Sertifiointi ja olennaiset vaatimukset

Sertifiointiprosessin tarkoitus on varmistaa toiminnallisuutta, yhteen toimivuutta ja tietoturvaa koskevien THL:n määrittelemien olennaisten vaatimusten täyttyminen Kanta-palveluihin liittyvässä tietojärjestelmässä, hyvinvointisovelluksessa, Kanta-välityspalvelussa tai muussa sertifioitavassa järjestelmässä.

Kanta-palveluihin liittyvien järjestelmien sertifiointiprosessi sisältää: 

  • yhteistestauksen, joka suoritetaan Kelan Kanta-palvelujen kanssa 
  • tietoturvallisuuden arvioinnin Traficomin hyväksymän arviointilaitoksen kanssa. 

Sertifiointiprosessista löytyy lisätietoa THL:n verkkosivuilta: Määräykset ja sertifiointi - Järjestelmätoimittaja(avautuu uuteen ikkunaan)

Olennaisten vaatimusten täyttäminen 

Sosiaali- ja terveydenhuollon tietojärjestelmän tai hyvinvointisovelluksen valmistajan on kuvattava Lupa- ja valvontavirastolle tehtävän rekisteri-ilmoituksen yhteydessä tai sertifiointiin hakeuduttaessa järjestelmän käyttötarkoitus ja järjestelmää koskevien olennaisten vaatimusten täyttäminen. Rekisteri-ilmoitus tehdään yhtenäiseen luokitukseen perustuvan järjestelmälomakkeen avulla. Eri käyttötarkoituksiin tehtyjen järjestelmien vähimmäisvaatimuksia on määritelty valtakunnallisten profiilien kautta.

Olennaisten vaatimusten määrittelyt, profiilit ja lomakkeet löytyvät THL:n Määräykset(avautuu uuteen ikkunaan) -sivulta. Olennaisten vaatimusten määräys sisältää olennaiset toiminnot, tietosisällöt ja tietoturvavaatimukset asiakas- ja potilastietojen tai hyvinvointitietojen käsittelyyn tarkoitetuille tietojärjestelmille.

Sertifiointiprosessista löytyy tarkempaa tietoa THL:n verkkosivulta Järjestelmätoimittaja - THL(avautuu uuteen ikkunaan)

Sertifioinnin edellyttämät yhteistestaukset

Yhteistestaus vaaditaan A2- ja A3-luokkaan sertifioitavalta tietojärjestelmältä ja A-luokkaan kuuluvalta hyvinvointisovellukselta. Yhteistestausten sisältö ja laajuus voi vaihdella huomattavasti järjestelmittäin. 

Tutustu yhteistestausprosessiin ja sen vaiheisiin tarkemmin.

Uuden järjestelmän sertifioinnin valmistelu kannattaa aloittaa perehtymällä THL:n määräyksiin ja ohjeisiin(avautuu uuteen ikkunaan). Niiden perusteella määräytyvät tietojärjestelmän luokka ja järjestelmäprofiili / tietojärjestelmäprofiilit.

Tutustu Kanta-palvelujen julkaisemiin ja ylläpitämiin vaatimusmäärittelyihin, tietosisältöihin ja teknisiin ohjeisiin tietojärjestelmätoimittajille.

Testaa huolellisesti

Tietojärjestelmän suunnittelu- ja kehitysvaiheessa järjestelmän toiminnallisuuksien kattava testaaminen on tärkeää, jotta varsinaiseen Kanta-yhteentoimivuuden yhteistestaukseen tullaan mahdollisimman valmiilla ja toimivalla järjestelmällä.

Tietojärjestelmän toiminnallisuuksia pitää testata omatoimisesti myös Kanta-asiakastestiympäristöä vasten ennen yhteistestausta. Kanta-palvelut tarjoaa Kantaan tallennettavien asiakirjojen tietorakenteiden tarkistukseen maksuttoman selainkäyttöisen HL7 CDA R2 -asiakirjojen validointipalvelun.

Asiakastestipalvelun käyttämisessä tarvittavat palveluvarmenteet tilataan Digi- ja väestötietovirastolta.

Liity asiakastestiympäristöön

Asiakastestiympäristöön liitytään testiympäristöstä. Tutustu asiakastestiympäristöön ja liittymishakemuksiin. 

Liittyminen Kanta-asiakastestipalveluun

Tutustu julkaisuaikatauluun

Kanta-palveluiden julkaisuaikataulusta löydät lainsäädännön vaatimusten mukaiset toiminnallisuuksien kehittämisaikataulut sekä sosiaali- ja terveydenhuollon toimijoille asetetut käyttöönottojen takarajat. Julkaisuaikataulua päivitetään 3-4 kertaa vuodessa.

Julkaisuaikataulu

Valmistaudu yhteistestaukseen 

  • Varmista ennen yhteistestaukseen ilmoittautumista, että toiminnallisuudet on huolellisesti testattu omassa järjestelmässä
  • Täytä THL:n järjestelmälomake (THL:n määräys 5/2024, liite 4) huolellisesti.
  • Ilmoittaudu yhteistestaukseen viimeistään 2 kk ennen suunniteltua testauksen aloitusta

Tutustu yhteistestausprosessiin ja yhteistestauksen tarkempaan ohjeistukseen. 

Tietoturvallisuuden arviointi ja rekisteri-ilmoitus Lupa- ja valvontavirastolle

Kun yhteistestaus on suoritettu hyväksytysti, sovi tietoturvallisuuden arvioinnista Traficomin hyväksymän arviointilaitoksen kanssa. Tietoturvallisuuden arviointilaitos antaa tietoturvallisuustodistuksen enintään kolmeksi vuodeksi. 

Kun tietoturvallisuuden arviointi on valmistunut, lähetä Lupa- ja valvontavirastolle rekisteri-ilmoitus liitteineen. Tarkempaa ohjeistusta antaa Lupa- ja valvontavirasto.

Kun tietojärjestelmän vaatimustenmukaisuutta uusitaan, tietojärjestelmä on päivitettävä vastamaan voimassa olevia Kanta-määrittelyitä.
Kaikille Kanta-palveluiden yhteisille ja palvelukohtaisille määrittelyille on ilmoitettu Kanta.fi:ssä erilliset voimassaoloajat ”voimassa sertifioinnissa” ja ”voimassa tuotantokäytössä”. Tietojärjestelmätoimittajan on varmistettava, että määrittelyiden ”voimassa sertifioinnissa” -päivämäärä ei ylity.

Tietojärjestelmäpalvelun tuottajan pitää toimittaa Kelalle ajantasainen tieto siitä, mitkä Kanta-palveluihin liittyvistä yhteistestattavista vaatimuksista on toteutettu ja minkä määrittelyversion mukaisella toteutuksella.

Ole ajoissa yhteydessä ja selvitä yhteistestaustarve 

Jotta tietojärjestelmä täyttää vaatimustenmukaisuuden edellytykset, sille on tehtävä lainsäädännöstä aiheutuvat ja Kelan edellyttämät yhteistestaukset. 

Tietojärjestelmätoimittajan pitää olla yhteydessä Kelaan ja tietoturvallisuuden arviointilaitokseen 6 kk ennen vaatimustenmukaisuuden vanhenemista (THL:n määräys 4/2024(avautuu uuteen ikkunaan), Thl.fi).

Yhteydenotto Kelaan tehdään Kanta-yhteistestauksen Testain-palvelun ilmoittautumislomakkeella (Sertifioinnin uusiminen - yhteistestaustarpeen arviointi + kyseessä oleva Kanta-palvelu) ja sen perusteella yhteistestauksen asiantuntija arvioi, vaaditaanko muutoksen johdosta yhteistestausta. 

Kela arvioi järjestelmäkohtaisesti, mitä yhteistestauksia edellytetään vaatimustenmukaisuuden uusimiseksi. On myös mahdollista, että yhteistestausta ei tarvita.

Tietoturvallisuuden arviointiin voidaan edetä, vaikka järjestelmällä olisi käynnissä olevia yhteistestauksia. Lupa- ja valvontavirasto kuitenkin valvoo rekisteri-ilmoituksen yhteydessä, että tietojärjestelmään on toteutettu lainsäädännön vaatimat ja Kanta-palveluiden ajantasaisiin määrittelyihin perustuvat yhteistestaukset. 

Varmista sujuva yhteistestaus

Jotta vaatimustenmukaisuuden uusimiseen vaadittavat yhteistestaukset saadaan suoritettua hyvissä ajoin, ilmoittaudu mahdollisimman valmiilla tietojärjestelmällä yhteistestaukseen viimeistään 2 kk ennen suunniteltua testauksen aloitusta. 

Ennen yhteistestauksen aloittamista tietojärjestelmätoimittajan pitää huolehtia siitä, yhteistestattavat toiminnallisuudet on testattu omassa järjestelmässä kattavasti. 

Tietojärjestelmätoimittajan vastuulla on myös täyttää huolellisesti THL:n järjestelmälomake (THL:n määräys 5/2024, liite 4(avautuu uuteen ikkunaan), Thl.fi). Käytä aina uusinta THL:n julkaisemaa versiota järjestelmälomakkeesta.

Ilmoita merkittävästä poikkeamasta Kelalle

Merkittävät poikkeamat luokan A2 tai A3 järjestelmissä tai hyvinvointisovelluksissa on ilmoitettava myös Kelalle (THL:n määräys 5/2024(avautuu uuteen ikkunaan), Thl.fi). 

Lähetä Kelalle ilmoitus osoitteella kanta@kanta.fi. Kerro samalla, jos esimerkiksi tietylle yhteistestaukselle on asetettu määräaika, jotta se voidaan priorisoida yhteistestausten tarkastuksessa.

Lisätiedustelut

Lue lisää

Sivua päivitetty 7.5.2026