Tietosuoja ja tietoturva

Pihlajalinnan tietosuojan ja tietoturvan johtamisen tarkoituksena on varmistaa kaikkien Pihlajalinnan tietojen, erityisesti potilas- ja henkilötietojen, turvallinen käsittely sekä potilaiden, asiakkaiden ja henkilöstön yksityisyyden suoja. Tietoturvajohtamisella pyritään varmistamaan tietojen eheys, luottamuksellisuus ja saatavuus.

Tietoturvan ja -suojan hallinta

Konsernissa huomioidaan jatkuvasti kasvavat tietoturvavaatimukset digitaalisten palveluiden kehittyessä. Pihlajalinna vahvistaa tietoturvaansa nykyaikaisilla ja tehokkailla menetelmillä, kuten vahvan tunnistautumisen käytänteillä sekä ulkopuolisen valvonnan ja jatkuvan testaamisen avulla. Tietosuoja ja tietoturvallisuus ovat tärkeä osa Pihlajalinnan ISO 9001 -sertifioitua laatujärjestelmää.

Konsernin tietoturvaa koskevat periaatteet on kuvattu Pihlajalinnan tietosuoja- ja tietoturvapolitiikassa. Pihlajalinnan tietoturvaa koskevia periaatteita, ohjeistuksia ja politiikoita arvioidaan ja päivitetään säännöllisesti, vähintään vuosittain. Pihlajalinna järjestää henkilökunnalleen säännöllistä tietoturvakoulutusta ja ohjeistusta, jolla varmistetaan Pihlajalinnan tietoturvapolitiikoiden toteutuminen ja jalkautuminen käytännön työhön.

Pihlajalinnan toimittajien ja ulkoisten palveluntuottajien on sitouduttava noudattamaan määrittämiämme tietoturvavaatimuksia. Toimittajille tehdään auditointeja. Ulkopuolisten palveluiden muutosten yhteydessä tietoturvavaatimukset tarkistetaan. Kilpailutustilanteessa huomioidaan toimittajien vastuullisuus.

Pihlajalinnalla on käytössä ulkopuolinen tietoturvavalvomo (SOC), joka varmistaa organisaation tietoturvallisuuden jatkuvan valvonnan sekä tunnistaa ja reagoi tietoturvauhkien ja -poikkeamien varalta, suojaten näin organisaation tietojärjestelmiä ja tietoja. Pihlajalinna-konsernin tietoverkkoon ja siihen liitettyihin palveluihin on luvallista kytkeytyä vain tietohallinnon hallinnoimilla tai hyväksymillä laitteistoilla ja ohjelmistoilla.

Tietoturvan johtaminen

Pihlajalinnan tietoturvaorganisaatio on uudistunut vuonna 2023, kun tietoturvaa johtava Pihlajalinnan tietohallintojohtaja nimesi CISO:n (Chief Information Security Officer), joka toimii tietoturvasta vastaavana johtajana. CISO:n alaisuudessa toimii tietoturvavastaava. Tietosuojasta vastaavana johtajana toimii Pihlajalinnan lääketieteellinen johtaja, joka nimeää tietosuojavastaavat. Pihlajalinna on tehostanut tietosuoja- ja tietoturvatiimien yhteistyötä myös poikkileikkaavan yhteistyöryhmän perustamisella, joka kokoontuu säännöllisesti.

Tietosuojan ja tietoturvan tilanteesta raportoidaan sisäisten ja ulkoisten auditointien yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti, ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia. Tietosuojatyötä ohjaa ohjausryhmä, ja operatiivisesta toiminnasta vastaa tietosuoja- ja tietoturvaryhmä.

Riskienhallinta ja uhka-analyysi

Tietosuoja- ja tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti ja aina uusien järjestelmien määrittelyvaiheessa sekä merkittävien muutosten yhteydessä. Lisäksi Pihlajalinna käyttää hyväkseen sekä yleisiä, että kohdennettuja uhka-analyyseja ohjaamaan tietoturvan resursointia ja toimintaa.

Tietoturvaloukkaukset ja -tapahtumat

Pihlajalinna on asettanut tietosuojalle tavoitteeksi, että onnistuneiden tunkeutumisyritysten määrä on 0. Tavoite saavutettiin vuonna 2023.

Asiakkaat voivat ilmoittaa epäilemistään tietosuoja- tai tietoturvapoikkeamista joko palautejärjestelmien kautta tai suoraan henkilöstölle. Kaikissa Pihlajalinnan toimipisteissä on käytössä raportointijärjestelmä, jolla henkilökunta ilmoittaa havaituista tietosuoja- ja tietoturvapoikkeamista.

Konsernissa on määritetty menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi. Lisäksi käytössä on suunnitelmat toiminnoille poikkeustilanteissa. Tietoturvapoikkeamat kirjataan ja käsitellään jatkotoimenpiteitä varten. Poikkeamahallintaprosessia katselmoidaan ja päivitetään säännöllisesti.

Kaikkiaan SOC arvioi kuukausittain 10–35 tuhatta tietoturvatapahtumaa, joista SOC eskaloi Pihlajalinnaan vuoden 2023 aikana 89 kappaletta. Näistä tietoturvatapahtumista yksi oli kriittisellä ja kaksi korkealla prioriteetilla. Merkittäviä, tiedon menetykseen tai taloudellisiin vahinkoihin johtavia tietoturvapoikkeamia ei havaittu vuonna 2023.

Tietoturvan kehitystoimet ja investoinnit

Pihlajalinna kehittää jatkuvasti kyberturvallisuuttaan, ja vuonna 2023 merkittäviä kehitystoimenpiteitä oli organisaatiouudistus ja tietoturvaorganisaation perustaminen erilliseksi yksikökseen. Lisäksi Pihlajalinna vaihtoi päätelaitetietoturvansa markkinajohtajan edistyneeseen EDR/XDR-tuoteperheeseen. Samasta tuoteperheestä otettiin käyttöön myös haavoittuvuuksienhallintakokonaisuus, jolla saavutetaan strategista hyötyä yksinkertaisten integraatioiden muodossa. Pihlajalinnassa on myös jatkossa käytössä kaikille pakollinen tietoturvakoulutus.

Pihlajalinna on ottanut käyttöön kyberturvan kehittämissuunnitelman vuosille 2023–2027, joka ohjaa tietoturvan kehitystyötä ja sille asetettujen tavoitteiden seurantaa tulevina vuosina.