Certifiering, väsentliga krav och egenkontroll

Certifiering, väsentliga krav och egenkontroll

Certifiering är en process genom vilken man verifierar att ett informationssystem uppfyller de väsentliga krav som ställs på det. Certifieringen gäller informationssystem som ska kopplas till Kanta-tjänsterna och Kanta-förmedlingstjänster.

Alla tillverkare av informationssystem som är avsedda för behandling av klient- och patientuppgifter berörs av skyldighet att anmäla informationssystem som tas i produktionsanvändning till Valvira. Alla dessa system berörs också av de väsentliga kraven på informationssystem för social- och hälsovården. Kraven hänför sig till funktionalitet, interoperabilitet och informationssystem. Hos system som ska kopplas till Kanta-tjänsterna verifieras en del av kraven genom certifiering.

Som ett led i certifieringen genomförs en samtestning med FPAs Kanta-tjänster och en auditering av informationssäkerheten tillsammans med ett av Kommunikationsverket godkänt bedömningsorgan. Som resultat av godkänd certifiering får systemet eller förmedlingstjänsten ett sådant överensstämmelseintyg enligt klientuppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Certifieringen förnyas efter en viss tid, innan det tidigare godkännandet eller överensstämmelsen med kraven går ut. Certifieringen ska också förnyas om systemet genomgår betydande ändringar eller om kraven ändras avsevärt.

Alla organisationer som producerar social- och hälsovårdstjänster och som behandlar klient- och patientuppgifter elektroniskt samt organisationer som fungerar som Kanta-förmedlare gör upp en plan för egenkontroll, som också är länkad till väsentliga krav på de använda informationssystemen.

Tillsyn och ansvar

Varje tillverkare av informationssystem och producent av informationssystemtjänster ansvarar för klassificeringen av det egna systemet samt för att det stämmer överens med kraven, anmäls till Valvira och vid behov certifieras.

En organisation som producerar eller ordnar social- och hälsovårdstjänster ansvarar för egenkontrollen av informationssäkerheten och dataskyddet samt för att system som överensstämmer med kraven används. Systemen ska användas i enlighet med sina användningsändamål samt tillverkarens anvisningar.

THL publicerar och upprätthåller föreskrifter och anvisningar i anslutning till väsentliga krav och egenkontrollen, vilka baserar sig på lagar, förordningar och nationella specifikationer. FPA genomför samtestning av system som kopplas till Kanta-tjänsterna. Valvira övervakar och främjar att informationssystemen används i enlighet med användningsändamålet och stämmer överens med kraven och sammanställer ett offentligt register över informationssystem inom social- och hälsovården.

Egenkontroll

Skyldigheten att göra upp en plan för egenkontroll berör alla tillhandahållare av social- och hälsovårdstjänster, apotek samt producenter av Kanta-förmedlingstjänster.

Krav på funktionalitet

Tillverkare av informationssystem för social- och hälsovården ska i samband med anmälan till Valvira eller begäran om certifiering beskriva systemets användningsändamål och hur de funktionella kraven på systemet uppfylls. Anmälan görs med hjälp av systemblanketten som baserar sig på enhetlig klassificering. Minimikraven på system för olika användningsändamål specificeras genom de nationella profilerna. 

Samtestning

System som kopplas till Kanta-tjänsterna ska som ett led i certifieringen klara FPAs samtestning innan systemet tas i produktionsanvändning.

Auditering av informationssäkerheten

System som kopplas till Kanta-tjänsterna och Kanta-förmedlingstjänster ska som ett led i certifieringen klara auditering som utförs av ett bedömningsorgan för informationssäkerheten. Som resultat av godkänd auditering av informationssäkerheten får systemet eller förmedlingstjänsten ett sådant överensstämmelseintyg enligt klientuppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Överensstämmelseintyget är i kraft till utgången av den tidsfrist som nämns i intyget. Varje tillverkare av informationssystem eller producent av förmedlingstjänster svarar själv för kostnaderna för auditering av informationssäkerheten.

Mer information

  • Frågor om samtestning kantakehitys@kanta.fi
  • Frågor om certifiering eller planen för egenkontroll kantapalvelut@thl.fi

Läs mer

Sidan har uppdaterats 18.10.2018