Sosiaali- ja terveydenhuollon tietojärjestelmän rekisteröinti
Ennen sosiaali- ja terveydenhuollon tietojärjestelmän käyttöönottoa, järjestelmän on oltava rekisteröity Astori-rekisteriin. Rekisteröinnin jälkeen järjestelmän tiedot on pidettävä ajan tasalla. Kun järjestelmän tuotantokäyttö päättyy, on siitä ilmoitettava Valviralle, jotta järjestelmä poistetaan Astori-rekisteristä. Rekisteröinnistä ja rekisterissä olevien tietojen ylläpitämisestä on vastuussa tietojärjestelmäpalvelun tuottaja.
Tietojärjestelmäpalvelun tuottajan pitää ilmoittaa asiakastietolain mukainen tietojärjestelmä Valviralle, jotta se voidaan rekisteröidä Astori-rekisteriin. Tietojärjestelmä voidaan ottaa käyttöön vasta sen jälkeen, kun sen tiedot löytyvät rekisteristä.
Tietojärjestelmäpalvelun tuottajan on ilmoitettava Valviralle myös muutoksista, joilla on vaikutusta rekisterin tietoihin tai jotka ovat muulla tavalla olennaisia järjestelmän olennaisten vaatimusten ja niiden valvonnan näkökulmasta. Lisätietoa muutosten ilmoittamisesta saat Usein kysyttyä rekisteröinnistä -kohdasta (kysymykset 4 ja 5).
Kun tietojärjestelmäpalvelun tuottaja ilmoittaa tietojärjestelmänsä Valviralle, tuottaja vastaa siitä, että järjestelmä täyttää sille käyttötarkoituksen mukaan asetetut olennaiset vaatimukset järjestelmän koko tuotantokäytön ajan.
Rekisteröinti on maksullista
Asiakastietolain perusteella tehty rekisteröinti on maksullista. Rekisteröinnin hinnat ovat:
- Luokan A tietojärjestelmän ensimmäinen rekisteröinti (sisältää hyvinvointisovellukset) 1 200 euroa
- Luokan B tietojärjestelmän ensimmäinen rekisteröinti 600 euroa
- Tietojärjestelmän muutoksen rekisteröinti 300 euroa
Ennen kun teet rekisteri-ilmoituksen, perehdy huolellisesti Usein kysyttyä tietojärjestelmän rekisteröinnistä -kohtaan.
Jos järjestelmä ei ole enää tuotantokäytössä ja sen tiedot pitää poistaa asiakastietolain mukaisesta rekisteristä, ilmoita siitä Valviralle alla olevalla ilmoituslomakkeella.
Ilmoita järjestelmän tuotantokäytön päättymisestä.
Usein kysyttyä rekisteröinnistä
Rekisteri-ilmoitus ohjaa ilmoituksen täyttämisessä, joten seuraa ilmoituksessa olevia ohjeita. Kun täytät rekisteri-ilmoituksen ja sen liitteenä toimitettavan järjestelmälomakkeen täsmällisesti, nopeutat tietojärjestelmäsi rekisteri-ilmoituksen käsittelyä.
Kun olet täyttänyt rekisteri-ilmoituksen ja liittänyt siihen tarvittavat liitteet, lähettämäsi ilmoitus ohjautuu suoraan Valviran kirjaamoon.
Ennen rekisteri-ilmoituksen täyttämistä, tarkasta seuraavat asiat:
- olet rekisteröimässä asiakastietolain mukaista tietojärjestelmää tai hyvinvointisovellusta
- tiedät, mihin luokkaan tietojärjestelmä tai hyvinvointisovellus kuuluu
- tiedät, mikä on tietojärjestelmän tai hyvinvointisovelluksen käyttötarkoitus ja sen profiili tai profiilit
- olet täyttänyt huolellisesti THL:n järjestelmälomakkeen
- luokkaan A kuuluvalle tietojärjestelmälle tai hyvinvointisovellukselle on myönnetty kaikki rekisteröinnin tekemiseen tarvittavat asiakirjat (Kelan yhteistestauslausunto tai -lausunnot ja tietoturvallisuuden arviointilaitoksen tietoturvallisuustodistus).
Kun rekisteri-ilmoitus saapuu Valviraan, Valvirassa tarkastetaan, että ilmoitus sisältää kaikki tarvittavat tiedot. Valvirassa tarkastetaan lisäksi, että Valviraan on toimitettu kaikki ilmoituksen käsittelyssä vaadittavat liitteet.
Jos Valviralle annetuissa tiedoissa on epäselvyyksiä, puutteita, virheitä tai asiakirjoissa on ristiriitaista tietoa, ne selvitetään ennen, kun tietojärjestelmä voidaan rekisteröidä Astori-rekisteriin tai siinä olevia tietoja voidaan päivittää. Tällaisessa tilanteessa Valvira tekee täydennyspyynnön tietojärjestelmäpalvelun tuottajalle.
Tietojärjestelmä lisätään Astori-rekisteriin tai siellä olevia tietoja päivitetään heti sen jälkeen, kun Valviralle on annettu riittävät ja asianmukaiset tiedot. Kun rekisteri-ilmoitus on käsitelty, Valvira lähettää tietojärjestelmäpalvelun tuottajalle ilmoituksen asiasta.
Vaikka kaikkia rekisteri-ilmoituksessa, järjestelmälomakkeessa ja muissa liitteissä olevia tietoja ei julkaista Astori-rekisterissä, tiedot ovat Valviran asianhallintajärjestelmässä. Jos järjestelmään kohdistetaan valvontatoimenpiteitä, rekisteri-ilmoituksen tietoja voidaan käyttää valvonnassa pohjatietoina.
Kun tietojärjestelmä on rekisteröity Astori-rekisteriin, on tietojärjestelmäpalvelun tuottajan huolehdittava, että rekisterissä olevat tiedot pysyvät ajan tasalla siihen asti, kunnes tietojärjestelmä poistetaan rekisteristä.
Tietojärjestelmäpalvelun tuottaja on velvollinen ilmoittamaan Valviralle seuraavista muutoksista:
- tietojärjestelmään toteutetusta uudesta toiminnosta, josta järjestelmä on saanut uuden yhteistestauslausunnon
- tietojärjestelmään tehdystä muutoksesta tai korjauksesta, jonka perusteella tietoturvallisuuden arviointilaitos on suorittanut tietojärjestelmälle tietoturvallisuuden muutosarvioinnin ja josta järjestelmä on saanut tietoturvallisuustodistuksen
- tietojärjestelmän vaatimustenmukaisuuden uudistamisesta
- tietojärjestelmän tietojen muuttumisesta (esimerkiksi tietojärjestelmän nimen vaihtumisesta)
- tietojärjestelmäpalvelun tuottajan tietojen muuttumisesta (esimerkiksi tietojärjestelmäpalvelun tuottajan nimen vaihtumisesta tai tietojärjestelmäpalvelun tuottajan vaihtumisesta yrityskaupan seurauksena)
- tietojärjestelmän tuotantokäytöstä poistamisesta
Valvira perii maksun rekisterin päivittämisestä, kun tietojärjestelmäpalvelun tuottaja ilmoittaa Valviralle seuraavista muutoksista
- tietojärjestelmään on toteutettu uusi toiminto, josta järjestelmä saa uuden yhteistestauslausunnon
- tietojärjestelmään on toteutettu muutos, jonka perusteella tietoturvallisuuden arviointilaitos suorittaa tietojärjestelmälle tietoturvallisuuden muutosarvioinnin tai tietojärjestelmäpalvelun tuottajan pyynnöstä kokonaisarvioinnin. Tietojärjestelmä saa uuden tietoturvallisuustodistuksen.
- tietojärjestelmän vaatimustenmukaisuus on uudistettu
- tietojärjestelmäpalvelun tuottaja vaihtuu esimerkiksi yrityskaupan seurauksena
Valvira ei peri maksua, kun tietojärjestelmäpalvelun tuottaja ilmoittaa Valviralle seuraavista muutoksista, vaikka muutos voi aiheuttaa rekisterin päivittämisen
- tietojärjestelmän käyttötarkoituksen, profiilin, käyttökontekstin tai versiotiedon muutoksesta ilmoittaminen
- tietojärjestelmän tuotantokäytön päättymisestä ilmoittaminen
- merkittävästä poikkeamasta ilmoittaminen
- tietojärjestelmän tuotenimen vaihtumisesta tai uudesta tuotenimestä ilmoittaminen
- yhteyshenkilön tietojen vaihtumisesta ilmoittaminen
- tietojärjestelmäpalvelun tuottajan nimen vaihtumisesta ilmoittaminen