Merkittävä poikkeama olennaisten vaatimusten täyttymisessä

Merkittävä poikkeama tietojärjestelmässä voi vaarantaa asiakas- tai potilasturvallisuuden tai tietoturvan. Poikkeama voi olla järjestelmän toiminnallisissa vaatimuksissa, yhteentoimivuudessa, tietoturvassa tai tietosuojassa.

Merkittävä poikkeama on esimerkiksi

  • puute tai virhe järjestelmässä, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle
  • puute tai virhe järjestelmässä, joka voi aiheuttaa riskin tietoturvalle tai tietosuojalle
  • puute tai virhe järjestelmässä tai käyttöympäristössä, joka voi aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle
  • virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle
  • virhe Kanta-palveluihin tallennettavan tiedon teknisessä oikeellisuudessa tai eheydessä, joka voi aiheuttaa muun muassa laajamittaisia yhteentoimivuuden häiriöitä
  • tietojärjestelmän tietoturvallisuustodistuksen vanheneminen
  • säännökseen perustuvan toiminnon puuttuminen tietojärjestelmästä

Lisätietoa merkittävistä poikkeamista saat THL:n määräyksen 5/2024 luvusta 10.4 Poikkeamat vaatimustenmukaisuudesta. Löydät dokumentin tämän sivun lopusta.

Ilmoita merkittävästä poikkeamasta

Tietojärjestelmäpalvelun tuottaja

Tietojärjestelmäpalvelun tuottajan on ilmoitettava Valviralle, jos sen tuottamassa järjestelmässä on poikkeama, joka aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle.

Tuottajan on ilmoitettava merkittävästä poikkeamasta myös kaikille järjestelmän käyttäjille. Jos järjestelmä kuuluu A-luokkaan, tuottajan on ilmoitettava merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti.

Hyvinvointisovelluksen valmistaja

Hyvinvointisovelluksen valmistajan ilmoitettava Valviralle, jos sen valmistamassa sovelluksessa on poikkeama, joka aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Valmistajan on ilmoitettava merkittävästä poikkeamasta myös kaikille sovelluksen käyttäjille.

Palvelunantaja ja apteekki

Palvelunantajan tai apteekin on ilmoitettava tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä järjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa.

Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan on tehtävä siitä ilmoitus Valviralle. Jos apteekkijärjestelmän poikkeama voi aiheuttaa merkittävän riskin apteekin toiminnalle, on sen ilmoitettava poikkeamasta Lääkealan turvallisuus- ja kehittämiskeskus Fimealle.

Muut ilmoittajat

Jos järjestelmän tai sovelluksen merkittävä poikkeama vaarantaa asiakas- potilasturvallisuuden tai tietoturvan myös Kelan ja THL:n on tehtävä Valviralle poikkeamailmoitus.

Jos järjestelmässä havaitaan tietosuojapoikkeama, siitä on ilmoitettava tietosuojavaltuutetulle.

Tee poikkeamailmoitus Valviralle

Voit tehdä vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Valviran kirjaamoon osoitteeseen [email protected]. Jos lähetät salassa pidettävää tietoa, käytä suojattua sähköpostiyhteyttä https://turvaviesti.valvira.fi. Voit lähettää poikkeamailmoituksen myös postilla osoitteeseen Valvira/Kirjaamo, PL 43, 00521 Helsinki.

Valvira voi aloittaa valvonnan poikkeamailmoituksen perusteella. Valvonta voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään palvelunantajaan.