Sosiaali- ja terveydenhuollon tietojärjestelmärekisteri
Valvira ylläpitää asiakastietolain perusteella julkista rekisteriä tietojärjestelmistä, jotka on tarkoitettu asiakasasiakirjojen sähköiseen käsittelyyn tai niiden tallentamiseen Kanta-palveluihin. Lisäksi rekisterissä on tieto asiakastietojen välityspalveluista, joiden kautta asiakas- ja potilastietojärjestelmä voidaan liittää Kanta-palveluihin.
Valviran ylläpitämä asiakastietolain mukainen rekisteri on viranomaisrekisteri, jossa on tiedot niistä asiakastietolain mukaisista asiakas- ja potilastietojärjestelmistä, apteekkijärjestelmistä sekä asiakastietojen välityspalveluista, joita sosiaali- ja terveydenhuollon palvelunantajilla on lupa ottaa käyttöön. Jos tietojärjestelmästä ei ole voimassa olevia tietoja asiakastietolain mukaisessa rekisterissä, palvelunantaja ei saa ottaa tietojärjestelmää käyttöönsä. Palvelunantaja ei saa ottaa järjestelmää käyttöönsä myöskään tilanteessa, jossa järjestelmän tietoturvallisuustodistus on vanhentunut tai A-luokan järjestelmästä puuttuu sen käyttötarkoitukseen kuuluva, lakiin perustuva hyväksytty yhteentoimivuuden testaus.
Tutustu asiakastietolain mukaiseen rekisteriin
Rekisteri on Excel-muodossa ja päivitetty viimeksi 26.4.2024.
Asiakastietolain mukaisessa rekisterissä on tieto
- tuotantokäyttöön tarkoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista
- luokkaan A2 ja A3 kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien yhteentoimivuuden testauksen tuloksista
- luokkaan A1, A2 ja A3 kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvallisuuden arvioinnista saadun tietoturvallisuustodistuksen voimassaolosta
- tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän merkittävästä poikkeamasta poikkeaman keston ajan.
Valviran rekisteröimät luokan A tietojärjestelmät ovat suorittaneet luokkansa mukaisen sertifioinnin.
Luokaan B kuuluvan tietojärjestelmän rekisteröinti edellyttää, että tietojärjestelmäpalvelun tuottaja on antanut Valviralle kirjallisen selvityksen siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset.
Tietojärjestelmäpalvelun tuottaja on vastuussa tietojärjestelmän ilmoittamisesta asiakastietolain mukaiseen rekisteriin.
Rekisteriin tallennetut tiedot tietojärjestelmästä toimivat oleellisena tietolähteenä asiakastietolain mukaisessa valvonnassa.
Rekisteröi asiakastietolain mukainen tietojärjestelmä
Tietojärjestelmäpalvelun tuottajan pitää ilmoittaa asiakastietolain mukainen tietojärjestelmä Valviralle, jotta se voidaan rekisteröidä asiakastietolain mukaiseen rekisteriin. Tietojärjestelmä voidaan ottaa käyttöön vasta sen jälkeen, kun sen tiedot löytyvät rekisteristä.
Tietojärjestelmäpalvelun tuottajan pitää ilmoittaa Valviralle myös muutoksista, joilla on vaikutusta rekisterin tietoihin tai jotka ovat muulla tavalla olennaisia järjestelmän olennaisten vaatimusten ja niiden valvonnan näkökulmasta. Lisätietoa muutosten ilmoittamisesta saat Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohdasta (kysymykset neljä ja viisi).
Kun tietojärjestelmäpalvelun tuottaja ilmoittaa tietojärjestelmänsä Valviralle, tuottaja vastaa siitä, että järjestelmä täyttää sille käyttötarkoituksen mukaan asetetut olennaiset vaatimukset järjestelmän koko tuotantokäytön ajan.
Rekisteröinti on maksullista
Asiakastietolain perusteella tehty rekisteröinti on maksullista. Rekisteröinnin hinnat ovat:
- Luokan A tietojärjestelmän ensimmäinen rekisteröinti (sisältää hyvinvointisovellukset) 1 200 euroa
- Luokan B tietojärjestelmän ensimmäinen rekisteröinti 600 euroa
- Tietojärjestelmän muutoksen rekisteröinti 300 euroa
Ennen kun teet rekisteri-ilmoituksen, perehdy huolellisesti alla olevaan Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohtaan.
Jos järjestelmä ei ole enää tuotantokäytössä ja sen tiedot pitää poistaa asiakastietolain mukaisesta rekisteristä, ilmoita siitä Valviralle alla olevalla ilmoituslomakkeella.
Ilmoita järjestelmän tuotantokäytön päättymisestä
Usein kysyttyä tietojärjestelmän rekisteröinnistä
Rekisteri-ilmoitus ohjaa ilmoituksen täyttämisessä, joten seuraa ilmoituksessa olevia ohjeita. Kun täytät rekisteri-ilmoituksen ja sen liitteenä toimitettavan järjestelmälomakkeen täsmällisesti, nopeutat tietojärjestelmäsi rekisteri-ilmoituksen käsittelyä.
Kun olet täyttänyt rekisteri-ilmoituksen ja liittänyt siihen tarvittavat liitteet, lähettämäsi ilmoitus ohjautuu suoraan Valviran kirjaamoon.
Ennen rekisteri-ilmoituksen täyttämistä, tarkasta seuraavat asiat:
- olet rekisteröimässä asiakastietolain mukaista tietojärjestelmää
- tiedät, mihin luokkaan tietojärjestelmä kuuluu
- tiedät, mikä on tietojärjestelmän käyttötarkoitus ja sen profiili tai profiilit
- olet täyttänyt huolellisesti THL:n järjestelmälomakkeen
- jos tietojärjestelmä kuuluu luokkaan A, olet tarkastanut, että järjestelmälle on myönnetty kaikki rekisteröinnin tekemiseen tarvittavat asiakirjat (Kelan yhteistestauslausunto tai -lausunnot ja tietoturvallisuuden arviointilaitoksen tietoturvallisuustodistus).
Kun rekisteri-ilmoitus saapuu Valviraan, Valvirassa tarkastetaan, että ilmoitus sisältää kaikki tarvittavat tiedot. Valvirassa tarkastetaan lisäksi, että Valviraan on toimitettu kaikki ilmoituksen käsittelyssä vaadittavat liitteet.
Jos Valviralle annetuissa tiedoissa on epäselvyyksiä, puutteita, virheitä tai asiakirjoissa on ristiriitaista tietoa, ne selvitetään ennen, kun tietojärjestelmä voidaan rekisteröidä asiakastietolain mukaiseen rekisteriin tai rekisterissä olevia tietoja voidaan päivittää. Tällaisessa tilanteessa Valvirasta otetaan yhteyttä tietojärjestelmäpalvelun tuottajaan.
Tietojärjestelmä lisätään rekisteriin tai siellä olevia tietoja päivitetään heti sen jälkeen, kun Valviralle on annettu riittävät ja asianmukaiset tiedot.
Vaikka kaikkia rekisteri-ilmoituksessa, järjestelmälomakkeessa ja muissa liitteissä olevia tietoja ei julkaista tietojärjestelmärekisterissä, tiedot ovat Valviran asianhallintajärjestelmässä. Jos järjestelmään kohdistetaan valvontatoimenpiteitä, rekisteri-ilmoituksen tietoja voidaan käyttää valvonnassa pohjatietoina.
Valvira julkaisee uuden version tietojärjestelmärekisteristä yleensä joka viikon perjantaina. Jos viikon aikana rekisteriin ei ole tehty päivityksiä, uuden version julkaisu siirtyy seuraavan viikon perjantaille.
Huomioithan, että arkipyhät tai loma-ajat voivat pidentää tietojärjestelmärekisterin päivittämisväliä.
Kun tietojärjestelmä on rekisteröity asiakastietolain mukaiseen rekisteriin, pitää tietojärjestelmäpalvelun tuottajan huolehtia, että rekisterissä olevat tiedot pysyvät myös ajan tasalla siihen asti, kunnes tietojärjestelmä poistetaan rekisteristä.
Tietojärjestelmäpalvelun tuottaja on velvollinen ilmoittamaan Valviralle seuraavista muutoksista:
- tietojärjestelmään toteutetusta uudesta toiminnosta, josta järjestelmä on saanut uuden yhteistestauslausunnon
- tietojärjestelmään tehdystä muutoksesta tai korjauksesta, jonka perusteella tietoturvallisuuden arviointilaitos on suorittanut tietojärjestelmälle tietoturvallisuuden muutosarvioinnin ja josta järjestelmä on saanut tietoturvallisuustodistuksen
- tietojärjestelmän vaatimustenmukaisuuden uudistamisesta
- tietojärjestelmän tietojen muuttumisesta (esimerkiksi tietojärjestelmän nimen vaihtumisesta)
- tietojärjestelmäpalvelun tuottajan tietojen muuttumisesta (esimerkiksi tietojärjestelmäpalvelun tuottajan nimen vaihtumisesta tai tietojärjestelmäpalvelun tuottajan vaihtumisesta yrityskaupan seurauksena)
- tietojärjestelmän tuotantokäytöstä poistamisesta
Valvira perii maksun rekisterin päivittämisestä, kun tietojärjestelmäpalvelun tuottaja ilmoittaa Valviralle seuraavista muutoksista
- tietojärjestelmään on toteutettu uusi toiminto, josta järjestelmä saa uuden yhteistestauslausunnon
- tietojärjestelmään on toteutettu muutos, jonka perusteella tietoturvallisuuden arviointilaitos suorittaa tietojärjestelmälle tietoturvallisuuden muutosarvioinnin tai tietojärjestelmäpalvelun tuottajan pyynnöstä kokonaisarvioinnin. Tietojärjestelmä saa uuden tietoturvallisuustodistuksen.
- tietojärjestelmän vaatimustenmukaisuus on uudistettu
- tietojärjestelmäpalvelun tuottaja vaihtuu esimerkiksi yrityskaupan seurauksena
Valvira ei peri maksua, kun tietojärjestelmäpalvelun tuottaja ilmoittaa Valviralle seuraavista muutoksista, vaikka muutos voi aiheuttaa rekisterin päivittämisen
- tietojärjestelmän käyttötarkoituksen, profiilin, käyttökontekstin tai versiotiedon muutoksesta ilmoittaminen
- tietojärjestelmän tuotantokäytön päättymisestä ilmoittaminen
- merkittävästä poikkeamasta ilmoittaminen
- tietojärjestelmän tuotenimen vaihtumisesta tai uudesta tuotenimestä ilmoittaminen
- yhteyshenkilön tietojen vaihtumisesta ilmoittaminen
- tietojärjestelmäpalvelun tuottajan nimen vaihtumisesta ilmoittaminen