Betydande avvikelser från väsentliga krav

En betydande avvikelse innebär att informationssystemet inte uppfyller de väsentliga krav som ställs på det i klientuppgiftslagen. Avvikelsen kan gälla kraven på systemets funktioner, driftkompatibilitet, datasäkerhet eller dataskydd.

Betydande avvikelser är till exempel

brister eller fel i ett informationssystem vilket kan utgöra en risk för klient- eller patientsäkerheten
brister eller fel i ett informationssystem vilket kan utgöra en risk för datasäkerheten eller dataskyddet
brister eller fel i ett informationssystem eller i en driftmiljö vilket kan utgöra en risk för social- och hälsovårdstjänsternas funktion
fel eller avbrott i användningen av Kanta-tjänsten vilket kan utgöra en risk för klient- eller patientsäkerheten eller för social- och hälsovårdstjänsternas funktion
fel i den tekniska korrektheten eller integriteten hos de klient- och patientuppgifter som lagras i Kanta-tjänsten vilket kan orsaka omfattande störningar i bland annat driftkompatibiliteten
föråldrat intyg om datasäkerhet i informationssystemet
avsaknad av en rättsaktsbaserad funktion i informationssystemet.

Om det finns uppenbara fel i systemets funktioner, har Valvira befogenhet att konstatera att systemet uppvisar en betydande avvikelse i de väsentliga kraven. Detta förutsätter inte att detta fel har definierats som en betydande avvikelse i THL:s bestämmelser, krav på funktioner eller andra specifikationer.

Ytterligare information om betydande avvikelser finns i kapitel 10.4 i THL:s föreskrift 5/2021 Avvikelser från kraven. Dokumentet finns i slutet av den här sidan.

Tillsyn relaterad till direktivet om nät- och informationssäkerhet (NIS)

Valvira ansvarar för tillsynen relaterad till direktivet om nät- och informationssäkerhet (NIS) när det gäller hälso- och sjukvården. NIS-direktivet förpliktar organisationer som är kritiska för försörjningsberedskapen och tillhandahållare av centrala digitala tjänster att underrätta och rapportera om kränkningar av informationssäkerheten till tillsynsmyndigheten och frivilligt även till cybersäkerhetscentret.

Anmäl en betydande avvikelse

Producenten av informationssystemtjänsten ska göra en avvikelseanmälan till Valvira, om denne i sitt informationssystem upptäcker en betydande avvikelse till de väsentliga kraven. Utöver till Valvira ska den som producerar informationssystemtjänsten underrätta alla servicegivare som använder informationssystemet om betydande avvikelser. Om systemet hör till kategori A, ska informationssystemets producent anmäla en betydande avvikelse till FPA:s Kanta-tjänst i enlighet med anvisningen för driftstörningar (kanta.fi).

Servicegivaren ska underrätta producenten av informationssystemtjänster om den upptäcker att det informationssystem som den använder avviker väsentligt från de väsentliga kraven. Om en betydande avvikelse som servicegivaren upptäcker kan medföra risk för klient- eller patientsäkerheten eller datasäkerheten, ska servicegivaren anmäla avvikelsen till Valvira.
Om en betydande avvikelse i informationssystemet äventyrar klient-, patient- eller datasäkerheten, kan anmälan till Valvira också göras till exempel av apotek, Folkpensionsanstalten (FPA) eller Institutet för hälsa och välfärd (THL). Om det förekommer avvikelser i dataskyddet vid uppfyllandet av de väsentliga kraven för informationssystemet, ska dataombudsmannen underrättas om avvikelserna.

Gör en avvikelseanmälan

Du kan också göra en informell avvikelseanmälan och skicka den till Valviras registratorskontor på [email protected]. Om du skickar material som innehåller sekretessbelagd information per e-post, ska du använda krypterad e-post på https://turvaviesti.valvira.fi. Du kan också posta avvikelseanmälan till Valvira/Registratorskontoret, PB 43, 00521 Helsingfors.
Valvira kan utifrån en avvikelseanmälan inleda tillsyn som kan gälla en producent av informationssystemtjänster eller en servicegivare inom social- och hälsovården som använder informationssystemet.

Anmäl informationssäkerhetsavvikelser (NIS-anmälan)

Vi rekommenderar att informationssäkerhetshot och -kränkningar inom social- och hälsovården anmäls till Cybersäkerhetscentret vid Transport- och kommunikationsverket. Via Cybersäkerhetscentret får också Valvira anmälan.

Gör NIS-anmälan på Cybersäkerhetscentrets webbplats

Du kan också göra en informell NIS-anmälan och skicka den till Valviras registratorskontor på [email protected].

Dokument

THL:s föreskrift 5/2021 om väsentliga krav på funktioner och datasäkerhet i informationssystem inom social- och hälsovården (pdf)

Lagstiftning

Se även

Kontakta oss

Jenni Björkman
överinspektör
[email protected]
0295 209 227

Essi Haglund
överinspektör
[email protected]
0295 209 372

Antti Härkönen
överingenjör
[email protected]
0295 209 530