Merkittävä poikkeama olennaisten vaatimusten täyttymisessä 

Merkittävä poikkeama tietojärjestelmässä voi vaarantaa asiakas- tai potilasturvallisuuden tai tietoturvan. Poikkeama voi olla järjestelmän toiminnallisissa vaatimuksissa, yhteentoimivuudessa tai tietoturvassa.

Merkittävä poikkeama on esimerkiksi 

• puute tai virhe järjestelmässä, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle 
• puute tai virhe järjestelmässä, joka voi aiheuttaa riskin tietoturvalle tai tietosuojalle 
• puute tai virhe järjestelmässä tai käyttöympäristössä, joka voi aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle 
• virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle 
• virhe Kanta-palveluihin tallennettavan tiedon teknisessä oikeellisuudessa tai eheydessä, joka voi aiheuttaa muun muassa laajamittaisia yhteentoimivuuden häiriöitä 
• tietojärjestelmän tietoturvallisuustodistuksen vanheneminen 
• säännökseen perustuvan toiminnon puuttuminen tietojärjestelmästä. 

Lisätietoa merkittävistä poikkeamista saat THL:n määräyksen 5/2024 luvusta 10.4 Poikkeamat vaatimustenmukaisuudesta. Löydät dokumentin tämän sivun lopusta. 

Ilmoita merkittävästä poikkeamasta

Tietojärjestelmäpalvelun tuottaja 

Tietojärjestelmäpalvelun tuottajan on ilmoitettava Lupa- ja valvontavirastolle, jos sen tuottamassa järjestelmässä on poikkeama, joka aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle.  

Tuottajan on ilmoitettava merkittävästä poikkeamasta myös kaikille järjestelmän käyttäjille. Jos järjestelmä kuuluu A-luokkaan, tuottajan on ilmoitettava merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti.  

Hyvinvointisovelluksen valmistaja 

Hyvinvointisovelluksen valmistajan on ilmoitettava Lupa- ja valvontavirastolle, jos sen valmistamassa sovelluksessa on poikkeama, joka aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Valmistajan on ilmoitettava merkittävästä poikkeamasta myös kaikille sovelluksen käyttäjille. 

Palvelunantaja ja apteekki 

Palvelunantajan ja apteekin on ilmoitettava tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä järjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa.  

Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan on tehtävä siitä ilmoitus Lupa- ja valvontavirastolle. Jos apteekkijärjestelmän poikkeama voi aiheuttaa merkittävän riskin apteekin toiminnalle, on sen ilmoitettava poikkeamasta Lääkealan turvallisuus- ja kehittämiskeskus Fimealle.  

Muut ilmoittajat

Jos järjestelmän tai sovelluksen merkittävä poikkeama vaarantaa asiakas- tai potilasturvallisuuden tai tietoturvan, myös Kelan ja THL:n on tehtävä Lupa- ja valvontavirastolle poikkeamailmoitus.  

Jos järjestelmässä havaitaan tietosuojapoikkeama, siitä on ilmoitettava tietosuojavaltuutetulle. 

Tee poikkeamailmoitus  (linkki-painike)

Voit tehdä myös vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Lupa- ja valvontaviraston kirjaamoon osoitteeseen XXX. Jos lähetät salassa pidettävää tietoa, käytä suojattua sähköpostiyhteyttä XXX. Voit lähettää poikkeamailmoituksen myös postilla osoitteeseen XXX. 

Lupa- ja valvontavirasto voi aloittaa valvonnan poikkeamailmoituksen perusteella. Valvonta voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään palvelunantajaan.