Murupolku

Tietojärjestelmän rekisteröinti pääsisältö

Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröinti

Tietojärjestelmän rekisteröinti on Lupa- ja valvontaviraston suorittamaa ennakkovalvontaa, jonka tarkoituksena on varmistaa, että järjestelmä täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset. Sosiaali- ja terveydenhuollon tietojärjestelmä on rekisteröitävä Astoriin ennen kuin se otetaan tuotantokäyttöön.

Tietojärjestelmäpalvelun tuottaja vastaa rekisteröinnistä

Tietojärjestelmäpalvelun tuottaja vastaa järjestelmän rekisteröinnistä. Tuottaja vastaa myös siitä, että järjestelmän tiedot ovat Astorissa ajan tasalla koko sen tuotantokäytön ajan.

Tietojärjestelmän rekisteröinti ohjepolku

Rekisteröi järjestelmä ennen käyttöönottoa

Tietojärjestelmäpalvelun tuottajan on ilmoitettava järjestelmä Lupa- ja valvontavirastolle, jotta se voidaan rekisteröidä Astoriin. Rekisteri-ilmoitus laittaa rekisteröintiasian vireille Lupa- ja valvontavirastossa.

Sosiaali- ja terveydenhuollon palvelunantaja ja apteekki voivat ottaa järjestelmän käyttöön vasta sen jälkeen, kun sen tiedot ovat Astorissa.
Pidä järjestelmä vaatimuksen mukaisena ja sen tiedot ajantasalla Astorissa

Kun järjestelmä on rekisteröity Astoriin, tietojärjestelmäpalvelun tuottajan on seurattava olennaisten vaatimusten muutoksia ja toteutettava ne järjestelmään määräajassa. Tuottaja vastaa siitä, että järjestelmä täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset järjestelmän koko tuotantokäytön ajan.

Tietojärjestelmäpalvelun tuottajan on ilmoitettava Lupa- ja valvontavirastolle esimerkiksi seuraavista muutoksista:
- järjestelmän käyttötarkoituksen laajennus tai kavennus, joka vaikuttaa sen luokitukseen ja/tai profiilitietoihin
- järjestelmälle suoritettu uusi yhteistestaus ja/tai tietoturvallisuuden arviointi.
Huomaa, että Kelan ja tietoturvallisuuden arviointilaitoksen Lupa- ja valvontavirastolle tiedoksi toimittamat todistukset ja lausunnot eivät laita rekisteröintiasiaa vireille. Jos järjestelmälle on myönnetty uusi yhteistestauslausunto tai tietoturvallisuustodistus, tuottajan on tehtävä muutoksesta rekisteri-ilmoitus Lupa- ja valvontavirastolle.

Lisätietoa muutosten ilmoittamisesta saat tämän sivun lopusta Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohdasta (kysymykset 4 ja 5).
Ilmoita, kun järjestelmä on poistettu tuotantokäytöstä

Kun järjestelmän tuotantokäyttö päättyy, tietojärjestelmäpalvelun tuottajan on ilmoitettava siitä Lupa- ja valvontavirastolle, jotta järjestelmä voidaan poistaa Astorista. Huomaa, että jos järjestelmä jää katselukäyttöön, sitä ei voi poistaa Astorista. Tee tällöin rekisteri-ilmoitus käyttötarkoituksen muutoksesta.

Tietojärjestelmän rekisteröinti pääsisältö 2

Rekisteröinnistä peritään maksu

Asiakastietolain perusteella tehty rekisteröinti on maksullinen toimenpide. Maksun määrä perustuu vuosittain annettavaan asetukseen Lupa- ja valvontaviraston maksuista.

Rekisteröinnin hinnat:

A-luokan järjestelmän ja hyvinvointisovelluksen ensimmäinen rekisteröinti maksaa 1 200 euroa.
B-luokan järjestelmän ensimmäinen rekisteröinti maksaa 600 euroa.
Järjestelmän tai sovelluksen muutoksen rekisteröinti maksaa 300 euroa.

Huomaa, että järjestelmän tai sovelluksen poistoilmoituksen käsittely on muutos, ja siitä peritään 300 euroa.

Maksu peritään myös silloin, kun Lupa- ja valvontavirasto tekee kielteisen päätöksen järjestelmän tai sovelluksen rekisteröinnistä. Myös peruutetusta ja täydentämättä jätetystä rekisteri-ilmoituksesta peritään puolet taulukon mukaisesta maksusta.

Tee rekisteri-ilmoitus ja poistoilmoitus

Ennen kuin teet rekisteri-ilmoituksen, perehdy huolellisesti tämän sivun lopussa olevaan Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohtaan.

Tee rekisteri-ilmoitus

Kun järjestelmä tai sovellus on poistettu tuotantokäytöstä, sen tiedot on poistettava Astorista. Tee poistoilmoitus alla olevalla lomakkeella.

Tee poistoilmoitus

Usein kysyttyä tietojärjestelmän rekisteröinnistä

Rekisteri-ilmoitus ohjaa sinua ilmoituksen täyttämisessä. Kun täytät rekisteri-ilmoituksen ja sen liitteenä toimitettavan järjestelmälomakkeen huolellisesti, nopeutat rekisteri-ilmoituksen käsittelyä.

Kun olet täyttänyt rekisteri-ilmoituksen ja liittänyt siihen tarvittavat liitteet, ilmoitus ohjautuu suoraan Lupa- ja valvontaviraston kirjaamoon.

Terveyden ja hyvinvoinnin laitoksen määräyksen 4/2024 mukaan Järjestelmälomakkeeseen on merkittävä kaikki ne olennaisten vaatimusten profiilit, jotka vastaavat järjestelmän käyttötarkoitusta.

Ennen rekisteri-ilmoituksen tekemistä

varmista, että olet rekisteröimässä asiakastietolain mukaista tietojärjestelmää tai hyvinvointisovellusta
perehdy huolellisesti Terveyden ja hyvinvoinnin laitoksen määräyksiin 4/2024 ja 5/2024
perehdy luokittelukriteereihin, tee riskiarvio ja luokittele järjestelmä tai sovellus kriteerien mukaisesti
perehdy profiileihin ja merkitse järjestelmälomakkeelle kaikki ne profiilit, jotka vastaavat järjestelmän käyttötarkoitusta
ota järjestelmälomakkeessa kantaa kaikkiin järjestelmän profiilin tai profiilien mukaisiin pakollisiin vaatimuksiin
varmista, että A-luokan järjestelmälle tai sovellukselle on myönnetty kaikki rekisteröinnin tekemiseen tarvittavat asiakirjat (Kelan yhteistestauslausunto tai -lausunnot ja tietoturvallisuuden arviointilaitoksen tietoturvallisuustodistus).

Kun tietojärjestelmäpalvelun tuottaja on tehnyt rekisteri-ilmoituksen, Lupa- ja valvontavirastossa tarkastetaan, että ilmoitus sisältää kaikki rekisteröintiin tarvittavat tiedot ja liitteet.

Jos Lupa- ja valvontavirastolle annetuissa tiedoissa on epäselvyyksiä, puutteita, virheitä tai asiakirjoissa on ristiriitaista tietoa, ne selvitetään ennen kuin järjestelmä voidaan rekisteröidä Astoriin. Tällaisessa tilanteessa virasto tekee täydennyspyynnön tietojärjestelmäpalvelun tuottajalle.

Tietojärjestelmä lisätään Astoriin tai siellä olevia tietoja päivitetään sen jälkeen, kun Lupa- ja valvontavirastolle on annettu riittävät ja asianmukaiset tiedot. Kun rekisteri-ilmoitus on käsitelty, Lupa- ja valvontavirasto lähettää tietojärjestelmäpalvelun tuottajalle siitä ilmoituksen.

Jos tietojärjestelmäpalvelun tuottaja ei toimita Lupa- ja valvontavirastolle riittäviä tietoja järjestelmän olennaisten vaatimusten täyttymisen arvioimiseksi, virasto ei voi lisätä järjestelmää Astoriin ja tuottajalle ilmoitetaan siitä kirjeellä. Jos järjestelmä on rekisteröity Astoriin, eikä Lupa- ja valvontavirasto pysty arvioimaan järjestelmän vaatimustenmukaisuutta tuottajan antamien puutteellisten tietojen takia, virasto aloittaa järjestelmän vaatimustenmukaisuuden valvonnan.

Vaikka kaikkia rekisteröintiprosessissa olevia tietoja ei julkaista Astorissa, tiedot ovat Lupa- ja valvontaviraston asianhallintajärjestelmässä. Jos järjestelmään kohdistetaan valvontatoimenpiteitä, tietoja voidaan käyttää valvonnan pohjatietoina. 

Kun tietojärjestelmä on rekisteröity Astoriin, on tietojärjestelmäpalvelun tuottajan huolehdittava, että rekisterissä olevat tiedot pysyvät ajan tasalla siihen asti, kunnes järjestelmä poistetaan rekisteristä.

Tietojärjestelmäpalvelun tuottaja on ilmoitettava Lupa- ja valvontavirastolle

järjestelmään toteutetusta uudesta toiminnosta, josta se on saanut uuden yhteistestauslausunnon
järjestelmään tehdystä muutoksesta tai korjauksesta, jonka perusteella tietoturvallisuuden arviointilaitos on suorittanut sille tietoturvallisuuden muutosarvioinnin ja josta järjestelmä on saanut päivitetyn tietoturvallisuustodistuksen
järjestelmän vaatimustenmukaisuuden uudistamisesta
järjestelmän tietojen muuttumisesta muutoksista (esimerkiksi riskitason, luokan, profiilin, käyttökontekstin tai järjestelmän nimen muutoksista)
tietojärjestelmäpalvelun tuottajan tietojen muuttumisesta (esimerkiksi yrityksen nimenmuutos tai tuottajan vaihtuminen yrityskaupan seurauksena)
järjestelmän poistamisesta tuotantokäytöstä.

Lupa- ja valvontavirasto perii maksun rekisteri-ilmoituksen ja poistoilmoituksen käsittelystä. Peruutetusta ja täydentämättä jätetystä rekisteri-ilmoituksesta peritään puolet maksusta. Maksu peritään myös silloin, kun Lupa- ja valvontavirasto tekee kielteisen päätöksen järjestelmän tai sovelluksen rekisteröinnistä.

Lupa- ja valvontavirasto ei peri maksua seuraavissa tilanteissa:

järjestelmän merkittävästä poikkeamasta ilmoittaminen
yhteyshenkilön tietojen vaihtumisesta ilmoittaminen