Informationssystem inom social- och hälsovården
Valvira övervakar att de väsentliga kraven på informationssystemen för behandling av klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården uppfylls. Med stöd av NIS-direktivet övervakar Valvira också nät- och informationssäkerheten inom hälso- och sjukvården.
Valviras informationssystem inom social- och hälsovården är
apotekssystem
- Kanta-tjänsten
- förmedling av klientuppgifter
- receptsystem
- informationssystem för klientuppgifter inom socialvården
- informationssystem för patientuppgifter inom hälso- och sjukvården.
Informationssystem för behandling av klient- och patientuppgifter ska uppfylla de väsentliga kraven för användningsändamålet Producenten av informationssystemet ansvarar för att de väsentliga kraven uppfylls över tid.
De väsentliga kraven delas in i tre delområden: krav på funktioner, driftkompatibilitet samt datasäkerhet och dataskydd.
Krav på funktioner avser funktioner och informationsinnehåll i informationssystemet. De baserar sig på den substanslagstiftning som reglerar social- och hälsovården, såsom läkemedelslagen eller lagen om patientens ställning och rättigheter. De funktioner och informationsinnehåll som krävs av informationssystemet beskrivs närmare i dokumentet Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården av Institutet för hälsa och välfärd (THL). Dokumentet finns i slutet av den här sidan. Informationssystemets användningsändamål bestämmer vilka funktioner och vilket informationsinnehåll som ska utföras i informationssystemet.
Producenten av informationssystemtjänsten ska fylla i en systemblankett, där systemets funktioner och datainnehåll beskrivs enligt användningssyfte. Om systemet hör till kategori A ska den som producerar informationssystemet lämna in en systemblankett till
- FPA i samband med anmälan till samordnad testning (kategori A2 och A3)
- bedömningsorganet för informationssäkerhet i samband med anmälan till bedömning av informationssäkerheten (kategori A1, A2 och A3)
- Valvira i samband med anmälan av informationssystemet till Astori-registret (kategori A1, A2 och A3).
Om systemet hör till kategori B ska producenten av informationssystemtjänsten lämna in en systemblankett till Valvira i samband med anmälan av informationssystemet till Astori-registret. Minimikrav på funktioner i informationssystem i kategori B beskrivs i THL:s profil System för behandling av klient- eller patientuppgifter. Profilen finns i slutet av den här sidan.
Uppgifterna på systemblanketten ska vara aktuella och korrekta. Dessutom ska de motsvara informationssystemets funktioner och datainnehåll.
Med driftkompatibilitet avses att informationssystem med anslutning till Kanta-tjänsten lagrar klient- eller patientuppgifter så att informationen kan hämtas och visas också med ett annat informationssystem. Det är möjligt att förmedla klient- och patientuppgifter mellan olika servicegivare inom social- och hälsovården via Kanta-tjänsten endast om de informationssystem som förmedlar uppgifterna är driftkompatibla med varandra. En förutsättning för driftkompatibilitet är att informationssystem med anslutning till Kanta-tjänsten utförs i enlighet med nationella specifikationer.
Driftkompatibiliteten verifieras vid samordnad testning som ordnas av FPA och som ska utföras på informationssystem i kategori A2 och A3. Med undantag för detta omfattar kategori A3 Kanta-tjänsten som inte genomgår samordnad testning. Mer information om informationssystemens kategorier och klassificering finns på sidan Klassificering av informationssystem.
FPA ger producenten av informationssystemtjänsten ett utlåtande och en rapport om en samordnad testning med godkänt resultat. FPA:s samordnade testning är en avgiftsfri tjänst.
Frågor om samordnad testning ska sändas till FPA:s samordnade testning [email protected].
Med informationssäkerhet avses att de informationssystem som behandlar klient- och patientuppgifter ska uppfylla de informationssäkerhetskraven för sitt användningsändamål för att säkerställa sekretessen, integriteten och tillgängligheten vid behandlingen av klient- och patientuppgifter. Informationssäkerhetskraven säkerställer klienternas och patienternas dataskydd. De säkerhetskrav som krävs för informationssystem och driftmiljöer beskrivs närmare i dokumentet Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården av Institutet för hälsa och välfärd (THL). Dokumentet finns i slutet av den här sidan.
Sekretess innebär att klient- och patientuppgifter endast är tillgängliga för de personer som har rätt att se dem. I praktiken innebär sekretess i ett patientinformationssystem till exempel att systemet säkerställer att det finns ett vårdförhållande innan man kan titta på patientuppgifter.
Integritet innebär att klient- och patientuppgifter endast kan ändras av personer som har rätt till det, vilket säkerställs till exempel genom en yrkesutbildad persons underskrift. Integritet innebär också att klient- och patientuppgifterna är aktuella och icke-motstridiga, varvid det till exempel inte finns några skillnader mellan de uppgifter som lagras i patientdatasystemet och de uppgifter som lagras i Kanta-tjänsten
Tillgänglighet innebär att klient- och patientuppgifter är tillgängliga för social- och hälsovården när de behövs. Till exempel patientuppgifter som lagras i Kanta-tjänsten ska alltid kunna sökas av servicegivare inom social- och hälsovården.
En bedömning av informationssäkerheten ska utföras på informationssystem i kategori A, där det kontrolleras att kraven på informationssäkerhet uppfylls. Bedömningen utförs av ett bedömningsorgan för informationssäkerhet som Transport- och kommunikationsverket Traficom godkänt, och som utfärdar ett intyg över informationssäkerhet och en rapport över detta till detta till den som producerar informationssäkerhetstjänsten Datasäkerhetsintyget är i kraft högst tre år och kan förlängas för högst tre år i sänder.
Producenten av informationssystemtjänsten väljer vilket bedömningsorgan som Traficom godkänner för bedömning av informationssäkerheten. En bedömning av informationssäkerheten som utförs av bedömningsorganet för informationssäkerhet är en avgiftsbelagd tjänst.
För informationssystem i kategori B krävs inte en bedömning av informationssäkerheten av bedömningsorganet för informationssäkerhet, utan producenten av informationssystemtjänsten svarar för att informationssystemet uppfyller de väsentliga kraven för sitt ändamål. Producenten av informationssystemtjänsten kan om så önskas beställa en bedömning av bedömningsorganets informationssäkerhet även för informationssystem i kategori B. I samband med registrering av ett informationssystem i kategori B försäkrar producenten av informationssystemtjänsten att informationssystemet uppfyller de väsentliga kraven på informationssäkerhet och dataskydd som ställs på den enligt dess användningsändamål. Kraven på funktioner i informationssystem i kategori B beskrivs i THL:s profil System för behandling av klient- eller patientuppgifter. Profilen finns i slutet av den här sidan.
Förpliktelser för en producent av informationssystemtjänster
I klientuppgiftslagen föreskrivs om informationssystemproducentens skyldigheter som gäller klient- och patientinformationssystem och hur fullgörandet av dem påvisas och systemet administreras.
Producenten av informationssystemtjänster ska tillhandahålla eller utföra ett informationssystem för servicegivare, som behandlar klient- eller patientinformation. Producenten av informationssystemtjänster ansvarar för uppfyllandet av de väsentliga kraven på informationssystemet och administrationen av dem. I allmänhet är producenten av informationssystemet också tillverkare av informationssystemet. Om tillverkaren är en annan part än tjänsteproducenten, ansvarar producenten för en eller flera tillverkares del att de väsentliga kraven uppfylls.
Förpliktelserna för en producent av informationssystemtjänster omfattar bland annat
- klassificering av informationssystemet
- visa att informationssystemet överensstämmer med kraven, vilket innebär certifiering av informationssystem i kategori A och en redogörelse för att informationssystemet uppfyller de väsentliga kraven för dess användningsändamål,
- anmäla informationssystemet till Astori-registret innan informationssystemet tas i drift
- följa upp ändringar och införa dem i informationssystemet inom de föreskrivna tiderna enligt lagstiftningen. En ändring kan till exempel vara att utföra en ny funktion i informationssystemet.
- förnya bedömning av informationssäkerheten av ett informationssystem i kategori A så att det tidigare intyget om informationssäkerhet inte hinner föråldras
- underrätta Valvira om väsentliga ändringar i informationssystemet samt om att användningen av informationssystemet har upphört. Anmälan lämnas på sidan Registrering av social- och hälsovårdens informationssystem.
- meddela om betydande avvikelser till alla servicegivare och apoteken som använder systemet,
- Meddela Valvira om avvikelser som utgör en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten samt om betydande informationssäkerhetsrelaterade störningar som påverkar driftsmiljöer och informationsnätverk. Du kan göra en avvikelseanmälan till Valvira på sidan Signifikant avvikelse.
- i enlighet med vad som stadgas i lagen om stark autentisering och betrodda elektroniska tjänster kontrollera giltigheten av de identifieringsverktyg som används för att identifiera personer och informationstekniska enheter som hanterar kunddata.
Förpliktelser för servicegivare inom social- och hälsovården och apotek
I klientuppgiftslagen föreskrivs skyldigheterna för servicegivare inom social- och hälsovården och apotek när det gäller att ta i drift klient- och patientinformationssystem, använda det samt ansluta det till Kanta-tjänsten. Servicegivare fungerar som en anordnare eller producent av social- och hälsovårdstjänster.
Servicegivare inom social- och hälsovården och apotek ska beakta att de inte får ta i bruk informationssystem som det inte finns information om i Astori-registret. Ett informationssystem får inte heller införas
- om dess informationssäkerhetsintyg är föråldrat eller
- om ett system som hör till kategori A inte med godkänt resultat har genomgått det lagstadgade interoperabilitetstest som hänför sig till dess användningsändamål.
Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) övervakar att apotekens verksamhet är lagenlig.
Social- och hälsovårdens servicegivare och apotek har bland annat följande förpliktelser:
- använda ett informationssystem som uppfyller de väsentliga kraven och vars användningsändamål motsvarar servicegivarens och apotekets verksamhet och som är infört i Astori-registret
- ansluta sig till Kanta-tjänsten enligt de tidsfrister som anges i författningarna, om servicegivaren förfogar över ett informationssystem för behandling av klient- och patientuppgifter
- ansvara för att de uppgifter som lagras i Kanta-tjänsten är korrekta
- införa nya funktioner som krävs enligt lagstiftningen inom de föreskrivna tiderna
- föra register över användarna av klient- och patientinformationssystemen och deras användarrättigheter samt fastställa rätten för yrkesutbildade personer inom social- och hälsovården att använda klient- och patientuppgifter
- samla in registerspecifika logguppgifter om all användning och utlämnade av klient- och patientuppgifter och läkemedelsordinationer för uppföljning och övervakning.
- upprätta och administrera en informationssäkerhetsplan för informationssäkerhet och dataskydd samt användning av datasystemen
- informera producenten av informationssystemtjänsten om det finns betydande avvikelser i uppfyllandet av de väsentliga kraven. Valvira ska också meddelas, om avvikelsen medför en betydande risk för klient- och patientsäkerheten eller informationssäkerheten. Du kan göra en avvikelseanmälan till Valvira på sidan Signifikant avvikelse.
- informera dataskyddsombudet om en dataskyddsincident vid uppfyllandet av de väsentliga kraven i informationssystemet.
- på ett tillförlitligt sätt identifiera dem som hanterar kunddata, samt informationstekniska enheter och nationella informationssystemtjänster.
- i enlighet med vad som stadgas i lagen om stark autentisering och betrodda elektroniska tjänster kontrollera giltigheten av de identifieringsverktyg som används för att identifiera personer och informationstekniska enheter som hanterar kunddata.