Sertifiointi, olennaiset vaatimukset ja omavalvonta

Kaikkien asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien valmistajia koskee velvoite ilmoittaa tuotantokäyttöön otettavasta tietojärjestelmästä Valviralle. Kaikkia näitä järjestelmiä koskevat myös sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset vaatimukset. Vaatimukset ovat toiminnallisuuteen, yhteentoimivuuteen ja tietoturvaan liittyviä. Kanta-palveluihin liittyvissä järjestelmissä osa vaatimuksista todennetaan sertifioinnin kautta.

Osana sertifiointia suoritetaan yhteistestaus Kelan Kanta-palvelujen ja tietoturva-auditointi Viestintäviraston hyväksymän arviointilaitoksen kanssa. Hyväksytyn sertifioinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Sertifiointi uusitaan määräajan jälkeen, ennen kuin aiempi hyväksyntä tai vaatimustenmukaisuus vanhenee. Sertifiointi on uusittava myös, jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi.

Kaikki sähköisesti asiakas- ja potilastietoja käsittelevät sosiaali- ja terveyspalveluita tuottavat organisaatiot sekä Kanta-välittäjänä toimivat organisaatiot laativat omavalvontasuunnitelman, joka linkittyy myös käytettyjen tietojärjestelmien olennaisiin vaatimuksiin.

Valvonta ja vastuut

Tietojärjestelmän valmistajalla tai tietojärjestelmäpalvelun tuottajalla on vastuu oman järjestelmänsä luokittelusta, vaatimustenmukaisuudesta, ilmoittamisesta Valviralle ja tarvittaessa sertifioinnista.

Sosiaali- ja terveydenhuollon palveluja tuottavalla tai järjestävällä organisaatiolla on vastuu tietoturvallisuuden ja tietosuojan omavalvonnasta sekä vaatimusten mukaisten järjestelmien käytöstä. Järjestelmiä on käytettävä niiden käyttötarkoituksen sekä valmistajan ohjeistuksen mukaisesti.

THL julkaisee ja ylläpitää olennaisiin vaatimuksiin ja omavalvontaan liittyviä määräyksiä ja ohjeita, jotka pohjautuvat lakeihin, asetuksiin ja valtakunnallisiin määrittelyihin. Kela toteuttaa Kanta-palveluihin liittyvien järjestelmien yhteistestauksen. Valvira valvoo ja edistää tietojärjestelmien käyttötarkoituksen mukaista käyttöä ja vaatimustenmukaisuutta ja kokoaa julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä.

• Määräykset ja ohjeet THL:n sivulla
• Järjestelmien ja välityspalveluiden tuottajien ilmoittaminen Valviralle
• Kanta-sertifiointi ja omavalvonta - yleiskuva ja prosessit
• Sote-tietojärjestelmien luokittelu, sertifiointi ja omavalvonta: usein kysytyt kysymykset

Omavalvonta

Omavalvontasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelun antajia, apteekkeja sekä Kanta-välityspalveluiden tuottajia.

• Määräys omavalvontasuunnitelmasta (pdf, 2/2015)
  • liite: Omavalvontasuunnitelman mallipohja (doc)

Toiminnalliset vaatimukset

Sosiaali- ja terveydenhuollon tietojärjestelmän valmistajan on kuvattava Valviralle tehtävän ilmoituksen yhteydessä tai sertifiointiin hakeuduttaessa järjestelmän käyttötarkoitus ja järjestelmää koskevien toiminnallisten vaatimusten täyttäminen. Ilmoitus tehdään yhtenäiseen luokitukseen perustuvan järjestelmälomakkeen avulla. Eri käyttötarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia on määritelty valtakunnallisten profiilien kautta. 

• Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista (pdf 506 kt)
  • Liite 1, Määräyksen perustelut ja soveltaminen (pdf 345 kt)
  • Liite 2, Olennaisten toiminnallisten vaatimusten luokitus (xls 349 kt)
  • Liite 3a, Profiilit: Sähköisen reseptin profiilit (xls 304 kt)
    • Lääkemääräyksiä käsittelevä potilastietojärjestelmä, Apteekkijärjestelmä
  • Liite 3b, Profiilit: Kanta-arkistoon liittyvien järjestelmien vähimmäisvaatimusprofiilit (xls 334 kt)
    • Kanta-arkistosta tietoja hakeva sovellus tai palvelu, Kanta-arkistosta haettuja tietoja hyödyntävä sovellus, Kanta-arkistoon tietoja toimittava sovellus tai palvelu, Kanta-arkistoon toimitettavia tietoja tuottava sovellus
  • Liite 3c, Profiilit: Potilastiedon arkiston profiilit (xls 375 kt)
    • Potilaskertomusjärjestelmä (perusvaatimukset), Suun terveydenhuollon järjestelmä
  • Liite 3d, Profiilit: Sosiaalihuollon asiakastiedon arkiston profiilit (xls 579 kt)
    • Sosiaalihuollon asiakastietojen arkiston vaiheen I liittyvä järjestelmä
    • Sosiaalihuollon asiakastiedon arkistoon vaiheessa I tallentava järjestelmä
    • Sosiaalihuollon asiakastiedon arkistosta vaiheessa I katseleva järjestelmä
    • Sosiaalihuollon asiakastietojen arkistoon vaiheessa I palvelunantajan omia tietoja arkistoiva sovellus tai palvelu
  • Liite 3e, Profiilit: Kuvantamisen profiilit (xls 327 kt)
    • Kuvantamisen valtakunnalliseen Kvarkki-arkistoon liittyvä järjestelmäkokonaisuus, Kuvantamisen alueellisen arkiston toteuttava järjestelmäkokonaisuus, Kvarkki-arkistosta kuva-aineistoja hyödyntävä järjestelmä
  • Liite 3f, Profiilit: Todistusten profiilit
    • Kanta-arkistosta todistuksia tai lausuntoja kyselevä palvelu
    • Kanta-arkistosta todistuksia tai lausuntoja vastaanottava palvelu
    • Kanta-arkistoon todistuksia tai lausuntoja tuottava palvelu
  • Liite 4, Järjestelmälomake (xls 221 kt)

Yhteistestaus

Kanta-palveluihin liittyvien järjestelmien on osana sertifiointia läpäistävä Kelan yhteistestaus ennen järjestelmän ottamista tuotantokäyttöön.

• Ohjeet yhteistestaukseen

Tietoturvallisuuden auditointi

Kanta-palveluihin liittyvien järjestelmien ja Kanta-välityspalveluiden on osana sertifiointia läpäistävä tietoturvallisuuden arviointilaitoksen auditointi. Hyväksytyn tietoturva-auditoinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen vaatimustenmukaisuustodistuksen, jollainen on oltava Kanta-palveluihin liitettävällä järjestelmällä. Vaatimustenmukaisuustodistus on voimassa siinä todetun määräajan loppuun saakka. Tietoturva-auditoinnin kustannuksista vastaa kukin tietojärjestelmän valmistaja tai välityspalvelun tuottaja itse.

• Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (pdf, 1/2015)
  • liite: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille (doc)
• Viestintäviraston hyväksymät arviointilaitokset (kyberturvallisuuskeskus.fi)

Tukimateriaalia

Sote-tietojärjestelmien olennaiset vaatimukset ja sertifiointi -koulutus 3.4.2019

• Sote-tietojärjestelmien olennaiset vaatimukset ja sertifiointi (YouTube 1:11 h)
• Sote-tietojärjestelmien yhteistestaus sertifiointiprosessin osana (YouTube 24:48 min.)
• Sote-tietojärjestelmien rekisteri ja valvonta (YouTube 26:07 min.)
• Poikkeamat vaatimustenmukaisuudesta (YouTube 43:12 min.)
• Materiaalit THL:n SlideShare-palvelussa

Lisätietoja

• Yhteistestaukseen liittyvät kysymykset kantakehitys@kanta.fi
• Sertifiointiin tai omavalvontasuunnitelmaan liittyvät kysymykset kantapalvelut@thl.fi