Vaatimustenmukaisuuden uusimisen prosessi
Milloin vaatimustenmukaisuus on uusittava
Vaatimustenmukaisuus on uusittava, kun aiemman tietoturvallisuustodistuksen tai vaatimuksenmukaisuustodistuksen voimassaolo päättyy. Jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi tietoturvallisuustodistuksen voimassa ollessa, tietoturvallisuuden arviointilaitos arvioi, tarvitseeko tietoturvallisuustodistusta päivittää.
Tietojärjestelmäpalvelun tuottajan pitää toimittaa Kelalle ajantasainen tieto siitä, mitkä Kanta-palveluihin liittyvistä yhteistestattavista vaatimuksista on toteutettu.
Ole ajoissa yhteydessä ja selvitä yhteistestaustarve
Jotta tietojärjestelmä täyttää vaatimustenmukaisuuden edellytykset, sille on tehtävä lainsäädännöstä aiheutuvat ja Kelan edellyttämät yhteistestaukset. Tietojärjestelmätoimittajan pitää olla yhteydessä Kelaan ja tietoturvallisuuden arviointilaitokseen 6 kk ennen vaatimustenmukaisuuden vanhenemista (THL:n määräys 4/2024).
Kela arvioi järjestelmäkohtaisesti, mitä yhteistestauksia edellytetään vaatimustenmukaisuuden uusimiseksi. On myös mahdollista, että yhteistestausta ei tarvita.
Tietoturvallisuuden arviointiin voidaan edetä, vaikka järjestelmällä olisi käynnissä olevia yhteistestauksia. Valvira kuitenkin valvoo rekisteri-ilmoituksen yhteydessä, että tietojärjestelmään on toteutettu lainsäädännön vaatimat ja Kanta-palveluiden ajantasaisiin määrittelyihin perustuvat yhteistestaukset.
Varmista sujuva yhteistestaus
Jotta vaatimustenmukaisuuden uusimiseen vaadittavat yhteistestaukset saadaan suoritettua hyvissä ajoin, ilmoittaudu yhteistestaukseen viimeistään 2 kk ennen suunniteltua testauksen aloitusta.
Ennen yhteistestauksen aloittamista tietojärjestelmätoimittajan pitää huolehtia siitä, yhteistestattavat toiminnallisuudet on testattu omassa järjestelmässä kattavasti. Tietojärjestelmätoimittajan vastuulla on myös täyttää huolellisesti THL:n järjestelmälomake (THL:n määräys 5/2024, liite 4).
Sujuvan yhteistestauksen varmistamiseksi on myös tärkeää, että Kanta-yhteistestauksen testitapaustaulukot täytetään huolellisesti.
Huomioi määrittelyjen voimassaoloaika
Kun tietojärjestelmän vaatimustenmukaisuutta uusitaan, tietojärjestelmä on päivitettävä vastamaan voimassa olevia Kanta-määrittelyitä. Kaikille Kanta-palveluiden yhteisille ja palvelukohtaisille määrittelyille on ilmoitettu Kanta.fi:ssä erilliset voimassaoloajat ”voimassa sertifioinnissa” ja ”voimassa tuotantokäytössä”. Tietojärjestelmätoimittajan on varmistettava, että määrittelyiden ”voimassa sertifioinnissa” -päivämäärä ei ylity.
Tietoturvallisuuden arviointilaitos antaa tietoturvatodistuksen
Tietoturvallisuuden arviointilaitos suorittaa tietoturvallisuuden arvioinnin ja antaa tietoturvallisuustodistuksen enintään kolmeksi vuodeksi.
Kun tietoturvallisuuden arviointi on valmistunut, lähetä Valviraan rekisteri-ilmoitus liitteineen. Vaatimustenmukaisuuden uudistamiseen liittyvät päivitetyt tiedot on ilmoitettava Valviran tietojärjestelmärekisteriin viimeistään kuukauden kuluessa uudistetun tietoturvallisuustodistuksen myöntämisestä (THL:n määräys 4/2024, kohta 10 Vaatimustenmukaisuuden uusiminen). Tarkempaa ohjeistusta antaa Valvira.
