FinCCHTA arvioi kotona asumista tukevien digitaalisten teknologioiden tietoturvaa ja -suojaa
Digitaaliset teknologiat tuovat mukanaan uusia mahdollisuuksia vastata terveydenhuollon tulevaisuuden haasteisiin, kuten väestön ikääntymiseen ja hoitohenkilökunnan kasvavaan tarpeeseen. Niiden avulla voidaan tukea itsenäistä ja turvallista kotona asumista esimerkiksi tarjoamalla ratkaisuja, joiden avulla voidaan reagoida kotona tapahtuviin poikkeustilanteisiin mahdollisimman aikaisessa vaiheessa. Etänä tarjottavat palvelut mahdollistavat myös palvelujärjestelmän tehokkuuden kehittämisen.
Teknologiat voivat kerätä yksityiskohtaista ja sensitiivistä tietoa kotona asuvien ikäihmisten toiminnoista ja terveydentilasta. Palveluihin voidaan liittää langattomasti useita monitoroivia oheislaitteita. Järjestelmien keräämää henkilötietoa tallennetaan pilvipalveluihin, jotka ovat usein kolmannen osapuolen tarjoamia kaupallisia ratkaisuja. Näistä syistä kotona asumista tukevien teknologioiden tulee täyttää korkeat laatuvaatimukset myös tietoturvan ja -suojan osalta.
FinCCHTA on mukana Karita (Kotona asumista rohkeasti ja itsenäisesti teknologian avulla ) -hankkeessa, joka on osa valtakunnallista STM:n rahoittamaa ja THL:n koordinoimaa kansallista KATI (Kotona asumisen teknologiat ikäihmisille ) -ohjelmaa. Hankkeessa FinCCHTA tekee näyttöön perustuvia Digi-HTA-arviointeja teknologioista, jotka tukevat kotona asumista. Yksi keskeinen asia Digi-HTA-arviointitoiminnassa on tuotteiden ja palveluiden tietoturvan ja -suojan ennakkoarviointi, joka toteutetaan yhteistyössä Oulun yliopiston tietoturvallisen ohjelmoinnin tutkimusryhmän (OUSPG) ja sen asiantuntijoiden kanssa. Arvioinnin avulla pystytään nostamaan esille keskeisiä asioita digitaalisten tuotteiden tai palveluiden tieturvan ja -suojan tasosta ennen hankintapäätöksiä tai teknologiakokeilujen aloittamista.
Sote-hankintoja varten laadittu vaatimuslista ohjaa arviointia
Arvioinnissa käydään läpi yritysten toimittaman vastausmateriaalin perusteella keskeiset sote-sektorin tietoturva- ja tietosuojavaatimukset. Vaatimuslista perustuu sote-alan kyberturvallisuuden ja tietosuojan asiantuntijoiden yhteisiin käsityksiin hyvistä käytännöistä alan hankinnoissa sekä standardeihin. Huoltovarmuuskeskuksen Kyber-Terveys-hankkeessa koottu vaatimuslista on kaikkien vapaasti ladattavissa Traficomin verkkosivuilta.
Digi-HTA-arvioinnissa selvitetään yrityksen toimittaman dokumentaation avulla yrityksen toimintatavat ja tuotteeseen toteutetut ratkaisut tietoturvan ja -suojan varmistamiseksi. Yksi keskeinen asia on EU:n yleisen tietosuoja-asetuksen eli GDPR:n vaatimusten täyttäminen, minkä arviointiin osallistuneet yritykset ovatkin hyvin tiedostaneet. Järjestelmien keräämät tiedot pitää tallentaa asian mukaisella tavalla ja yritysten tulee selvittää, tallennetaanko tietoja ETA-alueen ulkopuolelle. Vaikka tietosuojavaikutusten arviointi (DPIA) on useassa tapauksessa asiakkaan eli rekisterinpitäjän vastuulla, niin arvioinneissa on huomioitu positiivisena asiana, jos yritys on pystynyt tämän toteuttamaan jo ennakkoon.
Arvioinneissamme huomioimme, että tuote käyttää nykyaikaisia parhaiten käytäntöjen mukaisia autentikointi- ja salausmenetelmiä. Säännölliset tietoturvauhkien tarkastukset tulee olla kiinteä osa yritysten toimintaprosesseja. Yrityksen tietoturvakontrollin ja lokienhallinnan on oltava kunnossa. Keräämme myös tietoa siitä, miten palveluiden käyttöoikeuksia voidaan rajata. Koska useat kotona asumista tukevat digitaaliset teknologiat tukevat etämonitorointia, niin näissä järjestelmissä verkon ja päivitysten tietoturva korostuu.
Digi-HTA-arviointien tietoturva ja tietosuojaosuudesta on julkaistu tieteellinen artikkeli Finnish Journal of eHealth and eWelfare-lehdessä. Artikkelissa kuvataan tietoturvan ja -suojan Digi-HTA-arviointikäytännöt ja tarvittava näyttö teknologiayritysten puolesta. Ensimmäisten Digi-HTA-arviointien aikana esiin nousseet keskeiset havainnot sekä se, kuinka arviointitoiminta vertautuu muihin kansainvälisiin HTA-käytäntöihin, esitellään myös artikkelissa.
1Jääskelä, J., Haverinen, J., Kaksonen, R., Reponen, J., Halunen, K., Tokola, T., & Röning, J. (2022). Digi-HTA, assessment framework for digital healthcare services: information security and data protection in health technology – initial experiences. Finnish Journal of EHealth and EWelfare, 14(1), 19–30. https://doi.org/10.23996/fjhw.111776