Navigointivalikko
Murupolku
Tietojärjestelmän luokittelu pääsisältö
Sosiaali- ja terveydenhuollon tietojärjestelmän luokittelu
Tietojärjestelmäpalvelun tuottajan tekemä luokittelu aloittaa järjestelmän sertifiointi- ja rekisteröintiprosessin. Järjestelmän luokka vaikuttaa keskeisesti siihen, miten järjestelmän olennaiset vaatimukset todennetaan.
Sosiaali- ja terveydenhuollon asiakastietoa käsittelevät tietojärjestelmät jaetaan luokkiin A ja B. Luokka A jaetaan edelleen luokkiin A1, A2 ja A3.
Tietojärjestelmäpalvelun tuottaja vastaa järjestelmänsä luokittelusta. Tuottaja luokittelee järjestelmänsä Terveyden ja hyvinvoinnin laitoksen (THL) määräyksen 4/2024 ja sen liitteen Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta kriteerien mukaisesti. Löydät dokumentit tämän sivun lopusta.
THL päättää epäselvissä tilanteissa järjestelmän luokan. Lähetä järjestelmän luokittelua koskevat kysymykset osoitteeseen sotetiedonhallinta(at)thl.fi.
Tietojärjestelmän luokka vaikuttaa siihen,
- miten olennaiset vaatimukset todennetaan ennen järjestelmän käyttöönottoa ja
- mitä asiakirjoja rekisteri-ilmoituksen liitteenä toimitetaan Lupa- ja valvontavirastolle.
Riskiarvio osana järjestelmän luokittelua
Kun tietojärjestelmäpalvelun tuottaja luokittelee järjestelmänsä, sen on samalla tehtävä järjestelmästä riskiarvio. Arviossa huomioidaan muun muassa,
- kuinka laajasti järjestelmää käytetään ja
- kuinka arkaluonteisia tietoja siinä käsitellään.
Löydät ohjeen riskiarvion tekemiseen THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentista. Voit käyttää riskiarvion tekemisessä myös THL:n riskiarviotyökalua. Löydät dokumentit tämän sivun lopusta.
Tietojärjestelmän luokittelu haitarit
A-luokkaan kuuluu sosiaali- ja terveydenhuollon asiakastietoja käsittelevä järjestelmä, joka
- liittyy suoraan tai asiakastietojen välityspalvelun kautta Kanta-palveluihin
- muodostaa Kanta-palveluihin tallennettavia tietorakenteita tai asiakirjoja
- käsittelee laajamittaisesti asiakastietoja ja jonka tietosuojan varmistaminen edellyttää tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia.
A-luokka jakautuu edelleen luokkiin:
- A1: Järjestelmälle on suoritettava tietoturvallisuuden arviointi, josta sille myönnetään tietoturvallisuustodistus. A1-luokan järjestelmälle ei suoriteta yhteistestausta. A1-luokkaan kuuluvat esimerkiksi asiakastietojen välityspalvelut.
- A2: Järjestelmälle on suoritettava yhteistestaus, josta sille myönnetään yhteistestauslausunto. Järjestelmälle on suoritettava myös tietoturvallisuuden arviointi, josta sille myönnetään tietoturvallisuustodistus. A2-luokkaan kuuluvat esimerkiksi hallinnollisia tietoja Kanta-palveluihin tallentavat järjestelmät sekä erikoisalan erillisjärjestelmät.
- A3: Järjestelmälle on suoritettava yhteistestaus, josta sille myönnetään yhteistestauslausunto. Järjestelmälle on suoritettava myös tietoturvallisuuden arviointi, josta sille myönnetään tietoturvallisuustodistus. A3-luokkaan kuuluvat esimerkiksi Kanta-palveluihin liitetyt terveydenhuollon potilaskertomusjärjestelmät ja sosiaalihuollon asiakastietojärjestelmät. A3-luokkaan kuuluvat myös Kelan Kanta-palvelut.
B-luokkaan kuuluu sosiaali- ja terveydenhuollon asiakastietoja käsittelevä tietojärjestelmä,
- joka ei liity suoraa Kanta-palveluihin
- joka ei tuota Kanta-palveluihin tallennettavia asiakirjoja
- johon ei kohdistu riskiarvion perusteella A1-luokan vaatimusta tietoturvallisuuden arvioinnista.
Vaikka B-luokan järjestelmälle ei suoriteta yhteistestausta eikä siltä vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia, pitää B-luokkaan kuuluvan järjestelmän toteuttaa ja täyttää sen käyttötarkoituksen mukaiset olennaiset vaatimukset.
Löydät esimerkkejä B-luokkaan kuuluvista järjestelmistä THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentista. Löydät dokumentit tämän sivun lopusta.
Sosiaali- ja terveydenhuollossa voi olla käytössä myös järjestelmiä, ohjelmistoja tai sovelluksia, jotka eivät ole asiakastietolain mukaisia järjestelmiä, vaikka niissä käsitellään esimerkiksi terveydenhuollon potilaiden tai sosiaalihuollon asiakkaiden nimi- ja osoitetietoja.
Asiakastietolain mukainen tietojärjestelmä tarkoittaa ohjelmistoa, järjestelmää tai osajärjestelmää, jota on suunniteltu käytettäväksi
- asiakasasiakirjojen sähköiseen käsittelyyn
- asiakasasiakirjojen tallentamiseen Kanta-palveluihin
- valtakunnallisiin tietojärjestelmäpalveluihin eli Kanta-palveluihin liittämiseen tai hyvinvointitietojen käsittelemiseen sosiaali- tai terveydenhuollossa.
Esimerkkejä luokittelemattomista ohjelmistoista ja sovelluksista:
- yleiset tekstinkäsittely- tai toimisto-ohjelmistot
- sosiaali- tai terveydenhuollon palvelunantajalla käytössä olevat hallinnolliset tukijärjestelmät, kuten ateriantilausjärjestelmät, materiaalihallinnon järjestelmät tai käyttövaltuuksien hallintajärjestelmät
- sosiaali- ja terveydenhuollon palvelunantajilla käytössä olevat laskutusjärjestelmät
- yleiset viestintään käytetyt järjestelmät tai sovellukset, kuten erilaiset chat-ohjelmistot.
THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentissa kerrotaan tarkemmin, minkälaiset ohjelmistot eivät ole asiakastietolain mukaisia. Löydät dokumentin tämän sivun lopusta.
Lupa- ja valvontavirasto ei rekisteröi eikä valvo järjestelmiä, jotka eivät ole asiakastietolain mukaisia, A- tai B-luokkaan kuuluvia järjestelmiä.
Asiakastietojen käsittelyssä pitää kaikissa tilanteissa huomioida yleiset tietoturva- ja tietosuojavaatimukset sekä muut asiakastietojen laatimiseen, käsittelyyn ja säilyttämiseen liittyvät säännökset. Säännökset koskevat palvelunantajaa riippumatta siitä, millä tavalla asiakastietoja kirjataan ja säilytetään.