Merkittävä poikkeama olennaisten vaatimusten täyttymisessä

Merkittävä poikkeama tarkoittaa, että tietojärjestelmä ei täytä sille asiakastietolaissa asetettuja olennaisia vaatimuksia. Poikkeama voi olla järjestelmän toiminnallisissa vaatimuksissa, yhteentoimivuudessa, tietoturvassa tai tietosuojassa.

Merkittäviä poikkeamia ovat esimerkiksi

  • puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin asiakas- tai potilasturvallisuudelle
  • puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin tietoturvalle tai tietosuojalle
  • puutteet tai virheet tietojärjestelmässä tai käyttöympäristössä, jotka voivat aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle
  • virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle
  • virheet Kanta-palveluihin tallennettavien asiakas- ja potilastietojen teknisessä oikeellisuudessa tai eheydessä, jotka voivat aiheuttaa laajamittaisia häiriöitä muun muassa yhteentoimivuudelle
  • tietojärjestelmän tietoturvallisuustodistuksen vanheneminen
  • säännökseen perustuvan toiminnon puuttuminen tietojärjestelmästä.

Lisätietoa merkittävistä poikkeamista on THL:n määräyksen 5/2024 luvussa 10.4 Poikkeamat vaatimustenmukaisuudesta. Dokumentin löydät tämän sivun lopusta.

Verkko- ja tietoturvadirektiivin (NIS) valvonta

Valvira vastaa Suomessa EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) valvonnasta terveydenhuollon osalta. NIS-direktiivi velvoittaa huoltovarmuuskriittisiä organisaatioita ja keskeisiä digitaalisten palveluiden tarjoajia ilmoittamaan ja raportoimaan tietoturvaloukkauksista valvovalle viranomaiselle ja vapaaehtoisesti myös kyberturvallisuuskeskukselle.

Ilmoita merkittävästä poikkeamasta

Tietojärjestelmäpalvelun tuottajan on tehtävä Valviralle poikkeamailmoitus, jos se havaitsee tietojärjestelmässään asiakas- tai potilasturvallisuudelle tai tietoturvalle merkittävän riskin aiheuttavan poikkeaman.  Lisäksi tietojärjestelmäpalvelun tuottajan on ilmoitettava merkittävästä poikkeamasta kaikille tietojärjestelmää käyttäville palvelunantajille. Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottajan pitää ilmoittaa merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti.

Hyvinvointisovelluksen valmistajan on tehtävä Valviralle poikkeamailmoitus, jos se havaitsee hyvinvointisovelluksessaan asiakas- tai potilasturvallisuudelle tai tietoturvalle merkittävän riskin aiheuttavan poikkeaman. Lisäksi hyvinvointisovelluksen valmistajan on ilmoitettava merkittävistä poikkeamista kaikille hyvinvointisovelluksen käyttäjille.

Palvelunantajan tai apteekin on ilmoitettava tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä tietojärjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan on tehtävä Valviralle poikkeamailmoitus.

Jos tietojärjestelmän tai hyvinvointisovelluksen merkittävä poikkeama vaarantaa asiakas-, potilasturvallisuuden tai tietoturvan, poikkeamailmoituksen Valviralle voi tehdä myös esimerkiksi apteekki, Kansaneläkelaitos (Kela) tai Terveyden ja hyvinvoinnin laitos (THL). Jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeamia, niistä on ilmoitettava tietosuojavaltuutetulle.

Tee poikkeamailmoitus Valviralle

Voit tehdä myös vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Valviran kirjaamoon sähköpostiosoitteeseen [email protected]. Jos lähetät salassa pidettävää tietoa, käytä suojattua sähköpostiyhteyttä https://turvaviesti.valvira.fi. Voit lähettää poikkeamailmoituksen myös postilla osoitteeseen Valvira/Kirjaamo, PL 43, 00521 Helsinki.

Poikkeamailmoituksen perusteella Valvira voi aloittaa valvonnan, joka voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään sosiaali- ja terveydenhuollon palvelunantajaan.

Ilmoita tietoturvapoikkeamasta (NIS-ilmoitus)

Sosiaali- ja terveydenhuollon tietoturvauhkista ja -loukkauksista on suositeltavaa ilmoittaa Liikenne ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskukselta ilmoitus välittyy myös Valviralle.

Tee NIS-ilmoitus Kyberturvallisuuskeskukselle

Voit tehdä myös vapaamuotoisen NIS-ilmoituksen ja toimittaa sen Valviran kirjaamon sähköpostiosoitteeseen [email protected].