Osapuolet ja vastuut

Osapuolet ja vastuut

Kela järjestää yhteistestauksen ja tietojärjestelmätoimittaja osallistuu yhteistestaukseen järjestelmän valmistajana. Joihinkin testauksiin osallistuu myös tietojärjestelmätoimittajan asiakasorganisaatio, joka suorittaa heitä varten laaditut testitapaukset. Yhteistestausprosessiin linkittyy myös muita viranomaistahoja, joiden roolia on kuvattu alla.

Kelan rooli ja vastuut

Kela vastaa yhteistestauksen järjestämisestä ja kaikista siihen liittyvistä käytännön toimenpiteistä. Tällaisia ovat:

  • Kelan testiympäristöjen ylläpito
  • Kelan testiympäristöissä käytettävien testihenkilötunnusten hallinnointi ja jakelu
  • testimateriaalin tuottaminen (tarkemmin Kelan testimateriaalipalveluista Testimateriaali-sivulla)
  • yhteistestausten suunnittelu
  • testitapausten laatiminen ja ylläpito
  • yhteistestausten työtilojen ylläpito
  • yhteistestausten koordinointi
  • testitapausten tarkistaminen ja hyväksyminen
  • yhteistestauslausunnon ja -raportin laatiminen.

Kela hyväksyy järjestelmätoimittajan yhteistestaukseen, kun toimittaja on

  • toimittanut Kelalle kaikki yhteistestauksen suunnitteluun ja läpivientiin vaadittavat tiedot
  • osoittanut ilmoittautumislomakkeen yhteydessä palauttamillaan esitestitapauksilla, että järjestelmä on valmis yhteistestaukseen.

Kela valitsee sertifioiduista tietojärjestelmistä testattavalle tietojärjestelmälle ristiintestausosapuolen, jotta sertifioimaton järjestelmä pystyy suorittamaan yhteistestauksen. Kela sopii osapuolten kanssa ristiintestauksen aikataulun.

Kelalla on salassapitovelvollisuus luottamuksellisiin tietoihin, joita se on saanut tietoonsa tietojärjestelmästä yhteistestauksen aikana. Tällaista tietoa ovat esimerkiksi liikesalaisuudet, joita koskee myös tiedon hyväksikäyttökielto. Yhteistestauksen aikana Kela käsittelee tietojärjestelmien tietoja huolellisesti ja luottamuksellisesti.

Tietojärjestelmätoimittajan rooli ja vastuut

Tietojärjestelmätoimittaja vastaa siitä, että sen valmistama tietojärjestelmä täyttää yhteentoimivuutta, tietoturvaa, tietosuojaa ja toiminnallisuutta koskevat olennaiset vaatimukset. Toimittaja vastaa myös järjestelmän teknisestä toimivuudesta, johon kuuluu tietojärjestelmän:

  • käytettävyys
  • suorituskyky
  • kyky tuottaa valideja asiakirjoja ja muodostaa määrittelyjen mukaisia CDA R2 -sanomia.

Kela tarjoaa tietojärjestelmätoimittajille tuotekehityksen avuksi Validointipalvelun, jolla voi tarkistaa, onko asiakirjan tietorakenteet muodostettu oikein.

Huolehdi näistä ennen kuin ilmoittaudut yhteistestaukseen

Ennen yhteistestaukseen ilmoittautumista järjestelmätoimittajan vastuulla on huolehtia, että se on:

  • tutustunut kansalliseen sertifiointiprosessiin ja kanta.fi-sivustolla olevaan yhteistestauksen materiaaliin
  • liittynyt Kanta-asiakastestipalveluun
  • sitoutunut noudattamaan Kanta-asiakastestipalvelun etikettiä, jonka lisäksi järjestelmätoimittajan tulee omalta osaltaan varmistaa, että myös sen asiakasorganisaatio tuntee asiakastestipalvelun etiketin
  • hankkinut Katso-tunnukset Kumppanit-sivustolle kirjautumiseen
  • hankkinut Väestörekisterikeskukselta (VRK) testauksessa tarvittavat testiammattikortit sekä testipalvelin- ja testijärjestelmäallekirjoitusvarmenteet
  • saanut yhteistestaukseen tulevan toiminnallisuuden kehittämistyön valmiiksi. Yhteistestauksessa varmistetaan tuotantokelpoisen järjestelmän yhteentoimivuus, eikä yhteistestauksen aikana kehitetä enää testattavana olevaa toiminnallisuutta
  • testannut omaa toteutustaan riittävästi sekä omassa testiympäristössään että Kanta-palvelujen asiakastestiympäristössä ennen yhteistestaukseen ilmoittautumista. Riittävällä järjestelmätestauksella järjestelmätoimittaja varmistaa, että tietojärjestelmä on kypsä yhteistestaukseen
  • huolehtinut, että yhteistestaukseen tuleva tietojärjestelmä vastaa tuotannonkaltaista kokonaisuutta. Jos Kanta-palveluihin tallennettavan tiedon muodostamiseen osallistuu useampi eri komponentti tai järjestelmä, yksittäisiä osia ei yhteistestata, vaan koko se järjestelmäkokonaisuus, joka tuottaa Kanta-palveluihin tallennettavan tiedon. Myös ilmoittautumislomakkeella olevat esitestitapaukset tulee tehdä tuotannonkaltaisella tietojärjestelmäkokonaisuudella. Tällä menettelyllä varmistetaan, että yhteistestaus kohdistuu oikein
  • sitoutunut yhteistestauksen aikatauluun.

Jos yhteistestattava toiminnallisuus on sellainen, että osan testausvaiheista suorittaa tietojärjestelmätoimittajan asiakasorganisaatio, tulee toimittajan etsiä asiakaskunnastaan yhteistestaukseen osallistuva organisaatio. Yhteistestauksen aikana tietojärjestelmätoimittaja tukee tarpeen mukaan asiakasorganisaationsa testausta muun muassa testiraporttien täyttämisessä. Asiakasorganisaation valinnassa tulee huomioida seuraavat näkökohdat:

  • Asiakasorganisaatiolla on testiympäristö, jossa yhteistestattavaa sisältöä ja toiminnallisuutta voidaan testata mahdollisimman laajasti.
  • Asiakasorganisaatio haluaa osallistua yhteistestaukseen ja se pystyy resursoimaan henkilöstöä testauksen valmisteluun, testitapausten suorittamiseen ja yhteistestauksen tarkistuspalavereihin.
  • Tietojärjestelmätoimittajan tulee korjata yhteistestauksessa ilmenevät virheet ja korjattu järjestelmäversio pitää tarvittaessa päivittää myös asiakasorganisaation testiympäristöön. Yhteistestauksen testitapauksia uudelleentestataan siihen asti, kun estäviä ja merkittäviä virheitä ei enää löydy. Testaushavaintojen luokittelusta löytyy tietoa Käsitteet ja määritelmät -sivulta. 

Jos tietojärjestelmätoimittaja huomaa järjestelmässään virheen, tulee toimittajan viipymättä tiedottaa Kanta-palveluja ja kaikkia niitä asiakasorganisaatioita, joihin virhe vaikuttaa virheestä ja sen korjaamisen aikataulusta.

Jos tietojärjestelmään tehdään Kanta-palveluihin vaikuttavia merkittäviä muutoksia, tietojärjestelmätoimittaja on velvollinen ilmoittamaa niistä Kelaan. Lisätietoja on Terveyden ja hyvinvoinnin laitoksen dokumentista Ohje luokkaan A kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien muutosten ilmoittamisesta (pdf, thl.fi).

Asiakasorganisaation rooli ja vastuut

Yhteistestaukseen osallistuvan tietojärjestelmätoimittajan asiakasorganisaatio vastaa siitä, että se on:

  • tutustunut kanta.fi-sivustolla olevaan yhteistestauksen materiaaliin
  • liittynyt Kanta-asiakastestipalveluun
  • sitoutunut noudattamaan Kanta-asiakastestipalvelun etikettiä
  • hankkinut Katso-tunnukset Kumppanit-sivustolle kirjautumiseen
  • hankkinut Väestörekisterikeskukselta (VRK) testauksessa tarvittavat testiammattikortit sekä testipalvelin- ja testijärjestelmäallekirjoitusvarmenteet
  • huolehtinut, että sen käytössä oleva Kanta-palveluihin liitettävä tietojärjestelmä mahdollisine erillisjärjestelmineen täyttää liittymisen tekniset ja toiminnalliset vaatimukset. Tässä asiakasorganisaatio voi käyttää tietojärjestelmätoimittajaa tukenaan
  • sitoutunut yhteistestauksen aikatauluun ja resursoinut henkilöstöä testauksen valmisteluun, testitapausten suorittamiseen ja yhteistestauksen palautepalavereihin
  • huolehtinut, että mahdollinen tietojärjestelmän hyväksymistestaus tai muu asiakasorganisaation tekemä testaus ajoitetaan siten, että se ei häiritse yhteistestauksen etenemistä ja suunniteltua aikataulua. Yhteistestaus ei ole tietojärjestelmän hyväksymistestausta
  • sitoutunut laatimaan suorittamastaan yhteistestauksesta yhteistestausraportin.

Lisäksi asiakasorganisaatiolla on velvollisuus osallistua ristiintestausosapuolena yhteistestauksiin myös sen jälkeen, kun sen käyttämä järjestelmä on sertifioitu.

Muiden toimijoiden rooli ja vastuut

Kanta-asiakastestipalvelussa suoritettavaan omatoimiseen testaukseen ja sertifiointiin johtavaan yhteistestaukseen linkittyy myös muita toimijoita. Alla on kerrottu lyhyesti, minkälainen rooli kullakin toimijalla on testausprosessin näkökulmasta.

Liikenne- ja viestintävirasto Traficom

Traficom hyväksyy tietoturvallisuuden arviointilaitoksen, joka voi suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Lisäksi Traficom ohjaa ja valvoo tietoturvallisuuden auditointilaitoksia. Lisätietoa löytyy Traficomin sivuilta:

Väestörekisterikeskus (VRK)

VRK tuottaa tietojärjestelmätoimittajille ja terveydenhuollolle testikortteja ja testiammattikortteja. Kortteja käytetään esimerkiksi silloin, kun järjestelmää testataan Kanta-palvelujen testiympäristöissä. VRK tuottaa myös Kanta-palvelujen käytössä tarvittavia palvelinvarmenteita ja järjestelmäallekirjoitusvarmenteita. Lisäksi VRK vastaa Katso-tunnuksista, joilla kirjaudutaan esimerkiksi Kumppanit-työtilaan.

Lisätietoa löytyy VRK sivuilta:

Valvira

Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran tehtävä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta, ja sillä on myös oikeus tehdä valvonnan edellyttämiä tarkastuksia. Lisäksi Valvira vastaa sosiaali- ja terveydenhuollon luokkiin A ja B kuuluvien tietojärjestelmien rekisteristä. Rekisteristä voi tarkistaa esimerkiksi sen, millä tietojärjestelmillä on oikeus liittyä suoraan Kanta-palveluihin ja mikä on kunkin tietojärjestelmän vaatimustenmukaisuustodistuksen viimeinen voimassaolopäivä.

Lisätietoa löytyy Valviran sivuilta:

Tietoturvallisuuden arviointilaitokset

Traficomin hyväksymät tietoturvallisuuden arviointilaitokset voivat suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Kun tietojärjestelmä täyttää sille asetetut olennaiset toiminnalliset vaatimukset ja Kela on antanut järjestelmälle yhteistestauslausunnon, tietoturvallisuuden arviointilaitos antaa järjestelmälle vaatimustenmukaisuustodistuksen. Tämän jälkeen tietojärjestelmä voi liittyä Kanta-palveluihin.

Terveyden ja hyvinvoinnin laitos (THL)

THL vastaa sosiaali- ja terveydenhuollon tiedonhallinnan operatiivisesta ohjauksesta. Testauksen ja sertifioinnin näkökulmasta THL vastaa muun muassa:

  • sosiaali- ja terveydenhuollon tietojärjestelmien toiminnallisista vaatimuksista
  • tietojärjestelmien luokkien määräytymisestä
  • olennaisten vaatimusten osoittamiseksi noudatettavista menettelyistä
  • sosiaali- ja terveydenhuollon toimijoille annettavista määräyksistä.

Lisätietoa löytyy THL:n sivuilta:

 

Sivua päivitetty 18.11.2019