Kanta-palvelu edellyttää, että siihen liittynyt sosiaali- ja terveydenhuollon tietojärjestelmä täyttää kaikki turvallisuudelle asetetut vaatimukset. Kaikkien sähköisesti asiakas- ja potilastietoja käsittelevien organisaatioiden on laadittava tietoturvasuunnitelma, joka kytkeytyy tietojärjestelmien olennaisiin vaatimuksiin. Kanta-palveluihin liittyvien järjestelmien on suoritettava hyväksytysti uuden asiakastietolain mukainen hyväksytyn arviointilaitoksen suorittama tietoturvallisuuden arviointi.
Alusta asti A-luokkaa
Lomake UNA on ollut alusta lähtien Kanta-sertifioitu A-luokan järjestelmä. Aikaisemman lainsäädännön mukainen A-luokan sertifikaatti oli voimassa kaikkiaan viisi vuotta. Ensimmäisen perusteellisen arvioinnin jälkeen ulkoinen hyväksytty arviointilaitos arvioi tilanteen kehittymisen vuosittain ja antoi tästä todistuksen.
Viranomaisvaatimusten lisäksi Lomake UNAan on tehty useita omaehtoisia ulkopuolisia arviointeja. Hyvä arviointi on vuoropuhelu arvioijan ja kaikkien tahojen, jotka omalta osaltaan vaikuttavat olennaisesti ratkaisun tuottamiseen, jatkokehittämiseen ja hyödyntämiseen, välillä. Arvioija johtaa, vaatii ja voi yllättääkin, mutta dialogin kautta syntyy tavoiteltu tietoturvallisuuden kehitys.
Ratkaisun tietoturva ja varautuminen ei ole koskaan valmis. Tavoitteena on järjestelmän ajantasainen tilannekuva ja paras mahdollinen, riittävän hyvä turva. Hyvässä tietoturvallisuuden arvioinnissa tulee aina löydöksiä ja vaatimuksia toimenpiteistä. Turvallisuuden kehittämisessäkin pätee, että mitä useampi toisto, sen vahvemmat lihakset.
THLn uudet vaatimukset täyttyvät
Ulkoinen arviointilaitos on nyt arvioinut Lomake UNAn nykyisen lainsäädännön, vaatimusten ja THL:n asettaman määräyksen 5/2021 mukaisesti (Määräys sosiaali- ja terveydenhuollontietojärjestelmien olennaisista toiminnallisista ja tietoturvavaatimuksista).
THL:n A2-luokan kriteeristön mukaisesti arviointilaitos tarkisti kaikkiaan 47 vaatimusta. Suurimman osan näistä vaatimuksista todettiin täyttyvän suoraan ensimmäisen perusteellisen tarkistuksen yhteydessä. Joidenkin osalta todettiin, että asia toteutuu ratkaisun käyttöympäristössä muulla tavoin tai kyseinen vaatimus ei sovellu järjestelmään. Muutamien vaatimusten kohdalla arviointilaitos edellytti toimenpiteitä ennen todistuksen myöntämistä. THLn vaatimusten virallinen arviointi on suoraviivainen. Vaatimus joko toteutuu tai ei.
Arviointilaitoksella on käytössä taustalla toinen, tarkempi kolmiportainen luokittelu. Sen mukaisesti Lomake UNA-ratkaisusta ei havaittu yhtään kriittistä huomiota.
Pitkä arviointiprosessi oli mielenkiintoinen, haastava ja opettavainen. Lomake UNAn ulkoiset arvioinnit ovat vahvistaneet meillä jatkuvan kehittämisen kulttuuria. Uuden Kanta A2-todistuksen digitaalinen muste ei ehtinyt kuivahtaa, kun jo seuraava tietoturvan arviointiprojekti käynnistyi.