Merkittävä poikkeama olennaisten vaatimusten täyttymisessä

Merkittävä poikkeama tarkoittaa, että tietojärjestelmä ei täytä sille asiakastietolaissa asetettuja olennaisia vaatimuksia. Poikkeama voi olla järjestelmän toiminnallisissa vaatimuksissa, yhteentoimivuudessa, tietoturvassa tai tietosuojassa.

Merkittäviä poikkeamia ovat esimerkiksi

puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin asiakas- tai potilasturvallisuudelle
puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin tietoturvalle tai tietosuojalle
puutteet tai virheet tietojärjestelmässä tai käyttöympäristössä, jotka voivat aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle
virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle
virheet Kanta-palveluihin tallennettavien asiakas- ja potilastietojen teknisessä oikeellisuudessa tai eheydessä, jotka voivat aiheuttaa laajamittaisia häiriöitä muun muassa yhteentoimivuudelle
tietojärjestelmän tietoturvallisuustodistuksen vanheneminen
säädökseen perustuvan toiminnon puuttuminen tietojärjestelmästä.

Jos järjestelmä toimii selvästi virheellisesti, Valviralla on toimivalta todeta, että järjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Tämä ei edellytä sitä, että kyseinen virhe olisi määritelty merkittäväksi poikkeamaksi Terveyden ja hyvinvoinnin laitoksen (THL) määräyksissä, toiminnallisissa vaatimuksissa tai muissa määrittelyissä.

Lisätietoa merkittävistä poikkeamista on THL:n määräyksen 5/2021 luvussa 10.4 Poikkeamat vaatimustenmukaisuudesta. Dokumentin löydät tämän sivun lopusta.

Verkko- ja tietoturvadirektiivin (NIS) valvonta

Valvira vastaa Suomessa EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) valvonnasta terveydenhuollon osalta. NIS-direktiivi velvoittaa huoltovarmuuskriittisiä organisaatioita ja keskeisiä digitaalisten palveluiden tarjoajia ilmoittamaan ja raportoimaan tietoturvaloukkauksista valvovalle viranomaiselle ja vapaaehtoisesti myös kyberturvallisuuskeskukselle.

Ilmoita merkittävästä poikkeamasta

Tietojärjestelmäpalvelun tuottajan pitää tehdä Valviralle poikkeamailmoitus, jos se havaitsee tietojärjestelmässään merkittävän poikkeaman olennaisten vaatimusten toteutumisessa. Valviran lisäksi tietojärjestelmäpalvelun tuottajan pitää ilmoittaa merkittävästä poikkeamasta kaikille tietojärjestelmää käyttäville palvelunantajille. Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottajan pitää ilmoittaa merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti.

Palvelunantajan pitää ilmoittaa tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä tietojärjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan pitää tehdä Valviralle poikkeamailmoitus.

Jos tietojärjestelmän merkittävä poikkeama vaarantaa asiakas-, potilasturvallisuuden tai tietoturvan, poikkeamailmoituksen Valviralle voi tehdä myös esimerkiksi apteekki, Kansaneläkelaitos (Kela) tai Terveyden ja hyvinvoinnin laitos (THL). Jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeamia, pitää niistä ilmoittaa tietosuojavaltuutetulle.

Palvelunantajan pitää ilmoittaa tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä tietojärjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan pitää tehdä Valviralle poikkeamailmoitus.

Jos tietojärjestelmän merkittävä poikkeama vaarantaa asiakas-, potilasturvallisuuden tai tietoturvan, poikkeamailmoituksen Valviralle voi tehdä myös esimerkiksi apteekki, Kansaneläkelaitos (Kela) tai Terveyden ja hyvinvoinnin laitos (THL). Jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeamia, pitää niistä ilmoittaa tietosuojavaltuutetulle.

Tee poikkeamailmoitus Valviralle

Voit tehdä myös vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Valviran kirjaamoon sähköpostiosoitteeseen [email protected]. Jos lähetät salassa pidettävää tietoa, käytä suojattua sähköpostiyhteyttä https://turvaviesti.valvira.fi. Voit lähettää poikkeamailmoituksen myös postilla osoitteeseen Valvira/Kirjaamo, PL 43, 00521 Helsinki.

Poikkeamailmoituksen perusteella Valvira voi aloittaa valvonnan, joka voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään sosiaali- ja terveydenhuollon palvelunantajaan.

Ilmoita tietoturvapoikkeamasta (NIS-ilmoitus)

Sosiaali- ja terveydenhuollon tietoturvauhkista ja -loukkauksista on suositeltavaa ilmoittaa Liikenne ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskukselta ilmoitus välittyy myös Valviralle.

Tee NIS-ilmoitus Kyberturvallisuuskeskukselle

Voit tehdä myös vapaamuotoisen NIS-ilmoituksen ja toimittaa sen Valviran kirjaamon sähköpostiosoitteeseen [email protected].

Tiedostot

THL:n määräys 5/2021 sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista ja tietoturvavaatimuksista (pdf)

Lainsäädäntö

Katso myös

Ota yhteyttä

Jenni Björkman
ylitarkastaja
[email protected]
0295 209 227

Essi Haglund
ylitarkastaja
[email protected]
0295 209 372

Antti Härkönen
yli-insinööri
[email protected]
0295 209 530