erespa viitoittaa tietä ereseptiin Ohjeistus ereseptin auditointivaatimusten täyttämiseksi Yksityisen sektorin yritykset
|
|
- Jaana Teija Toivonen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 erespa viitoittaa tietä ereseptiin Ohjeistus ereseptin auditointivaatimusten täyttämiseksi Yksityisen sektorin yritykset
2 Itseauditointi Ohjeet vaatimusten täyttämiseksi Esimerkit, joita voi hyödyntää auditointivaatimusta täyttäessä AUDITOINTIVAATIMUKSET
3 Organisaation itseauditointi Terveydenhuollon organisaatioiden ja apteekkien auditointi suoritetaan itseauditointina. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Terveydenhuollon organisaation ja apteekin osalta velvollisuus noudattaa kulloinkin voimassa olevia auditointivaatimuksia on pysyvä. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset. Auditoinnin ohjeet: Sähköisen lääkemääräyksen käyttöönoton käsikirja ( Tietoturva ja auditointi: Terveydenhuollon auditointivaatimusten läpikäynti (doc) (päivitetty ) 3
4 Auditoinnin kulku 1. Organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa 2. Siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. Organisaatio tekee hallinnollisen liittymispäätöksen 4. Organisaatio tekee hakemukset palvelu- ja henkilövarmenteista VRK:lta 5. Organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. Organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ja välittäjät ovat omalta osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. Organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. Organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi 4
5 Auditointivaatimus 1: Sisäinen päätös liittymiselle VAATIMUS: Organisaation sisäinen hallinnollinen päätös liittymisestä Reseptikeskukseen tai potilastiedon arkistoon / KanTa-palvelujen käyttäjäksi on tehty. AUDITOINTI: Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen tai potilastiedon arkistoon / KanTa-palvelun käyttäjäksi. Yksityisessä terveydenhuollossa sisäinen hallinnollinen päätös tehdään organisaation oman prosessin mukaisesti Vastuuhenkilön valinta ja projektin aloittaminen Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli a - Hallinnollinen päätösesitys Toimii myös tiivistelmänä siitä, mihin sitoudutaan Liittymisen materiaali: 5
6 Auditointivaatimus 1: esimerkki Yrityksemme Esimerkkilääkäripalvelu Oy on toimitusjohtajan päätöksellä päättänyt liittyä sähköinen lääkemääräys -palvelun käyttäjäksi. Aiottu liittymispäivämäärä on Yrityksessä hankkeesta vastaa Paavo Projekti. Vapaamuotoinen ilmoitus liittymisestä THL:ään lähetetään sähköpostitse Yrityksen Katso-tunnisteille on luotu alitunniste Paavo Projektille Kantaextranetin käyttöä varten. 6
7 Auditointivaatimus 2: Auditoitu järjestelmä VAATIMUS: Organisaatiossa on käytössä palvelun sisällön mukaisesti auditoitu KanTa-palveluiden vaatimukset täyttävä järjestelmä, joka on parametroitu sähköisen lääkemääräyksen ja potilastiedon arkiston vaatimusten mukaisesti. AUDITOINTI: Tarkastetaan, että organisaatiolla on käytössään käyttöönotettavan palvelun sisällön mukaisen auditoinnin läpäissyt järjestelmä. Onko yrityksen käytössä oleva potilastietojärjestelmä auditoitu versio vai pitääkö päivittää koko järjestelmä vai esim. ainoastaan resepti-/lääkitysosio? Kelan auditoimat järjestelmät: Yhteydenotto omaan järjestelmätoimittajaan Onko organisaation tiedot ajan tasalla SOTE-organisaatiorekisterissä: OID-koodien tarkastus koodistopalvelimen SOTE-organisaatiorekisteristä: ( Mahdolliset tietojen korjaukset lupaviranomaiselle (AVI tai Valvira) 7
8 Auditointivaatimus 2: esimerkki Käyttämämme potilastietojärjestelmä Lääkärinkaveri on auditoitu päivämäärällä Olemme sopineet toimittajamme Esimerkkiohjelmistotalo Oy:n kanssa seuraavista asioista: Käytössämme on versio, jossa auditoitu sähköinen lääkemääräys toimii Olemme sopineet aikataulusta, työnjaosta ja kustannuksista liittyen sähköiseen lääkemääräykseen Toimittaja on lähettänyt tukimateriaalia auditointia varten Järjestelmään on konfiguroitu mm.: OID-koodit, käyttöoikeusmäärittelyt käyttäjille, sähköisen lääkemääräyksen toiminnallisuus kytketty päälle, yhteysosoitteet konfiguroitu, varmenteet asennettu yhteysosapuolten välille, sulkulistojen nouto määräsyklillä, lääketietokannan määritys SOTE-rekisteristä löytyvät tietomme ovat ajan tasalla
9 Auditointivaatimus 3: Tietoturvapolitiikka VAATIMUS: Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön AUDITOINTI: Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tietoturvallisuuden hallinnointi sekä siihen liittyvät tietoturvapolitiikka, tietoturva-asiat ja tietosuoja-asiat eivät ole erityisesti sähköisen lääkemääräyksen käyttöönottoon liittyviä asioita, vaan ne kuuluvat yleishallintoon ja rekisterinpitäjän velvollisuuksiin. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli b - Organisaation tietoturvaperiaatteet Tietoturva ja auditointi: Malli f1 - Toimintayksikön tietoturvapolitiikan malli Tietoturva ja auditointi: Malli f3 - Esimerkki tietoturvapolitiikasta Kts. erespan malli tietoturvaohjeeksi eresepti liittymisohjeesta 9
10 Auditointivaatimus 3: esimerkki Yrityksellämme on tietoturvapolitiikka laadittuna (Liite 1) ja se on otettu käyttöön. Henkilökuntaa varten on laadittu tietoturvaohje (Liite 2), joka kuuluu osaksi uuden henkilön perehdytystä. 10
11 Auditointivaatimus 4: Nimetty tietosuojavastaava VAATIMUS: Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty AUDITOINTI: Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Kaikilla terveydenhuollon organisaatioilla pitää lain mukaan olla tietosuojavastaava Tietosuojavastaavan tehtävänä on olla organisaationsa tietosuoja-asiantuntija ja toimia johdon apuna tietosuojaan liittyvissä kysymyksissä Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti. Tietosuojavastaavan tehtävät ja toimenkuva: Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli e - Organisaatio tietosuojavastaavan toimenkuva 11
12 Auditointivaatimus 4: esimerkki Yrityksemme tietosuojavastaavaksi on nimetty Pirkko Tietotarkka. Tietosuojavastaavan toimenkuva on päivitetty Kanta-ohjeistuksen perusteella
13 Auditointivaatimus 5: Ohjeet potilastietojen käsittelystä VAATIMUS: Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle. Organisaatio on huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. AUDITOINTI: Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä STM Potilasasiakirjaopas: Organisaation oman oppaan pitää olla linjassa STM:n ohjeen kanssa (esim. opiskelijoiden tekemien merkintöjen hyväksyminen) Koulutus tarkoittaa esimerkiksi koulutussuunnitelmaa ja sen jatkuvaa toteuttamista. Jos käytetään alihankkijoita, niin säädökset koskevat myös alihankkijaa ja auditointivaatimusten todentaminen on ulotettava sinne. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli l - Asiakastiedon käsittely ja menettelytavat eresepti-palvelua käytettäessä 13
14 Auditointivaatimus 5: esimerkki Olemme päivittäneet henkilökunnallemme tarkoitetut ohjeet potilastietojen käsittelystä Ohjeissa on huomioitu STM:n potilastieto-opas (Potilasasiakirjojen laatiminen ja käsittely - Opas terveydenhuollolle, Julkaisuja 2012:4, ) ja KanTapalveluiden ohje (Asiakastiedon käsittely ja menettelytavat eresepti-palvelua käytettäessä). Ohjeet löytyvät Intranetistä ja vastaanottotiskien ohje-kansioista nimellä: Ohjeet potilastietojen käsittelystä. 14
15 Auditointivaatimus 6: Henkilökunnan koulutus VAATIMUS: Organisaatio on kouluttanut henkilökunnan potilastiedon arkiston ja sähköisen lääkemääräyksen toimintamallien käyttöönottoon ja organisaation käytössä olevien potilastietojärjestelmien käyttöönotettaviin toiminnallisuuksiin. AUDITOINTI: Tarkastetaan, että organisaatio on kouluttanut henkilökunnan uuden toimintamallin käyttöönottoon (esim. reseptin uusimismenettely, suostumusmenettelyt, potilastiedon arkisto). Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit ja Potilastiedon arkiston toimintamallit. Organisaatiolla on toimintamalli uusien työntekijöiden kouluttamiseen. Koulutuksen tulee sisältää ereseptin toimintamallit ja sen käyttö omassa potilastietojärjestelmässä Toimintamallien koulutusta varten on runsaasti materiaalia ( Videoita, toimintamallidokumentti, verkkokoulu, testi Käyttöönoton kannalta auditointivaatimus täyttyy, kun toimintamallit on koulutettu niille, jotka käyttävät työssään sähköistä lääkemääräystä. Liittymishakemuksen jättöhetkellä koko henkilöstön ei siis tarvitsisi olla koulutettuna. Toimintamallikoulutuksessa pitäisi käsitellä esimerkiksi seuraavia asioita 1. Sovitut + ohjeistetut potilaan informointikäytännöt (+ suostumus ja kielto) 2. Miten organisaatiossa on sovittu lääkemääräyksen/ asiakirjojen käsittelyyn liittyvät asiat 3. Henkilöstö on perillä mistä sähköisessä lääkemääräyksessä/ potilastiedon arkistossa on kyse (esim. lääkemääräyksessä Kelan rekisterinpitäjyys + tietojen tarkastuspyyntöihin liittyvät proseduurit) 15
16 Auditointivaatimus 6: esimerkki Henkilökunnan koulutusta varten olemme laatineet koulutussuunnitelman (Liite 3). Henkilökunnan koulutuksessa olemme hyödyntäneet KanTa-palveluiden materiaalia ja toimittajalta saamaamme koulutusmateriaalia. Koulutus kattaa sekä sähköisen lääkemääräyksen toimintamallit että potilastietojärjestelmän käytön. Henkilökuntamme on tarkoitus kouluttaa aikavälillä
17 Auditointivaatimus 7: Tietosuojan valvonta VAATIMUS: Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma tai se on ottanut käyttöön Kelan laatiman tietosuojaohjeen AUDITOINTI: Tarkastetaan, että organisaatiolla on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta Kelan ohje reseptikeskuksen käytön valvonnasta ja seurannasta: ja tuota soveltamalla voidaan muokata organisaation käytäntö. Vaikka ohje koskee vain ammattihenkilön kortilla toimimista reseptikeskukseen, niin samalla vaivalla siitä kannattaa tehdä koko organisaation toimintamalli. Sähköisen lääkemääräyksen verkkokoulun tietosuojaosio: Tietosuojavaltuutetun käytönvalvonnan ohjeet: 17
18 Auditointivaatimus 7: esimerkki Olemme laatineet seuranta- ja valvontasuunnitelman (Liite 4). Suunnitelma on laadittu Kelan ohjeen perusteella: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa. Suunnitelma löytyy Intranetistä ja vastaanottotiskien ohje-kansioista. 18
19 Auditointivaatimus 8: Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut VAATIMUS: Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta AUDITOINTI: Yksityisen lääkäriaseman liittymisessä Reseptikeskukseen tai potilastiedon arkistoon on lisäksi sovittava kirjallisesti miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan, ja miten lääkäriaseman ja tiloissa toimivien keskinäiset vastuut jakaantuvat. Yksityisen terveydenhuollon toimintayksiköllä tulee olla sopimusmallin mukaisen sopimus kaikkien sen hakemuksella ja sitoumuksella ereseptipalveluun liittyvien, tiloissaan toimivien itsenäisten ammatinharjoittajien sekä tiloissaan toimivien toisten terveydenhuollon toimintayksiköiden palveluyksiköiden kanssa. Sopimusmallit: Sopimus eresepti-palveluun liittymisestä (ammatinharjoittaja) Sopimus eresepti-palveluun liittymisestä (lääkäripalveluyhtiö) 19
20 Auditointivaatimus 8: esimerkki Olemme sopineet yrityksemme ja sen tiloissa toimivien lääkäripalveluyhtiöiden ja ammatinharjoittajien vastuista. Sopimusten teossa on käytetty kansallisia mallipohjia. Sopimukset allekirjoitetaan mennessä. 20
21 Auditointivaatimus 9: Viestinvälityksen sopimukset ja lainsäädäntö VAATIMUS: Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. AUDITOINTI: Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Käyttöönoton käsikirjassa ( Liittyminen ja käyttöönotto: Liittyjät-ohje Organisaatiolla tarkoitetaan liittyjää ja vaatimus kohdistuu käytännössä kaikkiin sopimuksiin, joita yksittäinen liittyjä KanTa-tietoliikenteen toteuttamiseksi solmii Palvelimien välinen liikenne tulee suojata, mutta samassa VLANissa olevien palvelimien välinen SSL/TLS -salaus ei ole välttämättä kiireellisin tehtävä. Työasemien ja palvelimien välistä liikennettä ei tarvitse suojata, jos ne ovat samassa fyysisesti suojatussa verkossa, jos työasemien liikenne kulkee fyysisten verkkojen välillä (esim. operaattorin verkossa), niin silloin suojaustarve on todennäköisempi. Välittäjätaho pitää auditoida erikseen 21
22 Auditointivaatimus 9: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset ja ulkoistustapauksissa on mainittu noudatettava lainsäädäntö. 22
23 Auditointivaatimus 10: Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa VAATIMUS: Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. AUDITOINTI: Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. Tarkistetaan, että toimintayksikön käyttämässä potilastietojärjestelmässä sanomien siirtämisessä käytetään salattua https-protokollaa two-way SSL tavalla. Selvitettävä oma tietoliikenneketju kokonaisuudessaan Sopimuksissa pitää ottaa huomioon tietoturvan osalta yhteyksien Kelaan lisäksi esim. sopimukset verkko-operaattoreiden kanssa (työasemilta palvelimelle, jos fyysisesti eri verkossa), sopimukset palvelimelta välityspisteelle. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli j1 - Tietoliikenneyhteyksien laatutiedot Tietoturva ja auditointi: Malli j2 - Tietoliikenneyhteyksien laatumääreet, liite 23
24 Auditointivaatimus 10: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. 24
25 Auditointivaatimus 11: Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä VAATIMUS: Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto. AUDITOINTI: Tarkastetaan toimintayksikön varmennepolitiikka. Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Koskee pääasiassa VRK:lta haettavia palvelinvarmenteita. Tallennetaan yksityinen avain siten, että mahdollisen tietomurron sattuessa avain tai sen kopio ei joudu sivullisten käsiin. Palvelinvarmenteetkin vanhenevat, joten erityistä huomiota on kiinnitettävä siihen, että niiden uusiminen on annettu jollekin tehtäväksi ja merkattu huolella kalenteriin! 25
26 Auditointivaatimus 11: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että toimintayksikön varmennepolitiikka täyttää sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. 26
27 Auditointivaatimus 12: Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin ja muuhun potilastietojen käsittelyyn liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) VAATIMUS: Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen, valtakunnalliseen potilastiedon arkistoon ja muuhun potilastietojen käsittelyyn liittyviä toimintoja ja reseptikeskuksen tietoja, tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia. AUDITOINTI: Tarkastetaan, että on olemassa sähköinen tai muu ajantasainen kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Reseptikeskus hallinnoi osaltaan reseptikeskuksen käyttäjätietoja - Terveydenhuollon varmennekortteihin nojautuen. Tunnusten luonti on usein kunnossa, haastavampia ovat tunnusten oikeuksien muutokset ja poistot, sekä tilapäiset työntekijät. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli g Käyttäjärekisteri 27
28 Auditointivaatimus 12: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet, että yrityksestämme on olemassa sähköinen tai muu ajantasainen kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet. Aineistosta tulostetaan vuosiraportti, joka säilytetään muun vuotuisen raporttiaineiston yhteydessä lukollisessa kaapissa. 28
29 Auditointivaatimus 13: Käyttöoikeuksien jako ja hallinta VAATIMUS: Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että potilastietojärjestelmässä ja potilastiedon arkistossa sekä reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista, ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn. Tietojärjestelmäasiantuntijoilla ei ole oikeutta KanTapalveluissa olevien tietojen käsittelyyn (esim. luovutushaku ja asiakirjan hakeminen omaan käyttöön). Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. AUDITOINTI: Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet potilastietojen ja reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli h - Käyttöoikeuksien myöntötaulukko 29
30 Auditointivaatimus 13: esimerkki Olemme yhteistyössä alihankkijoittemme kanssa tarkastaneet yrityksemme käyttöoikeuksien hallintaprosessin ja se täyttää sähköisen lääkemääräyksen vaatimusdokumentin asettamat vaatimukset. Käyttöoikeuksien hallintaprosessi on kuvattuna tietoturvapolitiikassa. 30
31 Auditointivaatimus 14: Vastuiden määrittely VAATIMUS: Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (th-organisaatio/ teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. AUDITOINTI: Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Tämä on selkeintä dokumentoida yhdellä tai useammalla kuvalla, jotka kirjoitetaan auki ja jota voidaan hyödyntää osapuolien yhteisissä palavereissa Tarkistetaan sopimukset ja palvelukuvaukset Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli k - Ostopalveluihin liittyvät roolit ja vastuut 31
32 Auditointivaatimus 14: esimerkki Olemme käyneet läpi sähköiseen lääkemääräykseen liittyvät vastuut ja ne on kuvattuna kirjallisesti sopimuksissamme. Vastuista olemme laatineet oheisen kuvan, johon keskeiset vastuut on kirjattu: Liittyvä organisaatio Perus-IT toimittaja Toimipiste 1 Työasema Tietoliikennetoimittaja PTJ-toimittaja Valvira rooli- ja attribuuttitietopalvelu Työasema Toimintatavat henkilöt Toimipiste 2 Työasema Työasema Yritysverkko Potilastietojärjestelmä Välitys- ja allekirjoituspalvelut Reseptikeskuksen palvelut Kela mm. Toimintamallien, tietoturvan ym. Kouluttaminen ja ohjeistaminen Tietosuojan seuranta ja valvonta mm. Työasemien tietoturvasta huolehtiminen, Sisäverkon ylläpito mm. Salatun verkkoyhteyden toteutus liittyjän ja PTJ-toimittajan välillä mm. Palvelinten tietoturva, varmistukset Sanomanvälityksen tietoturva ja varmistukset Kansalliset toimijat vastaavat omasta toiminnastaan antamiensa kuvausten mukaisesti 32
33 Auditointivaatimus 15: Muutostenhallintaprosessi VAATIMUS: Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla. AUDITOINTI: Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi. Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu. Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Käytetään auditoitua potilastietojärjestelmää, joten järjestelmätoimittaja on muutoksenhallinnan osin jo toteuttanut. Organisaation vastuulle jää mm. vastaanottotestaus, hyväksymiskäytännöt, versionvaihtoon liittyvät käytänteet sekä toipumissuunnitelma. Jos organisaatiolla on käytännöt, joilla hoidetaan versionvaihdot jne., niin nyt voisi olla hyvä hetki kirjata ne auki. Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) kohdat A6.2 ja A8.4 ( sekä vastaavat tarkastuslistat. 33
34 Auditointivaatimus 15: esimerkki Potilastietojärjestelmän toimittajalla on valmis muutostenhallintaprosessi. Lisäksi IT-tukemme on kuvannut työasemien ja lähiverkon muutosprosessin. Muutostenhallinta kokonaisuudessaan on koostettu yhteen dokumenttiin (Liite 6). 34
35 Auditointivaatimus 16: Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta VAATIMUS: Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osa-alueisiin: Tietoturvapoikkeamien havainnointi ja eskalointi (incident management). Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit). Erityisesti erityissuojattavien tietojen katselua sekä erityiseen syyhyn (teknistä varmistusta hoitosuhteesta ei ole) perustuvaa potilastietojen katselua seurataan ja valvotaan. AUDITOINTI: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne ovat henkilöstön tiedossa ja niiden mukaan toimitaan. Tarkastetaan, että organisaatiolla on lokivalvontasuunnitlema ja että sitä noudatetaan, ja että seuranta on säännönmukaista ja tulokset dokumentoidaan. Vaateessa on kaksi erityyppistä, mutta toisiinsa liittyvää asiaa. Millaiset ovat prosessit tietoturvapoikkeamien havainnointiin ja millaiset prosessit ovat tietosuojan valvontaan. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta Tietoturva ja auditointi: Malli c - Kirjanpitotaulukko lokien tarkastuksesta Verkkokoulutuksen tietoturva- ja tietosuojaosiot 35
36 Auditointivaatimus 16: esimerkki Olemme laatineet seuranta- ja valvontasuunnitelman (Liite 4). Suunnitelma on laadittu Kelan ohjeen perusteella: Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa. Suunnitelma löytyy Intranetistä ja vastaanottotiskien ohje-kansioista. 36
37 Auditointivaatimus 17: Virhetilanteiden hallinta VAATIMUS: Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma). Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] AUDITOINTI: Tarkastetaan toipumissuunnitelmien ja häiriötilanneohjeiden olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan, ja miten niistä tiedotetaan. Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. Häiriötilanneohje Kanta.fi-sivuilla: Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli d - Käyttökatko-ohje organisaatiolle Sovittava järjestelmätoimittajan(-jien) kanssa, miten PTJ:n toimintaa seurataan, miten virheet määritellään ja miten niiden kanssa toimitaan Käyttäjien ohjeistaminen virhetilanteita varten: Toimintaprosessin kuvaus ja tukipalveluiden yhteystiedot (erityisesti oma lähituki: onko järjestelmän pääkäyttäjä, PTJ:n toimittajan helpdesk vai joku muu) 37
38 Auditointivaatimus 17: esimerkki Olemme laatineet yhdessä potilastietojärjestelmän toimittajan ja IT-tuen kanssa toipumissuunnitelman ja häiriötilanneohjeen (Liite 7). Häiriötilanteissa toimintaprosessi on: 1) Yhteydenotto potilastietojärjestelmän pääkäyttäjään 2) Pääkäyttäjä ottaa yhteyttä tarvittaessa toimittajan helpdeskiin Nämä asiat käydään läpi sisäisissä koulutuksissa. Suunnitelma ja ohje löytyvät Intranetistä ja vastaanottotiskien ohjekansioista. 38
39 Auditointivaatimus 18: Lokitietojen muuttumattomuus VAATIMUS: Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 AUDITOINTI: Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Tämä on kohta, joka on käytännössä järjestelmätoimittajan vastuulla. Jos järjestelmä on auditoitu, niin tämän pitäisi olla kunnossa myös välittäjän auditoinnissa. Käydään järjestelmätoimittajan(-jien) kanssa läpi: mitä lokitietoja kirjoitetaan, jotta kansalliset vaatimukset täytetään miten niiden muuttaminen/poistaminen estetään miten ne tallennetaan 39
40 Auditointivaatimus 18: esimerkki Olemme yhteistyössä toimittajamme kanssa tarkastaneet, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Toimittaja on kuvannut mitä lokitietoja kirjoitetaan, jotta kansalliset vaatimukset täytetään, miten niiden muuttaminen/poistaminen estetään ja miten ne tallennetaan. 40
41 Auditointivaatimus 19: Käyttäjätunnusten yksilöllisyys VAATIMUS: Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia potilaskertomuksen merkintöjen tekemiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muista vastaavia voimakkaita käyttöoikeuksia. AUDITOINTI: Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. Myös ohjelmistotoimittajan ja tukipalveluiden mahdollisesti käyttämät yhteistunnukset pitää muuttaa yksilöllisiksi (myös ylläpitäjätunnukset pitäisi olla yksilöllisiä. Tässä tosin on noudatettava malttia, ettei saada aikaan enemmän ongelmia kuin hyötyä). Toisaalta ohjelmistoissa lienee ominaisuus, joka päästää sähköisen lääkemääräyksen sovellukseen vain toimikortilla tunnistautuneen käyttäjän. Tässä yhteydessä voisi olla syytä pohtia myös th-toimija kortin käyttöä toimittajan etäyhteyksien tunnistamiseen. 41
42 Auditointivaatimus 19: esimerkki Olemme yhteistyössä toimittajamme kanssa tarkastaneet, että järjestelmässä ei ole yhteiskäyttöisiä tunnuksia potilaskertomuksen merkintöjen tekemiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. 42
43 Auditointivaatimus 20: Verkkoyhteyden suojaus VAATIMUS: Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana AUDITOINTI: Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Verkkodiagrammi ajan tasalla tai joku muu normaalitoimintaa hyödyntävä menetelmä. Ajantasainen verkkodiagrammi helpottaa normaalia arkipäiväistä ylläpitoa, mutta se helpottaa myös auditointia. Kun on olemassa ajantasainen verkkokaavio, niin salaukseen tai tietoliikenteen kahdentamiseen liittyvät tarpeet on helpompi selvittää. Jos auditointivaatimus 14:n yhteydessä on piirretty kuva vastuista, niin sitä voidaan hyödyntää myös tässä yhteydessä 43
44 Auditointivaatimus 20: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että verkkoyhteytemme ovat asianmukaisesti suojattuja. Katso kuva (Liite 5). 44
45 Auditointivaatimus 21: Hallintayhteydet järjestelmään VAATIMUS: Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. AUDITOINTI: Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu Järjestelmän etäkäyttöä varten on oltava riittävän turvalliset tietoliikenneratkaisut (esim. vpn) ja tunnistetaan käyttäjät vahvasti (esim. toimikortilla) Paikkaan sidottu käyttö on helpompi valvoa, mutta työ muuttuu entistä enemmän liikkuvaksi 45
46 Auditointivaatimus 21: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että etäyhteydet järjestelmään on toteutettu turvallisesti ja etäyhteyksien käyttäjät tunnistetaan käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. 46
47 Auditointivaatimus 22: Järjestelmän ylläpito VAATIMUS: Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja www-sovellusten haavoittuvuuksilta (esim. OWASP top 10).. AUDITOINTI: Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Tähän kiinnitettävä erityistä huomiota, jos palvelimia ylläpidetään itse Järjestelmän koventaminen : Tutkitaan ja tukitaan kaikki tiet, joista voisi päästä asiattomasti käsiksi salaamattomaan potilastietoon tai aiheuttaa ongelmia sen saatavuudelle tai eheydelle 47
48 Auditointivaatimus 22: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että järjestelmän ylläpidossa on noudatettu KanTa-sivuston antamia ohjeita ylläpitotoimien ja tietoturvan suhteen. 48
49 Auditointivaatimus 23: Tunnistautuminen järjestelmiin VAATIMUS: Järjestelmiin tulee sallia kirjautuminen sähköiseen lääkemääräykseen ja valtakunnalliseen potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Salasanalla tunnistautuessa voi käyttää ainoastaan organisaation potilastietojärjestelmän sisältämiä tietoja. AUDITOINTI: Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan. Tarkastetaan, että tuotantoympäristössä edellytetään vahvaa salasanaa. Kun potilastietojärjestelmät ovat päässeet auditoinnista läpi, täyttyy tämä kohta myös ko. auditoituja järjestelmiä hyödyntävällä välittäjällä. Sähköisen lääkemääräyksen osioihin ja Reseptikeskukseen ei pääse ilman toimikorttia. On huomattava, että hallintavälineiden tunnistautumisessa on käytössä vahvat salasanat (tai jokin muu vahva tunnistusmekanismi) siis ne järjestelmän osat, joita ei käytä suuri joukko käyttäjiä, vaan hyvin rajattu (ylläpitäjien) joukko. Käyttöönoton käsikirjassa ( Tietoturva ja auditointi: Malli i - Ohje toimikortin käytöstä 49
50 Auditointivaatimus 23: esimerkki Olemme yhteistyössä IT-tuen ja toimittajan kanssa tarkastaneet, että järjestelmä sallii kirjautumisen sähköiseen lääkemääräykseen ja valtakunnalliseen potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Salasanalla tunnistautuessa voi käyttää ainoastaan organisaation potilastietojärjestelmän sisältämiä tietoja. 50
51 Auditointivaatimus 24: Istunnon katkaisu VAATIMUS: Kertomusjärjestelmän käyttöliittymä tai työasema on lukittava, kun käyttäjä ei käytä sitä aktiivisesti 30 minuutin kuluessa. 30 minuutin jälkeen pitää antaa PIN uudelleen. AUDITOINTI: Tarkistettava, että toimintayksikössä on käytössä joko kertomusjärjestelmän käyttöliittymän lukitus tai työasemakohtainen lukitus. Kts. myös Auditointivaatimukset potilastietojärjestelmille kohta 22 Vahti-ohjeistuksiin kannattaa myös tutustua: _ja_maaraykset/index.jsp 51
52 Auditointivaatimus 24: esimerkki Työasemamme lukittuvat, kun käyttäjä ei käytä sitä aktiivisesti 30 minuutin kuluessa. Poikkeuksena ovat leikkaussalin järjestelmät, jotka lukittuvat 120 minuutin kuluessa. 52
53 Auditointivaatimus 25: Potilaan informointi VAATIMUS: Terveydenhuollon toimintayksikön tai lääkkeen määrääjän on informoitava potilasta sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Potilasta tulee informoida valtakunnallisesta arkistosta ja siihen liittyvistä suostumuksista ja kielloista. AUDITOINTI: Informointikäytännöt on määritelty ja käyttäjien tiedossa. Laki Asiakastietojen sähköisestä käsittelystä 159/2007 ( muutettu ): Informoinnin yleiset toimintamallit on kuvattu Sähköisen lääkemääräyksen ja Potilastiedon arkiston toimintamalleissa ja koulutusmateriaaleissa, kuten verkkokouluissa Tämä lienee luontevinta on hoitaa ajanvarauksen ja tai ilmoittautumisen yhteydessä 53
54 Auditointivaatimus 25: esimerkki Olemme laatineet henkilökunnallemme tarkoitetut ohjeet potilaan informoinnista. Ensisijaisesti informointi pyritään tekemään ilmoittautumisen yhteydessä. Informointi käydään läpi koulutuksessa. Ohjeet löytyvät Intranetistä ja vastaanottotiskien ohje-kansioista. 54
55 Auditointivaatimus 26: Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen VAATIMUS: Sosiaalihuollossa syntyviä ja sosiaalihuollon rekistereihin kuuluvia potilastietoja ei toistaiseksi tallenneta Kantaan. Toimintayksikön on varmistettava, että ko. tiedot erotetaan potilastietojärjestelmässä siten, että tiedot eivät tallennu Kantaan. AUDITOINTI: Tarkistettava, että sosiaalihuollossa muodostuvat potilastiedot on erotettu potilastietojärjestelmässä siten, että ne eivät tallennu Kantaan. Koskee potilaskertomusta, ei sähköistä lääkemääräystä eli sosiaalihuollon yksiköt voivat liittyä sähköisen lääkemääräyksen käyttäjäksi THL: ja Kelan laatiman aikataulun mukaisesti. THL tarkentaa ohjeita sosiaalihuollon rekistereihin kuuluvien potilastietojen käsittelystä. Ohjeita ja kannanottoja on myös Tieto-suojavaltuutetun sivuilla ja 55
56 Auditointivaatimus 26: esimerkki Olemme tarkistaneet, että tämä auditointivaatimus ei ole relevantti tällä hetkellä yrityksellemme. 56
57
Kansalliset auditointivaatimukset terveydenhuollon organisaatioille
Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan rajoittua käyttöönotettaviin
LisätiedotVaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset # Kriteeri / kontrollitavoite Organisaatoriset vaatimukset
LisätiedotVälittäjän määritelmä:
Kansalliset vaatimukset välittäjälle Välittäjän määritelmä: Välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi olevasta käsikirjasta. Välittäjällä
LisätiedotOMAVALVONTASUUNNITELMA
RÄÄKKYLÄN KUNTA Sosiaali- ja terveydenhuollon tietojärjestelmät TERVEYSKESKUS OMAVALVONTASUUNNITELMA Hyväksytty; Perusturvalautakunta _._.2015 Saila Tarkkonen Omavalvontasuunnitelmassa selvitetään miten
LisätiedotKANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT
OHJE v1.1 1(4) 27.2.2012 KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT Auditoinnilla tarkoitetaan toimenpidettä, jolla varmistetaan, että KanTa-kokonaisuuteen liittyvät järjestelmät ja organisaatiot
LisätiedotKanTa-palveluiden liittyjämääritelmä. erespa Vaikuttajafoorumi2 Kehittämispäällikkö Maritta Korhonen 14.10.2013
KanTa-palveluiden liittyjämääritelmä erespa Vaikuttajafoorumi2 Kehittämispäällikkö Maritta Korhonen 14.10.2013 YKSITYISEN TERVEYDENHUOLLON SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN KÄYTTÖÖNOTTO JA LIITTYMINEN KANTA-PALVELUUN
LisätiedotKanTa. Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti
OHJE 23.4.2012 KanTa Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti OHJE: Tämä dokumentti on tarkoitettu taustamateriaaliksi ereseptin auditointivaatimusten käsittelyyn ja toteutumisen
LisätiedotKanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi olevasta käsikirjasta.
Tietoturvavaatimukset Kanta- välittäjäpalveluja tarjoavalle Kanta- välittäjän määritelmä: Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi
Lisätiedoterespa viitoittaa tietä ereseptiin Projektoinnin työpaja yrityksille 2014
erespa viitoittaa tietä ereseptiin Projektoinnin työpaja yrityksille 2014 Päivän sisältö Esittelyt Vaiheistus Auditointivaatimukset Projektisuunnitelma 2 Yksityisen sektorin KanTa-palveluihin liittyminen
LisätiedotKanTa-palvelut. Web-reseptisovellukset. versio 1.0
Kela Liite auditointivaatimuksiin 1 (8) KanTa-palvelut Web-reseptisovellukset versio 1.0 Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 0.1 31.10.2013 KanTa-palveluryhmä, Kela Ensimmäinen
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen antajilla on velvoite laatia omavalvontasuunnitelma,
LisätiedotOsapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.
Mallisopimus Sopimus e-reseptipalveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja itsenäinen ammatinharjoittaja ("Ammatinharjoittaja") sopivat e-reseptipalveluun
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
1 (10) johtoryhmä 10.3.2015 38, yhtymähallitus 30.3.2015 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen
LisätiedotKanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä
Kanta-sopimusmalli / Yritys-Yritys Sopimus eresepti-palveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja Lääkäriaseman tiloissa toimiva lääkäripalveluyhtiö
LisätiedotKysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon
Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon Sisällys 1. Liittymisvelvoite, aikataulu ja liittymismallit... 2 2. Liittymisvalmistelut... 5 3. Potilastietojärjestelmä...
LisätiedotAuditointi. Teemupekka Virtanen 14.5.2010
Auditointi Teemupekka Virtanen 14.5.2010 Lähtökohta Kaikki KANTAan liittyneet organisaatiot jakavat saman tietomassan Keskinäinen luottamus Yhteiset toimintaperiaatteet Yhteinen turvataso Minä uskallan
LisätiedotTerveydenhuollon valtakunnalliseen tietojärjestelmäpalveluun liittyminen ja ereseptin käyttöönotto
Helli-liikelaitoksen johtokunta 123 23.10.2012 Terveyspalvelujen liittyminen earkistoon (2012) 203/4/421/4211/2012 Helli-liikelaitoksen johtokunta 123 Terveydenhuollon valtakunnalliseen tietojärjestelmäpalveluun
Lisätiedoteresepti-palvelun palvelukuvaus
n palvelukuvaus on Kansaneläkelaitoksen (jäljempänä Kela) Kanta-palvelujen ylläpitämä ja Kanta-palveluihin kuuluva palvelu, joka käsittää Reseptikeskuksen ylläpidon reseptien tallentamista ja toimittamista
LisätiedotLiittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut, 10.2.2016
Liittyminen Kanta-palveluihin Valmistelukokous Kela, Kanta-palvelut, 10.2.2016 Käsiteltävät asiat Kelan rooli ja Kanta-palvelut Kanta-palveluihin liittymisen päävaiheet Käyttöliittymä rekisterinpitäjän
LisätiedotPotilastiedon arkiston käyttöönotto. Anna Kärkkäinen 24.1.2013 (Termit ja vaiheistus päivitetty 29.11.2013)
Potilastiedon arkiston käyttöönotto Anna Kärkkäinen 24.1.2013 (Termit ja vaiheistus päivitetty 29.11.2013) Kansallisten tietojärjestelmäpalveluiden hyödyntäminen VRK:n varmennepalvelut Lääketietokanta
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä Timo Airaksinen, Salivirta & Partners
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä 8.2.2013 Timo Airaksinen, Salivirta & Partners ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa
LisätiedotKuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?
Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa? Lainsäädäntö ja siihen liittyvä ohjeistus Kuntamarkkinat 10.9.2014, Kuntatalo 10.9.2014 Tanja Stormbom, lakimies, THL
LisätiedotKanTa. Liittymisohje KanTa-palveluihin
Liittymisohje 1 (14) KanTa Liittymisohje KanTa-palveluihin Tämä dokumentti on toimintayksiköitten ja hankeen johdolle tarkoitettu ohje. Ohjeessa kuvataan yleisellä tasolla KanTa-palveluihin liittymisen
LisätiedotKanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys
KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto Ensimmäisenä sähköinen lääkemääräys Käyttöönottoon valmistautuminen 07.06.2013 4.6.2013 Sähköinen lääkemääräys 1 Esityksen sisältö Kansalliset
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa työsuhteisina ja ammatinharjoittajina
LisätiedotLänsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö. 12.6.2015 Teija Horsma
Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö 12.6.2015 Teija Horsma 1 Omavalvonta Sosiaali- ja terveydenhuollon palvelujen valvonnassa korostetaan palveluntuottajien omaa vastuuta toiminnan
Lisätiedotsivu 1 (5) Sähköinen lääkemääräys vaatimusmäärittely 30.10.2015 versio 2.8
sivu 1 (5) Sähköinen vaatimusmäärittely 30.10.2015 versio 2.8 LIITE 2: Reseptikeskuksesta / Potilastietojärjestelmät HL7 MedicalRecords dokumentissa on määritelty tarkat ehdot, joiden mukaisesti ja voidaan
LisätiedotRekisterinpidon ja käytönvalvonnan haasteet
Rekisterinpidon ja käytönvalvonnan haasteet TERVEYDENHUOLLON ATK-PÄIVÄT 2014 Jyväskylän Paviljonki 20. - 21.5.2014 20.05.2014 Lähtökohta ja yleistä Tietosuojavastaavat ja rekisterinpitäjät tarvitsevat
LisätiedotESR-Henkilö. Tunnistautuminen ESR-Henkilö -järjestelmässä
ESR-Henkilö Tunnistautuminen ESR-Henkilö -järjestelmässä Käyttöohje toteuttajille 28.9.2015 ESR-Henkilö -järjestelmän käyttöohje hankkeiden toteuttajille 2 (8) SISÄLLYSLUETTELO 1 Yleistä tunnistautumisesta...
LisätiedotUuden terveydenhuoltolain toteutumisen edistäminen. ereseptin käyttöönoton suunnittelu ja valmistelu
Uuden terveydenhuoltolain toteutumisen edistäminen ereseptin käyttöönoton suunnittelu ja valmistelu Tietoturva- ja tietosuojatason selvittäminen, huomioiden valtakunnallisen sähköisen tietojärjestelmäpalvelun
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotKanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä
Malli: Asiakastietojen käsittely 1 (7) KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä Ohje: Tämän ohjeen kohderyhmä on terveydenhuollon toimintayksikön johto. Ohje on
LisätiedotSonera Hosted Mail -palvelun käyttöohje 12.05.2011
Sonera Hosted Mail -palvelun käyttöohje 12.05.2011 Sonera Hosted Mail -palvelun käyttöohje 1. Johdanto Hosted Mail on yrityskäyttöön suunniteltu sähköposti- ja ryhmätyösovelluspalvelu. Se perustuu Microsoft
LisätiedotTerveydenhuollon laitteet ja tarvikkeet omavalvonnan osana myös sosiaalihuollon palveluissa
Terveydenhuollon laitteet ja tarvikkeet omavalvonnan osana myös sosiaalihuollon palveluissa Valtakunnallinen Sosiaali- ja terveydenhuollon omavalvontaseminaari Ylitarkastaja Tarja Vainiola Omavalvontasuunnitelma
LisätiedotKOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI
1.6.2016 1 (7) KOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI MEPCO HRM PALKAT TOIMINNALLISUUS Käyttäjän peruskurssi RAPORTOINTI Vuodenvaihdekurssi Pääkäyttäjäkurssi Raportoinnin alkeet ja
LisätiedotSuomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio 1.2 4.4.2016
Suomen Lions liitto ry Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio 1.2 4.4.2016 Dokumenttien ja ohjeiden luovutus kolmannelle osapuolelle ilman lupaa, kopioimalla,
LisätiedotKansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät 25.5.2009 Erkki Aaltonen
Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät 25.5.2009 Erkki Aaltonen Esityksen sisältö KanTa ja sen tausta Käyttöönotto ja tilanne nyt Mikä muuttuu eresepti earkisto Omien
LisätiedotOmien tietojen katselu. Terveydenhuollon ATK-päivät 28.5.2013
Omien tietojen katselu Terveydenhuollon ATK-päivät 28.5.2013 Aktiivisessa käytössä Omien tietojen katselu on aktiivinen sähköinen asiointipalvelu Kirjautumisia jo yli 750.000, yksittäisiä käyttäjiä vähemmän
LisätiedotTietosuojakysely 2019
Tietosuojakysely 2019 Kanta-palvelut tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Kela FPA Kanta-palvelut Kanta tjänsterna www.kanta.fi PL 450, 00056 Kela PB 450, 00056 FPA kanta@kanta.fi
LisätiedotTietosuojakysely 2018
Tietosuojakysely 2018 05/2018 Kela Tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Sisällys Taustatiedot 1 Vastaajatiedot 1 Tulokset 1 Yleistä 1 Tietosuojavastaavat 2 Apteekkarin tai organisaation
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0 Kanta 255 10.15 1(11) Sisällys 1 Liittymisvelvoitteiden ja -vastuiden täyttäminen... 3 2 Kanta-palveluihin liittyvät tietojärjestelmät
LisätiedotLiittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen
Liittyminen eresepti-palveluun Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen eresepti-palveluun liittyjä eresepti-palveluun liittyjä on terveydenhuollon toimintayksikkö,
LisätiedotKäyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille
Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille Kieku-info virastoille 9.6.2015 OPH:n monitoimitila, Helsinki Lari Nikoskelainen, ERP hankepäällikkö Esittäjän nimi 9.6.2015 kehitysprojekti
LisätiedotKysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista
Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista Sisällys 1. Liittymisen aikataulu ja liittymismalli... 1 2. Potilastietojärjestelmä... 2 3. SOTE-rekisteri... 2
LisätiedotSisäinen auditointi osa Oamkin ympäristöohjelmatyötä 11.05.2009
Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä 11.05.2009 2. Päivä Sisäinen auditointi Luovassa (1.6.09) Etätehtävien purku Auditoinnin suunnittelu ja menetelmät Poikkeamat Auditoinnin raportointi
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.2 Kanta-sopimusmalli 2 (10) Sisällysluettelo 1 Johdanto... 3 2 Liittymisvelvoitteet ja vastuut... 3 3 Kanta-palveluihin liittyvät
LisätiedotLiittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013
Liittyminen eresepti-palveluun Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013 eresepti-palveluun liittyjä eresepti-palveluun liittyjä on terveydenhuollon toimintayksikkö
Lisätiedot- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta
TW-EAV510: VALVONTAKAMERAN KYTKEMINEN VERKKOON OPERAATTORIN IP-OSOITE - Jotta valvontakameran käyttöä varten saadaan avattua tarvittavat portit, pitää operaattorilta saada julkinen IP-osoite, jotta kaikki
LisätiedotKanTa. Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa
Seuranta ja valvonta 1(16) KanTa Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 1.0 KanTa-palveluryhmä
LisätiedotTietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki 29.4.2016, Helsinki
Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki 29.4.2016, Helsinki Tietosuoja Kansainvälistä ja yksilön perusoikeus tiedollista kotirauhaa Henkilötietojen
LisätiedotKatso-tunnistautuminen. Jyrki Laitinen ja Johanna Kallio Järjestelmän koulutus syksy 2015 Suomen ympäristökeskus SYKE
Katso-tunnistautuminen Jyrki Laitinen ja Johanna Kallio Järjestelmän koulutus syksy 2015 Suomen ympäristökeskus SYKE Mikä on Katso? Katso-tunnistautuminen on Verohallinnon tarjoama palvelu, joka on käyttäjätunnistautuminen
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotPelastuslaitosten tietoturvallisuuden
Pelastuslaitosten tietoturvallisuuden kehittäminen Kumppanuusverkoston kehittämishanke Pasi Hintikka valmiuspäällikkö, Oulu-Koillismaan pelastuslaitos projektipäällikkö, Pelastuslaitosten tietoturvallisuuden
LisätiedotTietosuojavastaavan toiminta ja dokumentointi
Tietosuojavastaavan toiminta ja dokumentointi Johanna Sorvettula Tietosuojavastaava Hallintojohtaja, varatuomari, MBA 2015 EPSHP - Johanna Sorvettula 1 Tietosuojavastaavan tehtävät Tietosuojavastaavan
LisätiedotTIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt
TIETOSUOJASELOSTE HP/ 15.5.18 TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt Hanna Pirskanen toiminnanjohtaja 2 Sisällys 1 Tietoturvapolitiikka...3 2 Tietotilinpäätös...3 2.1 Organisaation tietovarannot,
LisätiedotVaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Versio 1.0 9.9.2010 Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset Organisaatoriset vaatimukset Vaatimus/Kontrolli
LisätiedotOMAVALVONTA SOSIAALI JA TERVEYDENHUOLLON LAINSÄÄDÄNNÖSSÄ. Riitta Husso, Valvira 25.8.2015
OMAVALVONTA SOSIAALI JA TERVEYDENHUOLLON LAINSÄÄDÄNNÖSSÄ Riitta Husso, Valvira 25.8.2015 1 Omavalvonta Palveluntuottaja vastaa siitä, että palvelu täyttää sille asetetut vaatimukset. Omavalvonnalla tarkoitetaan
LisätiedotLokipolitiikka (v 1.0/2015)
KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN
Lisätiedoterespa viitoittaa tietä ereseptiin
erespa viitoittaa tietä ereseptiin Miksi yhteistä tekemistä? Useimmille pienille ja keskisuurille yksityisille palveluntuottajille, joilla ei ole omaa tietohallintoa, liittymisen toimenpiteet ja auditointivaatimukset
LisätiedotKansalliset auditointivaatimukset terveydenhuollon organisaatioille
Versio 2.0 19.4.2013 Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan
LisätiedotJUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio 4.12.2012
JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio 4.12.2012 Tietojen käytön seuranta ja valvonta 1. Toimeksianto JUHTAn perustietovarantojaoston työsuunnitelman mukaisesti tietosuojan ydinryhmä
LisätiedotTietosuojakysely 2016
Tietosuojakysely 2016 Yksityinen terveydenhuolto Kansaneläkelaitos Tietosuojavaltuutetun toimisto Sisällys Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto... 2 Yleistä... 2 Tietosuojavastaavat...
LisätiedotOHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA
Ohje 2/2017 1(5) OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA Kohderyhmät Voimassaoloaika Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen
LisätiedotVaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Kansalliset vaatimukset apteekkijärjestelmille Luottamuksellisuus ja eheys 1 Tiedonsiirron luottamuksellisuus ja eheys reseptikeskukseen on turvattu 2 Tietoliikenteen salaus ja tietojen luottamuksellisuus
LisätiedotHuomaathan, että ohjeessa olevat näytöistä otetut kuvat voivat poiketa sinun koulutuksesi vastaavien sivujen kuvista.
OHJE OPISKELIJALLE MOODLEN KÄYTTÖÖN 1/5 2011/2012 MOODLE KOULUTUKSESSA Työterveyslaitoksella käytetään Moodle -verkko-oppimisalustaa. Potilassiirtojen Ergonomia - koulutus on monimuotokoulutusta, johon
LisätiedotPotilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja
Potilastiedon arkisto Hakemus ja sitoumus Kela, Kanta-palvelut, 8.1.2015 Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja Hakemus on sitoumus Edellytykset vaiheeseen siirtymiselle
LisätiedotTietosuojakysely 2017
Tietosuojakysely 2017 Apteekki Tekijät Kela Tietosuojavaltuutetun toimisto Raportti Sisällys 1 Tietosuojakyselyn tulokset Apteekki... 2 1.1 Yleistä... 2 1.2 Tietosuojavastaavat... 4 1.3 Apteekkarin tai
LisätiedotAPTEEKKIEN TOIMINTAOHJEMALLI: SÄHKÖISEEN RESEPTIIN LIITTYVÄT HÄIRIÖTILANTEET
APTEEKKIEN TOIMINTAOHJEMALLI: SÄHKÖISEEN RESEPTIIN LIITTYVÄT HÄIRIÖTILANTEET JOHDANTO Apteekin tulee varautua sähköisen reseptin toiminnassa mahdollisesti ilmeneviin häiriötilanteisiin. Koko apteekin henkilökunnan
LisätiedotSTRATEGISET PÄÄMÄÄRÄT
STRATEGISET PÄÄMÄÄRÄT Kasvihuonekaasupitoisuudet ilmakehässä vakiinnutetaan tasolle, joka estää vaaralliset muutokset ja mahdollistaa sopeutumisen Rakennettu ympäristö on energiatehokas, elinvoimainen
LisätiedotREKISTERISELOSTE Henkilötietolaki (523/99) 10
REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 13.01.2012 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Yhteystiedot (osoite,
LisätiedotSähköinen lääkemääräys Käyttöönottojen tilanne ja tuki käyttöönottojen jälkeen
Sähköinen lääkemääräys Käyttöönottojen tilanne ja tuki käyttöönottojen jälkeen erespa-loppuseminaari 12.3.2014 Kehittämispäällikkö Riitta Konttinen 12.3.2014 Riitta Konttinen 1 Yksityisen terveydenhuollon
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(9) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 09, 7.7.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotValmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen 29.11.
Valmistautuminen potilastiedon arkiston käyttöönottoon Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen 29.11.2012 Kansallinen käyttöönoton tuki liittyjille Käyttöönoton käsikirja
LisätiedotYLIOPISTOJEN YHTEISHAKU JA SÄHKÖINEN HAKUJÄRJESTELMÄ
YLIOPISTOJEN YHTEISHAKU JA SÄHKÖINEN HAKUJÄRJESTELMÄ Vilho Kolehmainen ESITYS OPINTOASIAIN PÄIVILLÄ ROVANIEMELLÄ 27.9.2007 Osaamisen ja sivistyksen asialla HANKKEEN TAVOITE Suunnitella ja toteuttaa yliopistojen
LisätiedotVäli- ja loppuraportointi
Väli- ja loppuraportointi Hyvän raportin merkitys hankkeen tulosten kuvaamisessa Sari Ahvenainen ESR-koordinaattori 25.5.2011 Uudenmaan ELY-keskus Väliraportti (1/8) Miksi väliraportti tehdään? - Tarkoituksena
LisätiedotArkistolaitoksen sähköisen aineiston vastaanotto- ja palvelujärjestelmähanke VAPA
Arkistolaitoksen sähköisen aineiston vastaanotto- ja palvelujärjestelmähanke VAPA JHS-seminaari Säilyykö kansakunnan muisti? 14.11.2006 Päivi Happonen Kansallisarkisto Asiakirjahallintoyksikkö VAPA-järjestelmän
LisätiedotSHY Turun paikallisosasto seminaariristeily 23.5.2014. EN 1090-1 sertifiointi
SHY Turun paikallisosasto seminaariristeily 23.5.2014 EN 1090-1 sertifiointi Ilmoitetun laitoksen arviointiprosessi Akkreditointi Ilmoitettu laitos voi olla akkreditoitu tai ei Akkreditoinnin tekee kansallinen
LisätiedotLuovia ratkaisuja Erasmus-byrokratian kanssa painimiseen KANSAINVÄLISTEN ASIOIDEN KEVÄTPÄIVÄT 10.5.2016, TURKU
Luovia ratkaisuja Erasmus-byrokratian kanssa painimiseen KANSAINVÄLISTEN ASIOIDEN KEVÄTPÄIVÄT 10.5.2016, TURKU Erasmus+ -ohjelman hallinto Oamkissa - Osin keskitetty, osin hajautettu malli - Kv-palvelut
LisätiedotTIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24
TIETOSUOJASELOSTE yhdistetty rekisteriseloste ja informointiasiakirja Henkilötietolaki (523/99) 10 ja 24 Laatimispvm: 15.1.2014 Päivitetty:7.3.2016 Laatija:Leena Laaninen 1. Rekisterinpitäjä Nimi: Liperin
LisätiedotInfotilaisuus omavalvontasuunnitelman laatimisesta. Paasitorni 11.3.2015 Kehittämispäällikkö Juha Mykkänen Kehittämispäällikkö Anna Kärkkäinen
Infotilaisuus omavalvontasuunnitelman laatimisesta Paasitorni Kehittämispäällikkö Juha Mykkänen Kehittämispäällikkö Anna Kärkkäinen Esityksen sisältö Vastuut tietoturvasta ja tietosuojasta Omavalvontasuunnitelman
LisätiedotAsiakirjahallinta Oulun kaupungissa
Asiakirjahallinta Oulun kaupungissa Kaupunginhallitus 6.5.2013 286, voimaantulo 29.5.2013 Sisällysluettelo: 1. Asiakirjahallinnan tehtävät ja vastuut... 3 2. Vastuu asiakirjallisesta tiedosta... 3 2.1
LisätiedotTerveydenhuollon potilasasiakirjojen kehittäminen - merkinnöistä palvelukokonaisuuksiin
Terveydenhuollon potilasasiakirjojen kehittäminen - merkinnöistä palvelukokonaisuuksiin 26.5.2009 Maritta Korhonen Pohjois-Savon sairaanhoitopiiri 13.5.2009 1 PSSHPn strategia Keskeiset kehittämiskohteet
LisätiedotAjankohtaista Maanmittauslaitoksesta
Ajankohtaista Maanmittauslaitoksesta Kiinteistörekisterinhoitajien koulutuspäivät Paavo Häikiö 16.-17.9.2015 2 Vahva tunnistautuminen Palveluiden tietoturvan parantaminen liittyy asetuksen tietoturvallisuudesta
LisätiedotInformointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?
Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa? Terveydenhuollon ATK-päivät 15.-16.5.2012 KanTa-palveluihin liittyvää keskeistä lainsäädäntöä Laki sähköisestä lääkemääräyksestä
LisätiedotKanta Liittymisohje Kanta-asiakastestipalveluun
Kanta-asiakastestipalvelu 1 (21) Kanta Liittymisohje Kanta-asiakastestipalveluun Kanta-asiakastestipalvelu 2 (21) Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 1.0 3.9.2009 KanTa-palveluryhmä,
LisätiedotLiittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen
Liittyminen eresepti-palveluun Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen Palvelujen käyttöönoton aikataulut Sähköinen resepti käytössä Apteekeissa ja sivuapteekeissa
LisätiedotYleinen osa - Kuntoutuksessa tukena,
Yleinen osa - Kuntoutuksessa tukena, muutoksessa mukana Anneli Louhenperä Ma. kehittämispäällikkö 25.11.2015 1 Esityksen sisältö Kertausta: Mikä on standardi ja miksi sitä tarvitaan Diat 3 7 Muutokset:
LisätiedotAsiakaspalvelun uusi toimintamalli autetaan asiakasta digitaalisten palveluiden käytössä (AUTA)
Asiakaspalvelun uusi toimintamalli autetaan asiakasta digitaalisten palveluiden käytössä (AUTA) JUHTA 10.5.2016 JulkICT Mistä on kyse? AUTA on kokeiluhanke, jolla etsitään uutta toimimallia asiakkaiden
LisätiedotTIETOSUOJASELOSTE LÄÄKÄRIN TERVEYSKANSION KÄYTTÄJÄREKISTERI V. 1.0
1. Rekisterinpitäjä Nimi Cityterveys-konserni (Cityterveys Oy, Y-tunnus 2608646-3 ja sen kanssa samaan konserniin kuuluvat yhtiöt) Rekisteri on yhteiskäytössä myös niillä itsenäisillä ammatinharjoittajilla,
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(8) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 08, 31.3.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotOrganisaation muutostilanteet
Organisaation muutostilanteet 29.11.2018 Kela, Kanta-palvelut Sisältö Valmistautuminen organisaatiomuutoksiin Terveydenhuollon muutostilanteet Muutostilanteista ilmoittaminen Uudet liittymiset Tekniset
LisätiedotKanta-palvelut asiakkaan tueksi. Potilaan päivä, Kuopio Konstantin Hyppönen
Kanta-palvelut asiakkaan tueksi Potilaan päivä, 17.11.2016 Kuopio Konstantin Hyppönen Kanta-palvelut Kansalaisille Apteekeille (~810) Julkiselle terveydenhuollolle ( > 1000 palveluyksikköä) Yksityiselle
LisätiedotA B C LAATUKÄSIKIRJA. Yrityksen laatupolitiikka
A100 A1 2/5 1. L A AT U K Ä S I K I R J A 1. 1 L a a t u k ä s i k i r j a n t a r k o i t u s Laatukäsikirjan pohjana on halu kehittää ja tehostaa toimintoja määrittelemällä suunnitteluvaiheen toimintatavat
LisätiedotOHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA
Ohje 2/2018 1(7) OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA Kohderyhmät Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien
LisätiedotKANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3
KanTa-palvelujen yleiset toimitusehdot 1 KanTa-palvelujen yleiskuvaus KanTa-palvelujen tuottaja ylläpitää alla mainittuja KanTa-palveluja. Asiakas käyttää palveluja omalla tietojärjestelmällään. KanTa-palveluilla
LisätiedotKanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote. SosKanta-hanke/Kaisa Pesonen
Kanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote SosKanta-hanke/Kaisa Pesonen 13.11.2018 Eksote-Kanta arkkitehtuurikuva Lokienvalvontaohjelma Sama tietoliikennereitti myös PTJ:sta Kanta-palvelujen
LisätiedotValtion yhteinen viestintäratkaisupalveluiden
Valtion yhteinen viestintäratkaisupalveluiden käyttöönotto Tässä materiaalissa on kuvattu käyttöönoton tehtävät yleisellä tasolla. Kuvattujen tehtävien lisäksi voidaan tehdä asiakaskohtaisia tehtäviä (esim.
LisätiedotOrganisaation muutostilanteet. Kela, Kanta-palvelut
Organisaation muutostilanteet Kela, Kanta-palvelut 28.9.2017 Valmistautuminen organisaatiomuutoksiin Kartoita vaikutukset Kanta-palveluiden liittymisiin Tuleeko uusi/uusia liittyjiä? Lopettaako liittyjä
LisätiedotHenkilötietojen suojasta kiinteistökaupan verkkopalvelussa
Henkilötietojen suojasta kiinteistökaupan verkkopalvelussa Kiinteistöasioiden digipäivä 15.4.2016, Pasila Kristian Holmén Johtava asiantuntija, VT Maanmittauslaitos Yleistä henkilötiedoista verkkopalvelussa
LisätiedotJYVÄSKYLÄN YLIOPISTO. OPM:n palvelukeskushanke; missä mennään?
OPM:n palvelukeskushanke; missä mennään? 29.3. Taustaa: Valtion talous- ja henkilöstöhallinnon järjestelmäkokonaisuuden hankinta (Valtiokonttori: Kieku) Määritellään ja hankitaan järjestelmäkokonaisuus
Lisätiedot