Tietosuoja ja tietoturva
Pihlajalinnan
tietosuojan ja tietoturvan johtamisen tarkoituksena on varmistaa kaikkien
Pihlajalinnan tietojen, erityisesti potilas- ja henkilötietojen, turvallinen
käsittely sekä potilaiden, asiakkaiden ja henkilöstön yksityisyyden suoja.
Tietoturvajohtamisella pyritään varmistamaan tietojen eheys, luottamuksellisuus
ja saatavuus.
Tietoturvan ja -suojan hallinta
Konsernissa huomioidaan
jatkuvasti kasvavat tietoturvavaatimukset digitaalisten palveluiden
kehittyessä. Pihlajalinna vahvistaa tietoturvaansa nykyaikaisilla ja
tehokkailla menetelmillä, kuten vahvan tunnistautumisen käytänteillä
sekä ulkopuolisen valvonnan ja jatkuvan testaamisen avulla. Tietosuoja ja
tietoturvallisuus ovat tärkeä osa Pihlajalinnan ISO 9001 -sertifioitua
laatujärjestelmää.
Konsernin
tietoturvaa koskevat periaatteet on kuvattu Pihlajalinnan tietosuoja- ja
tietoturvapolitiikassa. Pihlajalinnan tietoturvaa koskevia periaatteita,
ohjeistuksia ja politiikoita arvioidaan ja päivitetään säännöllisesti,
vähintään vuosittain. Pihlajalinna järjestää henkilökunnalleen säännöllistä
tietoturvakoulutusta ja ohjeistusta, jolla varmistetaan Pihlajalinnan
tietoturvapolitiikoiden toteutuminen ja jalkautuminen käytännön työhön.
Pihlajalinnan
toimittajien ja ulkoisten palveluntuottajien on sitouduttava noudattamaan
määrittämiämme tietoturvavaatimuksia. Toimittajille tehdään auditointeja.
Ulkopuolisten palveluiden muutosten yhteydessä tietoturvavaatimukset
tarkistetaan. Kilpailutustilanteessa huomioidaan toimittajien vastuullisuus.
Pihlajalinnalla
on käytössä ulkopuolinen tietoturvavalvomo (SOC), joka varmistaa organisaation
tietoturvallisuuden jatkuvan valvonnan sekä tunnistaa ja reagoi tietoturvauhkien
ja -poikkeamien varalta, suojaten näin organisaation tietojärjestelmiä ja
tietoja. Pihlajalinna-konsernin tietoverkkoon ja siihen liitettyihin
palveluihin on luvallista kytkeytyä vain tietohallinnon hallinnoimilla tai
hyväksymillä laitteistoilla ja ohjelmistoilla.
Tietoturvan johtaminen
Pihlajalinnan tietoturvaorganisaatio on uudistunut
vuonna 2023, kun tietoturvaa johtava Pihlajalinnan tietohallintojohtaja nimesi CISO:n (Chief Information Security
Officer), joka toimii tietoturvasta vastaavana johtajana. CISO:n alaisuudessa
toimii tietoturvavastaava. Tietosuojasta vastaavana johtajana toimii
Pihlajalinnan lääketieteellinen johtaja, joka nimeää tietosuojavastaavat.
Pihlajalinna on tehostanut tietosuoja- ja tietoturvatiimien yhteistyötä myös poikkileikkaavan
yhteistyöryhmän perustamisella, joka kokoontuu säännöllisesti.
Tietosuojan ja
tietoturvan tilanteesta raportoidaan sisäisten ja ulkoisten auditointien
yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti, ja tärkeimpiin ympäristöihin
tehdään erillisiä tietoturvatarkastuksia. Tietosuojatyötä ohjaa ohjausryhmä, ja
operatiivisesta toiminnasta vastaa tietosuoja- ja tietoturvaryhmä.
Riskienhallinta
ja uhka-analyysi
Tietosuoja- ja
tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti ja aina uusien
järjestelmien määrittelyvaiheessa sekä merkittävien muutosten yhteydessä.
Lisäksi Pihlajalinna käyttää hyväkseen sekä yleisiä, että kohdennettuja
uhka-analyyseja ohjaamaan tietoturvan resursointia ja toimintaa.
Tietoturvaloukkaukset
ja -tapahtumat
Pihlajalinna on
asettanut tietosuojalle tavoitteeksi, että onnistuneiden tunkeutumisyritysten
määrä on 0. Tavoite saavutettiin vuonna 2023.
Asiakkaat voivat ilmoittaa epäilemistään tietosuoja- tai
tietoturvapoikkeamista joko palautejärjestelmien kautta tai suoraan
henkilöstölle. Kaikissa Pihlajalinnan toimipisteissä on käytössä
raportointijärjestelmä, jolla henkilökunta ilmoittaa havaituista tietosuoja- ja
tietoturvapoikkeamista.
Konsernissa on
määritetty menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi.
Lisäksi käytössä on suunnitelmat toiminnoille poikkeustilanteissa.
Tietoturvapoikkeamat kirjataan ja käsitellään jatkotoimenpiteitä varten.
Poikkeamahallintaprosessia katselmoidaan ja päivitetään säännöllisesti.
Kaikkiaan SOC
arvioi kuukausittain 10–35 tuhatta tietoturvatapahtumaa, joista SOC eskaloi
Pihlajalinnaan vuoden 2023 aikana 89 kappaletta. Näistä tietoturvatapahtumista
yksi oli kriittisellä ja kaksi korkealla prioriteetilla. Merkittäviä, tiedon
menetykseen tai taloudellisiin vahinkoihin johtavia tietoturvapoikkeamia ei
havaittu vuonna 2023.
Tietoturvan
kehitystoimet ja investoinnit
Pihlajalinna
kehittää jatkuvasti kyberturvallisuuttaan, ja vuonna 2023 merkittäviä
kehitystoimenpiteitä oli organisaatiouudistus ja tietoturvaorganisaation
perustaminen erilliseksi yksikökseen. Lisäksi Pihlajalinna vaihtoi
päätelaitetietoturvansa markkinajohtajan edistyneeseen EDR/XDR-tuoteperheeseen.
Samasta tuoteperheestä otettiin käyttöön myös
haavoittuvuuksienhallintakokonaisuus, jolla saavutetaan strategista hyötyä
yksinkertaisten integraatioiden muodossa. Pihlajalinnassa on myös jatkossa
käytössä kaikille pakollinen tietoturvakoulutus.
Pihlajalinna on
ottanut käyttöön kyberturvan kehittämissuunnitelman vuosille 2023–2027, joka
ohjaa tietoturvan kehitystyötä ja sille asetettujen tavoitteiden seurantaa
tulevina vuosina.