Sosiaali- ja terveydenhuollon tietojärjestelmät

Toiminnalliset vaatimukset tarkoittavat järjestelmään toteutettuja toimintoja ja tietosisältöjä. Ne perustuvat tyypillisesti sosiaali- ja terveydenhuollon lainsäädäntöön, kuten lääkelakiin tai potilaslakiin. Tietojärjestelmän käyttötarkoitus määrittää, mitä toimintoja ja tietosisältöjä järjestelmään on toteutettava.  

Terveyden ja hyvinvoinnin laitoksen (THL) Olennaisten vaatimusten luettelo -dokumentissa kuvataan tarkemmin järjestelmiltä vaaditut toiminnallisuudet ja tietosisällöt. Dokumentin löydät tämän sivun lopusta.  

Tietojärjestelmäpalvelun tuottajan on täytettävä järjestelmälomake, jossa se kuvaa järjestelmään toteutetut toiminnallisuudet ja tietosisällöt. Lomakkeen tietojen on oltava ajantasaisia ja oikein. Tietojen pitää myös vastata järjestelmään toteutettuja toiminnallisuuksia ja tietosisältöjä. 

A-luokan järjestelmä 

Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottaja toimittaa järjestelmälomakkeen 

Kelaan, kun se ilmoittaa järjestelmän yhteistestaukseen (luokat A2 ja A3) 

tietoturvallisuuden arviointilaitokselle, kun se ilmoittaa järjestelmän tietoturvallisuuden arviointiin (luokat A1, A2 ja A3) 

Lupa- ja valvontavirastolle rekisteri-ilmoituksen liitteenä (luokat A1, A2 ja A3). 

B-luokan järjestelmä 

Jos järjestelmä kuuluu luokkaan B, tietojärjestelmäpalvelun tuottaja toimittaa järjestelmälomakkeen Lupa- ja valvontavirastolle rekisteri-ilmoituksen liitteenä.   

Luokan B järjestelmän toiminnalliset vähimmäisvaatimukset on kuvattu THL:n Asiakas- tai potilastietojen käsittelyyn tarkoitetun järjestelmän vähimmäisvaatimukset -profiilissa. Profiilin löydät tämän sivun lopusta. 

Sosiaali- ja terveydenhuollon tietojärjestelmien luokittelu -sivulta saat tarkempaa tietoa luokkaan A ja B kuuluvista tietojärjestelmistä. 

Yhteentoimivuus tarkoittaa, että Kanta-palvelut ja siihen liitetyt järjestelmät voivat jakaa ja näyttää asiakas- ja potilastietoa keskenään. 

Yhteentoimivuus mahdollistaa sen, että asiakas- ja potilastietoja voidaan jakaa eri palvelunantajien välillä Kanta-palvelujen kautta. 

Yhteentoimivuus edellyttää, että Kanta-palveluihin liitetyt järjestelmät on toteutettu kansallisten määritysten mukaisesti. 

Kelan järjestämä yhteentoimivuuden testaus  

Kela yhteistestaa A2- ja A3-luokkaan kuuluvat järjestelmät. Poikkeuksena tästä ovat A3-luokkaan kuuluvat Kanta-palvelut, joita ei erikseen yhteistestata. Kela yhteistestaa lisäksi A-luokkaan kuuluvat hyvinvointisovellukset.  

Kela antaa hyväksytysti suoritetusta yhteistestauksesta tietojärjestelmäpalvelun tuottajalle yhteistestauslausunnon ja -raportin. Yhteistestaus on maksuton palvelu. 

Lähetä yhteistestausta koskevat kysymykset osoitteeseen yhteistestaus(at)kanta.fi. 

Tietoturvavaatimuksilla pyritään varmistamaan, että asiakas- ja potilastiedot pysyvät luottamuksellisina, eheinä ja käytettävinä. 

Luottamuksellisuus: asiakastiedot ovat vain niiden henkilöiden saatavilla, joilla on oikeus niitä nähdä. Luottamuksellisuus tarkoittaa esimerkiksi sitä, että potilastietojärjestelmä tarkastaa hoitosuhteen olemassaolon ennen kuin tietoja voi katsella. 

Eheys: asiakastiedot ovat ajantasaisia, virheettömiä ja ristiriidattomia. Lisäksi asiakastietoja voi muuttaa vain siihen oikeutetut henkilöt, mikä varmistetaan esimerkiksi ammattihenkilön allekirjoituksella.   

Käytettävyys: asiakastiedot ovat sosiaali- ja terveydenhuollon käytettävissä silloin, kun niitä tarvitaan. Esimerkiksi Kanta-palveluihin tallennetut asiakastiedot on oltava aina sosiaali- ja terveydenhuollon palvelunantajien käytettävissä. 

Tietoturvavaatimukset varmistavat osaltaan asiakkaiden ja potilaiden tietosuojan toteutumisen.  

Arviointilaitoksen suorittama tietoturvallisuuden arviointi 

Luokan A järjestelmälle on suoritettava tietoturvallisuuden arviointi, jossa todennetaan tietoturvavaatimuksien täyttyminen.  

Arvioinnin suorittaa Liikenne- ja viestintävirasto Traficomin hyväksymä tietoturvallisuuden arviointilaitos, joka antaa suoritetusta arvioinnista tietojärjestelmäpalvelun tuottajalle tietoturvallisuustodistuksen ja siihen liittyvän raportin. Todistus on voimassa enintään kolme vuotta, ja sen voimassaoloa voi jatkaa enintään kolmeksi vuodeksi kerrallaan. 

Tietojärjestelmäpalvelun tuottaja valitsee, mitä Traficomin hyväksymää arviointilaitosta se käyttää tietoturvallisuuden arvioinnissa. Tietoturvallisuuden arviointi on maksullinen palvelu. 

Tietoturvavaatimukset B-luokan järjestelmässä 

Luokan B järjestelmältä ei vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia. Kun tietojärjestelmäpalvelun tuottaja rekisteröi B-luokan järjestelmänsä, se vakuuttaa järjestelmälomakkeella, että järjestelmä täyttää sille käyttötarkoituksessa asetetut tietoturvavaatimukset.  

Tietojärjestelmäpalvelun tuottaja voi halutessaan teettää tietoturvallisuuden arvioinnin myös luokan B järjestelmälle.  

Luokan B järjestelmän tietoturvavaatimuksista kerrotaan THL:n Asiakas- tai potilastietojen käsittelyyn tarkoitetun järjestelmän vähimmäisvaatimukset -profiilissa. Profiilin löydät tämän sivun lopusta. 

Tietojärjestelmäpalvelun tuottajan velvollisuuksia ovat muun muassa: 

• Luokitella tietojärjestelmä. 
• Osoittaa tietojärjestelmän vaatimusten täyttäminen, mikä tarkoittaa A-luokassa sertifiointia ja B-luokassa selvitystä siitä, että tietojärjestelmä täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset. 
• Tehdä Lupa- ja valvontavirastolle rekisteri-ilmoitus, jotta järjestelmä rekisteröidään Astoriin ennen sen ottamista tuotantokäyttöön. 
• Seurata muutoksia ja toteuttaa ne järjestelmään säännöksissä kerrottujen määräaikojen mukaisesti. Muutos voi olla esimerkiksi uuden toiminnon toteuttaminen tietojärjestelmään. 
• Uusia A-luokan järjestelmän tietoturvallisuuden arviointi ennen aiemman tietoturvallisuustodistus vanhenemista. 
• Ilmoittaa Lupa- ja valvontavirastolle järjestelmään tehdyistä olennaisista muutoksista sekä järjestelmän käytön päättymisestä. Tee rekisteri-ilmoitus Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröinti -sivulla. 
• Ilmoittaa järjestelmän merkittävästä poikkeamasta kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. 
• Ilmoittaa Lupa- ja valvontavirastolle asiakas- tai potilasturvallisuudelle tai tietoturvalle merkittävän riskin aiheuttavasta poikkeamasta sekä käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä. Tee poikkeamailmoitus Merkittävä poikkeama -sivulla. 
• Tarkistaa asiakastietoja käsittelevien henkilöiden ja tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo tunnistus- ja luottamuspalvelulaissa säädetyn mukaisesti. 

Sosiaali- ja terveydenhuollon palvelunantajan ja apteekin velvollisuuksia ovat muun muassa:   

• Käyttää olennaiset vaatimukset täyttävää järjestelmää, joka vastaa käyttötarkoitukseltaan palvelunantajan ja apteekin toimintaa ja jonka tiedot löytyvät Astorista. 
• Liittyä Kanta-palvelujen käyttäjäksi säännöksissä kerrottujen määräaikojen mukaisesti, jos sillä on käytössään asiakastietojen käsittelyyn tarkoitettu järjestelmä. 
• Vastata Kanta-palveluihin tallennettavien asiakastietojen oikeellisuudesta. 
• Ottaa käyttöön säännösten edellyttämät uudet toiminnot ja tietosisällöt määräaikojen mukaisesti. 
• Pitää rekisteriä asiakas- ja potilastietojärjestelmien käyttäjistä ja niiden käyttöoikeuksista sekä määritellä sosiaali- ja terveydenhuollon ammattihenkilöiden oikeus käyttää asiakastietoja. 
• Kerätä rekisterikohtaiset lokitiedot asiakastietojen käytöstä ja niiden luovutuksesta seurantaa ja valvontaa varten. 
• Laatia tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma ja ylläpitää sitä. 
• Ilmoittaa tietojärjestelmäpalvelun tuottajalle järjestelmässä olevasta merkittävästä poikkeamasta. Ilmoitus on tehtävä myös Lupa- ja valvontavirastolle, jos poikkeama aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Tee poikkeamailmoitus Merkittävä poikkeama -sivulla.  
• Ilmoittaa tietosuojavaltuutetulle, jos järjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeama (tietosuoja.fi). 
• Tunnistaa luotettavasti asiakastietojen käsittelijä sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut.  
• Tarkastaa asiakastietoja käsittelevien henkilöiden ja tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo tunnistus- ja luottamuspalvelulaissa säädetyn mukaisesti.