Implementing a secure and regulation-compliant system for storing healthcare data

Abstract

The regulation in the European Union and the United States requires that information systems that store and process personally identifiable health information is secured appropriately. The regulation to protect the information relies on information security triad: confidentiality, integrity and availability. In addition to the triad, the regulation requires certain technical safeguards.

The compliance with the regulation is not only a technical challenge, but also organisational. When designing a system for storing privacy critical information, the challenge for the organisation is to take the responsibility for creating appropriate processes, documentation and to be ready to be legally liable for any incidents or breaches to the system.

In this thesis, we analyse the relevant regulation and design and implement a pilot system that implements the required technical safeguards to protect medical information. We discuss both the high-level requirements and the technical solutions that are in line with the regulation. The required components in a compliant system are authentication, session management, access control, encryption of data at rest and in transit, key management, fault and audit logging and backups. These measures can be realised in any unix-like system with software packages that are widely available. The result is a documented pilot system with security features that will next be integrated with an actual healthcare application.

Lainsäädäntö Euroopan Unionissa ja Yhdysvalloissa vaatii, että tietojärjestelmät jotka käsittelevät tai tallentavat tunnistettavaa henkilötietoa, ovat tarkoituksenmukaisesti tietoturvallisia. Lainsäädäntö, joka suojaa henkilötietoa, nojaa tietoturvakolmioon: luottamuksellisuus, eheys ja käytettävyys. Näiden lisäksi lainsäädäntö vaatii erinäisiä teknisiä suojakeinoja.

Yhteensopivuus lainsäädännön kanssa ei ole pelkästään tekninen ongelma vaan myös organisaatiollinen haaste. Organisaatiotasolla ratkaistavia kysymyksiä kriittisen henkilötiedon säilyttämiseen tarkoitetun tietojärjestelmän suunnittelussa ovat vastuun ottaminen tarvittavien prosessien ja dokumentaation luomisesta ja vastuukysymykset järjestelmän toimintahäiriöistä ja tietomurroista.

Tässä diplomityössä luodaan katsaus asiaa koskevaan lainsäädäntöön ja suunnitellaan ja toteutetaan pilottijärjestelmä, joka toteuttaa vaaditut tekniset suojakeinot henkilötiedon suojaamiseksi. Diplomityössä käsitellään sekä säätelyn asettamia korkean tason vaatimuksia, että teknisiä keinoja niiden toteuttamiseen. Lain vaatimat järjestelmän osat ovat tunnistautuminen, istunnon hallinta, pääsynvalvonta, datan salaus säilytyksen ja siirron aikana, avaintenhallinta, vika- ja tarkastuslokit ja varmuuskopiointi. Nämä suojakeinot voidaan toteuttaa missä tahansa unix-tyyppisessä järjestelmässä käyttäen yleisesti saatavilla olevia ohjelmistokomponentteja. Tuloksena on dokumentoitu pilottijärjestelmä, jonka tietoturvaominaisuudet voidaan seuraavaksi integroida todelliseen terveydenhuollon sovellukseen.