FPA
FPA ansvarar för ordnandet av samtestningen och alla praktiska åtgärder i samband med den.
Informationssystem- och applikationsleverantören
Leverantören av informationssystemtjänsten (systemleverantören) ansvarar för att informationssystemet klassificeras korrekt. Systemklassen anger hur de väsentliga kraven på systemet ska uppfyllas. Närmare information om systemklassificering finns i THL:s föreskrift 4/2021 och bilagorna till den.
Leverantören av informationssystemtjänsten ansvarar också för att det informationssystem den tillverkat uppfyller de väsentliga kraven på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Interoperabiliteten mellan Kanta-tjänsterna och informationssystemet eller välbefinnandeapplikationen säkerställs genom samtestning.
Leverantören av informationssystemtjänsten ska anmäla informationssystem enligt kunduppgiftslagen till Valvira för registrering i informationssystemregistret. Ibruktagningen av informationssystemet förutsätter att uppgifterna om det finns i social- och hälsovårdens informationssystemregister, som administreras av Valvira.
- Klassificering av informationssystem (valvira.fi)
- Social- och hälsovårdens informationssystemregister (valvira.fi)
Ett informationssystem, en välbefinnandeapplikation eller en teknisk Kanta-förmedlingstjänst som ansluts till Kanta-tjänsterna ska ha ett intyg över godkänd auditering av informationssäkerheten. Leverantören av informationssystemtjänsten ska se till att en auditering av informationssäkerheten ordnas tillsammans med ett godkänt bedömningsorgan.
Om systemtjänstleverantören eller tillverkaren av välfärdsapplikationen är någon annan än den ursprungliga systemtillverkaren, ska parterna sinsemellan komma överens om vem som ansvarar för certifieringen av systemet.
Delsystemleverantörer kan sinsemellan komma överens om vem som ansvarar för certifieringen av systemet som helhet.
Institutet för hälsa och välfärd (THL)
Institutet för hälsa och välfärd (THL) svarar för den operativa styrningen av informationshanteringen inom social- och hälsovården samt publicerar och upprätthåller föreskrifter och anvisningar i anslutning till väsentliga krav och egenkontroll. I fråga om certifieringen av informationssystemet ansvarar THL bl.a. för
- verksamhetsmodellerna hos tjänstetillhandahållare inom social- och hälsovården samt styrningen i anslutning till dessa
- klassificeringen av informationssystemen
- förfarandena för bevisning av att de väsentliga kraven uppfylls
- föreskrifterna till aktörerna inom social- och hälsovården.
Mer information om informationshanteringen inom social- och hälsovården (thl.fi).
Organ för bedömning av informationssäkerheten
Bedömningsorganet bedömer om informationssystemet uppfyller kraven på informationssäkerhet enligt kunduppgiftslagen och utfärdar ett intyg över bedömning av informationssäkerheten för högst tre år i taget.
Bedömningsorgan för informationssäkerhet som godkänts av Traficom kan utföra den auditering av informationssäkerheten som krävs enligt kunduppgiftslagen. När informationssystemet uppfyller de väsentliga kraven och FPA lämnat ett utlåtande om samtestningen av systemet utfärdar bedömningsorganet ett intyg över bedömningen av systemets informationssäkerhet.
Transport och kommunikationsverket Traficom
Traficom godkänner bedömningsorgan för informationssäkerheten som får utföra den auditering av informationssäkerheten som krävs enligt kunduppgiftslagen. Traficom sköter också styrningen av och tillsynen över bedömningsorganen.
Valvira
Tillstånds- och tillsynsverket för social- och hälsovården Valvira övervakar och främjar att informationssystemen används i enlighet med användningsändamålet och stämmer överens med kraven.
Valvira upprätthåller ett offentligt register över social- och hälsovårdens informationssystem och välbefinnandeapplikationer. Valvira har också rätt att göra de kontroller som tillsynsuppgiften förutsätter.
Organisationer som tillhandahåller eller ordnar social- och hälsovårdstjänster
En organisation som tillhandahåller eller ordnar social- och hälsovårdstjänster ansvarar för utarbetandet av informationssäkerhetsplanen samt egenkontrollen av informationssäkerheten och dataskyddet. Tjänstetillhandahållaren ansvarar för att systemen uppfyller kraven och används i enlighet med deras användningsändamål och tillverkarens anvisningar.