Sosiaali- ja terveydenhuollon tietojärjestelmien luokittelu
Tietojärjestelmäpalvelun tuottajan tekemä luokittelu aloittaa järjestelmän sertifiointi- ja rekisteröintiprosessin. Järjestelmän luokka vaikuttaa keskeisesti siihen, miten järjestelmän olennaiset vaatimukset todennetaan.
Asiakas- ja potilastietoa käsittelevät sosiaali- ja terveydenhuollon tietojärjestelmät jaetaan luokkiin A ja B. Luokka A jaetaan edelleen luokkiin A1, A2 ja A3. Tietojärjestelmän luokittelusta vastaa tietojärjestelmäpalvelun tuottaja. Tietojärjestelmän luokittelu tehdään Terveyden ja hyvinvoinnin laitoksen (THL) määräyksen 4/2021 ja sen liitteen Esimerkkejä järjestelmien luokittelusta kriteerien mukaisesti. Edellä mainitut dokumentit löydät tämän sivun lopusta.
Epäselvissä tilanteissa THL päättää, kuuluuko järjestelmä luokkaan A vai B. Tietojärjestelmän luokittelua koskevat kysymykset voit lähettää THL:n sähköpostiosoitteeseen [email protected].
Tietojärjestelmän luokka vaikuttaa siihen, miten olennaisten vaatimusten toteutuminen todennetaan ennen kuin sosiaali- ja terveydenhuollon palvelunantaja voi ottaa tietojärjestelmän käyttöönsä. Luokka vaikuttaa myös rekisteröintiprosessiin, eli esimerkiksi siihen, mitä asiakirjoja tietojärjestelmästä vaaditaan ennen kuin Valvira voi rekisteröidä tietojärjestelmän.
Luokkaan A kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät,
- jotka liittyvät suoraan tai asiakastietojen välityspalvelun kautta Kanta-palveluihin
- jotka muodostavat Kanta-palveluihin tallennettavia tietorakenteita tai asiakirjoja
- joissa käsitellään laajamittaisesti asiakas- ja potilastietoja, joiden tietosuojan varmistaminen edellyttää tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia.
Luokka A jakautuu edelleen luokkiin:
- A1: Järjestelmän pitää suorittaa tietoturvallisuuden arviointi, josta tietojärjestelmälle myönnetään tietoturvallisuustodistus. Yhteistestausta luokan A1 tietojärjestelmille ei suoriteta. Esimerkiksi asiakastietojen välityspalvelut kuuluvat luokkaan A1.
- A2: Tietojärjestelmän pitää suorittaa hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Tietojärjestelmän pitää suorittaa myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi hallinnollisia tietoja Kanta-palveluihin tallentavat järjestelmät sekä erikoisalan erillisjärjestelmät kuuluvat luokkaan A2.
- A3: Tietojärjestelmän pitää suorittaa hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Yhteistestausvaatimus ei kuitenkaan koske Kanta-palveluja. Tietojärjestelmän pitää suorittaa myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi Kanta-palveluihin liitetyt terveydenhuollossa käytettävät potilaskertomusjärjestelmät sekä sosiaalihuollossa käytettävät asiakastietojärjestelmät kuuluvat luokkaan A3. Myös Kelan Kanta-palvelut kuuluvat luokkaan A3.
Luokkaan B kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät,
- jotka eivät liity suoraa Kanta-palveluihin
- jotka eivät tuota Kanta-palveluihin tallennettavia asiakirjoja
- joihin ei kohdistu esimerkiksi tehdyn riskiarvion perusteella luokan A1 mukaista vaatimusta tietoturvallisuuden arvioinnista.
Vaikka luokan B järjestelmille ei suoriteta yhteistestausta eikä niiltä vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia, pitää luokkaan B kuuluvien tietojärjestelmien toteuttaa ja täyttää niiden käyttötarkoituksen mukaiset olennaiset vaatimukset. Vaatimukset kuvataan THL:n Asiakas- ja potilastietojen käsittelyyn tarkoitettujen järjestelmien vähimmäisvaatimukset -profiilissa. Profiilin löydät tämän sivun lopusta.
Esimerkkejä luokkaan B kuuluvista tietojärjestelmistä on THL:n Esimerkkejä järjestelmien luokittelusta -dokumentissa. Dokumentin löydät tämän sivun lopusta.
Sosiaali- ja terveydenhuollossa voi olla käytössä myös tietojärjestelmiä, ohjelmistoja tai sovelluksia, jotka eivät ole asiakastietolain mukaisia tietojärjestelmiä, vaikka niissä voidaan käsitellä esimerkiksi terveydenhuollon potilaiden tai sosiaalihuollon asiakkaiden nimi- ja osoitetietoja. Asiakastietolaissa määritellään, millaisia tietojärjestelmiä asiakastietolain velvoitteet koskevat. Asiakastietolain mukaisella tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, joka on suunniteltu käyttäväksi
- sosiaalihuollon asiakastietojen tai terveydenhuollon potilastietojen sähköiseen käsittelyyn
- asiakas- tai potilasasiakirjojen tallentamiseen ja ylläpitoon
- valtakunnallisiin tietojärjestelmäpalveluihin eli Kanta-palveluihin liittämiseen.
Esimerkkejä tietojärjestelmistä, jotka ovat luokittelemattomia ohjelmistoja tai sovelluksia:
- yleiset tekstinkäsittely- tai toimisto-ohjelmistot
- sosiaali- tai terveydenhuollon palvelunantajalla käytössä olevat hallinnolliset tukijärjestelmät, kuten ateriantilausjärjestelmät, materiaalihallinnon järjestelmät tai käyttövaltuuksien hallintajärjestelmät
- sosiaali- ja terveydenhuollon palvelunantajilla käytössä olevat laskutusjärjestelmät
- yleiset viestintään käytetyt järjestelmät tai sovellukset, kuten erilaiset chat-ohjelmistot
THL:n Esimerkkejä järjestelmien luokittelusta -dokumentissa kerrotaan tarkemmin, minkälaiset ohjelmistot eivät ole asiakastietolain mukaisia. Dokumentin löydät tämän sivun lopusta.
Valvira ei rekisteröi eikä valvo tietojärjestelmiä, jotka eivät ole asiakastietolain mukaisia luokkaan A tai B kuuluvia tietojärjestelmiä.
Asiakas- ja potilastietojen käsittelyssä pitää kaikissa tilanteissa huomioida yleiset tietoturva- ja tietosuojavaatimukset sekä muut asiakas- ja potilastietojen laatimiseen, käsittelyyn ja säilyttämiseen liittyvät säännökset. Säännökset koskevat palvelunantajia riippumatta siitä, millä tavalla asiakas- ja potilaskirjauksia tehdään ja säilytetään.
Riskiarvion tekeminen
Tietojärjestelmäpalvelun tuottajan pitää tehdä järjestelmästään riskiarvio samalla, kun hän luokittelee tietojärjestelmänsä. Riskiarviossa pitää huomioida muun muassa tietojärjestelmän käytön laajuus sekä tietojärjestelmässä käsiteltävien tietojen arkaluonteisuus. Ohjeistus riskiarvion tekemiseen löytyy THL:n Esimerkkejä järjestelmien luokittelusta -dokumentista. Riskiarvion tekemisen apuna voi käyttää myös THL:n riskiarviotyökalua. Edellä mainitun dokumentin ja riskiarviotyökalun löydät tämän sivun lopusta.