Sosiaali- ja terveydenhuollon tietojärjestelmien luokittelu
Tietojärjestelmäpalvelun tuottajan tekemä luokittelu aloittaa järjestelmän sertifiointi- ja rekisteröintiprosessin. Järjestelmän luokka vaikuttaa keskeisesti siihen, miten järjestelmän olennaiset vaatimukset todennetaan.
Asiakas- ja potilastietoa käsittelevät sosiaali- ja terveydenhuollon tietojärjestelmät jaetaan luokkiin A ja B. Luokka A jaetaan edelleen luokkiin A1, A2 ja A3. Tietojärjestelmän luokittelusta vastaa tietojärjestelmäpalvelun tuottaja. Tietojärjestelmän luokittelu tehdään Terveyden ja hyvinvoinnin laitoksen (THL) määräyksen 4/2024 ja sen liitteen Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta kriteerien mukaisesti. Edellä mainitut dokumentit löydät tämän sivun lopusta.
Epäselvissä tilanteissa THL päättää, kuuluuko järjestelmä luokkaan A vai B. Tietojärjestelmän luokittelua koskevat kysymykset voit lähettää THL:n sähköpostiosoitteeseen [email protected].
Tietojärjestelmän luokka vaikuttaa siihen, miten olennaisten vaatimusten toteutuminen todennetaan ennen kuin sosiaali- ja terveydenhuollon palvelunantaja voi ottaa tietojärjestelmän käyttöönsä. Luokka vaikuttaa myös rekisteröintiprosessiin, eli esimerkiksi siihen, mitä asiakirjoja tietojärjestelmästä vaaditaan ennen kuin Valvira voi rekisteröidä tietojärjestelmän.
Luokkaan A kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät,
- jotka liittyvät suoraan tai asiakastietojen välityspalvelun kautta Kanta-palveluihin
- jotka muodostavat Kanta-palveluihin tallennettavia tietorakenteita tai asiakirjoja
- joissa käsitellään laajamittaisesti asiakas- ja potilastietoja, joiden tietosuojan varmistaminen edellyttää tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia.
Luokka A jakautuu edelleen luokkiin:
- A1: Tietojärjestelmälle on suoritettava tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Yhteistestausta ei suoriteta luokan A1 järjestelmille. Esimerkiksi asiakastietojen välityspalvelut kuuluvat luokkaan A1.
- A2: Tietojärjestelmälle on suoritettava hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Järjestelmälle on suoritettava myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi hallinnollisia tietoja Kanta-palveluihin tallentavat järjestelmät sekä erikoisalan erillisjärjestelmät kuuluvat luokkaan A2.
- A3: Tietojärjestelmälle on suoritettava hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Yhteistestausvaatimus ei kuitenkaan koske Kanta-palveluja. Järjestelmälle on suoritettava myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi Kanta-palveluihin liitetyt terveydenhuollossa käytettävät potilaskertomusjärjestelmät sekä sosiaalihuollossa käytettävät asiakastietojärjestelmät kuuluvat luokkaan A3. Myös Kelan Kanta-palvelut kuuluvat luokkaan A3.
Luokkaan B kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät,
- jotka eivät liity suoraa Kanta-palveluihin
- jotka eivät tuota Kanta-palveluihin tallennettavia asiakirjoja
- joihin ei kohdistu esimerkiksi tehdyn riskiarvion perusteella luokan A1 mukaista vaatimusta tietoturvallisuuden arvioinnista.
Vaikka luokan B järjestelmille ei suoriteta yhteistestausta eikä niiltä vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia, pitää luokkaan B kuuluvien tietojärjestelmien toteuttaa ja täyttää niiden käyttötarkoituksen mukaiset olennaiset vaatimukset. Vaatimukset kuvataan THL:n Asiakas- ja potilastietojen käsittelyyn tarkoitettujen järjestelmien vähimmäisvaatimukset -profiilissa. Profiilin löydät tämän sivun lopusta.
Esimerkkejä luokkaan B kuuluvista tietojärjestelmistä on THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentissa. Dokumentin löydät tämän sivun lopusta.
Sosiaali- ja terveydenhuollossa voi olla käytössä myös tietojärjestelmiä, ohjelmistoja tai sovelluksia, jotka eivät ole asiakastietolain mukaisia tietojärjestelmiä, vaikka niissä voidaan käsitellä esimerkiksi terveydenhuollon potilaiden tai sosiaalihuollon asiakkaiden nimi- ja osoitetietoja. Asiakastietolaissa määritellään, millaisia tietojärjestelmiä koskevat asiakastietolain velvoitteet. Asiakastietolain mukaisella tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, joka on suunniteltu käyttäväksi
- asiakasasiakirjojen sähköiseen käsittelyyn
- asiakasasiakirjojen tallentamiseen Kanta-palveluihin
- valtakunnallisiin tietojärjestelmäpalveluihin eli Kanta-palveluihin liittämiseen.
Esimerkkejä tietojärjestelmistä, jotka ovat luokittelemattomia ohjelmistoja tai sovelluksia:
- yleiset tekstinkäsittely- tai toimisto-ohjelmistot
- sosiaali- tai terveydenhuollon palvelunantajalla käytössä olevat hallinnolliset tukijärjestelmät, kuten ateriantilausjärjestelmät, materiaalihallinnon järjestelmät tai käyttövaltuuksien hallintajärjestelmät
- sosiaali- ja terveydenhuollon palvelunantajilla käytössä olevat laskutusjärjestelmät
- yleiset viestintään käytetyt järjestelmät tai sovellukset, kuten erilaiset chat-ohjelmistot
THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentissa kerrotaan tarkemmin, minkälaiset ohjelmistot eivät ole asiakastietolain mukaisia. Dokumentin löydät tämän sivun lopusta.
Valvira ei rekisteröi eikä valvo tietojärjestelmiä, jotka eivät ole asiakastietolain mukaisia luokkaan A tai B kuuluvia tietojärjestelmiä.
Asiakas- ja potilastietojen käsittelyssä pitää kaikissa tilanteissa huomioida yleiset tietoturva- ja tietosuojavaatimukset sekä muut asiakas- ja potilastietojen laatimiseen, käsittelyyn ja säilyttämiseen liittyvät säännökset. Säännökset koskevat palvelunantajia riippumatta siitä, millä tavalla asiakas- ja potilaskirjauksia tehdään ja säilytetään.
Riskiarvion tekeminen
Tietojärjestelmäpalvelun tuottajan on tehtävä järjestelmästään riskiarvio samalla, kun hän luokittelee tietojärjestelmänsä. Riskiarviossa pitää huomioida muun muassa tietojärjestelmän käytön laajuus sekä tietojärjestelmässä käsiteltävien tietojen arkaluonteisuus. Ohjeistus riskiarvion tekemiseen löytyy THL:n Esimerkkejä järjestelmien ja hyvinvointisovellusten luokittelusta -dokumentista. Riskiarvion tekemisen apuna voi käyttää myös THL:n riskiarviotyökalua. Edellä mainitun dokumentin ja riskiarviotyökalun löydät tämän sivun lopusta.