Certifiering, väsentliga krav och egenkontroll

Alla tillverkare av informationssystem som är avsedda för behandling av klient- och patientuppgifter berörs av skyldighet att anmäla informationssystem som tas i produktionsanvändning till Valvira. Alla dessa system berörs också av de väsentliga kraven på informationssystem för social- och hälsovården. Kraven hänför sig till funktionalitet, interoperabilitet och informationssystem. Hos system som ska kopplas till Kanta-tjänsterna verifieras en del av kraven genom certifiering.

Som ett led i certifieringen genomförs en samtestning med FPAs Kanta-tjänster och en auditering av informationssäkerheten tillsammans med ett av Kommunikationsverket godkänt bedömningsorgan. Som resultat av godkänd certifiering får systemet eller förmedlingstjänsten ett sådant överensstämmelseintyg enligt klientuppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Certifieringen förnyas efter en viss tid, innan det tidigare godkännandet eller överensstämmelsen med kraven går ut. Certifieringen ska också förnyas om systemet genomgår betydande ändringar eller om kraven ändras avsevärt.

Alla organisationer som producerar social- och hälsovårdstjänster och som behandlar klient- och patientuppgifter elektroniskt samt organisationer som fungerar som Kanta-förmedlare gör upp en plan för egenkontroll, som också är länkad till väsentliga krav på de använda informationssystemen.

Tillsyn och ansvar

Varje tillverkare av informationssystem och producent av informationssystemtjänster ansvarar för klassificeringen av det egna systemet samt för att det stämmer överens med kraven, anmäls till Valvira och vid behov certifieras.

En organisation som producerar eller ordnar social- och hälsovårdstjänster ansvarar för egenkontrollen av informationssäkerheten och dataskyddet samt för att system som överensstämmer med kraven används. Systemen ska användas i enlighet med sina användningsändamål samt tillverkarens anvisningar.

THL publicerar och upprätthåller föreskrifter och anvisningar i anslutning till väsentliga krav och egenkontrollen, vilka baserar sig på lagar, förordningar och nationella specifikationer. FPA genomför samtestning av system som kopplas till Kanta-tjänsterna. Valvira övervakar och främjar att informationssystemen används i enlighet med användningsändamålet och stämmer överens med kraven och sammanställer ett offentligt register över informationssystem inom social- och hälsovården.

• Föreskrifter och anvisningar på THL:s webbplats (endast på finska)
• Anmälan om producenter av system och förmedlingstjänster till Valvira (endast på finska)
• Kanta-certifiering och egenkontroll – överblick och processer
• Klassificering, certifiering och egenkontroll av informationssystem för social- och hälsovården: vanliga frågor

Egenkontroll

Skyldigheten att göra upp en plan för egenkontroll berör alla tillhandahållare av social- och hälsovårdstjänster, apotek samt producenter av Kanta-förmedlingstjänster.

• Föreskrift om plan för egenkontroll (pdf, 2/2015)
  • bilaga: Mall för plan för egenkontroll (doc)
  • bilaga: Mall för plan för egenkontroll för små företagare inom social- och hälsovården (doc, 109 kt)

Krav på funktionalitet

Tillverkare av informationssystem för social- och hälsovården ska i samband med anmälan till Valvira eller begäran om certifiering beskriva systemets användningsändamål och hur de funktionella kraven på systemet uppfylls. Anmälan görs med hjälp av systemblanketten som baserar sig på enhetlig klassificering. Minimikraven på system för olika användningsändamål specificeras genom de nationella profilerna. 

• Föreskrift 2/2016: Föreskrift om väsentliga krav på funktionalitet hos informationssystem för social- och hälsovården (pdf 344 kt)
  • Bilaga 1, Motivering till och tillämpning av föreskriften (pdf 353 kt) Finns endast på finska
  • Bilaga 2, Klassificering av väsentliga krav på funktionalitet (xls 349 kt) Finns endast på finska
  • Bilaga 3a, Profiler: Profiler för elektroniska recept (xls 304 kt) Finns endast på finska
    • Patientdatasystem som hanterar recept, Apotekssystem
  • Bilaga 3b, Profiler: Minikravprofiler för system som kopplas till Kanta-arkivet (xls 334 kt) Finns endast på finska
    • Program eller tjänster som hämtar uppgifter i Kanta-arkivet, program som utnyttjar uppgifter som hämtats i Kanta-arkivet, program eller tjänster som levererar uppgifter till Kanta-arkivet, Program som producerar uppgifter som levereras till Kanta-arkivet
  • Bilaga 3c, Profiler: Profiler för Patientdataarkivet (xls 375 kt) Finns endast på finska
    • Patientjournalsystem (grundläggande krav), Mun- och tandvårdens system
  • Bilaga 3d, Profiler: Profiler för klientdataarkivet för socialvården (xls 579 kt) Finns endast på finska
    • System i anknytning till skede I i klientdataarkivet för socialvården
    • System som sparar data i klientdataarkivet för socialvården i skede I
    • System för åtkomst till data i klientdataarkivet för socialvården i skede I
    • Applikation eller tjänst som arkiverar serviceproducentens egna uppgifter i klientdataarkivet för socialvården i skede I
  • Bilaga 3e, Profiler: Profiler för bilddiagnostik (xls 327 kt) Finns endast på finska
    • Systemhelhet som kopplas till det riksomfattande Kvarkki-arkivet för bilddiagnostik, Systemhelhet som implementerar det regionala arkivet för bilddiagnostik, System som utnyttjar bildmaterial i Kvarkki-arkivet
  • Bilaga 3f, Profiler: Profiler för intyg Finns endast på finska
    • Tjänst som frågar efter intyg och utlåtanden i Kanta-arkivet
    • Tjänst som tar emot intyg och utlåtanden från Kanta-arkivet
    • Tjänst som producerar intyg och utlåtanden för Kanta-arkivet
  • Bilaga 4, Systemblankett (xls 221 kt) Finns endast på finska

Samtestning

System som kopplas till Kanta-tjänsterna ska som ett led i certifieringen klara FPAs samtestning innan systemet tas i produktionsanvändning.

• Anvisningar om samtestning

Auditering av informationssäkerheten

System som kopplas till Kanta-tjänsterna och Kanta-förmedlingstjänster ska som ett led i certifieringen klara auditering som utförs av ett bedömningsorgan för informationssäkerheten. Som resultat av godkänd auditering av informationssäkerheten får systemet eller förmedlingstjänsten ett sådant överensstämmelseintyg enligt klientuppgiftslagen som system som kopplas till Kanta-tjänsterna ska ha. Överensstämmelseintyget är i kraft till utgången av den tidsfrist som nämns i intyget. Varje tillverkare av informationssystem eller producent av förmedlingstjänster svarar själv för kostnaderna för auditering av informationssäkerheten.

• Föreskrift om väsentliga krav på informationssäkerhet hos informationssystem av klass A inom social- och hälsovården (pdf, endast på finska, 1/2015)
  • bilaga: Krav på informationssäkerhet hos system av klass A och på systemets användningsmiljöer (doc, endast på finska)
• Av Kommunikationsverket (kyberturvallisuuskeskus.fi) godkända bedömningsorgan

Mer information

• Frågor om samtestning kantakehitys@kanta.fi
• Frågor om certifiering eller planen för egenkontroll kanta@kanta.fi