Parter och ansvar

Parter och ansvar

FPA ordnar samtestningen medan systemleverantören deltar i samtestningen som informationssystemets tillverkare. I vissa testningar deltar också systemleverantörens kundorganisation, som utför de testfall som utarbetats för dem. Också andra myndigheter är kopplade till samtestningsprocessen, deras roller beskrivs nedan.

FPA:s roll och ansvar

FPA ansvarar för ordnandet av samtestningen och alla praktiska åtgärder i samband med den. Som exempel kan nämnas:

  • underhåll av FPA:s testmiljöer
  • hantering och distribution av de testpersonbeteckningar som används i FPA:s testmiljöer
  • framtagning av testmaterial (närmare om FPA:s testmaterialtjänst på sidan Testmaterial
  • planering av samtestningarna
  • utarbetande och underhåll av testfall
  • underhåll av arbetsrummen för samtestning
  • koordinering av samtestningarna
  • kontroll och godkännande av testfall
  • utarbetande av utlåtanden och rapporter över samtestningen.

FPA godkänner en systemleverantör för samtestning, när leverantören har

  • lämnat FPA alla uppgifter som krävs för planering och genomförande av samtestningen
  • visat att systemet är klart för samtestning med hjälp av de förtestfall som leverantören returnerat i samband med anmälningsblanketten.

Bland de certifierade informationssystemen väljer FPA ut en korskontrollpart för informationssystemet som ska testas, så att det icke certifierade systemet kan utföra samtestning. FPA kommer överens med parterna om tidsschemat för korskontrollen. 

FPA har tystnadsplikt i fråga om konfidentiella uppgifter som kommit till FPA:s kännedom från informationssystemet under samtestningen. Exempel på sådana uppgifter är affärshemligheter, som även omfattas av förbud mot utnyttjande. Under samtestningen behandlar FPA uppgifterna i informationssystemen omsorgsfullt och konfidentiellt.

Systemleverantörens roll och ansvar

Systemleverantören ansvarar för att det informationssystem han tillverkat uppfyller de väsentliga kraven på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Leverantören ansvarar också för systemets tekniska funktion, vari ingår informationssystemets:

  • användbarhet
  • prestationsförmåga
  • förmåga att producera valida handlingar och bilda CDA R2-meddelanden enligt specifikationerna.

Som hjälp vid produktutvecklingen erbjuder FPA systemleverantörerna en valideringstjänst, med vars hjälp leverantörerna kan kontrollera om en handlings datastrukturer är korrekt bildade. 

Se till att följande är gjort före anmälan till samtestning

Före anmälan till samtestning ansvarar systemleverantören för att ha gjort följande:

  • bekantat sig med den nationella certifieringsprocessen och samtestningsmaterialet på kanta.fi 
  • anslutit sig till Kanta-kundtesttjänsten 
  • förbundit sig att iaktta etiketten för Kanta-kundtesttjänsten, och dessutom ska systemleverantören för sitt vidkommande säkerställa att också dess kundorganisation känner till etiketten för kundtesttjänsten
  • skaffat sig Katso-koder för att kunna logga in på webbplatsen Partners
  • skaffat sig nödvändiga testyrkeskort samt testserver- och testsystemsignaturcertifikat från Befolkningsregistercentralen (BRC)
  • slutfört utvecklingsarbetet på den funktion som ska samtestas. Vid samtestningen säkerställs att ett produktionsdugligt system är interoperabelt, och den funktion som testas utvecklas inte längre under samtestningen
  • testat sin egen implementering i tillräcklig utsträckning både i sin egen testmiljö och i Kanta-tjänsternas kundtestmiljö före anmälan till samtestning. Genom tillräcklig systemtestning säkerställer systemleverantören att informationssystemet är moget för samtestning
  • sett till att det informationssystem som kommer till samtestning motsvarar en produktionsliknande helhet. Om flera olika komponenter eller system deltar i att bilda uppgifter som lagras i Kanta-tjänsterna, samtestas inte enskilda delar utan hela den systemhelhet som producerar den uppgift som lagras i Kanta-tjänsterna. Även förtestfallen på anmälningsblanketten ska utföras med en produktionsliknande systemhelhet. Genom det här förfarandet säkerställer man att samtestningen blir rätt inriktad
  • förbundit sig till tidsschemat för samtestningen.

Om den funktion som ska samtestas är sådan att systemleverantörens kundorganisation utför en del av testfaserna, ska leverantören i sin kundkrets söka fram en organisation som deltar i samtestningen. Under samtestningen stöder systemleverantören efter behov sin kundorganisations testning, bland annat vid ifyllandet av testrapporter. Vid valet av kundorganisation ska följande aspekter beaktas:

  • Kundorganisationen har en testmiljö där innehållet och funktionen som ska samtestas kan testas i så bred utsträckning som möjligt.
  • Kundorganisationen vill delta i samtestningen och kan avdela personal som förbereder testningen, utför testfallen och deltar i kontrollmötena i samband med samtestningen.

Systemleverantören ska korrigera de fel som upptäcks vid samtestningen och den korrigerade systemversionen ska vid behov uppdateras även i kundorganisationens testmiljö. Testfallen i samtestningen testas på nytt ända tills inga hindrande och betydande fel längre upptäcks. På sidan Begrepp och definitioner finns information om klassificering av testobservationer.

Om systemleverantören upptäcker ett fel i sitt system, ska han utan dröjsmål meddela om felet och tidsschemat för korrigering av det till Kanta-tjänsterna och alla kundorganisationer som påverkas av felet. 

Om det i informationssystemet görs betydande ändringar som påverkar Kanta-tjänsterna, är systemleverantören skyldig att meddela FPA om dem. Mer information finns i Institutet för hälsa och välfärds dokument Ohje luokkaan A kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien muutosten ilmoittamisesta(pdf, thl.fi, endast på finska).

Kundorganisationens roll och ansvar

Systemleverantörens kundorganisation som deltar i samtestningen ansvarar för att ha gjort följande:

  • bekantat sig med samtestningsmaterialet  på kanta.fi
  • anslutit sig till Kanta-kundtesttjänsten
  • förbundit sig att iaktta etiketten för Kanta-kundtesttjänsten
  • skaffat sig Katso-koder för att kunna logga in på webbplatsen Partners
  • skaffat sig nödvändiga testyrkeskort samt testserver- och testsystemsignaturcertifikat från Befolkningsregistercentralen (BRC)
  • sett till att det informationssystem som organisationen använder och som ska anslutas till Kanta-tjänsterna jämte eventuella separata system uppfyller de tekniska och funktionella kraven för anslutning. Här kan kundorganisationen ta hjälp av systemleverantören
  • förbundit sig till tidsschemat för samtestningen och avdelat personal som förbereder testningen, utför testfallen och deltar i kontrollmötena i samband med samtestningen
  • sett till att en eventuell godkännandetestning av systemet eller någon annan testning som utförs av kundorganisationen utförs vid en sådan tidpunkt att den inte stör samtestningsprocessen och det planerade tidsschemat. Samtestning är inte detsamma som godkännandetestning av ett informationssystem
  • förbundit sig att upprätta en samtestningsrapport över den utförda samtestningen.

Dessutom är kundorganisationen skyldig att som korskontrollpart delta i samtestningar även efter att det system som organisationen använder har certifierats.

Övriga aktörers roll och ansvar

Också andra aktörer är kopplade till testningar som utförs på eget initiativ i Kanta-kundtesttjänsten och till samtestning som leder till certifiering. Nedan beskrivs i korthet respektive aktörs roll med avseende på testningsprocessen. 

Transport- och kommunikationsverket Traficom

Traficom godkänner bedömningsorganet för informationssäkerhet, som kan utföra en bedömning av informationssäkerheten så som föreskrivs i klientuppgiftslagen. Traficom styr och övervakar också bedömningsorganen för informationssäkerhet. Mer information finns på Traficoms webbplats:

Befolkningsregistercentralen (BRC)

BRC producerar testkort och testyrkeskort för systemleverantörer och för hälso- och sjukvården. Korten används till exempel när ett system testas i Kanta-tjänsternas testmiljöer. BRC producerar också de servercertifikat och systemsignaturcertifikat som behövs vid användningen av Kanta-tjänsterna. BRC ansvarar också för Katso-koderna, som används vid inloggning i bland annat arbetsrummet Partners. 

Läs mer på BRC:s webbplats:

Valvira

Tillstånds- och tillsynsverket för social- och hälsovården Valvira har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven, och har också rätt att utföra inspektioner som övervakningen förutsätter. Valvira ansvarar också för registret över informationssystem av klass A och B för social- och hälsovården. I registret kan man exempelvis kontrollera vilka informationssystem som har rätt att ansluta sig direkt till Kanta-tjänsterna samt den sista giltighetsdagen för respektive informationssystems överensstämmelseintyg.

Läs mer på Valviras webbplats:

Bedömningsorgan för informationssäkerhet

Bedömningsorgan för informationssäkerhet som godkänts av Traficom kan utföra en bedömning av informationssäkerheten så som föreskrivs i klientuppgiftslagen. När ett system uppfyller de väsentliga funktionalitetskrav som ställts på det och FPA har gett ett samtestningsutlåtande för systemet, utfärdar bedömningsorganet för informationssäkerhet ett överensstämmelseintyg för systemet. Efter det kan informationssystemet ansluta sig till Kanta-tjänsterna.

Institutet för hälsa och välfärd (THL)

THL svarar för den operativa styrningen av informationshanteringen inom social- och hälsovården. När det gäller testning och certifiering ansvarar THL bland annat för: 

  • kraven på funktionalitet hos informationssystem för social- och hälsovården
  • indelningen av informationssystem i klasser
  • de förfaranden som ska följas för att visa överensstämmelse med kraven
  • föreskrifterna som utfärdas för aktörer inom social- och hälsovården

Läs mer på THL:s webbplats:

Sidan har uppdaterats 19.08.2019