Tietosuoja hyvinvointialan sovelluksessa ja SaaS-ohjelmistopalvelutuotannossa : case: TUHA

Abstract

Tämän opinnäytetyön aiheena oli selvittää sosiaali- ja terveyshuollon sähköisiin järjestelmiin rekisteröityjen asiakkaiden tietosuojaa sääntelevät normit. Lisäksi selvitettiin, mitä vaatimuksia tietosuoja aiheuttaa Internet-verkossa käytettävän hyvinvointialan toiminnanohjaus- ja asiakashallintasovelluksen suunnitteluun sekä toteutukseen. Selvityksen pohjalta toteutettiin Codebird Oy:n TUHA-sovelluksen ja sen ohjelmistopalvelun tietosuoja-arviointi. Arviointitulosten perusteella laadittiin kehitysehdotukset tietosuojan parantamiseksi. Projekti toteutettiin talven 2006 ja kevään 2007. Tietosuojaan liittyvät asiat selvitettiin lainsäädännöstä sekä kahdesta tietosuojaa ja tietoturvallisuutta käsittelevästä standardista. Toinen standardeista oli tietosuojan yleisstandardi ja toinen, vasta luonnosvaiheessa oleva, yleisesti käytetty tietosuojaa sosiaali- ja terveydenhuollon näkökulmasta tarkasteleva standardi. Normiston tarkastelussa ja sen ohjelmistotuotantoon soveltamisessa hyödynnettiin aiheeseeen liittyvää kirjallisuutta, verkkomateriaalia sekä asiantuntijalausuntoja. Normiston pohjalta tehty case-arviointi toteutettiin kehittävän laadullisen tutkimusotteen tapaan. Arvioitu TUHA-sovellus on hyvinvointialan yksityisille sekä säätiö- ja järjestöpohjaisille palveluntarjoajille suunnattu Internet-verkossa käytettävä sovellus. Sovellusta markkinoidaan SaaS-malin mukaisena palvelukokonaisuutena. Arvioinnissa löytyi eräitä tietosuojan kannalta ongelmallisia seikkoja, joihin laadittiin eettisesti ja liiketaloudellisesti kestävät kehitysehdotukset. Arviointi ja laaditut kehitysehdotukset kuuluvat opinnäytetyön tilaajan liikesalaisuuksien piiriin, joten ne kirjattiin tämän työn liikeosioiksi. Nämä liiteosiot luovutettiin Satakunnan ammattikorkeakoulun opinnäytetyöohjeen julkisuussäännösten mukaisesti vain Codebird Oy:lle. Normistossa annetaan yksityiskohtaisia ohjeista sosiaali- ja terveyshuollon asiakas- ja potilastietojen sisällöistä sekä tietojen käsittelystä, salassapidosta, säilyksestä ja luovutukseen liittyvistä asioista. Ohjeet näiden teknisistä toteutustavoista sähköisissä järjestelmissä ovat nykyisellään tulkinnanvaraisia. Tavoittelemalla tietoturvastandardien mukaisia toimintatapoja ohjelmistotuotantoja voidaan ohjata tietosuojaa toteuttavien käytäntöjen mukaisiin ratkaisuihin. Lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä littyvään asetukseen tullaan säätämään tietosuojaan ja näiltä osin myös tietoturvallisuuteen liittyviä tarkempia ohjeita. Asetus astunee voimaan vuoden 2007 loppuun mennessä.

The subject of this thesis was to define norms of privacy protection in electronic systems. The concern was especially in registered customers of social welfare and health care. In addition to this it was defined what kind of requirements privacy protection influences to the designing and implementation of welfare services' enterprise resource planning and customer relationship management application using over the Internet. The Corebird Ltd's TUHA application as well as the software delivery was then evaluated according to this definition. The focus of this evaluation was on privacy protection. The proposal for better privacy protection was produced on the grounds of the evaluation results. The project was put into practice during winter 2006 and spring 2007. The privacy protection analysis was based on current legislation as well as on two standards concerning information security. The first stantard was general stantard of information security and the second standard, on that is still being drafted, covers common information protection practices used in social welfare and health care. Subject matter literature, web material and expert opinions were utilized on considering the norms and adapting to the softwere engineering. Case-evaluation based on the norms was put into practice in the manner of a qualitative research. The TUHA application, which was evaluated, is a web based application designed for private and foundation sector welfare services providers. The application is being marketed based on SaaS-service (Software as a Service) model. The evaluation uncovered some information security issues that were problematic, but which were met by establishing development schemes that are sustainable both from ethical as well as economical view points. Evaluation and development proposals are a business secret of the subscriber of this thesis. Therefore those were written into the appendices. These appendices were turned over only to Corebird Ltd according to Satakunta University of Applied Sciences guideline of thesis adn it's principle of publicity. The norms define detailed instructions about social welfare and health care customer and patient information, data processing, concealment as well as facts about safekeeping and extradition. Specifications how to realize these instructions in electronic systems are nowadays open to interpretations. Software engineering may be guided to the solutions with better privacy protection by seeking methods accordant with data security standards. Specific instructions of privacy protection and data security will be enacted in the statute related to the law of social welfare and health care customer information data processing. The statute will come into operation by the end of year 2007.