Klassificering av informationssystem inom social- och hälsovården
Den klassificering som producenten av informationssystemtjänsten utför startar systemets certifierings- och registreringsprocess. Systemets kategori påverkar väsentligt hur systemets väsentliga krav verifieras.
Informationssystem för behandling av klient- och patientuppgifter indelas i kategorierna A och B. Kategori A indelas ytterligare i kategorierna A1, A2 och A3. Producenten av informationssystemtjänsten svarar för klassificeringen av informationssystemet. Klassificeringen av informationssystemet görs i enlighet med kriterierna i föreskrift 4/2024 av Institutet för hälsa och välfärd (THL) och dess bilaga Exempel på klassificering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården. Dessa dokument finns i slutet av den här sidan.
I oklara fall avgör THL om systemet hör till kategori A eller B. Frågor om klassificering av informationssystemet kan sändas till THL på [email protected].
Informationssystemets kategori påverkar hur de väsentliga kraven ska verifieras innan en servicegivare inom social- och hälsovården kan ta i drift informationssystemet. Kategorin påverkar också registreringsprocessen, dvs. till exempel vilka handlingar som krävs för informationssystemet innan Valvira kan registrera informationssystemet.
Kategori A omfattar informationssystem som behandlar klient- och patientuppgifter inom social- och hälsovården och som
- anknyter direkt eller via förmedling av klientuppgifter till Kanta-tjänsterna
- bildar datastrukturer eller dokument som sparas i Kanta-tjänsterna
- i stor utsträckning behandlar klient- och patientuppgifter, vilkas dataskydd förutsätter en bedömning av informationssäkerheten som utförs av bedömningsorganet för informationssäkerhet.
Kategori A indelas i följande underkategorier:
- A1: Systemet ska utföra en bedömning av informationssäkerheten, för vilken informationssystemet beviljas ett intyg om informationssäkerhet. Samordnad testning av informationssystem i kategori A1 utförs inte. Förmedlingstjänster för klientuppgifter hör till exempel till kategori A1.
- A2: Informationssystemet ska med godkänt resultat genomgå samordnad testning för vilket ett intyg över samordnad testning utfärdas. Informationssystemet ska också genomgå en bedömning av datasäkerheten, för vilken systemet beviljas ett intyg över datasäkerheten. Till exempel de system som lagrar administrativa uppgifter i Kanta-tjänsten och de särskilda systemen inom ett specialområde hör till kategori A2.
- A3: Informationssystemet ska med godkänt resultat genomgå samordnad testning för vilket ett intyg över samordnad testning utfärdas. Kravet på samordnad testning gäller dock inte Kanta-tjänsten. Informationssystemet ska också genomgå en bedömning av datasäkerheten, för vilken systemet beviljas ett intyg över datasäkerheten. Till exempel patientjournalsystem som används inom hälso- och sjukvården och anslutits till Kanta-tjänsten och klientuppgiftssystem som används inom socialvården hör till kategori A3. Också FPA:s Kanta-tjänst hör till kategori A3.
Kategori B omfattar informationssystem som behandlar klient- och patientuppgifter inom social- och hälsovården och som
- inte direkt är anslutna till Kanta-tjänsten
- inte producerar dokument som lagras i Kanta-tjänsten
- inte omfattas till exempel av kravet på riskbedömning av informationssäkerheten enligt kategori A1.
Även om system i kategori B inte genomgår samordnad testning och det inte krävs någon bedömning av informationssäkerheten av bedömningsorganet för informationssäkerhet, ska informationssystem i kategori B uppfylla de väsentliga kraven för användningsändamålet. Kraven beskrivs i THL:s minimiprofil som gäller system för behandling av klient- och patientuppgifter. Profilen finns i slutet av den här sidan.
Exempel på informationssystem i kategori B finns i THL:s dokument Exempel på klassificeringen av informationssystem och välbefinnandeapplikationer. Dokumentet finns i slutet av den här sidan.
Inom social- och hälsovården kan det också finnas informationssystem, program eller applikationer som inte är informationssystem i enlighet med klientuppgiftslagen, även om de kan behandla namn- och adressuppgifter till exempel för patienter inom hälso- och sjukvården eller för klienter inom socialvården. I klientuppgiftslagen de informationssystem som omfattas av förpliktelserna enligt klientuppgiftslagen. Med informationssystem enligt klientuppgiftslagen avses ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling som har planerats att användas för
- elektronisk hantering av klienthandlingar
- lagring av klienthandlingar i Kanta-tjänsterna
- anslutning till de riksomfattande informationssystemtjänsterna, dvs. Kanta-tjänsterna, inom social- och hälsovården.
Exempel på informationssystem som är oklassificerade program eller applikationer:
- vanlig textbehandlings- eller kontorsprogramvara
- administrativa stödsystem som används av en servicegivare inom social- eller hälso- och sjukvård, såsom måltidsbeställningssystem, system för materialförvaltning eller system för kontroll av behörigheter
- faktureringssystem som används av servicegivare inom social- och hälsovården
- allmänna system eller program som används för kommunikation, såsom olika chattprogram
I THL:s dokument Exempel på klassificering av informationssystem och välbefinnandeapplikationer beskrivs närmare hurdan programvara som inte överensstämmer med klientuppgiftslagen. Dokumentet finns i slutet av den här sidan.
Valvira registrerar eller övervakar inte informationssystem som inte är informationssystem i kategori A eller B i enlighet med klientuppgiftslagen.
Vid behandling av klient- och patientuppgifter ska de allmänna kraven på datasäkerhet och dataskydd samt andra bestämmelser som hänför sig till utarbetande, behandling och förvaring av klient- och patientuppgifter beaktas i alla situationer. Bestämmelserna gäller servicegivare, oberoende av hur klient- och patientjournaler upprättas och förvaras.
Riskbedömning
Producenten av informationssystemtjänsten ska göra en riskbedömning av systemet samtidigt som informationssystemet klassificeras. Riskbedömningen ska bland annat ta hänsyn till omfattningen av användningen av informationssystemet samt känsligheten hos de uppgifter som behandlas i informationssystemet. Instruktioner för riskbedömning finns i THL:s dokument Exempel på klassificering av informationssystem och välbefinnandeapplikationer. Som hjälp kan man använda THL:s verktyg för riskbedömning. Dessa dokument och riskbedömningsverktyget finns i slutet av den här sidan.