Nixu ei tarjoa enää A-luokan järjestelmien Kanta-auditointia ilman teknistä lisätarkastusta: haluamme toimia vastuullisesti
Nixu Oyj Lehdistötiedote 11.11.2020 kello 8.45
Kelan hallinnoimaan Kansalliseen Terveysarkisto Kantaan liitettyjen A-luokan potilastietojärjestelmien tietoturvavaatimukset eivät vastaa nykyajan vaatimuksiin, joilla varmistetaan potilastietojen tietosuoja. Nixu vastaa osaan näistä puutteista laajentamalla tarkastuspalvelujaan ja edellyttämällä asiakkailtaan minimitasoa laajempaa tarkastusta.
Vastaamon tapaus herätti yhteiskunnallisen keskustelun terveystietojen tietoturvasta ja Kanta-potilastietojärjestelmien riittämättömistä tietoturvavaatimuksista.
Lakeihin, asetuksiin ja valtakunnallisiin määrittelyihin pohjautuvat THL:n julkaisemat A-luokan järjestelmien tietoturva- ja auditointivaatimukset kohdistuvat vain sovellustoimittajaan eivätkä tyypillisesti lainkaan järjestelmän käyttöympäristöön, jota valvotaan yleensä vain omavalvonnan kautta. Nykytilanteessa A-luokan järjestelmien kevyt auditointi perustuu pääasiassa haastatteluihin, dokumentaation katselmointiin sekä havainnointiin, ja johtaa todistukseen, joka on voimassa jopa viisi vuotta ilman kunnollista seurantakäytäntöä.
Vastauksena nykyisiin puutteellisiin tietoturva-vaatimuksiin ja riittämättömiin auditointikäytöntöihin tietoturvallisuuden arviointilaitos Nixu Certification Oy on tehnyt periaatepäätöksen, jonka mukaisesti se edellyttää asiakkailtaan järjestelmien teknisen lisätarkastuksen aina toimittamiensa Kanta-auditointipalvelujen yhteydessä. Lisätarkastuksen avulla pyritään selvittämään tarkemmin sovelluksen tekninen turvallisuus sekä varmistumaan siitä, että se voidaan asentaa turvallisesti käyttöympäristöön.
Jatkossa Nixu Certification edellyttää sovellusten auditointia vähintään kerran vuodessa muutosten osalta. Lisäksi käyttöympäristön asennus- ja ylläpito-ohjeiden tulee määritellä selkeät tietoturvatoimenpiteet. Mikäli sovellustoimittaja tarjoaa myös käyttöympäristön, myös sille on tarpeen tehdä kattava auditointi. Muille toimijoille Nixu Certification suosittelee lähtökohtaisesti aina käyttöympäristön erillistä auditointia. Näiden toimien tarkoituksena on korjata välittömästi niitä puutteita, joita nykyiseen Kanta-auditointii liittyy.
Kuva: Nixu Certification Oy:n toimitusjohtaja Niki Klaus
”Kanta-auditointiin liittyvät puutteet ovat olleet tietoturva-asiantuntijoiden tiedossa jo pidemmän aikaa”, kertoo Nixu Certification Oy:n toimitusjohtaja Niki Klaus. ”Tästä syystä olemme jo aiemmin suositelleet vahvasti asiakkaillemme A-luokan järjestelmien vapaaehtoista teknistä tarkastusta.”
”Nykytilanteen myötä olemme entistä vakuuttuneempia siitä, että Kanta-auditoinnit ovat kestämättömällä pohjalla. Vastuullisena toimijana haluamme omalta osaltamme tällä kannanotolla vaikuttaa tietoturvan ja potilastietosuojan toteutumiseen yhteiskunnassamme”, summaa Niki Klaus.
Lue lisää aiheesta:
https://www.nixu.com/fi/release/suomalaisten-terveystietojen-tietoturvaa-auditoidaan-kevyemmin-kuin-luottokorttitietojen
Nixu Oyj
Lisätietoja:
Toimitusjohtaja Niki Klaus, Nixu Certification Oy
Puhelin +358 50 394 8996, sähköposti: niki.klaus@nixu.com
Jakelu:
keskeiset tiedotusvälineet
www.nixu.com
Nixu Certification lyhyesti:
Nixu Oyj:n tytäryhtiö Nixu Certification on FINASin ja Traficomin akkreditoima sertifiointielin ja tietoturvallisuuden arviointilaitos. Keskitymme yksinomaan tietoturvallisuuden sertifiointiauditointipalveluihin ja tarjoamme kattavan valikoiman auditointipalveluita. Palveluihimme kuuluvat viralliset turvallisuusarvioinnit, kuten ISO 27001, Katakri, VAHTI, Kanta, PCI DSS ja CSA STAR.
Nixu lyhyesti:
Nixu on kyberturvapalveluita tarjoava yritys, jonka missiona on pitää digitaalinen yhteiskunta toiminnassa. Intohimomme on auttaa organisaatioita hyödyntämään digitalisaatio turvallisesti. Tuotamme yhdessä asiakkaidemme kanssa käytännönläheisiä ratkaisuja liiketoiminnan jatkuvuuden, digitaalisten palvelujen helpon saatavuuden ja tietosuojan varmistamiseksi. Haluamme olla paras työpaikka yli 400 kyberturva-ammattilaisen tiimillemme, joka tekee työtä käytännönläheisten ratkaisujen löytämiseksi. Nixun juuret ovat Pohjois-Euroopassa, mutta palvelemme asiakkaitamme ympäri maailman. Nixun osakkeet on listattu Nasdaq Helsingissä.
www.nixu.com
