Sosiaali- ja terveyspalveluissa käsitellään päivittäin erittäin arkaluonteisia henkilötietoja. Tietoturva ei ole enää pelkästään IT-osaston vastuulla, vaan keskeinen osa asiakas- ja potilasturvallisuutta sekä palveluntuottajan riskienhallintaa. Pienissä ja keskisuurissa sote-yrityksissä resurssit ovat usein rajalliset, minkä vuoksi tietoturvariskit voivat jäädä tunnistamatta ennen kuin ongelmia ilmenee.
Alla käymme läpi kolme yleisintä tietoturvariskiä, jotka näkyvät toistuvasti sote-organisaatioiden arjessa.
1. Henkilöstön tietoturvatietoisuuden puutteet ja inhimillinen erhe
- väärälle vastaanottajalle lähetetty sähköposti
- heikot salasanat
- tietojenkalasteluviestien avaaminen
- asiakastietojen käsittely puutteellisten ohjeiden mukaan
- yhteiskäyttötunnusten hyödyntäminen
- sote-alan kiireinen toimintaympäristö lisää virheiden mahdollisuutta.
Seuraukset
- henkilötietojen vuotaminen
- GDPR-rikkomukset
- asiakasluottamuksen heikkeneminen
- valvontaviranomaisten seuraamukset
2. Puutteellinen käyttöoikeuksien ja pääsynhallinnan hallinta
- liian laajat oikeudet
- vanhat käyttäjätunnukset
- puutteellinen vahva tunnistautuminen
- käyttöoikeuksien säännöllisen tarkastuksen puuttuminen
Seuraukset
- luvaton pääsy asiakas- ja potilastietoihin
- sisäiset tietoturvaloukkaukset
- lokiseurannan vaikeutuminen
3. Puutteellinen riskienhallinta ja dokumentointi
- riskienarviointeja ei ole tehty
- tietoturvapolitiikka on vanhentunut
- vaikutustenarvioinnit puuttuvat
- vastuut ovat epäselvät
Seuraukset
- organisaatio ei tunnista merkittäviä uhkia ajoissa
- poikkeustilanteissa reagointi on hidasta
- vaatimustenmukaisuuden osoittaminen vaikeutuu
Ratkaisu
HyväSOTE™ Tietoturvapalvelu auttaa tunnistamaan riskit, arvioimaan nykytilan ja rakentamaan käytännönläheisen kehityssuunnitelman, joka täyttää sekä GDPR:n että sote-toimialan vaatimukset.
Pyydä maksuton alkukartoitus ja ota ensimmäinen askel kohti turvallisempaa toimintaa.