Sosiaali- ja terveydenhuollon tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset, ennen kuin sen saa ottaa käyttöön. Näitä vaatimuksia valvoo Valvira. Tietojärjestelmän toimittaja puolestaan on vastuussa vaatimustenmukaisuuden toteuttamisesta sekä sen osoittamisesta. Sote-alan palveluntuottajien velvollisuudet painottuvat omavalvontaan ja asianmukaisiin toimintatapoihin. Lue tarkemmin tietopaketistamme!
Mitä tarkoittavat A- ja B-luokka?
Potilastietojärjestelmien tietoturvallisuus on ollut runsaasti esillä mediassa. Uutisoinnin yhteydessä on käytetty termejä A- ja B-luokan tietojärjestelmä.
A-luokkaan kuuluvat ne tietojärjestelmät, jotka on tarkoitettu liitettäväksi valtakunnallisiin tietojärjestelmäpalveluihin eli Kanta-palveluihin. Tietojärjestelmä voidaan liittää Kantaan suoraan tai teknisen välityspalvelun kautta.
Muut järjestelmät kuuluvat B-luokkaan ja niitä käytetään vain paikallisesti tai alueellisesti.
Miten sote-tietojärjestelmiä arvioidaan?
Sekä A- että B-luokan järjestelmien valmistajien on laadittava selvitys Valviralle toiminnallisten vaatimusten täyttymisestä ja kuvattava järjestelmän käyttötarkoitus sekä sen toiminnot.
A-luokan tietojärjestelmät on lisäksi sertifioitava ennen käyttöönottoa. Sertifiointi koostuu Kelan yhteistestauksesta (yhteentoimivuuden vaatimukset) ja tietoturvallisuuden auditoinnista (tietoturvavaatimukset). Yhteistestauksella varmistetaan tietojärjestelmän yhteentoimivuus Kanta-palvelujen sekä siihen liitettyjen muiden tietojärjestelmien kanssa. Tietoturvallisuuden auditoinnin suorittaa ulkopuolinen arviointilaitos, jonka tulee olla Traficomin hyväksymä. Hyväksytyt arviointilaitokset löydät Kyberturvallisuuskeskuksen sivuilta. Hyväksytyn yhteistestauksen ja tietoturva-auditoinnin perusteella järjestelmä saa arviointilaitokselta vaatimustenmukaisuustodistuksen, joka on edellytyksenä Kanta-palveluihin liittymiselle. Todistus on voimassa enintään viisi vuotta kerrallaan.
B-luokan tietojärjestelmiltä ei vaadita ulkopuolista arviointia. Vaatimustenmukaisuuden osoittaa valmistajan antama kirjallinen selvitys järjestelmän asianmukaisesta asennuksesta, ylläpidosta ja käytöstä.
Mitä sote-alan toimijan on huomioitava?
-
- Tietojärjestelmän luokka: Sosiaali- ja terveydenhuoltoalan palveluita antavan toimijan tulee tarkistaa järjestelmänsä luokka Valviran ylläpitämästä julkisesta rekisteristä. Rekisterissä on listattu kaikki tuotantokäytössä olevat sosiaali- ja terveydenhuollon tietojärjestelmät. Päivittyvään rekisteriin pääset Valviran sivuilla. Muistathan myös tarkistaa kilpailutusten järjestelmävaatimukset – yhä useammin edellytetään A-luokan järjestelmää.
- Poikkeamista ilmoittaminen: Sote-toimijan on ilmoitettava tietojärjestelmätoimittajalle havaitsemistaan merkittävistä poikkeamista järjestelmässä. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.
- Omavalvontasuunnitelma: Sosiaali- ja terveydenhuollon organisaatiolla on kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman mukaisesta toiminnasta ja toteutumisen seurannasta. Suunnitelmasta on selvittävä asiakas- ja potilastietojen käsittelyyn liittyvät tekijät ja näiden tietojen käsittelyyn käytettävien tietojärjestelmien asianmukaisuus. Lisäksi on tuotava esille, miten on varmistettu esimerkiksi käyttäjien koulutus, käyttöohjeiden saatavuus sekä järjestelmien ylläpito ja päivitys.
- Omat toimintatavat: Sote-toimijan on huomioitava myös omat toimintatapansa osana tietoturvaa ja tietosuojaa. A-luokan järjestelmäkään ei takaa tietoturvaa, mikäli organisaation omat käytännöt esimerkiksi käyttäjätunnusten ja salasanojen suhteen eivät ole ajan tasalla. Tietoturva onkin kokonaisuus, joka muodostuu sekä tietojärjestelmästä että toimintatavoista.
Mitä tietojärjestelmätoimittajan on huomioitava?
-
- Laatujärjestelmä ohjelmistokehittämisessä: Tietojärjestelmätoimittajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen.
- Ilmoitus Valviran rekisteriin: Järjestelmätoimittajan on ilmoitettava sekä A- että B-luokan sote-tietojärjestelmät Valviran rekisteriin, kun ne otetaan tuotantokäyttöön.
- Sertifiointi ja vaatimustenmukaisuustodistus: Tietojärjestelmätoimittajan on huolehdittava siitä, että A-luokan järjestelmän yhteistestaus ja tietoturvallisuuden auditointi tulevat tehdyksi ja että vaatimustenmukaisuustodistus pysyy voimassa.
- Muutoksista ilmoittaminen: Järjestelmätoimittajan on ilmoitettava Kelan Kanta-palveluihin sekä tapauksesta riippuen arviointilaitokselle, mikäli A-luokan järjestelmään tehdään merkittäviä muutoksia. Jos rekisteritietoihin tulee päivitettävää, ilmoitetaan muutoksista myös Valviralle sekä A- että B-luokan järjestelmän kohdalla.
- Vastuiden sopiminen: Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin ja sopimusten mukaisesti. Onkin tärkeää kirjata vastuut sopimuksiin sekä kuvata sopimukset palveluntuottajan omavalvontasuunnitelmaan.
Mediconsultin kehittämä, kotimainen Mediatri on Kanta-auditoitu (KPMG Oy) A-luokan tietojärjestelmäkokonaisuus, joka sisältää eri toimialoja palvelevat ratkaisut terveydenhuoltoon, sosiaalihuoltoon, kuntoutukseen ja kotihoitoon. Sosiaalihuollon asiakastiedon arkistoon (Kanta-palvelut) Saga Sosiaalihuolto liittyy Kelan ja THL:n vaatimusten mukaisesti ensimmäisten joukossa vuoden 2021 alussa.