Certifiering, väsentliga krav och informationssäkerhetsplan

Certifiering, väsentliga krav och informationssäkerhetsplan

Certifiering är en process genom vilken man verifierar att ett informationssystem uppfyller de väsentliga krav som ställs på det. Certifiering gäller informationssystem i anslutning till Kanta-tjänsterna, Kanta-förmedlingstjänsterna och andra sådana informationssystem som ska certifieras.

Alla tillverkare av informationssystem som är avsedda för behandling av klient- och patientuppgifter berörs av skyldighet att anmäla informationssystem som tas i produktionsanvändning till Valvira. Alla dessa system berörs också av de väsentliga kraven på informationssystem för social- och hälsovården. Kraven hänför sig till funktionalitet, interoperabilitet och informationssäkerhet. Hos system som ska kopplas till Kanta-tjänsterna och andra system som ska certifieras verifieras dessa krav genom certifiering.

Som ett led i certifieringen genomförs en samtestning med FPAs Kanta-tjänster och en auditering av informationssäkerheten tillsammans med ett av Traficom godkänt bedömningsorgan. 

Som resultat av godkänd certifiering får systemet eller förmedlingstjänsten ett sådant överensstämmelseintyg enligt klientuppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Bedömningen av informationssäkerheten förnyas efter en viss tid, innan det tidigare godkännandet eller överensstämmelsen med kraven går ut. I detta sammanhang säkerställs också att systemet har genomgått nödvändiga samtestningar.

Certifieringen ska också förnyas om det görs betydande ändringar i systemet eller kraven ändras avsevärt.

Alla organisationer som producerar social- och hälsovårdstjänster och som behandlar klient- och patientuppgifter elektroniskt samt organisationer som fungerar som förmedlare gör upp en informationssäkerhetsplan, som också är länkad till väsentliga krav på de använda informationssystemen.

Tillsyn och ansvar

Varje tillverkare av informationssystem och producent av informationssystemtjänster ansvarar för klassificeringen av det egna systemet samt för att det stämmer överens med kraven och anmäls till Valvira.

En organisation som producerar eller ordnar social- och hälsovårdstjänster ansvarar för utarbetandet av informationssäkerhetsplanen, egenkontrollen av informationssäkerheten och dataskyddet samt för att system som överensstämmer med kraven används. Systemen ska användas i enlighet med deras användningsändamål och tillverkarens anvisningar.

THL publicerar och upprätthåller föreskrifter och anvisningar i anslutning till väsentliga krav och egenkontrollen, vilka baserar sig på lagar, förordningar och nationella specifikationer. FPA genomför samtestning av system som kopplas till Kanta-tjänsterna. Valvira övervakar och främjar att informationssystemen används i enlighet med användningsändamålet och stämmer överens med kraven och sammanställer ett offentligt register över informationssystem inom social- och hälsovården.

Informationssäkerhetsplan

Skyldigheten att upprätta en informationssäkerhetsplan berör alla tillhandahållare av social- och hälsovårdstjänster, apotek samt förmedlare. Föreskriften om informationssäkerhetsplanen och mallen för informationssäkerhetsplanen finns på THL:s sida Föreskrifter.

Informationssäkerhetsplanen ersätter den tidigare planen för egenkontroll av dataskydd, informationssäkerhet och användning av informationssystem enligt lagen om kunduppgifter. 

Väsentliga krav

Tillverkare av informationssystem för social- och hälsovården ska i samband med anmälan till Valvira eller begäran om certifiering beskriva systemets användningsändamål och hur de funktionella kraven på systemet uppfylls. Anmälan görs med hjälp av systemblanketten som baserar sig på enhetlig klassificering. Minimikraven på system för olika användningsändamål specificeras genom de nationella profilerna. 

Föreskriften om de väsentliga kraven, profiler och systemblanketten finns på sidan THL:s föreskrifter. 

Samtestning

System som kopplas till Kanta-tjänsterna ska som ett led i certifieringen klara FPAs samtestning innan systemet tas i produktionsanvändning.

Bedömning av informationssäkerheten

System som kopplas till Kanta-tjänsterna, Kanta-förmedlingstjänster och andra informationssystem som ska certifieras ska som ett led i certifieringen klara bedömningen av informationssäkerheten som utförs av ett bedömningsorgan för informationssäkerheten. Som ett resultat av godkänd bedömning av informationssäkerheten får systemet eller Kanta-förmedlingstjänsten ett sådant överensstämmelseintyg enligt kunduppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Överensstämmelseintyget är i kraft till utgången av den tidsfrist som nämns i intyget. Varje producent eller tillverkare informationssystemtjänster eller producent av tekniska förmedlingstjänster svarar själv för kostnaderna för bedömning av informationssäkerheten.

På sidan THL:s föreskrifter finns föreskrifter om klassificering och certifiering av informationssystem samt om väsentliga krav. Föreskriften om väsentliga krav innehåller väsentliga funktioner, datainnehåll och informationssäkerhetskrav för informationssystem avsedda för behandling av klient- och patientuppgifter. 

Stödmaterial

Utbildningsmaterial om de väsentliga kraven och certifieringen i informationssystemen för social- och hälsovården finns på THL:s webbplats för utbildningsmaterial:  

Mer information

Läs mer

Sidan har uppdaterats 29.04.2022