Kaikkien asiakas- ja potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien ja hyvinvointisovellusten valmistajia koskee velvoite ilmoittaa tuotantokäyttöön otettavasta tietojärjestelmästä Valviralle. Kaikkia näitä järjestelmiä koskevat myös sosiaali- ja terveydenhuollon tietojärjestelmien tai hyvinvointisovellusten olennaiset vaatimukset. Vaatimukset ovat toiminnallisuuteen, yhteentoimivuuteen ja tietoturvaan liittyviä. Kanta-palveluihin liittyvissä ja muissa sertifioitavissa järjestelmissä nämä vaatimukset todennetaan sertifioinnin kautta.
Osana Kanta-palveluihin liittyvien järjestelmien sertifiointia yhteistestaus suoritetaan Kelan Kanta-palvelujen kanssa ja tietoturvallisuuden arviointi Traficomin hyväksymän arviointilaitoksen kanssa. Hyväksytyn tietoturvallisuuden arvioinnin tuloksena järjestelmä tai välityspalvelu saa asiakastietolain mukaisen tietoturvallisuustodistuksen, jollainen on oltava myös Kanta-palveluihin liitettävällä järjestelmällä. Tietoturvallisuuden arviointi uusitaan määräajan jälkeen, ennen kuin aiempi hyväksyntä tai vaatimustenmukaisuus vanhenee. Tässä yhteydessä varmistetaan myös, että järjestelmälle on suoritettu tarvittavat yhteistestaukset.
Sertifiointi on uusittava myös, jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi.
Kaikki sähköisesti asiakas- ja potilastietoja käsittelevät sosiaali- ja terveyspalveluita tuottavat organisaatiot sekä välittäjänä toimivat organisaatiot laativat tietoturvasuunnitelman, joka linkittyy myös käytettyjen tietojärjestelmien olennaisiin vaatimuksiin.
Valvonta ja vastuut
Tietojärjestelmän tai hyvinvointisovelluksen valmistajalla tai tietojärjestelmäpalvelun tuottajalla on vastuu oman järjestelmänsä luokittelusta, vaatimustenmukaisuuden osoittamisesta sekä ilmoittamisesta Valviralle.
Sosiaali- ja terveydenhuollon palveluja tuottavalla tai järjestävällä organisaatiolla on vastuu tietoturvasuunnitelman laatimisesta, tietoturvallisuuden ja tietosuojan omavalvonnasta sekä vaatimusten mukaisten järjestelmien käytöstä. Järjestelmiä on käytettävä niiden käyttötarkoituksen sekä valmistajan ohjeistuksen mukaisesti.
THL julkaisee ja ylläpitää olennaisiin vaatimuksiin ja omavalvontaan liittyviä määräyksiä ja ohjeita, jotka pohjautuvat lakeihin, asetuksiin ja valtakunnallisiin määrittelyihin. Kela toteuttaa Kanta-palveluihin liittyvien järjestelmien yhteistestauksen. Valvira valvoo ja edistää tietojärjestelmien käyttötarkoituksen mukaista käyttöä ja vaatimustenmukaisuutta ja kokoaa julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä sekä hyvinvointisovelluksista.
- Määräykset ja ohjeet THL:n sivulla (thl.fi)
- Järjestelmien ja välityspalveluiden tuottajien ilmoittaminen Valviralle (valvira.fi)
Tietoturvasuunnitelma
Tietoturvasuunnitelman laatimisvelvoite koskee kaikkia sosiaali- ja terveydenhuollon palvelun antajia, apteekkeja sekä välittäjiä. Määräys tietoturvasuunnitelmasta ja tietoturvasuunnitelman mallipohja löytyvät THL:n Määräykset-sivulta (thl.fi). Tietoturvasuunnitelma korvaa aiemman asiakastietolain mukaisen tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelman.
Olennaiset vaatimukset
Sosiaali- ja terveydenhuollon tietojärjestelmän tai hyvinvointisovelluksen valmistajan on kuvattava Valviralle tehtävän ilmoituksen yhteydessä tai sertifiointiin hakeuduttaessa järjestelmän käyttötarkoitus ja järjestelmää koskevien olennaisten vaatimusten täyttäminen. Ilmoitus tehdään yhtenäiseen luokitukseen perustuvan järjestelmälomakkeen tai hyvinvointisovelluksen olennaisten vaatimusten lomakkeen avulla. Eri käyttötarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia on määritelty valtakunnallisten profiilien kautta.
Olennaisten vaatimusten määräys, profiilit ja lomakkeet löytyvät THL:n Määräykset-sivun (thl.fi) kautta.
Yhteistestaus
Kanta-palveluihin liittyvien järjestelmien on osana sertifiointia läpäistävä Kelan yhteistestaus ennen järjestelmän ottamista tuotantokäyttöön.
Tietoturvallisuuden arviointi
Kanta-palveluihin liittyvien järjestelmien, hyvinvointisovellusten, Kanta-välityspalveluiden ja muiden sertifioitavien tietojärjestelmien on läpäistävä tietoturvallisuuden arviointilaitoksen suorittama tietoturvallisuuden arviointi. Hyväksytyn tietoturvallisuuden arvioinnin tuloksena järjestelmä, hyvinvointisovellus tai tekninen Kanta-välityspalvelu saa asiakastietolain mukaisen tietoturvallisuustodistuksen, jollainen on oltava myös jokaisella Kanta-palveluihin liitettävällä järjestelmällä. Tietoturvallisuustodistus on voimassa siinä todetun määräajan loppuun saakka. Tietoturvallisuuden arvioinnin kustannuksista vastaa kukin tietojärjestelmäpalvelun tai hyvinvointisovelluksen valmistaja, tuottaja tai teknisen välityspalvelun tuottaja itse.
THL:n Määräykset-sivulta löytyvät määräykset tietojärjestelmien luokittelusta ja sertifioinnista sekä olennaisista vaatimuksista. Olennaisten vaatimusten määräys sisältää olennaiset toiminnot, tietosisällöt ja tietoturvavaatimukset asiakas- ja potilastietojen tai hyvinvointitietojen käsittelyyn tarkoitetuille tietojärjestelmille.
- Määräykset ja ohjeet (thl.fi)
- Viestintäviraston hyväksymät arviointilaitokset (kyberturvallisuuskeskus.fi)
Tukimateriaalia
Sote-tietojärjestelmien ja hyvinvointisovellusten olennaisten vaatimusten ja sertifioinnin koulutusmateriaaleja on saatavilla THL:n koulutusmateriaalisivulla:
Lisätietoja
- Yhteistestaukseen liittyvät kysymykset yhteistestaus@kanta.fi
- Sertifiointiin liittyvät kysymykset kanta@kanta.fi
- Tietoturvasuunnitelmaan liittyvät kysymykset kanta@kanta.fija sotetiedonhallinta@thl.fi