Osapuolet ja vastuut

Osapuolet ja vastuut

Kela järjestää yhteistestauksen ja tietojärjestelmätoimittaja osallistuu yhteistestaukseen järjestelmän valmistajana. Joihinkin testauksiin osallistuu myös tietojärjestelmätoimittajan asiakasorganisaatio, joka suorittaa heitä varten laaditut testitapaukset. Yhteistestausprosessiin linkittyy myös muita viranomaistahoja, joiden roolia on kuvattu alla.

Kelan rooli ja vastuut

Kela vastaa yhteistestauksen järjestämisestä ja kaikista siihen liittyvistä käytännön toimenpiteistä. Tällaisia ovat:

  • Kelan testiympäristöjen ylläpito
  • Kelan testiympäristöissä käytettävien testihenkilötunnusten hallinnointi ja jakelu
  • testimateriaalin tuottaminen (tarkemmin Kelan testimateriaalipalveluista Testimateriaali-sivulla)
  • yhteistestausten suunnittelu
  • testitapausten laatiminen ja ylläpito
  • yhteistestausten työtilojen ylläpito
  • yhteistestausten koordinointi
  • testitapausten tarkistaminen ja hyväksyminen
  • yhteistestauslausunnon ja -raportin laatiminen.

Kela hyväksyy järjestelmä- tai sovellustoimittajan yhteistestaukseen, kun toimittaja on

  • toimittanut Kelalle kaikki yhteistestauksen suunnitteluun ja läpivientiin vaadittavat tiedot
  • osoittanut ilmoittautumislomakkeen yhteydessä palauttamillaan esitestitapauksilla, että järjestelmä on valmis yhteistestaukseen.

Mikäli yhteistestaukseen sisältyy ristiintestauksen vaihe, Kela valitsee sertifioiduista tietojärjestelmistä testattavalle tietojärjestelmälle ristiintestausosapuolen. Kela sopii osapuolten kanssa ristiintestauksen aikataulun.

Kelan muut vastuut:

  • Kelan testiympäristöjen ylläpito
  • sosiaali- ja terveydenhuollon tietojärjestelmien sekä hyvinvointisovellusten tekniset ja toiminnalliset vaatimukset
  • käyttöönottoihin liittyvä ohjaus ja neuvonta.

Kelalla on salassapitovelvollisuus luottamuksellisiin tietoihin, joita se on saanut tietoonsa tietojärjestelmästä tai hyvinvointisovelluksesta yhteistestauksen aikana. Tällaista tietoa ovat esimerkiksi liikesalaisuudet, joita koskee myös tiedon hyväksikäyttökielto. Yhteistestauksen aikana Kela käsittelee tietojärjestelmien ja sovellusten tietoja huolellisesti ja luottamuksellisesti.

Tietojärjestelmä- ja hyvinvointisovellustoimittajan rooli ja vastuut

Tietojärjestelmä- tai sovellustoimittaja (myöhemmin järjestelmätoimittaja) vastaa siitä, että sen valmistama tietojärjestelmä täyttää yhteentoimivuutta, tietoturvaa, tietosuojaa ja toiminnallisuutta koskevat olennaiset vaatimukset. Toimittaja vastaa myös järjestelmän teknisestä toimivuudesta, johon kuuluu tietojärjestelmän:

  • käytettävyys
  • suorituskyky
  • kyky tuottaa valideja asiakirjoja ja muodostaa määrittelyjen mukaisia CDA R2 -sanomia.

Kela tarjoaa tietojärjestelmätoimittajille tuotekehityksen avuksi Validointipalvelun, jolla voi tarkistaa, onko asiakirjan tietorakenteet muodostettu oikein.

Huolehdi näistä ennen kuin ilmoittaudut yhteistestaukseen

Ennen yhteistestaukseen ilmoittautumista järjestelmätoimittajan vastuulla on huolehtia, että se on:

  • tutustunut kansalliseen sertifiointiprosessiin ja kanta.fi-sivustolla olevaan yhteistestauksen materiaaliin
  • liittynyt Kanta-asiakastestipalveluun
  • sitoutunut noudattamaan Kanta-asiakastestipalvelun etikettiä, jonka lisäksi järjestelmätoimittajan tulee omalta osaltaan varmistaa, että myös sen mahdollinen asiakasorganisaatio tuntee asiakastestipalvelun etiketin
  • hankkinut tunnukset Kumppanit-sivustolle kirjautumiseen
  • hankkinut Digi- ja väestötietovirastolta (ent. VRK) testauksessa tarvittavat testiammattikortit (dvv.fi) sekä testipalvelin- ja testijärjestelmäallekirjoitusvarmenteet (dvv.fi)
  • saanut yhteistestaukseen tulevan toiminnallisuuden kehittämistyön valmiiksi. Yhteistestauksessa varmistetaan tuotantokelpoisen järjestelmän yhteentoimivuus, eikä yhteistestauksen aikana kehitetä enää testattavana olevaa toiminnallisuutta
  • testannut omaa toteutustaan riittävästi sekä omassa testiympäristössään että Kanta-palvelujen asiakastestiympäristössä ennen yhteistestaukseen ilmoittautumista. Riittävällä järjestelmätestauksella järjestelmätoimittaja varmistaa, että tietojärjestelmä on kypsä yhteistestaukseen
  • huolehtinut, että yhteistestaukseen tuleva tietojärjestelmä vastaa tuotannonkaltaista kokonaisuutta. Jos Kanta-palveluihin tallennettavan tiedon muodostamiseen osallistuu useampi eri komponentti tai järjestelmä, yksittäisiä osia ei yhteistestata, vaan koko se järjestelmäkokonaisuus, joka tuottaa Kanta-palveluihin tallennettavan tiedon. Myös ilmoittautumislomakkeella olevat esitestitapaukset tulee tehdä tuotannonkaltaisella tietojärjestelmäkokonaisuudella. Tällä menettelyllä varmistetaan, että yhteistestaus kohdistuu oikein
  • varmistunut siitä, että yhteistestaukseen on varattu riittävän paljon aikaa ja huomioinut mm. lainsäädännöstä aiheutuvat määräajat.

Jos yhteistestattava toiminnallisuus on sellainen, että osan testausvaiheista suorittaa tietojärjestelmätoimittajan asiakasorganisaatio, tulee toimittajan etsiä asiakaskunnastaan yhteistestaukseen osallistuva organisaatio. Yhteistestauksen aikana tietojärjestelmätoimittaja tukee tarpeen mukaan asiakasorganisaationsa testausta muun muassa testiraporttien täyttämisessä.

Asiakasorganisaation valinnassa tulee huomioida seuraavat näkökohdat:

  • Asiakasorganisaatiolla on testiympäristö, jossa yhteistestattavaa sisältöä ja toiminnallisuutta voidaan testata mahdollisimman laajasti.
  • Asiakasorganisaatio haluaa osallistua yhteistestaukseen ja se pystyy resursoimaan henkilöstöä testauksen valmisteluun, testitapausten suorittamiseen ja yhteistestauksen tarkistuspalavereihin.
  • Tietojärjestelmätoimittajan tulee korjata yhteistestauksessa ilmenevät havainnot ja korjattu järjestelmäversio pitää tarvittaessa päivittää myös asiakasorganisaation testiympäristöön. Yhteistestauksen testitapauksia uudelleentestataan siihen asti, kunnes merkittäviä virheitä ei enää löydy.

Jos tietojärjestelmätoimittaja huomaa järjestelmässään virheen, tulee toimittajan viipymättä tiedottaa Kanta-palveluja ja kaikkia niitä asiakasorganisaatioita, joihin virhe vaikuttaa virheestä ja sen korjaamisen aikataulusta.

Jos tietojärjestelmään tehdään Kanta-palveluihin vaikuttavia merkittäviä muutoksia, tietojärjestelmätoimittaja on velvollinen ilmoittamaa niistä Kelaan.

Lisätietoja muutosten ilmoittamisesta saa Terveyden ja hyvinvoinnin laitoksen määräysten 4/2021 ja 6/2021 liitteistä (thl.fi):

  • Luokkaan A kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien muutosten ilmoittaminen
  • Luokkaan A kuuluvien Omatietovarantoon liittyneiden hyvinvointisovellusten muutosten ilmoittaminen.

Asiakasorganisaation rooli ja vastuut

Jos yhteistestaukseen osallistuu asiakasorganisaatio, tietojärjestelmätoimittajan asiakasorganisaatio vastaa siitä, että se on:

  • tutustunut kanta.fi-sivustolla olevaan yhteistestauksen materiaaliin
  • liittynyt Kanta-asiakastestipalveluun
  • sitoutunut noudattamaan Kanta-asiakastestipalvelun etikettiä
  • hankkinut tunnukset Kumppanit-sivustolle kirjautumiseen
  • hankkinut Digi- ja väestötietovirastolta (DVV) testauksessa tarvittavat testiammattikortit sekä testipalvelin- ja testijärjestelmäallekirjoitusvarmenteet
  • huolehtinut, että sen käytössä oleva Kanta-palveluihin liitettävä tietojärjestelmä mahdollisine erillisjärjestelmineen täyttää liittymisen tekniset ja toiminnalliset vaatimukset. Tässä asiakasorganisaatio voi käyttää tietojärjestelmätoimittajaa tukenaan
  • varannut yhteistestaukseen riittävästi aikaa ja resursoinut henkilöstöä testauksen valmisteluun, testitapausten suorittamiseen ja yhteistestauksen tarkistuspalavereihin
  • huolehtinut, että mahdollinen tietojärjestelmän hyväksymistestaus tai muu asiakasorganisaation tekemä testaus ajoitetaan siten, että se ei häiritse yhteistestauksen etenemistä ja suunniteltua aikataulua. Yhteistestaus ei ole tietojärjestelmän hyväksymistestausta
  • sitoutunut laatimaan suorittamastaan yhteistestauksesta yhteistestausraportin.

Lisäksi asiakasorganisaatiolla on velvollisuus osallistua ristiintestausosapuolena yhteistestauksiin myös sen jälkeen, kun sen käyttämä järjestelmä on sertifioitu.

Muiden toimijoiden rooli ja vastuut

Kanta-asiakastestipalvelussa suoritettavaan omatoimiseen testaukseen ja sertifiointiin johtavaan yhteistestaukseen linkittyy myös muita toimijoita. Alla on kerrottu lyhyesti, minkälainen rooli kullakin toimijalla on testausprosessin näkökulmasta.

Liikenne- ja viestintävirasto Traficom

Traficom hyväksyy tietoturvallisuuden arviointilaitoksen, joka voi suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Lisäksi Traficom ohjaa ja valvoo tietoturvallisuuden auditointilaitoksia. Lisätietoa löytyy Traficomin sivuilta:

Digi- ja väestötietovirasto (DVV)

Digi- ja väestötietovirasto (DVV) tuottaa tietojärjestelmätoimittajille ja terveydenhuollolle testikortteja ja testiammattikortteja. Kortteja käytetään esimerkiksi silloin, kun järjestelmää testataan Kanta-palvelujen testiympäristöissä. DVV tuottaa myös Kanta-palvelujen käytössä tarvittavia palvelinvarmenteita ja järjestelmäallekirjoitusvarmenteita.

Lisätietoa löytyy DVV:n sivulta Varmenteet (dvv.fi).

Valvira

Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviran tehtävä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta, ja sillä on myös oikeus tehdä valvonnan edellyttämiä tarkastuksia.

Lisäksi Valvira vastaa sosiaali- ja terveydenhuollon luokkiin A ja B kuuluvien tietojärjestelmien sekä luokkaan A kuuluvien hyvinvointisovellusten rekisteristä. Rekisteristä voi tarkistaa esimerkiksi sen, millä tietojärjestelmillä on oikeus liittyä suoraan Kanta-palveluihin ja mikä on kunkin tietojärjestelmän vaatimustenmukaisuuden viimeinen voimassaolopäivä.

Sote-palveluja tuottava organisaatio saa liittyä tietojärjestelmällä Kanta-palveluihin sen jälkeen, kun järjestelmää koskevat ajantasaiset tiedot ovat saatavilla Valviran tietojärjestelmien rekisterissä.

Lisätietoa löytyy Valviran sivuilta:

Tietoturvallisuuden arviointilaitokset

Traficomin hyväksymät tietoturvallisuuden arviointilaitokset voivat suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Kun tietojärjestelmä täyttää sille asetetut olennaiset vaatimukset ja Kela on antanut järjestelmälle yhteistestauslausunnon, tietoturvallisuuden arviointilaitos antaa järjestelmälle todistuksen tietoturvallisuuden arvioinnista.

Terveyden ja hyvinvoinnin laitos (THL)

THL vastaa sosiaali- ja terveydenhuollon tiedonhallinnan operatiivisesta ohjauksesta. Testauksen ja sertifioinnin näkökulmasta THL vastaa muun muassa:

  • sosiaali- ja terveydenhuollon palvelunantajien toimintamalleista ja niihin liittyvästä ohjauksesta
  • tietojärjestelmien luokkien määräytymisestä
  • olennaisten vaatimusten osoittamiseksi noudatettavista menettelyistä
  • sosiaali- ja terveydenhuollon toimijoille annettavista määräyksistä.

Lisätietoa löytyy THL:n sivuilta:

Sivua päivitetty 6.9.2023