Parter och ansvar

Parter och ansvar

FPA ordnar samtestningen medan systemleverantören deltar i samtestningen som informationssystemets tillverkare. I vissa testningar deltar också systemleverantörens kundorganisation, som utför de testfall som utarbetats för dem. Också andra myndigheter är kopplade till samtestningsprocessen, deras roller beskrivs nedan.

FPA:s roll och ansvar

FPA ansvarar för ordnandet av samtestningen och alla praktiska åtgärder i samband med den. Som exempel kan nämnas:

  • underhåll av FPA:s testmiljöer
  • hantering och distribution av de testpersonbeteckningar som används i FPA:s testmiljöer
  • framtagning av testmaterial (närmare om FPA:s testmaterialtjänst på sidan Testmaterial
  • planering av samtestningarna
  • utarbetande och underhåll av testfall
  • underhåll av arbetsrummen för samtestning
  • koordinering av samtestningarna
  • kontroll och godkännande av testfall
  • utarbetande av utlåtanden och rapporter över samtestningen.

FPA godkänner system- eller applikationsleverantören för samtestning, när leverantören har

  • lämnat FPA alla uppgifter som krävs för planering och genomförande av samtestningen
  • visat att systemet är klart för samtestning med hjälp av de förtestfall som leverantören returnerat i samband med anmälningsblanketten.

Om en korstestningsfas ingår i samtestningen, väljer FPA bland de certifierade informationssystemen ut en korstestningspart för informationssystemet som ska testas. FPA kommer överens med parterna om tidsschemat för korstestingen. 

FPA:s övriga ansvar:

  • underhåll av FPA:s testmiljöer
  • tekniska och funktionella krav på informationssystem inom social- och hälsovården samt på välbefinnandeapplikationer
  • handledning och rådgivning i samband med införandena.

FPA har tystnadsplikt i fråga om konfidentiella uppgifter som kommit till FPA:s kännedom från informationssystemet eller välbefinnandeapplikationen under samtestningen. Exempel på sådana uppgifter är affärshemligheter, som även omfattas av förbud mot utnyttjande. Under samtestningen behandlar FPA uppgifterna i informationssystemen och applikationerna omsorgsfullt och konfidentiellt.

Informationssystem- och applikationsleverantörens roll och ansvar

Informationssystem- eller applikationsleverantören (nedan systemleverantören)  ansvarar för att det informationssystem han tillverkat uppfyller de väsentliga kraven på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Leverantören ansvarar också för systemets tekniska funktion, vari ingår informationssystemets:

  • användbarhet
  • prestationsförmåga
  • förmåga att producera valida handlingar och bilda CDA R2-meddelanden enligt specifikationerna.

Som hjälp vid produktutvecklingen erbjuder FPA systemleverantörerna en valideringstjänst, med vars hjälp leverantörerna kan kontrollera om en handlings datastrukturer är korrekt bildade. 

Se till att följande är gjort före anmälan till samtestning

Före anmälan till samtestning ansvarar systemleverantören för att ha gjort följande:

  • bekantat sig med den nationella certifieringsprocessen och samtestningsmaterialet på kanta.fi 
  • anslutit sig till Kanta-kundtesttjänsten 
  • förbundit sig att iaktta etiketten för Kanta-kundtesttjänsten, och dessutom ska systemleverantören för sitt vidkommande säkerställa att också dess eventuella kundorganisation känner till etiketten för kundtesttjänsten
  • skaffat sig koder för att kunna logga in på webbplatsen Partners
  • skaffat sig nödvändiga testyrkeskort (dvv.fi) samt testserver- och testsystemsignaturcertifikat (dvv.fi) från Myndigheten för digitalisering och befolkningsdata (f.d. BRC)
  • slutfört utvecklingsarbetet på den funktion som ska samtestas. Vid samtestningen säkerställs att ett produktionsdugligt system är interoperabelt, och den funktion som testas utvecklas inte längre under samtestningen
  • testat sin egen implementering i tillräcklig utsträckning både i sin egen testmiljö och i Kanta-tjänsternas kundtestmiljö före anmälan till samtestning. Genom tillräcklig systemtestning säkerställer systemleverantören att informationssystemet är moget för samtestning
  • sett till att det informationssystem som kommer till samtestning motsvarar en produktionsliknande helhet. Om flera olika komponenter eller system deltar i att bilda uppgifter som lagras i Kanta-tjänsterna, samtestas inte enskilda delar utan hela den systemhelhet som producerar den uppgift som lagras i Kanta-tjänsterna. Även förtestfallen på anmälningsblanketten ska utföras med en produktionsliknande systemhelhet. Genom det här förfarandet säkerställer man att samtestningen blir rätt inriktad
  • försäkrat sig om att det har reserverats tillräckligt med tid för samtestning och beaktat tidsfristerna som bl.a. föranleds av lagstiftningen.

Om den funktion som ska samtestas är sådan att systemleverantörens kundorganisation utför en del av testfaserna, ska leverantören i sin kundkrets söka fram en organisation som deltar i samtestningen. Under samtestningen stöder systemleverantören efter behov sin kundorganisations testning, bland annat vid ifyllandet av testrapporter.

Vid valet av kundorganisation ska följande aspekter beaktas:

  • Kundorganisationen har en testmiljö där innehållet och funktionen som ska samtestas kan testas i så bred utsträckning som möjligt.
  • Kundorganisationen vill delta i samtestningen och kan avdela personal som förbereder testningen, utför testfallen och deltar i kontrollmötena i samband med samtestningen.
  • Systemleverantören ska korrigera de fel som upptäcks vid samtestningen och den korrigerade systemversionen ska vid behov uppdateras även i kundorganisationens testmiljö. Testfallen i samtestningen testas på nytt ända tills inga betydande fel längre upptäcks.

Om systemleverantören upptäcker ett fel i sitt system, ska han utan dröjsmål meddela om felet och tidsschemat för korrigering av det till Kanta-tjänsterna och alla kundorganisationer som påverkas av felet. 

Om det i informationssystemet görs betydande ändringar som påverkar Kanta-tjänsterna, är systemleverantören skyldig att meddela FPA om dem.

Mer information om hur ändringar ska anmälas finns i bilagorna till Institutet för hälsa och välfärds föreskrifter 4/2021 och 6/2021 (thl.fi):

  • Anmälan om ändringar i informationssystem för social- och  hälsovården som hör till klass A
  • Anmälan om ändringar i de välbefinnandeapplikationer i klass A som anslutits till Informationsresursen för egna uppgifter.

Kundorganisationens roll och ansvar

Om kundorganisationen deltar i samtestningen, ansvarar systemleverantörens kundorganisation för att den har:

  • bekantat sig med samtestningsmaterialet  på kanta.fi
  • anslutit sig till Kanta-kundtesttjänsten
  • förbundit sig att iaktta etiketten för Kanta-kundtesttjänsten
  • skaffat sig koder för att kunna logga in på webbplatsen Partners
  • skaffat sig nödvändiga testyrkeskort samt testserver- och testsystemsignaturcertifikat från Myndigheten för digitalisering och befolkningsdata (f.d. BRC)
  • sett till att det informationssystem som organisationen använder och som ska anslutas till Kanta-tjänsterna jämte eventuella separata system uppfyller de tekniska och funktionella kraven för anslutning. Här kan kundorganisationen ta hjälp av systemleverantören
  • reserverat tillräckligt med tid för samtestningen och avdelat personal som förbereder testningen, utför testfallen och deltar i kontrollmötena i samband med samtestningen
  • sett till att en eventuell godkännandetestning av systemet eller någon annan testning som utförs av kundorganisationen utförs vid en sådan tidpunkt att den inte stör samtestningsprocessen och det planerade tidsschemat. Samtestning är inte detsamma som godkännandetestning av ett informationssystem
  • förbundit sig att upprätta en samtestningsrapport över den utförda samtestningen.

Dessutom är kundorganisationen skyldig att som korstestningspart delta i samtestningar även efter att det system som organisationen använder har certifierats.

Övriga aktörers roll och ansvar

Också andra aktörer är kopplade till testningar som utförs på eget initiativ i Kanta-kundtesttjänsten och till samtestning som leder till certifiering. Nedan beskrivs i korthet respektive aktörs roll med avseende på testningsprocessen. 

Transport- och kommunikationsverket Traficom

Traficom godkänner bedömningsorganet för informationssäkerhet, som kan utföra en bedömning av informationssäkerheten så som föreskrivs i klientuppgiftslagen. Traficom styr och övervakar också bedömningsorganen för informationssäkerhet. Mer information finns på Traficoms webbplats:

Myndigheten för digitalisering och befolkningsdata (MDB)

Myndigheten för digitalisering och befolkningsdata (MDB) producerar testkort och testyrkeskort för systemleverantörer och för hälso- och sjukvården. Korten används till exempel när ett system testas i Kanta-tjänsternas testmiljöer. MDB producerar också de servercertifikat och systemsignaturcertifikat som behövs vid användningen av Kanta-tjänsterna.

Läs mer på MDB:s webbplats Certifikat (dvv.fi)​​​​​​.

Valvira

Tillstånds- och tillsynsverket för social- och hälsovården Valvira har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven, och har också rätt att utföra inspektioner som övervakningen förutsätter.

Valvira ansvarar också för registret över informationssystem av klass A och B för social- och hälsovården samt över välbefinnandeapplikationer av klass A. I registret kan man bland annat kontrollera vilka informationssystem som har rätt att ansluta sig direkt till Kanta-tjänsterna samt den sista giltighetsdagen för respektive informationssystems överensstämmelse med kraven. En organisation som producerar social- och hälsotjänster får ansluta sig till Kanta-tjänsterna med informationssystemet, när aktuella uppgifter om systemet finns i Valviras register över informationssystem.

Läs mer på Valviras webbplats:

Bedömningsorgan för informationssäkerhet

Bedömningsorgan för informationssäkerhet som godkänts av Traficom kan utföra en bedömning av informationssäkerheten så som föreskrivs i klientuppgiftslagen. När ett system uppfyller de väsentliga krav som ställts på det och FPA har gett ett samtestningsutlåtande för systemet, utfärdar bedömningsorganet för informationssäkerhet ett intyg över bedömning av informationssäkerheten för systemet.

Institutet för hälsa och välfärd (THL)

THL svarar för den operativa styrningen av informationshanteringen inom social- och hälsovården. När det gäller testning och certifiering ansvarar THL bland annat för: 

  • verksamhetsmodellerna för tjänstetillhandahållare inom social- och hälsovården samt handledningen i anslutning till dem
  • indelningen av informationssystem i klasser
  • de förfaranden som ska följas för att visa överensstämmelse med kraven
  • föreskrifterna som utfärdas för aktörer inom social- och hälsovården

Läs mer på THL:s webbplats:

Sidan har uppdaterats 17.01.2022