Navigointivalikko
Murupolku
Tietojärjestelmän rekisteröinti pääsisältö
Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröinti
Tietojärjestelmän rekisteröinti on Lupa- ja valvontaviraston (LVV) suorittamaa ennakkovalvontaa, jonka tarkoituksena on varmistaa, että järjestelmä täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset. Sosiaali- ja terveydenhuollon tietojärjestelmä on rekisteröitävä Astoriin ennen kuin se otetaan tuotantokäyttöön.
Tietojärjestelmäpalvelun tuottaja vastaa rekisteröinnistä
Tietojärjestelmäpalvelun tuottaja vastaa järjestelmän rekisteröinnistä. Tuottaja vastaa myös siitä, että järjestelmän tiedot ovat Astorissa ajan tasalla koko sen tuotantokäytön ajan.
Tietojärjestelmän rekisteröinti ohjepolku
-
Rekisteröi järjestelmä ennen käyttöönottoa
Tietojärjestelmäpalvelun tuottajan on ilmoitettava järjestelmä LVV:lle, jotta se voidaan rekisteröidä Astoriin. Rekisteri-ilmoitus laittaa rekisteröintiasian vireille LVV:ssä.
Sosiaali- ja terveydenhuollon palvelunantaja ja apteekki voivat ottaa järjestelmän käyttöön vasta sen jälkeen, kun sen tiedot ovat Astorissa.
-
Pidä järjestelmä vaatimuksen mukaisena ja sen tiedot ajantasalla Astorissa
Kun järjestelmä on rekisteröity Astoriin, tietojärjestelmäpalvelun tuottajan on seurattava olennaisten vaatimusten muutoksia ja toteutettava ne järjestelmään määräajassa. Tuottaja vastaa siitä, että järjestelmä täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset järjestelmän koko tuotantokäytön ajan.
Tietojärjestelmäpalvelun tuottajan on ilmoitettava LVV:lle esimerkiksi seuraavista muutoksista:
- järjestelmän käyttötarkoituksen laajennus tai kavennus, joka vaikuttaa sen luokitukseen ja/tai profiilitietoihin
- järjestelmälle suoritettu uusi yhteistestaus ja/tai tietoturvallisuuden arviointi.
Huomaa, että Kelan ja tietoturvallisuuden arviointilaitoksen LVV:lle tiedoksi toimittamat todistukset ja lausunnot eivät laita rekisteröintiasiaa vireille. Jos järjestelmälle on myönnetty uusi yhteistestauslausunto tai tietoturvallisuustodistus, tuottajan on tehtävä muutoksesta rekisteri-ilmoitus LVV:lle.
Lisätietoa muutosten ilmoittamisesta saat tämän sivun lopusta Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohdasta (kysymykset 4 ja 5).
-
Ilmoita, kun järjestelmä on poistettu tuotantokäytöstä
Kun järjestelmän tuotantokäyttö päättyy, tietojärjestelmäpalvelun tuottajan on ilmoitettava siitä LVV:lle, jotta järjestelmä voidaan poistaa Astorista. Huomaa, että jos järjestelmä jää katselukäyttöön, sitä ei voi poistaa Astorista. Tee tällöin rekisteri-ilmoitus käyttötarkoituksen muutoksesta.
Tietojärjestelmän rekisteröinti pääsisältö 2
Rekisteröinnistä peritään maksu
Asiakastietolain perusteella tehty rekisteröinti on maksullinen toimenpide.
Rekisteröinnin hinnat:
- A-luokan järjestelmän ja hyvinvointisovelluksen ensimmäinen rekisteröinti maksaa 1 200 euroa.
- B-luokan järjestelmän ensimmäinen rekisteröinti maksaa 600 euroa.
- Järjestelmän tai sovelluksen muutoksen rekisteröinti maksaa 300 euroa.
Tee rekisteri-ilmoitus ja poistoilmoitus
Ennen kuin teet rekisteri-ilmoituksen, perehdy huolellisesti tämän sivun lopussa olevaan Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohtaan.
Kun järjestelmä tai sovellus on poistettu tuotantokäytöstä, sen tiedot on poistettava Astorista. Tee poistoilmoitus alla olevalla lomakkeella.
Tietojärjestelmän rekisteröinti haitarit
Rekisteri-ilmoitus ohjaa sinua ilmoituksen täyttämisessä. Kun täytät rekisteri-ilmoituksen ja sen liitteenä toimitettavan järjestelmälomakkeen huolellisesti, nopeutat rekisteri-ilmoituksen käsittelyä.
Kun olet täyttänyt rekisteri-ilmoituksen ja liittänyt siihen tarvittavat liitteet, ilmoitus ohjautuu suoraan Lupa- ja valvontaviraston kirjaamoon.
THL:n määräyksen 4/2024 mukaan Järjestelmälomakkeeseen on merkittävä kaikki ne olennaisten vaatimusten profiilit, jotka vastaavat järjestelmän käyttötarkoitusta.
Ennen rekisteri-ilmoituksen tekemistä
- varmista, että olet rekisteröimässä asiakastietolain mukaista tietojärjestelmää tai hyvinvointisovellusta
- perehdy huolellisesti THL:n määräyksiin 4/2024 ja 5/2024
- perehdy luokittelukriteereihin, tee riskiarvio ja luokittele järjestelmä tai sovellus kriteerien mukaisesti
- perehdy profiileihin ja merkitse järjestelmälomakkeelle kaikki ne profiilit, jotka vastaavat järjestelmän käyttötarkoitusta
- ota järjestelmälomakkeessa kantaa kaikkiin järjestelmän profiilin tai profiilien mukaisiin pakollisiin vaatimuksiin
- varmista, että A-luokan järjestelmälle tai sovellukselle on myönnetty kaikki rekisteröinnin tekemiseen tarvittavat asiakirjat (Kelan yhteistestauslausunto tai -lausunnot ja tietoturvallisuuden arviointilaitoksen tietoturvallisuustodistus).
Kun tietojärjestelmäpalvelun tuottaja on tehnyt rekisteri-ilmoituksen, Lupa- ja valvontavirastossa tarkastetaan, että ilmoitus sisältää kaikki rekisteröintiin tarvittavat tiedot ja liitteet.
Jos Lupa- ja valvontavirastolle annetuissa tiedoissa on epäselvyyksiä, puutteita, virheitä tai asiakirjoissa on ristiriitaista tietoa, ne selvitetään ennen kuin järjestelmä voidaan rekisteröidä Astoriin. Tällaisessa tilanteessa virasto tekee täydennyspyynnön tietojärjestelmäpalvelun tuottajalle.
Tietojärjestelmä lisätään Astoriin tai siellä olevia tietoja päivitetään sen jälkeen, kun Lupa- ja valvontavirastolle on annettu riittävät ja asianmukaiset tiedot. Kun rekisteri-ilmoitus on käsitelty, Lupa- ja valvontavirasto lähettää tietojärjestelmäpalvelun tuottajalle siitä ilmoituksen.
Jos tietojärjestelmäpalvelun tuottaja ei toimita Lupa- ja valvontavirastolle riittäviä tietoja järjestelmän olennaisten vaatimusten täyttymisen arvioimiseksi, virasto ei voi lisätä järjestelmää Astoriin ja tuottajalle ilmoitetaan siitä kirjeellä. Jos järjestelmä on rekisteröity Astoriin, eikä Lupa- ja valvontavirasto pysty arvioimaan järjestelmän vaatimustenmukaisuutta tuottajan antamien puutteellisten tietojen takia, virasto aloittaa järjestelmän vaatimustenmukaisuuden valvonnan.
Vaikka kaikkia rekisteröintiprosessissa olevia tietoja ei julkaista Astorissa, tiedot ovat Lupa- ja valvontaviraston asianhallintajärjestelmässä. Jos järjestelmään kohdistetaan valvontatoimenpiteitä, tietoja voidaan käyttää valvonnan pohjatietoina.
Kun tietojärjestelmä on rekisteröity Astoriin, on tietojärjestelmäpalvelun tuottajan huolehdittava, että rekisterissä olevat tiedot pysyvät ajan tasalla siihen asti, kunnes järjestelmä poistetaan rekisteristä.
Tietojärjestelmäpalvelun tuottaja on ilmoitettava Lupa- ja valvontavirastolle
- järjestelmään toteutetusta uudesta toiminnosta, josta se on saanut uuden yhteistestauslausunnon
- järjestelmään tehdystä muutoksesta tai korjauksesta, jonka perusteella tietoturvallisuuden arviointilaitos on suorittanut sille tietoturvallisuuden muutosarvioinnin ja josta järjestelmä on saanut päivitetyn tietoturvallisuustodistuksen
- järjestelmän vaatimustenmukaisuuden uudistamisesta
- järjestelmän tietojen muuttumisesta (esimerkiksi nimen vaihtuminen)
- tietojärjestelmäpalvelun tuottajan tietojen muuttumisesta (esimerkiksi yrityksen nimenmuutos tai tuottajan vaihtuminen yrityskaupan seurauksena)
- järjestelmän poistamisesta tuotantokäytöstä.
Lupa- ja valvontavirasto perii maksun seuraavien muutosten rekisteröinnistä:
- uuden yhteistestauslausunnon rekisteröinti
- uuden tietoturvallisuustodistuksen rekisteröinti
- tietojärjestelmäpalvelun tuottajan vaihtuminen (esimerkiksi yrityskauppa).
Lupa- ja valvontavirasto ei peri maksua seuraavien muutosten rekisteröinnistä:
- järjestelmän käyttötarkoituksen, profiilin, käyttökontekstin tai versiotiedon muutos
- järjestelmän tuotantokäytön päättyminen (poistoilmoitus)
- järjestelmän merkittävä poikkeama
- järjestelmän tuotenimen vaihtuminen tai uuden tuotenimen ilmoittaminen
- yhteyshenkilön tietojen vaihtuminen
- tietojärjestelmäpalvelun tuottajan nimen vaihtuminen.