Virta-arkkitehtuuri

Ohita sivuvalikko ja siirry sisältöön

Virta-hanke päättyi joulukuussa 2023. Tältä arkistosivulta löytyvät materiaalit on luotu hankkeen aikana ja hankkeen aikaisiin tarpeisiin. Materiaaleja ei enää päivitetä. Hankkeen lopulliset tuotokset löytyvät Virta-hankkeen tuotokset -sivulta.

Virta-arkkitehtuuri 11.3.2021Lataa

Virta-arkkitehtuuri tallenne 11.3.2021

Tietosuoja- ja tietoturvavaatimusten mukainen arkkitehtuuri

Johtamisen vähimmäistietosisällön tuottaminen edellyttää henkilötietojen käsittelyä. Hyvinvointialueen oikeudesta salassapitovelvoitteiden estämättä käsitellä ja yhdistellä tunnisteellisesti sen omiin rekistereihin tallennettuja asiakas- ja potilastietoja säädettään sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 41 §:n 1 momentissa. Mainitun säännöksen mukaan sosiaali- tai terveydenhuollon palvelunantajalla on oikeus salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla käsitellä ja yhdistellä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten. 

Aina, kun käsitellään henkilötietoja, on varmistuttava tietosuojan ja tietoturvan toteutumisesta. Virta-hankkeessa on tuotettu viitteellinen arkkitehtuurikuvaus, joka tukee tietosuoja- ja tietoturvavaatimusten mukaiseen toimintatapaan. Vaikka tietojohtaminen toteutettaisiin Virta-arkkitehtuurin mukaisesti, niin jokainen hyvinvointialue on itse vastuussa henkilötietojen käsittelyn lainmukaisuudesta ja siihen liittyvien vaikutusarvioiden tekemisestä.

Tietojenkäsittelyn tietoturvallisuutta tulee hallita systemaattisesti ja tietoturvallisuuteen liittyvän toiminnan tulee olla organisoitua, järjestelmällistä ja jatkuvasti kehittyvää. Tietojenkäsittelyyn kohdistuvat olennaiset riskit täytyy tunnistaa ja mitoittaa tietoturvallisuustoimenpiteet laaditun riskiarvioinnin mukaisesti. Julkisen hallinnon tietoturvallisuuden arviointikriteeristöä, Julkria voidaan käyttää apuna arvioitaessa tiedonhallintalaissa, turvallisuusluokitteluasetuksessa sekä osin myös tietosuoja-asetuksessa säädettyjen tietoturvallisuutta koskevien vaatimusten täyttymistä.*

Tietojenkäsittelyssä täytyy huomioida tietosuojaperiaatteiden toteutuminen. Kaikki henkilötietoihin kohdistuvat toimenpiteet suunnittelusta tietojen keräämiseen, käsittelyyn ja henkilötietojen poistamiseen ovat henkilötietojen käsittelyä. Tietosuojaperiaatteita täytyy noudattaa koko henkilötietojen käsittelyn elinkaaren ajan.

Henkilötietoja on:

  • Käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • Kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • Kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • Päivitettävä aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä tietojenkäsittelyn tarkoitusten toteuttamista varten, vrt. Virta-arkkitehtuuri
  • Käsiteltävä luottamuksellisesti ja turvallisesti.

Tietojen käsittelyssä rekisterinpitäjän täytyy huolehtia, että työkalujen, tuotteiden, sovellusten ja palvelujen osalta tietojen käsittely rajoittuu vain tarkoituksen kannalta tarpeellisiin henkilötietoihin. Käsittelyn rajaamisessa täytyy huomioida myös tiedon määrä, käsittelyn laajuus, tietojen säilytysaika ja tietojen käyttöön oikeutettujen henkilöiden lukumäärä.

Hyvinvointialueen tietojohtamista toteutettaessa sosiaali- ja terveydenhuollon tietoja voidaan yhdistellä toisiolain 41 § tarkoittamalla tavalla. Käytännössä tässä yhteydessä yhdistetään tietoja hyvinvointialueen sosiaalihuollon asiakasrekistereistä ja terveydenhuollon potilasrekisteristä ja syntyy uusi tietojohtamisen tarkoitukseen muodostettava rekisteri.

Jos henkilötietojen käsittelytapa poikkeaa asiakkaan aikaisemmasta henkilötietojen käsittelystä, saattaa tästä muodostua uusi velvollisuus informoida rekisteröityjä ko. tietojenkäsittelytavasta. Tämä voidaan toteuttaa esim. perustetun rekisterin tietosuojaselosteen kautta.

Tietoja käsiteltäessä oleellista määrittää roolit ”rekisterinpitäjä” ja ”henkilötietojen käsittelijä”, ja jos nämä ovat eri organisaatioissa solmitaan näiden välille sopimus henkilötietojen käsittelystä sekä erilliset tietoturva- ja salassapitosopimukset henkilötasolla. Suunnitteluvaiheessa on keskeistä arvioida henkilötietojen käsittelystä rekisteröidyille aiheutuvaa riskiä (tietosuojaa koskeva vaikutuksenarviointi) ja määrittää sen pohjalta tarvittavat tietoturvakontrollit. Myös tiedon jäljitettävyyden toteuttaminen esim. lokivalvonnan avulla on syytä huomioida jo suunnitteluvaiheessa.

Tietojenkäsittely perustuu Virta-viitearkkitehtuuriin, jossa toteutetaan tiedon pseudonymisointi ja anonymisointi voimassa olevan ohjeistuksen mukaisesti noudattaen tietojen minimoinnin periaatetta.

Viitearkkitehtuuri, Virta-hanke

Virta-arkkitehtuurin mukaisesti toimittaessa, kaikki datan käsittelijät tunnistautuvat ja henkilötietoja koskeva datan käsittely kirjataan lokeihin. Toteutuksessa julkaistavat datakokonaisuudet anonymisoidaan ja niiden osalta toteutetaan jäännösriskin arviointi. Toteutuksen kannalta julkiseksi datakokonaisuudeksi lasketaan myös raportit, joita ei pysty näkemään kuin tunnistettu käyttäjä, mutta datakokonaisuudesta toteutettu raportti on mahdollista näyttää henkilöille, jotka eivät ole tunnistettuja. Tällainen tilanne voisi syntyä esimerkiksi, jos tunnistettu käyttäjä esittelee tilaisuudessa raporttia muille osallistujille.

Pseudonymisointi ja anonymisointi toimivat turvallisuusriskejä madaltavina keinoina ja ovat osa GDPR:n minimitiedon periaatteen mukaista tiedon käsittelyä. Pseudonymisoidut tiedot ovat yhä henkilötietoja, ja niiden käsittelyssä on sovellettava tietosuojasäännöksiä.

Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tiedot voidaan esimerkiksi karkeistaa yleiselle tasolle (aggregoida) tai muuttaa tilastolliseen muotoon siten, etteivät yksittäistä henkilöä koskevat tiedot ole enää tunnistettavassa muodossa. Anonymisoituja tietoja ei enää katsota henkilötiedoiksi ja näin ollen niihin ei sovelleta tietosuojasäännöksiä.

Tiedon pseudonymisointi

Pseudonymisointivaiheessa määritellään, mitkä tiedot tulee pseudonymisoida. Samalla täytyy määritellä myös, mitä pseudonymisointitapaa käytetään. Pseudonymisointi voidaan tehdä joko yksi tai kaksi suuntaisena. Yksisuuntaista pseudonymisointia voidaan käyttää, mikäli pseudonymisoituja arvoja ei tarvitse purkaa selkokielisiksi alkuperäisiksi arvoiksi. Kaksisuuntaisen pseudonymisoinnin tarkoituksena on puolestaan mahdollistaa pseudonymisoinnin purkaminen. Laki velvoittaa pseudonymisoinnin purkamisen mahdollistamista joissakin tilanteissa, esimerkiksi silloin, kun tutkimuksissa selviää jotakin joka velvoittaa viranomaisia ottamaan yhteyttä asianomaisiin henkilöihin.

Kaksisuuntaisessa pseudonymisoinnissa jokainen pseudonymisoitava arvo ja pseudonymisoitu arvo muodostavat avain-arvo-parin, joka säilytetään vahvasti suojatussa tietokannassa. Pääsy tietokantaan on erikseen luvitetuilla, tunnistetuilla henkilöillä ja kaikki tietokannassa tapahtuva toiminta tulee kirjata lokijärjestelmään.

Tiedon anonymisointi

Anonymisointivaiheessa määritellään mitkä tiedot anonymisoidaan. Anonymisoitu data ei ole palautettavissa takaisin selkokieliseksi ja sitä ei lasketa henkilötiedoksi. Anonymisoinnin yhteydessä huomioidaan myös, etteivät mitkään tietokokonaisuudet yhdessä saa mahdollistaa henkilön tunnistamista.

Jokaisen anonymisoidun tietokokonaisuuden yhteydessä täytyy toteuttaa jäännösriskin arviointi. Anonymisoitu tieto voi muuttua tunnisteelliseksi, kun siihen yhdistellään tietoja muista lähteistä. Tällöin henkilö voidaan tunnistaa epäsuorasti. Jäännösriskinarviointiprosessin tarkoituksena on selvittää, kuinka mahdollista anonymisoidun tiedon muuttuminen tunnisteelliseksi on. Anonymisoinnin kestävyyttä tulee arvioida määräajoin, kuitenkin aina silloin kun datan rakenne tai tietosisältö muuttuu oleellisesti.

Tietojenkäsittelyn toteutuksen suunnitteluvaiheessa tulee huomioida mahdolliset julkiset ja sisäiset rajapinnat, toteutuksen käyttäjät, toteutuksen käyttämä data ja niiden kautta nousevat potentiaaliset tietoturvauhat. Suunnittelussa käytetään minimiperiaatetta, eli jokainen käyttäjä tai toteutuksen osa saavat oikeudet vain pakollisiin tietoihin ja palveluihin. Suunnitelmassa otetaan huomioon myös toteutuksen vaatimat verkkorakenteet, datan tietoturvallinen käsittely, käyttäjien ja lokien hallinta. Rajapintojen, datan käsittelyn ja säilönnän osalta suoritetaan riskiarviointi ja suunnitellaan, miten eri riskit käsitellään, mikäli ne realisoituvat. Mikäli toteutus tarjoaa palveluita tai rajapintoja ulkoisille tahoille, rajapinnat suunnitellaan siten, että mahdolliset tulevat muutokset eivät riko niitä.

*Lähde: Julkisen hallinnon tietoturvallisuuden arviointikriteeristö (Julkri): Suositus ja kriteeristö 2022. Valtiovarainministeriön julkaisuja 2022:43. https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/164183/VM_2022_43.pdf?sequence=5&isAllowed=y

Julkri-työkalu

Liity uutiskirjeen tilaajaksi

Uutiskirjeen tilaajana saat kerran kuukaudessa ajankohtaista tietoa yhtiössämme käynnissä olevista projekteista sekä muista ajankohtaisista asioista.

Tilaa uutiskirje