Sertifiointi, olennaiset vaatimukset ja omavalvonta

Kaikkien asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien valmistajia koskee velvoite ilmoittaa tuotantokäyttöön otettavasta tietojärjestelmästä Valviralle. Kaikkia näitä järjestelmiä koskevat myös sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset vaatimukset. Vaatimukset ovat toiminnallisuuteen, yhteentoimivuuteen ja tietoturvaan liittyviä. Kanta-palveluihin liittyvissä järjestelmissä osa vaatimuksista todennetaan sertifioinnin kautta.

Sertifiointi on prosessi, jonka kautta todennetaan tietojärjestelmään kohdistuvien olennaisten vaatimusten täyttäminen. Sertifiointi koskee Kanta-palveluihin liittyviä tietojärjestelmiä ja Kanta-välityspalveluita. Osana sertifiointia suoritetaan yhteistestaus Kelan Kanta-palvelujen ja tietoturva-auditointi Viestintäviraston hyväksymän arviointilaitoksen kanssa. Hyväksytyn sertifioinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Sertifiointi uusitaan määräajan jälkeen, ennen kuin aiempi hyväksyntä tai vaatimustenmukaisuus vanhenee. Sertifiointi on uusittava myös, jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi.

Kaikki sähköisesti asiakas- ja potilastietoja käsittelevät sosiaali- ja terveyspalveluita tuottavat organisaatiot sekä Kanta-välittäjänä toimivat organisaatiot laativat omavalvontasuunnitelman, joka linkittyy myös käytettyjen tietojärjestelmien olennaisiin vaatimuksiin.

Valvonta ja vastuut

Tietojärjestelmän valmistajalla tai tietojärjestelmäpalvelun tuottajalla on vastuu oman järjestelmänsä luokittelusta, vaatimustenmukaisuudesta, ilmoittamisesta Valviralle ja tarvittaessa sertifioinnista.

Sosiaali- ja terveydenhuollon palveluja tuottavalla tai järjestävällä organisaatiolla on vastuu tietoturvallisuuden ja tietosuojan omavalvonnasta sekä vaatimusten mukaisten järjestelmien käytöstä. Järjestelmiä on käytettävä niiden käyttötarkoituksen sekä valmistajan ohjeistuksen mukaisesti.

THL julkaisee ja ylläpitää olennaisiin vaatimuksiin ja omavalvontaan liittyviä määräyksiä ja ohjeita, jotka pohjautuvat lakeihin, asetuksiin ja valtakunnallisiin määrittelyihin. Kela toteuttaa Kanta-palveluihin liittyvien järjestelmien yhteistestauksen. Valvira valvoo ja edistää tietojärjestelmien käyttötarkoituksen mukaista käyttöä ja vaatimustenmukaisuutta ja kokoaa julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä.

Omavalvonta

Omavalvontasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelun antajia, apteekkeja sekä Kanta-välityspalveluiden tuottajia.

Toiminnalliset vaatimukset

Sosiaali- ja terveydenhuollon tietojärjestelmän valmistajan on kuvattava Valviralle tehtävän ilmoituksen yhteydessä tai sertifiointiin hakeuduttaessa järjestelmän käyttötarkoitus ja järjestelmää koskevien toiminnallisten vaatimusten täyttäminen. Ilmoitus tehdään yhtenäiseen luokitukseen perustuvan järjestelmälomakkeen avulla. Eri käyttötarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia on määritelty valtakunnallisten profiilien kautta. 

Yhteistestaus

Kanta-palveluihin liittyvien järjestelmien on osana sertifiointia läpäistävä Kelan yhteistestaus ennen järjestelmän ottamista tuotantokäyttöön.

Tietoturvallisuuden auditointi

Kanta-palveluihin liittyvien järjestelmien ja Kanta-välityspalveluiden on osana sertifiointia läpäistävä tietoturvallisuuden arviointilaitoksen auditointi. Hyväksytyn tietoturva-auditoinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Vaatimustenmukaisuustodistus on voimassa siinä todetun määräajan loppuun saakka. Tietoturva-auditoinnin kustannuksista vastaa kukin tietojärjestelmän valmistaja tai välityspalvelun tuottaja itse.

Lisätietoja

Sertifiointi, olennaiset vaatimukset ja omavalvonta

Kaikkien asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien valmistajia koskee velvoite ilmoittaa tuotantokäyttöön otettavasta tietojärjestelmästä Valviralle. Kaikkia näitä järjestelmiä koskevat myös sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset vaatimukset. Vaatimukset ovat toiminnallisuuteen, yhteentoimivuuteen ja tietoturvaan liittyviä. Kanta-palveluihin liittyvissä järjestelmissä osa vaatimuksista todennetaan sertifioinnin kautta.

Sertifiointi on prosessi, jonka kautta todennetaan tietojärjestelmään kohdistuvien olennaisten vaatimusten täyttäminen. Sertifiointi koskee Kanta-palveluihin liittyviä tietojärjestelmiä ja Kanta-välityspalveluita. Osana sertifiointia suoritetaan yhteistestaus Kelan Kanta-palvelujen ja tietoturva-auditointi Viestintäviraston hyväksymän arviointilaitoksen kanssa. Hyväksytyn sertifioinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Sertifiointi uusitaan määräajan jälkeen, ennen kuin aiempi hyväksyntä tai vaatimustenmukaisuus vanhenee. Sertifiointi on uusittava myös, jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi.

Kaikki sähköisesti asiakas- ja potilastietoja käsittelevät sosiaali- ja terveyspalveluita tuottavat organisaatiot sekä Kanta-välittäjänä toimivat organisaatiot laativat omavalvontasuunnitelman, joka linkittyy myös käytettyjen tietojärjestelmien olennaisiin vaatimuksiin.

Valvonta ja vastuut

Tietojärjestelmän valmistajalla tai tietojärjestelmäpalvelun tuottajalla on vastuu oman järjestelmänsä luokittelusta, vaatimustenmukaisuudesta, ilmoittamisesta Valviralle ja tarvittaessa sertifioinnista.

Sosiaali- ja terveydenhuollon palveluja tuottavalla tai järjestävällä organisaatiolla on vastuu tietoturvallisuuden ja tietosuojan omavalvonnasta sekä vaatimusten mukaisten järjestelmien käytöstä. Järjestelmiä on käytettävä niiden käyttötarkoituksen sekä valmistajan ohjeistuksen mukaisesti.

THL julkaisee ja ylläpitää olennaisiin vaatimuksiin ja omavalvontaan liittyviä määräyksiä ja ohjeita, jotka pohjautuvat lakeihin, asetuksiin ja valtakunnallisiin määrittelyihin. Kela toteuttaa Kanta-palveluihin liittyvien järjestelmien yhteistestauksen. Valvira valvoo ja edistää tietojärjestelmien käyttötarkoituksen mukaista käyttöä ja vaatimustenmukaisuutta ja kokoaa julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä.

Omavalvonta

Omavalvontasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelun antajia, apteekkeja sekä Kanta-välityspalveluiden tuottajia.

Toiminnalliset vaatimukset

Sosiaali- ja terveydenhuollon tietojärjestelmän valmistajan on kuvattava Valviralle tehtävän ilmoituksen yhteydessä tai sertifiointiin hakeuduttaessa järjestelmän käyttötarkoitus ja järjestelmää koskevien toiminnallisten vaatimusten täyttäminen. Ilmoitus tehdään yhtenäiseen luokitukseen perustuvan järjestelmälomakkeen avulla. Eri käyttötarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia on määritelty valtakunnallisten profiilien kautta. 

Yhteistestaus

Kanta-palveluihin liittyvien järjestelmien on osana sertifiointia läpäistävä Kelan yhteistestaus ennen järjestelmän ottamista tuotantokäyttöön.

Tietoturvallisuuden auditointi

Kanta-palveluihin liittyvien järjestelmien ja Kanta-välityspalveluiden on osana sertifiointia läpäistävä tietoturvallisuuden arviointilaitoksen auditointi. Hyväksytyn tietoturva-auditoinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Vaatimustenmukaisuustodistus on voimassa siinä todetun määräajan loppuun saakka. Tietoturva-auditoinnin kustannuksista vastaa kukin tietojärjestelmän valmistaja tai välityspalvelun tuottaja itse.

Lisätietoja