Betydande avvikelser från väsentliga krav
En betydande avvikelse innebär att informationssystemet inte uppfyller de väsentliga krav som ställs på det i klientuppgiftslagen. Avvikelsen kan gälla kraven på systemets funktioner, driftkompatibilitet, datasäkerhet eller dataskydd.
Betydande avvikelser är till exempel
- brister eller fel i ett informationssystem vilket kan utgöra en risk för klient- eller patientsäkerheten
- brister eller fel i ett informationssystem vilket kan utgöra en risk för datasäkerheten eller dataskyddet
- brister eller fel i ett informationssystem eller i en driftmiljö vilket kan utgöra en risk för social- och hälsovårdstjänsternas funktion
- fel eller avbrott i användningen av Kanta-tjänsten vilket kan utgöra en risk för klient- eller patientsäkerheten eller för social- och hälsovårdstjänsternas funktion
- fel i den tekniska korrektheten eller integriteten hos de klient- och patientuppgifter som lagras i Kanta-tjänsten vilket kan orsaka omfattande störningar i bland annat driftkompatibiliteten
- föråldrat intyg om datasäkerhet i informationssystemet
- avsaknad av en rättsaktsbaserad funktion i informationssystemet.
Ytterligare information om betydande avvikelser finns i kapitel 10.4 i THL:s föreskrift 5/2021 Avvikelser från kraven. Dokumentet finns i slutet av den här sidan.
Tillsyn relaterad till direktivet om nät- och informationssäkerhet (NIS)
Valvira ansvarar för tillsynen relaterad till direktivet om nät- och informationssäkerhet (NIS) när det gäller hälso- och sjukvården. NIS-direktivet förpliktar organisationer som är kritiska för försörjningsberedskapen och tillhandahållare av centrala digitala tjänster att underrätta och rapportera om kränkningar av informationssäkerheten till tillsynsmyndigheten och frivilligt även till cybersäkerhetscentret.
Anmäl en betydande avvikelse
Producenter av informationssystemtjänster ska göra en avvikelseanmälan till Valvira, om de i sitt informationssystem upptäcker en avvikelse som utgör en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten. Producenten av informationssystemtjänster ska dessutom meddela alla servicegivare som använder informationssystemet om den betydande avvikelsen. Om systemet hör till kategori A, ska informationssystemets producent anmäla en betydande avvikelse till FPA:s Kanta-tjänst i enlighet med anvisningen för driftstörningar.
Tillverkaren av en välbefinnandeapplikation ska lämna in en avvikelseanmälan till Valvira, om tillverkaren i sin välbefinnandeapplikation upptäcker en avvikelse som utgör en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten. Tillverkaren av välbefinnandeapplikationen ska dessutom meddela alla användare av applikationen om betydande avvikelser.
Servicegivaren eller apoteket ska underrätta producenten av informationssystemtjänster, om de upptäcker att det informationssystem som de använder avviker betydligt från de väsentliga kraven. Om en betydande avvikelse som servicegivaren upptäcker kan medföra risk för klient- eller patientsäkerheten eller informationssäkerheten, ska servicegivaren göra en avvikelseanmälan till Valvira.
Om en betydande avvikelse i ett informationssystem eller en välbefinnandeapplikation äventyrar klient-, patient- eller informationssäkerheten, kan avvikelseanmälan till Valvira även göras av till exempel ett apotek, Folkpensionsanstalten (FPA) eller Institutet för hälsa och välfärd (THL). Om det förekommer avvikelser i dataskyddet vid uppfyllandet av de väsentliga kraven för informationssystemet, ska dataombudsmannen underrättas om dem.
Du kan också göra en informell avvikelseanmälan och skicka den till Valviras registratorskontor på [email protected]. Om du skickar material som innehåller sekretessbelagd information per e-post, ska du använda krypterad e-post på https://turvaviesti.valvira.fi. Du kan också posta avvikelseanmälan till Valvira/Registratorskontoret, PB 43, 00521 Helsingfors.
Valvira kan utifrån en avvikelseanmälan inleda tillsyn som kan gälla en producent av informationssystemtjänster eller en servicegivare inom social- och hälsovården som använder informationssystemet.
Anmäl informationssäkerhetsavvikelser (NIS-anmälan)
Vi rekommenderar att informationssäkerhetshot och -kränkningar inom social- och hälsovården anmäls till Cybersäkerhetscentret vid Transport- och kommunikationsverket. Via Cybersäkerhetscentret får också Valvira anmälan.
Gör NIS-anmälan på Cybersäkerhetscentrets webbplats
Du kan också göra en informell NIS-anmälan och skicka den till Valviras registratorskontor på [email protected].