaa tosiasiallisen vastuun kumppaniverkostonsa kanssa. Organisaatiot vastaavat keskenään omista sopimus- ja vastuusuhteistaan. Valvira hoitaa ohjaus- ja valvontatoimet rekisteriin ilmoitetun palveluntarjoajan kanssa. Rekisteriin ilmoittautuva palveluntarjoaja ilmoittaa rekisteröinnin yhteydessä yhteyshenkilönsä.

Valvonta

1B. Kysymys

Voiko Valvira myöntää erillisluvan käynnistää uusia tutkimuksia käyttöympäristössä, jonka auditointi on käynnistynyt, mutta ei ole valmistunut eikä käyttöympäristöllä ole vielä tietoturvallisuuden vaatimustenmukaisuustodistusta?

1B. Vastaus

Valviralla ei ole toimivaltaa myöntää tällaista lupaa. Valvira valvoo käyttöympäristöjä toisiolakiin perustuen.

Päivitetty 10.9.2021