Omavalvontaohjelma: mitä se on ja miten se liittyy kyberturvaan?
Tässä blogikirjoituksessa ajattelin avata teille mitä omavalvontaohjelma oikein tarkoittaa ja miten se lopulta linkittyy kyberturvaan ja riskeihin? Tarkemmin omavalvontaohjelmasta on säädetty laissa ”laki sosiaali- ja terveydenhuollon järjestämisestä”. Tämän vaatimuksen mukaan, jokaisen palveluntuottajan, joka tuottaa palveluita hyvinvointialueelle tulee laatia omavalvontaohjelma. Lakiin pääsee tutustumaan tarkemmin seuraavan linkin takaa, omavalvontaohjelmasta kerrotaan luvussa 6 ”Omavalvonta ja viranomaisvalvonta”: https://finlex.fi/fi/laki/alkup/2021/20210612
Se mikä tässä kohtaa saattaa hieman sekoittaa, on jo pitkään alalla toimivilta palveluntuottajilta vaadittu omavalvontasuunnitelma. Omavalvontasuunnitelma ei ole sama asia, kuin omavalvontaohjelma. Omavalvontasuunnitelma toki on osa omavalvontaohjelmaa, mutta omavalvontaohjelman alle niputetaan käytännössä myös kaikki muut sellaiset toiminnot, joiden seurantaa palveluntuottajilta odotetaan.
Omavalvontaohjelman tarkoitus
Omavalvontaohjelman tarkoituksena on omalta osaltaan varmistaa, että palvelunantajat toteuttavat palveluitaan lain- ja sopimuksienmukaisesti. Erityisesti tässä korostuu palvelujen saatavuus, jatkuvuus, turvallisuus, laatu sekä asiakkaiden yhdenvertaisuus. Omavalvonta katsotaan sisältyvän osaksi palveluiden tuottamista ts. et voi tuottaa sote-palveluita ilman, että ne pohjautuvat omavalvontaa tukeviin suunnitelmiin, havaintoihin ja arviointiin. Erityisen tärkeää omavalvontaohjelmassa laadittavien suunnitelmien lisäksi on laatia toimintamalli sille, miten havaittuihin puutteellisuuksiin reagoidaan ja miten ne korjataan. Käytännössä palveluntuottajalla tulee siis olla eräänlainen poikkeamienhallinta prosessi, johon sisältyy kaikki omavalvontaohjelman alle kuuluvat toiminnot.
Vaikuttaa siltä, että tulevaisuudessa sote-palveluiden tuottamisessa korostuu toiminnan jatkuvuuden varmistaminen häiriötilanteista huolimatta sekä toiminnan läpinäkyvyys. Läpinäkyvyyttä tavoitellaan lainsäädännön mukaan sillä, että kaikki omavalvontaohjelmaan liittyvät havainnot tulee julkaista julkisessa tietoverkossa ja muilla havaintojen julkisuutta tukevilla toimilla. Eli liittyipä havainto tietoturvasuunnitelmaan, omavalvontasuunnitelmaan tai vaikkapa lääkehoitosuunnitelmaan, tulee nämä havainnot saattaa julkiseen tietoverkkoon ja havainnon lisäksi palveluntuottajien tulee kuvata julkisesti miten nämä havainnot on käytännössä korjattu.
Miten tämä sitten kytkeytyy myös kyberturvaan?
Ensinnäkin omavalvontaohjelman alle niputetaan yrityksen tietoturvasuunnitelma ja riskienhallintasuunnitelma, joilla molemmilla on oma tärkeä roolinsa myös sote-alan yrityksen kyberturvallisuuden varmistamisessa ja rakentamisessa. Näistä teemoista kerron lisää podcastissa.
Kyberturvallisuus linkittyy tähän teemaan myös esimerkiksi asiakas- ja potilasturvallisuuden näkökulmasta. Miksi näin on?
Kyberturvallisuutta tukevassa toiminnassa tavoitteena on varmistaa toimivat prosessit, turvalliset palvelut ja vastata asiakkaiden odotuksiin, joiden osalta erityisesti sote palveluissa korostuu palvelunantajan luotettavuus ja turvallisuus. Kadotetut tai vääriin käsiin joutuneet tiedot aiheuttavat monenlaisia kipeitäkin tilanteita, joilla voi olla vaikutusta yksityisyydensuojan menetyksen, talouden ja maineen lisäksi myös asiakas- ja potilasturvallisuuteen. Näin voi käydä mikäli esimerkiksi lääkitys- tai sairaushistoria ei ole ammattilaisten tiedossa ja väärällä lääkityksellä tai sen puutteella aiheutetaan hengenvaara.
Se mikä haastaa kyberturvaa sote-arjessa on erityisesti aika ja lukuiset muut odotukset ja vaatimukset, joihin palvelunantajien ja heidän henkilöstönsä odotetaan vastaavan. Miten priorisoida, ehkä kaukaiseltakin tuntuvaan kyberuhkaan varautumiseen, etenkin jos ei täysin ymmärrä mistä kyberuhkissa on edes kysymys?
Haasteena voi olla myös se, ettei oma organisaatio sitoudu riittävän hyvin tietoturvallisten toimintatapojen toteuttamiseen ja kehittämiseen. Tietoisuus uhkista ja riskeistä voi olla riittämätön eikä tietomurtoa osata odottaa tai koetaan ettei se koske meitä, ettemme me voi mitenkään olla kiinnostavia kyberrikollisten silmissä. Mikäli tällaisia ajatuksia tulee mieleen, kannattaa muistaa, että valtaosa kohdatuista kyberuhkista ei kohdistu tiettyyn ennalta päätettyyn kohteeseen, vaan kyseessä on paremminkin massatoiminto, jonka osalta tavoitteena on saada kiikkiin kuka tahansa.
Muutoinkin tällainen ajattelutapa saattaa olla hyvin vahingollista toiminnan jatkuvuutta ajatellen. Mikään muu ei lamauta nykypäivän yrityksen toimintaa pahemmin, kuin se, että koko sen digitaalinen toimintaympäristö altistuu kyberhyökkäykselle. Silloin ei puhuta pelkästään asiakas- tai potilastietojärjestelmän toimimattomuudesta, joka sekin on jo itsessään hankalaa, vaan ongelmat ulottuvat pahimmillaan niin maksuliikenteeseen, kuin sosiaalisenmedian kanaviin. Toiminnan jatkuvuuden varmistaminen on yksi tärkeimmistä näkökulmista, jota palvelunantajilta odotetaan, niiden toimiessa hyvinvointialueen lukuun. Joten jo tämänkin vuoksi siihen kannattaa panostaa.
Tämän vuoksi osana omavalvontaohjelmaa sote-ammattilaisen on arvioitava omaan liiketoimintaan kohdistuvia erilaisia riskitekijöitä ja viestittävä nämä ymmärrettävästi omille sidosryhmille, erityisesti mahdolliselle henkilöstölle. Tämä vaatii kokonaisvaltaista ymmärrystä liiketoiminnasta ja sen riskeistä. Tähän toimintamalliin sisältyy myös ennakointi ja aktiivinen reagointi tietoturvapoikkeamiin ja tietoturvaloukkauksiin.
SoteTraining (Salus Qualitas Consulting Oy) on sote-alaan erikoistunut yritys. Kouluttajamme, yrittäjä Heidi Ilmonen kouluttaa ja auttaa kehittämään erityisesti alan pienyrityksiä.
Heidi tuntee sote-arjen ja lainsäädännön lisäksi myös alan ohjelmistot, koska SQC Oy toimittaa ohjelmisto- ja toiminnanohjausratkaisuja pienille 1-3 työntekijän sote-yrityksille.
Heidillä on vuosien kokemus tietosuojaan ja tietoturvaan liittyvistä koulutuksista. Hän on toteuttanut koulutuksia ryhmille ja yrityskohtaisesti, minkä lisäksi SoteTrainingin sivuilta löytyy runsaasti Heidin rakentamia verkkomuotoisia koulutuksia. Heidi on toiminut pääkouluttajana SOPIEN 1 ja SOPIEN 2.0- hankkeissa aiheina mm. tietosuoja. Heidi toimii myös ELY:n kilpailuttamana yritysten kehittämispalveluiden asiantuntijana ”Tuottavuus ja digitalisaatio”- aihepiirissä sote- ja hyvinvointialalla toimiville yrityksille.
Heidillä on MBA ja tradenomin tutkinnot sekä yritysneuvojan erikoisammattitutkinto.
Lue Heidin sote-alan yrittäjille suunnattua blogia täältä.
Rahoittajat
Kyberturvan ABC yrittäjille -hanketta rahoitti Hämeen ELY-keskus Euroopan sosiaalirahastosta (ESR).