Suun kanta seminaari-150309_mykkänen

Kanta-sertifiointi, olennaiset vaatimukset, omavalvonta ja testaus

Suun terveydenhuollon liittyminen potilastiedon arkistoon

Helsinki, 9.3.2015

Kehittämispäällikkö Juha Mykkänen

Tässä esityksessä

• Kanta-palveluihin liittyvien tietojärjestelmien olennaiset vaatimukset – yleiskuva

• Sertifiointi

– Tietojärjestelmien olennaiset tietoturvavaatimukset

– Omavalvontasuunnitelma

5.2.2015 Riitta Konttinen/ OPER

Olennaiset vaatimukset ja omavalvonta: miksi?

• Kanta-palvelujen kautta on mahdollista päästä laajasti eri organisaatioissa syntyneisiin asiakas- ja potilastietoihin

• Varmistettava, että

– Liittyvissä järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa tietojärjestelmien OLENNAISET VAATIMUKSET

– Liittyvissä organisaatioissa ja palveluntuottajilla on asianmukaiset tietoturvakäytännöt ja käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta palvelunantajien OMAVALVONTA


Tietoturvallisuuden varmistaminen Kanta-palveluissa

• Kaikkien Kanta-palveluihin liittyvien osapuolten riittävän tietoturvan ja tietosuojan toteutuminen tulee varmistaa

– Palvelunantajat (sote-palvelujen tuottajat)

– Tietojärjestelmät (valmistajat, tietojärjestelmäpalvelujen tuottajat)

– Välityspalvelut

• THL antoi seuraavat määräykset, joilla varmistetaan tietoturvan ja tietosuojan toteutuminen

• 1. Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (Määräys 1/2015)

– Määräys 1/2015 Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille

• 2. Määräys omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista (Määräys 2/2015)

– Määräys 2/2015 Liite 1: Omavalvontasuunnitelman mallipohja

• Jatkossa määräysten / vaatimusten päivityksiä ja mahd. uusia määräyksiä


Olennaiset vaatimukset ja niiden todentaminen

• Lakisääteisiä (250/2014), tarkemmat määräykset THL:ltä

– Määräys A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista (1/2015)

• Kanta-järjestelmien osalta kuvattava ja todennettava

– Toiminnalliset vaatimukset

• Valmistajan / tietojärjestelmäpalvelun tuottajan selvitys

– Yhteentoimivuusvaatimukset

• Todennetaan Kanta-yhteistestauksen kautta

– Tietoturva- ja tietosuojavaatimukset

• Todennetaan arviointilaitoksen suorittaman tietoturva-auditoinnin kautta

• Hyväksytyn sertifioinnin tuloksena järjestelmä saa vaatimustenmukaisuustodistuksen


Olennaiset vaatimukset ja järjestelmien luokittelu

• Järjestelmien luokittelut A- ja B-luokkiin

– A: Kanta-palveluihin liittyvät järjestelmät

• Myös Kanta-välityspalvelut

– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät

– (on myös järjestelmiä, joita ei tarvitse luokitella)

• Luokiteltujen järjestelmien ilmoittaminen Valviralle

– A-luokan järjestelmien

• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi

• laki ja määräys jo voimassa

– B-luokan järjestelmien

• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta

• Kirjallinen selvitys ja ilmoitus Valviralle


Sertifiointiprosessi Kanta-palveluihin liittyville järjestelmille


Olennaisten vaatimusten täyttäminen

• Järjestelmän käyttötarkoitus ohjaa, mitä vaatimuksia pitää täyttää

• Tietoturvavaatimukset täytettävä järjestelmän kautta tai kuvattava miten ne saadaan toteutettua (kompensointitapa)

• Erityyppisiä vaatimuksia

– Kaikkia A-luokkaan kuuluvia järjestelmiä koskevat vaatimukset

– Apteekkijärjestelmiä koskevat vaatimukset

– Sähköisen lääkemääräyksen toiminnallisuutta toteuttavien järjestelmien vaatimukset

– Potilastiedon arkistoon liittyvän tietojärjestelmän vaatimukset

– Kanta-välityspalveluihin kohdistuvat vaatimukset

• Todentamistavat

– Validointi / tekninen tarkastus, toiminnallinen testaus, dokumentaatio, haastattelu


Sertifioidut/auditoidut tietojärjestelmät: sähköinen resepti

05.03.2015

9

Hyväksytty Tietojärjestelmä Versio Valmistaja

18.05.2010 Linnea eReseLinnea 1.0.0 Receptum Oy

17.09.2014 (18.05.2010) Pegasos 8.1..SP.8.1.8 Logica Oy

19.05.2010 Reseptikeskus Kela

18.12.2014 (23.03.2011) Salix 18.3.2011/08.00 Pharmadata Oy

18.12.2014 (24.03.2011) Effica 4.0. 13.00 Tieto Oyj

18.12.2014 (08.04.2011) Uranus 8.1.1. Logica Oy

18.12.2014 (19.04.2011) Maxx 12.4.2011 Receptum Oy

29.12.2014 (22.11.2011) Graafinen Finstar 4.0 Logica Oy

22.11.2011 Mediatri 2011.12 Mediconsult Oy

19.03.2012 Abilita Terveydenhuolto v2012/01 Abilita Oy

04.01.2013 Acute v2012.11 Acute FDS Oy

12.03.2013 Esko PTJ v.3.7

Lääkehoitosovellusosio v3.0

Pohjois-Pohjanmaa shp

02.07.2013 DynamicHealth 7.16 Tieto Healthcare & Welfare Oy

03.02.2014 SoftMedic 5.0 CGI Suomi Oy

29.04.2014 MAXX-eResepti Receptum Oy

AssisCare Entteri Professional Software Oy

22.05.2014 eDoctoral PlusTerveys Oy

20.08.2014 eRA Atostek Oy

17.09.2014 Pegasos 8.2 CGI Suomi Oy

16.12.2014 MediResepti Mediconsult Oy

http://www.kanta.fi/fi/web/ammattilaisille/auditoidut-jarjestelmat-ja-valittajat

20









Kelan yhteistestauksessa olevat potilastietojärjestelmät:

Potilastiedon arkisto 05.03.2015

10

Aloitus Tietojärjestelmä Valmistaja

03 / 2014 *Graafinen Finstar CGI Suomi Oy

04 / 2014 Esko Pohjois-Pohjanmaa shp

08 / 2014 Multilab MyLab Oy

08 / 2014 Radu Lforce Oy

10 / 2014 Mediatri Mediconsult Oy

02 / 2015 Diarium Finnish Net Solutions Oy

04 / 2015 DynamicHealth Tieto Healthcare & Welfare Oy

04 / 2015 eRA Atostek Oy

04 / 2015 SoftMedic CGI Suomi Oy

04 / 2015 **eDoctoral PlusTerveys Oy

04 / 2015 **Lifecare Tieto Healthcare & Welfare Oy

04 / 2015 **WinHIT In Net Oy

http://www.kanta.fi/fi/web/ammattilaisille/testaus

12

*Kuvantamisen osalta

**Suun terveydenhuolto



Sertifioidut/auditoidut tietojärjestelmät: Potilastiedon arkisto

05.03.2015

11

Hyväksytty Järjestelmä Versio Valmistaja

(11.11.2011) Pegasos / eArkisto (pilotti) 8.2.18 Logica Oy

22.11.2012 Mediatri / Yhteisrekisteri 2012.07 Mediconsult Oy

29.11.2012 Effica / Yhteisrekisteri (ei tth) 4.1 MF22 Tieto Oyj

28.10.2013 Effica / Potilastiedon arkisto 4.1 vuosijulkaisu 2013 (H2) Tieto Oyj

03.02.2014 Navitas / Yhteisrekisteri 4.6 Appelsiini Finland Oy

09.03.2014 Uranus / Yhteisrekisteri 8.2.4 CGI Suomi Oy

10.03.2014 neaRIS / Yhteisrekisteri

neaLINK / Yhteisrekisteri

1.8

3.14

Neagen Oy

09.05.2014 Altti / Yhteisrekisteri 01.03.00 Fujitsu Finland Oy

16.05.2014 Pegasos 9.1.00 CGI Suomi Oy

22.09.2014 Uranus / Potilastiedon arkisto 8.4 CGI Suomi Oy

23.10.2014 Graafinen Finstar (GFS) 5.0 CGI Suomi Oy

27.11.2014 Acute 4.3 Acuvitec Oy

19.12.2014 Abilita 2014.02 Abilita Oy Ab

02.11.2013


13

22.05.2014

05.11.2014

19.12.2014

04.12.2014

03.02.2015








Vastuu tietosuojasta ja tietoturvasta

• Terveydenhuollon toimintayksikölle lainsäädännöllinen velvoite varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa

• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla

• Omavalvonnasta on oltava suunnitelma, jonka laadinnan ja noudattamisen vastuu on terveydenhuollon toimintayksikön vastaavalla johtajalla

• Toimintayksikkö vastaa:

– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä

– tietoturvapolitiikan laatimisesta ja noudattamisesta

– tietosuojavastaavan nimeämisestä ja toimenkuvasta

– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta

– väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle

– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun liittämistä

– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta

• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia


Omavalvontasuunnitelma

Keiden on laadittava

• Sosiaali- ja terveydenhuollon palvelun antajien,

• apteekkien

• itsenäisten ammatinharjoittajien

• Kansaneläkelaitoksen

• Kanta-välityspalveluiden tuottajien

tulee laatia omavalvontasuunnitelma.

Miksi

• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja kehitetään organisaation tietoturvaa ja tietosuojaa

Milloin

• 31.3.2015 mennessä


Omavalvontasuunnitelma

• Laissa (159/2007 19 h§) määritellään keskeiset omavalvontasuunnitelman sisällöt

• THL;n määräys Omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista (Määräys 2/2015,THL/1305/4.09.00/2014).

• Pääasiallisena lähtökohtana ovat olleet aiemmat organisaation itseauditointivaatimukset Kanta-käyttöönottoihin


Omavalvontasuunnitelman laatiminen

• Omavalvontasuunnitelmassa

– viitataan aina kuin mahdollista olemassa oleviin erikseen ylläpidettäviin ohjeisiin ja dokumentteihin

– Olennaista on, että suunnitelman linkkien tai tietojen avulla on selvää, mistä dokumentaatio on löydettävissä tai vaatimuksen täyttyminen on todennettavissa.

– Mikäli muuta valmista dokumentaatiota ei ole olemassa tai saatavissa, on mahdollista kuvata vaadittavat asiakokonaisuudet ja toimintatavat suoraan omavalvontasuunnitelmaan

• Kun kokoat omavalvontasuunnitelmaa esimerkiksi THL:n mallipohjaan, pystyt samalla toteamaan, miten hyvin tietosuoja- ja tietoturva-asiat ovat omassa organisaatiossasi jo hoidettu ja missä vielä tarvitaan parannusta

• Vasta suunnitelman mukaisesti toimiminen parantaa tietoturvallisuutta!


Omavalvontasuunnitelman mallipohja

• Yleinen pohja, jossa malleja ja ”valmiita paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava

• Sovellettava omaa tilannetta vastaavalla tavalla

– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä organisaatioissa ja palveluissa

– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien palvelujen / oman käyttöympäristön kannalta

• Osa ratkaistavista asioista voi perustua esim. sopimuksiin IT-palveluja tuottavien tai tietojärjestelmäympäristöä hallinnoivien tahojen kanssa

– Myös nämä seikat mainittava ja oltava todennettavissa


Yhteenveto

• Olennaisten vaatimusten ja omavalvonnan kautta varmistetaan, että

– järjestelmissä on riittävällä tavalla huomioitu käyttötarkoituksen edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat

– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja tietosuojakäytännöillä palvelujen tuottajien toiminnassa

• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin

• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan toimintatapojen mukaiseksi

– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset pystyttävä todentamaan myös näissä tilanteissa

• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää


OPER

[email protected]


http://www.thl.fi/fi_FI/web/fi

Government & Nonprofit

Suun kanta seminaari-150309_mykkänen