Merkittävä poikkeama olennaisten vaatimusten täyttymisessä

Merkittävä poikkeama tarkoittaa, että tietojärjestelmä ei täytä sille asiakastietolaissa asetettuja olennaisia vaatimuksia. Poikkeama voi olla järjestelmän toiminnallisissa vaatimuksissa, yhteentoimivuudessa, tietoturvassa tai tietosuojassa.

Merkittäviä poikkeamia ovat esimerkiksi

puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin asiakas- tai potilasturvallisuudelle
puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin tietoturvalle tai tietosuojalle
puutteet tai virheet tietojärjestelmässä tai käyttöympäristössä, jotka voivat aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle
virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle
virheet Kanta-palveluihin tallennettavien asiakas- ja potilastietojen teknisessä oikeellisuudessa tai eheydessä, jotka voivat aiheuttaa laajamittaisia häiriöitä muun muassa yhteentoimivuudelle
tietojärjestelmän tietoturvallisuustodistuksen vanheneminen
säännökseen perustuvan toiminnon puuttuminen tietojärjestelmästä.

Lisätietoa merkittävistä poikkeamista on THL:n määräyksen 5/2024 luvussa 10.4 Poikkeamat vaatimustenmukaisuudesta. Dokumentin löydät tämän sivun lopusta.

Verkko- ja tietoturvadirektiivin (NIS) valvonta

Valvira vastaa Suomessa EU:n verkko- ja tietoturvadirektiivin (NIS-direktiivi) valvonnasta terveydenhuollon osalta. NIS-direktiivi velvoittaa huoltovarmuuskriittisiä organisaatioita ja keskeisiä digitaalisten palveluiden tarjoajia ilmoittamaan ja raportoimaan tietoturvaloukkauksista valvovalle viranomaiselle ja vapaaehtoisesti myös kyberturvallisuuskeskukselle.

Ilmoita merkittävästä poikkeamasta

Tietojärjestelmäpalvelun tuottajan on tehtävä Valviralle poikkeamailmoitus, jos se havaitsee tietojärjestelmässään asiakas- tai potilasturvallisuudelle tai tietoturvalle merkittävän riskin aiheuttavan poikkeaman. Lisäksi tietojärjestelmäpalvelun tuottajan on ilmoitettava merkittävästä poikkeamasta kaikille tietojärjestelmää käyttäville palvelunantajille. Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottajan pitää ilmoittaa merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti.

Hyvinvointisovelluksen valmistajan on tehtävä Valviralle poikkeamailmoitus, jos se havaitsee hyvinvointisovelluksessaan asiakas- tai potilasturvallisuudelle tai tietoturvalle merkittävän riskin aiheuttavan poikkeaman. Lisäksi hyvinvointisovelluksen valmistajan on ilmoitettava merkittävistä poikkeamista kaikille hyvinvointisovelluksen käyttäjille.

Palvelunantajan tai apteekin on ilmoitettava tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä tietojärjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan on tehtävä Valviralle poikkeamailmoitus.

Jos tietojärjestelmän tai hyvinvointisovelluksen merkittävä poikkeama vaarantaa asiakas-, potilasturvallisuuden tai tietoturvan, poikkeamailmoituksen Valviralle voi tehdä myös esimerkiksi apteekki, Kansaneläkelaitos (Kela) tai Terveyden ja hyvinvoinnin laitos (THL). Jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeamia, niistä on ilmoitettava tietosuojavaltuutetulle.

Tee poikkeamailmoitus Valviralle

Voit tehdä myös vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Valviran kirjaamoon sähköpostiosoitteeseen [email protected]. Jos lähetät salassa pidettävää tietoa, käytä suojattua sähköpostiyhteyttä https://turvaviesti.valvira.fi. Voit lähettää poikkeamailmoituksen myös postilla osoitteeseen Valvira/Kirjaamo, PL 43, 00521 Helsinki.

Poikkeamailmoituksen perusteella Valvira voi aloittaa valvonnan, joka voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään sosiaali- ja terveydenhuollon palvelunantajaan.

Ilmoita tietoturvapoikkeamasta (NIS-ilmoitus)

Sosiaali- ja terveydenhuollon tietoturvauhkista ja -loukkauksista on suositeltavaa ilmoittaa Liikenne ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskukselta ilmoitus välittyy myös Valviralle.

Tee NIS-ilmoitus Kyberturvallisuuskeskukselle

Voit tehdä myös vapaamuotoisen NIS-ilmoituksen ja toimittaa sen Valviran kirjaamon sähköpostiosoitteeseen [email protected].

Tiedostot

THL:n määräys 5/2024 sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten olennaisista vaatimuksista (pdf)

Lainsäädäntö

Katso myös

Ota yhteyttä

Essi Haglund
ylitarkastaja
[email protected]
0295 209 372

Antti Härkönen
yli-insinööri
[email protected]
0295 209 530