Implementing a secure and regulation-compliant system for storing healthcare data

 |  Login

Show simple item record

dc.contributor Aalto-yliopisto fi
dc.contributor Aalto University en
dc.contributor.advisor Nazander, Albert
dc.contributor.author Palonen, Markus
dc.date.accessioned 2017-10-30T07:54:58Z
dc.date.available 2017-10-30T07:54:58Z
dc.date.issued 2017-10-04
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/28465
dc.description.abstract The regulation in the European Union and the United States requires that information systems that store and process personally identifiable health information is secured appropriately. The regulation to protect the information relies on information security triad: confidentiality, integrity and availability. In addition to the triad, the regulation requires certain technical safeguards. The compliance with the regulation is not only a technical challenge, but also organisational. When designing a system for storing privacy critical information, the challenge for the organisation is to take the responsibility for creating appropriate processes, documentation and to be ready to be legally liable for any incidents or breaches to the system. In this thesis, we analyse the relevant regulation and design and implement a pilot system that implements the required technical safeguards to protect medical information. We discuss both the high-level requirements and the technical solutions that are in line with the regulation. The required components in a compliant system are authentication, session management, access control, encryption of data at rest and in transit, key management, fault and audit logging and backups. These measures can be realised in any unix-like system with software packages that are widely available. The result is a documented pilot system with security features that will next be integrated with an actual healthcare application. en
dc.description.abstract Lainsäädäntö Euroopan Unionissa ja Yhdysvalloissa vaatii, että tietojärjestelmät jotka käsittelevät tai tallentavat tunnistettavaa henkilötietoa, ovat tarkoituksenmukaisesti tietoturvallisia. Lainsäädäntö, joka suojaa henkilötietoa, nojaa tietoturvakolmioon: luottamuksellisuus, eheys ja käytettävyys. Näiden lisäksi lainsäädäntö vaatii erinäisiä teknisiä suojakeinoja. Yhteensopivuus lainsäädännön kanssa ei ole pelkästään tekninen ongelma vaan myös organisaatiollinen haaste. Organisaatiotasolla ratkaistavia kysymyksiä kriittisen henkilötiedon säilyttämiseen tarkoitetun tietojärjestelmän suunnittelussa ovat vastuun ottaminen tarvittavien prosessien ja dokumentaation luomisesta ja vastuukysymykset järjestelmän toimintahäiriöistä ja tietomurroista. Tässä diplomityössä luodaan katsaus asiaa koskevaan lainsäädäntöön ja suunnitellaan ja toteutetaan pilottijärjestelmä, joka toteuttaa vaaditut tekniset suojakeinot henkilötiedon suojaamiseksi. Diplomityössä käsitellään sekä säätelyn asettamia korkean tason vaatimuksia, että teknisiä keinoja niiden toteuttamiseen. Lain vaatimat järjestelmän osat ovat tunnistautuminen, istunnon hallinta, pääsynvalvonta, datan salaus säilytyksen ja siirron aikana, avaintenhallinta, vika- ja tarkastuslokit ja varmuuskopiointi. Nämä suojakeinot voidaan toteuttaa missä tahansa unix-tyyppisessä järjestelmässä käyttäen yleisesti saatavilla olevia ohjelmistokomponentteja. Tuloksena on dokumentoitu pilottijärjestelmä, jonka tietoturvaominaisuudet voidaan seuraavaksi integroida todelliseen terveydenhuollon sovellukseen. fi
dc.format.extent 72
dc.language.iso en en
dc.title Implementing a secure and regulation-compliant system for storing healthcare data en
dc.title Henkilötiedon turvallinen ja säädösten mukainen säilyttäminen terveydenhuollon tietojärjestelmässä fi
dc.type G2 Pro gradu, diplomityö fi
dc.contributor.school Perustieteiden korkeakoulu fi
dc.subject.keyword information security en
dc.subject.keyword privacy en
dc.subject.keyword encryption en
dc.subject.keyword regulation en
dc.subject.keyword compliance en
dc.subject.keyword healthcare en
dc.identifier.urn URN:NBN:fi:aalto-201710307311
dc.programme.major Computer Science fi
dc.programme.mcode SCI3042 fi
dc.type.ontasot Master's thesis en
dc.type.ontasot Diplomityö fi
dc.contributor.supervisor Aura, Tuomas
dc.programme Master’s Programme in Computer, Communication and Information Sciences fi
local.aalto.electroniconly yes
local.aalto.openaccess no


Files in this item

Files Size Format View

There are no files associated with this item.

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

My Account