Viime aikoina on käyty paljon keskustelua potilastietojen turvalliseen säilyttämiseen liittyvistä riskeistä sekä tietoturvasta ja -suojasta.
Potilas- ja asiakastiedot ovat Pihlajalinnassa tärkeimpiä suojeltavia kohteita. Tämän tiedon suojaamiseksi teemme kaikki mahdolliset toimenpiteet, jotta voimme olla asiakkaidemme luottamuksen arvoisia.
Noudatamme Pihlajalinnassa EU:n voimassa olevaa tietosuojalainsäädäntöä (GDPR, General Data Protection Regulation) ja viranomaisten antamia ohjeistuksia henkilötietojen käsittelystä. Pihlajalinnan yksityisillä lääkärikeskuksilla ja sairaaloilla sekä erityisasumispalveluilla ja Jokilaakson sairaalan osastoilla 2 ja 4 on ISO 9001 -laatusertifikaatti. Listan sertifioiduista toimipaikoista löydät täältä. Pihlajalinna Dextran koko toiminnalle on myönnetty myös tietoturvallisuuden hallintajärjestelmäsertifikaatti ISO/ IEC 27001. Käytämme lisäksi kansallisesti merkittävän toimijan sertifioitua konesalia.
Pihlajalinnan lääkärikeskukset käyttävät pääasiallisena potilastietojärjestelmänä Tieto Finland Oy:n toimittamaa DynamicHealth-järjestelmää, joka täyttää sosiaali- ja terveydenhuollon A-luokan tietojärjestelmän turvallisuusvaatimukset. Järjestelmän turvallisuuden arvioi myös ulkopuolinen taho eli tietoturvallisuuden arviointilaitos. Potilastietojärjestelmän tiedot ovat palvelimen tietokannassa salatussa muodossa, turvapäivitykset on automatisoitu sekä ylläpitohenkilöstön osalta vaaditaan allekirjoitettu vaitiolositoumus.
Pihlajalinna käyttää myös muita järjestelmiä esimerkiksi asiakastiedon hallintaan ja verkkoajanvaraukseen. Niiden tietoturvallisuutta valvotaan ja kehitetään jatkuvasti. Sisäisten järjestelmien pääsyyn käytetään vähintään yksilöllistä pitkää, kompleksia ja turvallista salasanaa, kaksoiskirjautumista (MFA, Multi-Factor Authentication), suojattua yhteyttä (VPN) sekä tärkeimpiin järjestelmiin Digi- ja väestöviraston (ent. VRK) myöntämää terveydenhuollon ammattikorttia.
Tietoturvasta huolehdimme teknisten tietoturvalaitteiden ja -ohjelmistojen lisäksi myös yhteistyössä ulkopuolisen riippumattoman toimijan SOC:n (Security Operations Center) kanssa. Ulkopuolisella ympärivuorokautisella valvonnalla havaitaan jatkuvasti useiden sensorien kautta mm. verkkoliikenteen poikkeamat, jotta voidaan reagoida nopeasti mahdollisiin epäilyttäviin tapahtumiin.
Pihlajalinna tietoturva on jatkuvan valvonnan sekä kehityksen keskiössä ja tulemme välittömästi useilla toimilla yhä parantamaan tietoturvaa sekä -suojaa varmistaaksemme asiakkaidemme yksityisuuden.
Täydellistä tietoturvaa ei ole olemassa, mutta Pihlajalinna panostaa voimakkaasti ammattitaitoisen ICT-henkilöstön, ulkopuolisen valvonnan ja jatkuvan testaamisen avulla systemaattisesti tietoturvan varmistamiseen sekä sen jatkuvaan kehittämiseen.
Petri Lehtimäki
Tietoturva- ja ICT-johtaja