Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti KANTA tunnistaminen ja sähköinen allekirjoitus VAATIMUSMÄÄRITTELY

Transkriptio

1 Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti KANTA tunnistaminen ja sähköinen VAATIMUSMÄÄRITTELY --- V Laatija: STM ja konsultit Tarkistaja: Hyväksyjät:

2 VAATIMUSMÄÄRITTELY i DOKUMENTIN MUUTOSHISTORIA Huom. Muutoshistoriaan kirjataan vain päätösten pohjalta tehdyt muutokset, ei työversioita. Revnro Pvm / Tekijä Kappale / Kappaleet Muutoksen sisältö SISÄLLYSLUETTELO 1 JOHDANTO Dokumentin tarkoitus Määrittelyn kattavuus ja rajaukset Olettamat ja riippuvuudet Taustaa Tunnistaminen Julkisen avaimen järjestelmä Tupas Sähköinen Kansalaisvarmenne VETUMA Tunnistus.fi Moni Yksilöinti TIETOJÄRJESTELMÄN YLEISKUVAUS Tietojärjestelmän tarkoitus ja sisältö Käyttäjäryhmät Käyttötavat Määrittelytyön rajaukset Ulkoiset riippuvuudet Terveydenhuollon oikeusturvakeskuksen varmennepalvelu Aikaleimapalvelu Väestörekisterit ja muut perusrekisterit Nykytilanne paikallisella tasolla Tunnistaminen ja käyttäjähallinta Sähköinen Henkilöiden yksilöinti Tavoitetila Hajautusarkkitehtuuri Hajautettu toteutus Ratkaisun yleiskuvaus Toteutuksen kuvaus Varmentaminen Potilastietojärjestelmän toiminnallisuus... 21

3 VAATIMUSMÄÄRITTELY ii KANTA -palvelun toiminnallisuus Potilaan sähköisen katseluyhteyden toiminnallisuus SIDOSRYHMÄKUVAUS Tietoja hyödyntävä järjestelmä Tietoja tuottava järjestelmä Varmentaja Aikaleimapalvelu TOIMINTA- JA TYÖPROSESSIEN KUVAUS Ydinprosessit Toiminta- ja työprosessit Käyttäjäkuvaukset Käyttötarinat Ensisijaiset käyttötarinat Potilaan hoitoon osallistuvan henkilön käyttö Arkistonhoitajan käyttö Järjestelmien toiminta Muut käyttötarinat Potilaan käyttö Ylläpitäjän käyttö Valvojan käyttö TOIMINNALLISUUDEN KUVAUS Käyttäjäroolit Käyttötapauskaavio Tunnistamisen käyttötapaukset Sähköisen allekirjoituksen käyttötapaukset Käyttötapauskuvaukset Käyttäjän tunnistaminen Potilaan hoitoon osallistuvan henkilön tunnistaminen Arkistonhoitajan tunnistaminen Valvojan tunnistaminen Ylläpitäjän tunnistaminen Järjestelmän tunnistaminen Potilaan tunnistaminen Käytön rajaaminen Potilaan hoitoon osallistuvan henkilön käytön rajaaminen Arkistonhoitajan käytön rajaaminen Potilaan käytön rajaaminen Potilastietojärjestelmän käytön rajaaminen Valvojan käytön rajaaminen Ylläpitäjän käytön rajaaminen Potilaan yksilöinti Sähköisen allekirjoituksen tarkistus Järjestelmä Käyttäjän sähköinen Potilaan sähköinen Aikaleimaaminen VAATIMUSTEN KUVAAMINEN... 65

4 VAATIMUSMÄÄRITTELY iii 7 VAATIMUSTEN TODENTAMINEN TIETOSISÄLLÖN KUVAUS Käsitemalli Käsitteiden kuvaukset JATKOKEHITYSIDEAT LÄHTEET... 75

5 VAATIMUSMÄÄRITTELY 1/76 1 JOHDANTO 1.1 Dokumentin tarkoitus Sosiaali- ja terveysministeriö (STM) on käynnistänyt hankkeen sosiaali- ja terveydenhuollon kansallisten tietojärjestelmäpalvelujen perustamiseksi. Tässä dokumentissa kuvataan terveydenhuollon potilastietojen sähköisten käsittely- ja arkistopalveluiden toiminnallisen määrittelyn ja vaatimusmäärittelyn tulokset sähköisen tunnistamisen ja allekirjoituksen osalta. 1.2 Määrittelyn kattavuus ja rajaukset Määrittelyssä kuvataan tunnistamisen ja sähköisen allekirjoituksen toiminnallisuus terveydenhuollon kansallisissa yhtenäisissä potilastietojen käsittely- ja arkistopalveluissa ja niihin liittyvissä järjestelmissä. Määrittelyn ulkopuolelle jää muun muassa valtakunnallisten varmennepalveluiden käyttäminen sähköisessä lääkkeenmääräämisessä (laki sähköisestä lääkkeenmääräyksestä 61/2007) ja mahdollisissa muissa terveydenhuollon erillispalveluissa tai rekisterissä. Potilaan tunnistamisen ja potilaan tekemän allekirjoituksen osalta kuvataan ne vaihtoehtoiset menettelytavat, jotka mahdollisesti täyttävät jäljempänä tarkoitetussa lakiehdotuksessa tarkoitetut järjestelmän yhtenäisen tietoturvatason edellyttämät yleiset vaatimukset sekä potilaan tunnistamiselle ja allekirjoitukselle asetetut nimenomaiset vaatimukset. Määrittelyn kuvaukset perustuvat voimaan tulevaan lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007). Lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista käsittelyä. Lailla mahdollistetaan yhtenäisen sähköisen potilastietojen käsittely- ja arkistointijärjestelmän luominen terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti. Samalla edistetään potilaan itseään koskevia tiedonsaantimahdollisuuksia. Lakiehdotuksessa ehdotetaan asetettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisen käsittelyn yleiset vaatimukset tietojen käytettävyyden, eheyden, ja säilymisen sekä asiakkaan yksityisyyden suojan turvaamiseksi. Tämä merkitsisi mm. yhtenäisen tietoturvatason edellyttämistä kaikissa asiakkaan tietojen käsittelyn vaiheissa. Tietojen sähköistä arkistoimista sekä yhtenäisin perustein terveydenhuollon toimintayksiköille tapahtuvaa tietojen luovuttamista varten ehdotetaan perustettavaksi keskitetyt valtakunnalliset tietojärjestelmäpalvelut. Julkisen sektorin sekä eräin poikkeuksin yksityisen sektorin terveydenhuollon palvelujen antajilla olisi velvollisuus liittyä valtakunnallisena toteutettavien tietojärjestelmäpalvelujen käyttäjäksi. Lain voimaantuloaika on Lakiehdotuksen sisältämä neljän vuoden siirtymäaika koskee erityisesti valtakunnallisten tietojärjestelmäpalveluiden valmistumista sekä velvollisuutta liittyä näiden palvelujen käyttäjäksi.

6 VAATIMUSMÄÄRITTELY 2/76 Kansaneläkelaitos hoitaa arkistointia ja tietojen luovutusta koskevia valtakunnallisia tietojärjestelmäpalveluita. Kansaneläkelaitos toteuttaa lisäksi valtakunnallisena tietojärjestelmäpalveluna potilaiden käytettäväksi sähköisen katseluyhteyden, jonka avulla potilas voi saada tiedon eräistä potilastiedoistaan ja potilastietojen käyttöön liittyvistä luovutuslokitiedoista. Potilastietojen käsittely- ja arkistointijärjestelmän edellyttämien terveydenhuollon valtakunnallisten varmennepalveluiden toteuttaminen ja ylläpitäminen on osoitettu Terveydenhuollon oikeusturvakeskuksen hoidettavaksi. Nämä varmennepalvelut kattavat terveydenhuollon palvelujen antajien, terveydenhuollon ammattihenkilöiden, toimintayksiköiden muiden potilasasiakirjojen sähköiseen käsittelyyn osallistuvien henkilöiden sekä tietoteknisten laitteiden tunnistamisen sekä sähköisen allekirjoittamisen edellyttämät palvelut. Laissa potilaan tunnistaminen edellytetään tehtäväksi luotettavasti sekä potilaan tekemä sähköinen sähköisistä allekirjoituksista annetussa laissa (14/2003) tarkoitettua kehittynyttä sähköistä ta turvallisuudeltaan vastaavalla sähköisellä allekirjoituksella. Laissa ei ole säännöksiä potilaan tunnistamisessa ja potilaan sähköisessä allekirjoituksessa käytettävistä palveluista tai välineistä. Sosiaali- ja terveysministeriön asetuksella voidaan kuitenkin säätää tarkemmin tunnistamisen teknisistä keinoista. Terveydenhuollon oikeusturvakeskus on osana kansallista terveyshanketta suunnitellut terveydenhuollon ammattihenkilöiden sähköistä valtakunnallista varmennepalvelua ja toteuttanut sitä koskevan kokeiluhankkeen vuosina Järjestelmän suunnittelun lähtökohtana on ollut sosiaali- ja terveysministeriön Sosiaalija terveysalan kehittämiskeskuksen (Stakes) valmistelun pohjalta valitsema Public Key Infrastructure (PKI) -varmennearkkitehtuuri. Varmennekokeilu on toteutettu liitettynä 12 sairaanhoitopiirin yhdessä ylläpitämään sairaanhoitopiirien organisaatiovarmennejärjestelmään. Kokeilun tekninen ympäristö on täyttänyt laatuvarmennetasoiselle toiminnalle asetetut vaatimukset. Varmenteen alustana on toistaiseksi käytetty korttia, mutta varmennepalvelun suunnittelussa on huomioitu muutkin kehittymässä olevat varmentamiseen liittyviä menetelmät ja alustat kuten esimerkiksi mobiiliratkaisut. Erityisesti mobiiliratkaisujen käyttöönoton välttämättömyys terveydenhuollossa on otettu huomioon varmentamispalveluiden seuraavan vaiheen kehityspolkuna. Tässä vaatimusmäärittelyssä tukeudutaan soveltuvin osin edellä tarkoitetun varmennekokeilun terveydenhuollon ammattihenkilöiden varmentamista koskevaan Terveydenhuollon oikeusturvakeskuksen varmennepolitiikkaan (liite 1 Terveydenhuollon oikeusturvakeskus Varmennepolitiikka Versio 1.05). Erityisesti muilta osin vaatimusmäärittely tarkentuu myöhemmin.

7 VAATIMUSMÄÄRITTELY 3/ Olettamat ja riippuvuudet Varmentajana terveydenhuollon sähköisissä järjestelmissä ja palveluissa mukaan lukien sähköinen lääkkeenmääräysjärjestelmä toimii Terveydenhuollon oikeusturvakeskus. Terveydenhuollon valtakunnallisen varmennepalvelun rakentaminen merkitsee terveydenhuollon palvelujen antajien, niiden palveluksessa olevien terveydenhuollon ammattihenkilöiden, potilasasiakirjojen sähköiseen käsittelyyn osallistuvan muun henkilökunnan sekä tietoteknisten laitteiden varmentamisen yhtenäistymistä. Terveydenhuollon ammattivarmenteella varmennetaan kaikki rekisteröidyt terveydenhuollon ammattihenkilöt, ja sama järjestelmä tuottaa myös edellä tarkoitetun muun henkilökunnan, palvelujen antajien sekä kansallisiin palveluihin liittyvien palvelujen antajien tietoteknisten laitteiden sekä tarvittavilta osin kansallisten palveluiden tuottajien, tuotantoon osallistuvan henkilökunnan sekä tietoteknisten laitteiden varmentamisen. Valtakunnallinen varmennepalvelu tarjoaa yhtenäisin perustein muodostuvan terveydenhuollossa toimivien luonnollisten henkilöiden pysyvän yksilöintitunnuksen (rekisteröintinumero), jota käytetään kaikissa kansalliseen potilastietojen käsittelyja arkistopalveluun liittyvissä järjestelmissä. Terveydenhuollon ammattihenkilöiden osalta rekisteröintinumero muodostetaan terveydenhuollon ammattihenkilöiden keskusrekisterissä olevien ajantasaisten henkilö- ja ammattioikeustietojen pohjalta. Potilasasiakirjojen sähköiseen käsittelyyn osallistuvan muun henkilökunnan osalta rekisteröintinumeron muodostaminen perustuu osaltaan väestötietojärjestelmästä saataviin ajantasaisiin henkilötietoihin. Henkilötunnuksettomien osalta yksilöintitunnuksen muodostamisen oletetaan perustuvan suunnitteilla olevassa väestötietojärjestelmää vastaavassa valtakunnallisessa ulkomaalaisrekisterissä annettuun pysyvään rekisteritunnukseen. Ellei yleistä ulkomaalaisten henkilötunnuksettomien rekisteriä ole käytettävissä, tulee välttämättömäksi rakentaa vastaava (sekä terveydenhuollossa toimivat henkilöt että potilaat ja sosiaalihuollon asiakkaat sisältävä) rekisteripalvelu sosiaali- ja terveydenhuoltoa varten. Terveydenhuollon varmentajan oletetaan hankkivan varmennejärjestelmän edellyttämän aikaleimapalvelun kansalliselta aikaleimapalvelun tuottajalta. Väestörekisterikeskuksen ja Mittatekniikan keskuksen oletetaan toteuttavan suunnitteilla olevan aikaleimapalvelun viranomaispalveluna siten, että se soveltuu terveydenhuollon käyttöön sekä kustannustehokkuuden että palvelukyvyn osalta. Aikaleimapalvelu oletetaan teknisesti toteutettavaksi kansainvälisten standardien mukaisena. Jollei aikaleimapalvelua ole saatavissa kansallisten viranomaisten toteuttamana, vastaava palvelu oletetaan hankittavaksi muulta luotettavalta palvelun toimittajalta.

8 VAATIMUSMÄÄRITTELY 4/ Taustaa Tunnistaminen Lakiehdotuksessa edellytettävä potilaan luotettava tunnistaminen sekä potilaan kehittynyttä sähköistä ta turvallisuudeltaan vastaava sähköinen voidaan toteuttaa vaihtoehtoisilla tavoilla. Koska myös potilaiden vahva tunnistaminen ja kehittyneen sähköisen allekirjoituksen käyttäminen takaisivat oikeimmalla tavalla järjestelmän yhtenäisen tietoturvan, tulisi kehitystavoitteeksi asettaa potilaiden osalta kansalaisvarmenteen käyttöönotto terveydenhuollon sähköisessä potilasasiakirja- ja arkistojärjestelmässä. Kansalaisvarmenteen riittävän laaja käyttöönsaaminen edellyttäisi kuitenkin julkisen vallan erityistä panostusta. Terveydenhuollon kansallisten palveluiden siirtymävaiheessa voidaan joutua hyväksymään vaihtoehtoisia, jo olemassa olevia tunnistamismenetelmiä. Käytettävissä on esimerkiksi keskitettyjä tunnistautumis- ja menetelmiä sisältäviä palveluita kuten VETUMA ja tunnistus.fi. Lähtökohtana käytettävät taustamateriaalit on kuvattu kohdassa 10. Tunnistaminen (authentication) on prosessi, jossa varmistutaan kohteen olevan tietty taho, tai tietyn tahon edustaja. Tunnistamisessa on aina kaksi osapuolta: tunnistava taho ja tunnistettava taho. Onnistuneen tunnistamisen jälkeen tunnistava taho tietää tunnistettavan tahon yksilöivän tiedon, yksilöintitunnuksen. Tunnistaminen perustuu yhteen tai useampaan tekijään (authentication factor). Yleisimmät tekijät ovat: Jotain jota tiedät (something you know). Tunnus, esimerkiksi salasana Jotain jota sinulla on (something you have). Tunniste, esimerkiksi toimikortti Jotain jota olet (something you are). Biometrinen tunniste, esimerkiksi sormenjälki Yhteen tekijään perustuvaa tunnistamismenetelmää kutsutaan heikoksi tunnistamiseksi. Useampaan kuin yhteen tekijään perustuvaa tunnistamismenetelmää kutsutaan vahvaksi tunnistamiseksi. Tunnistaminen tapahtuu hyödyntämällä jotain tunnistamismenetelmää. Tunnistamismenetelmä on järjestelmä joka muodostuu prosesseista, palveluista ja tunnisteista.

9 VAATIMUSMÄÄRITTELY 5/76 Tunnistamismenetelmän palvelut ja prosessit liittyvät esimerkiksi toimenpiteisiin ennen ensimmäistä tunnistamiskertaa ja tietyissä poikkeustilanteissa. Tällaisia ovat esimerkiksi tunnisteen hakeminen, luominen, luovutus, uusiminen ja kadonneeksi ilmoittaminen. Näiden toimenpiteiden toteutuksen turvallisuus vaikuttaa koko tunnistamismenetelmän luotettavuuteen. Tunnistamismenetelmän toimittajan pitää osoittaa tunnistavalle taholle menettelytapojensa ja toimintaperiaatteidensa turvallisuus ja luotettavuus Julkisen avaimen järjestelmä Tupas Tässä määrityksessä käsiteltävä terveydenhuollon toimijoita koskeva tunnistamismenetelmä perustuu julkisen avaimen järjestelmään (Public Key Infrastructure, PKI). Tässä vahvan tunnistamisen menetelmässä tunnistamisen tekijät ovat tunnisteen hallinta ja tunnistetta suojaavan tunnuksen tietäminen. Käyttäjän yksilöivät tiedot välitetään tunnistavalle taholle varmenteella (certificate). Varmenteita myöntävä ja järjestelmän luotettavuuden takaava taho on varmentaja (certificate authority, CA). Varmentajan tapa todistaa menettelytapojensa ja toimintaperiaatteidensa turvallisuus ja luotettavuus tunnistavalle taholle on laatia toiminnastaan varmennepolitiikka- ja varmennekäytäntöasiakirjat ja osoittaa noudattavansa niitä. Varmennepolitiikka asettaa vaatimuksia sekä tunnistettaville tahoille että tunnistaville tahoille, jotka näiden on hyväksyttävä ennen tunnistamismenetelmän käyttöä. Julkisen avaimen järjestelmä soveltuu sekä käyttäjien, että järjestelmien tunnistamiseen. Käyttäjien tunnistamisessa käytettyjä tunnisteita voivat olla toimikortti (smart card), USB-laite (USB-token), mobiililaitteen SIM-kortti ja ohjelmistovarmenne. Järjestelmien tunnistamisessa käytettyjä tunnisteita ovat ohjelmistovarmenne ja salauskiihdytin (Hardware Security Module, HSM). Toimikortti, USB-laite ja mobiililaitteen SIM-kortti perustuvat kaikki hyvin samankaltaiseen tekniseen toteutukseen ja niiden turvallisuustaso vastaa toisiaan. Toimikortin käyttöön tarvitaan kortinlukija ja kortinlukijaohjelmisto. USB-laitteen käyttöön tarvitaan soveltuva ohjelmisto. Mobiililaitteen SIM-kortin käyttöön tarvitaan tietoliikenneyhteys palveluntarjoajaan. Ohjelmistovarmenne ei ole yhtä korkean turvallisuustason tunniste kuin muut vaihtoehdot. Salauskiihdytin on ohjelmistovarmennetta turvallisempi ja tehokkaampi vaihtoehto järjestelmien tunnistamiseen, mutta myös merkittävästi kalliimpi. Jäljempänä termillä tunnistautuminen varmenteella tarkoitetaan julkisen avaimen menetelmään perustuvaa tunnistautumista. Suomen Pankkiyhdistys tarjoaa Tupas-palvelua, jonka avulla pankkien käyttämää tunnistamismenetelmää pystyy hyödyntämään muissakin palveluissa. Tupaspalvelun avulla pankkien asiakkaita voidaan tunnistaa pankkien omassa toiminnassaan käyttämillä pankkitunnuksilla. Tupas-palvelu on luotettavuudeltaan samantasoinen kuin pankin pankkitunnuskäytäntö.

10 1.4.4 Sähköinen VAATIMUSMÄÄRITTELY 6/76 Edellä tarkoitetun lain mukaisesti Tupas-palvelua terveydenhuollossa voisivat käyttää ainoastaan potilaat. Tupas-palvelun käyttökelpoisuus potilaiden osalta on kyseenalaistettu mm. koska pankkitunnisteita tiedetään melko usein luovutettavan käyttösopimuksen vastaisesti etenkin perheenjäsenille sekä myös perheen ulkopuolisille tunnusten omistajan ollessa syystä taikka toisesta estynyt hoitamasta pankkiasioitaan. Mikäli tunnukset haltijan luvalla haltuunsa saanut henkilö käyttäisi niitä luvattomasti tunnusten haltijan terveystietojen katselemiseen, olisi tällaisen väärinkäytön estäminen vaikeata ja kallista, mutta jälkikäteisvalvonnalla se olisi kuitenkin mahdollista todeta. Sähköinen on menetelmä, joka liittää sähköiseen tietoon yksilöidyn tahon. Kehittynyt sähköinen (digital signature) on menetelmä, jolla voidaan osoittaa tiedon olevan muuttumatonta hetkestä ja osoittaa allekirjoituksen muodostanut yksilöity henkilö. Julkisen avaimen menetelmällä on mahdollista toteuttaa kehittynyt sähköinen. Kehittynyt sähköinen mahdollistaa ta vaativien tietojen säilyttämisen sähköisessä muodossa. Kehittyneen sähköisen allekirjoituksen avulla voidaan osoittaa tietokokonaisuuden eheys ja alkuperäisyys. Henkilöön sidotun kehittyneen sähköisen allekirjoituksen avulla voidaan saavuttaa kiistämättömyys. Kehittyneen sähköisen allekirjoituksen vakiintuneet esitysmuodot ovat XML (XML Signature, XMLDsig) ja PKCS#7. XML- on käytössä useissa terveydenhuollon kansallisissa palveluissa käytettävissä standardeissa, kuten esimerkiksi CDA R2, SAML ja SOAP. Mobiililaitteen SIM-korttia hyödyntävä kehittynyt sähköinen (mobiili) toteuttaa PKCS#7 muotoisen allekirjoituksen. Toimikorttia ja USB-laitetta hyödyntävä kehittynyt sähköinen voidaan muodostaa joko XML-- tai PKCS#7-muotoon. Tupas-palvelun tarjoama sähköinen ei ole kehittynyt sähköinen, eikä sen esitysmuoto ole XML- tai PKCS#7. Tupas-palvelun tuottamasta sähköisestä allekirjoituksesta on mahdollista muodostaa järjestelmän allekirjoittamana XML- tai PKCS#7 muotoinen sähköinen. Tämä järjestelmä vahvistaa Tupas-palvelun toimittaman käyttäjän yksilöintitiedon, järjestelmän muodostaman Tupas-tunnistuksen tarkistustiedon sekä käyttäjän vahvistaman tiedon eheyden. Edellä tarkoitetun lakiesityksen mukaisesti Tupas-palvelun tarjoamaa sähköistä ta voisivat terveydenhuollossa käyttää ainoastaan potilaat edellyttäen, et-

11 1.4.5 Kansalaisvarmenne VETUMA Tunnistus.fi Moni VAATIMUSMÄÄRITTELY 7/76 tä sen katsottaisiin lakiehdotuksessa edellytetyllä tavalla vastaavan turvallisuudeltaan kehittynyttä sähköistä ta. Jäljempänä termillä sähköinen tarkoitetaan kehittynyttä sähköistä ta, jollei toisin mainita. Jäljempänä termillä sähköinen allekirjoittaminen varmenteella tarkoitetaan julkisen avaimen menetelmään perustuvaa kehittynyttä sähköistä ta. Väestörekisterikeskus toimii varmentajana kansalaisille ja myöntää tunnistamis- ja varmenteita. Väestörekisterikeskuksen myöntämä varmenne on sähköisen allekirjoituksen lain mukainen laatuvarmenne. Laatuvarmenteella toteutettu sähköinen on kehittynyt sähköinen, joka oikeudellisesti on täysin samanarvoinen perinteiseen omakätisen allekirjoituksen kanssa. Edellä tarkoitetun lain mukaisesti kansalaisvarmennetta terveydenhuollossa voisivat käyttää ainoastaan potilaat. VETUMA on julkishallinnon yhteinen sähköisen asioinnin tukipalvelu. Palveluun voivat liittyä kaikki julkishallinnon toimijat ja ne voivat toteuttaa kansalaisille tarjottavan sähköisen asioinnin tunnistamis-, maksamis- ja toiminnot VETUMA:n avulla. VETUMA tukee kansalaisten tunnistamista Tupas-palvelulla, toimikorttipohjaisella kansalaisvarmenteella ja mobiilipäätelaitepohjaisella kansalaisvarmenteella. Tämän lisäksi tuetaan tunnistamista käyttäjätunnuksilla ja salasanoilla. Edellä tarkoitetun lain mukaisesti VETUMA:a terveydenhuollossa voisivat käyttää ainoastaan potilaat. Tunnistus.fi on Kansaneläkelaitoksen, työministeriön ja verohallinnon yhteinen sähköisen asioinnin tukipalvelu. Tunnistus.fi tukee kansalaisten tunnistamista Tupas-palvelulla ja toimikorttipohjaisella kansalaisvarmenteella. Edellä tarkoitetun lain mukaisesti tunnistus.fi -palvelua terveydenhuollossa voisivat käyttää ainoastaan potilaat. Moniallekirjoituksella voidaan tarkoittaa kahta eri asiaa: a. toiminnallisuutta jossa monta peräkkäistä erillistä sähköistä ta tehdään yhdellä kertaa

12 VAATIMUSMÄÄRITTELY 8/76 b. saman asiakirjan allekirjoittaminen useammin kuin yhdesti Merkitys b) on huomioitu standardeissa ja on toteutettavissa rinnakkaisina tai sisäkkäisinä allekirjoituksina tarpeen mukaan. Merkityksen a) toteutukseen ei ole olemassa vakiintunutta käytäntöä. Jäljempänä moniallekirjoituksella tarkoitetaan merkitystä a). Moniallekirjoituksen avulla on mahdollista säästää tunnusluvun syöttämiseen käytettävää aikaa verrattuna kohtaisesti annettavan tunnusluvun syöttämisen vaatimaan aikaan. Moniallekirjoituksen toteutuksen liittyy seuraavia haasteita: Allekirjoitettavien dokumenttien esittäminen käyttäjälle siten, että oikeat dokumetit tulevat valituksi allekirjoitettavaksi Käytettävyyttä parantavaa monita ei saisi toteuttaa siten, että se heikentää allekirjoituksen luotettavuutta. Toteutettavan tavan tulee olla standardimuotoinen Lähtökohtaisesti on olemassa useampia moniallekirjoituksen toteutustapoja. Koska moniallekirjoituksen tarve perustuu ainoastaan allekirjoittamiseen liittyviin käytettävyysvaatimuksiin, eri menetelmävaihtoehtojen toteutuskelpoisuutta on arvioitava myös tältä kannalta. On esim. mahdollista, että allekirjoituksen kohdistamisen monimutkaistuminen kumoaa tunnusluvun syöttämisessä säästettävän ajan. Jäljempänä esitetään kolme moniallekirjoituksen toteutustapaa (a c), joista ainoastaan viimeksi esitettyä voidaan pitää toteuttamiskelpoisena vaihtoehtona terveydenhuollon sähköiselle tietojen käsittelylle asetettujen vaatimusten perusteella. Allekirjoituksen käytettävyyttä voidaan tulevaisuudessa parantaa mahdollisesti myös joillakin muilla menetelmillä, mutta tässä vaiheessa ne rajataan tämän vaatimusmäärittelyn ulkopuolelle. a. Moniallekirjoituksen toteuttamisessa voitaisiin hyödyntää XMLallekirjoituksen ominaisuutta allekirjoittaa monta viitattua dokumenttia yhdellä allekirjoituksella (reference). Tällöin tehdään yksi, joka liitetään jokaisen samalla kertaa allekirjoitetun dokumentin liitteeksi. XML-allekirjoituksen Detached-tyyppi soveltuu liitettäväksi moneen dokumenttiin. Allekirjoitus muodostuu standardin mukaisesti, mutta tarkistus ei noudata täysin standardia. Allekirjoituksen tarkistus tapahtuu hiukan eri tavalla kuin normaalisti: ennen allekirjoituksen tarkistamista täytyy tarkistaa, mitkä kaikki allekirjoituksen kohdedokumentit ovat saatavilla, ja muut dokumentit jätetään tarkistamatta. Käytännössä tämä tarkoittaa, että käytetään tavallista standardia laajempaa sovellettua tapaa. Standardinmukaiset allekirjoitukset ovat käytettävissä monita käyttävissä järjestelmissä, mutta moniallekirjoituksia ei voi tarkistaa kaikissa standardia tukevissa järjestelmissä. Mm. näistä syistä tätä moniallekirjoituksen toteuttamistapaa ei voida käyttää terveydenhuollon sähköisen tiedon käsittelyssä.

13 VAATIMUSMÄÄRITTELY 9/76 b. Kaikki allekirjoitettavat dokumentit voidaan liittää yhdeksi dokumentti kokonaisuudeksi. Tällöin tehdään yksi, jolla sidotaan monta erillistä dokumenttia yhdeksi kokonaisuudeksi. Allekirjoituksen muodostus ja tarkistus ovat tällöin standardin mukaisia. Allekirjoitus sitoo allekirjoitetut dokumentit yhdeksi kokonaisuudeksi, mikä vaikeuttaa tietojen joustavaa ja tarkoituksenmukaista säilytystä ja käyttöä. Ongelmia aiheutuu erityisesti tietojen pitkäaikaissäilytyksessä. Tämä tapa edellyttää, että alkuperäinen korvataan tarkistuksen jälkeen merkinnällä allekirjoituksen olemassaolosta ja tarkistamisesta. Tämä tieto voidaan järjestelmäallekirjoittaa, jolloin lopputuloksena on monta erillistä allekirjoitettua asiakirjaa. Allekirjoitus ei tällöin kuitenkaan enää ole laissa tarkoitettu kehittynyt sähköinen, eikä sitä siten voida käyttää terveydenhuollon sähköisen tiedon käsittelyssä.. c. Kortinlukijaohjelmistoa voidaan kehittää siten, että tunnus eli PIN-koodi voidaan antaa tietyille erikseen yksilöidyille dokumenteille/tiedoille yhdellä kertaa. Jokainen allekirjoitettava dokumentti allekirjoitetaan erikseen, mutta tunnusluku syötetään vain kerran. Allekirjoituksen muodostus ja tarkistus ovat standardin mukaisia. Muodostettu moni ei eroa yksittäisestä allekirjoituksesta. Allekirjoituksen muodostava kortinlukijaohjelmisto (PKI-Client, Crypto Service Provider) täytyy muokata tukemaan tätä toiminnallisutta. Toteutuksen tulee täyttää sähköisistä allekirjoituksista annetussa laissa edellytetty vaatimus siitä, että on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan. Tämän vaihtoehdon toteuttaminen edellyttää vähiten muutoksia verrattuna tilanteeseen, jossa käytetään vain yksittäisiä allekirjoituksia.. Vaihtoehdon c mukainen moniallekirjoituksen toteuttamistapa täyttää terveydenhuollon sähköiselle tietojen käsittelylle asetetut vaatimukset. Jäljempänä tässä vaatimusmäärittelyssä moniallekirjoituksella tarkoitetaan tämän vaihtoehdon mukaisesti toteutettua usean allekirjoitettavan dokumentin yhtäaikaista allekirjoittamista siten, että tunnusluku syötetään vain kerran. Jotta tapahtuma ja allekirjoittajan sitoutuminen allekirjoitettaviin dokumentteihin on selkeä, tulee käytännön toiminnallisuuden olla sellainen, jossa käyttäjä ensin valitsee allekirjoitettavat dokumentit ja sen jälkeen suorittaa allekirjoituksen valituille dokumenteille Yksilöinti Suomen väestötietojärjestelmän sisältämä terveydenhuollon ammattihenkilön ja muun sähköisiä potilastietoja käsittelevän toimihenkilön sekä potilaan henkilötunnus on normaalitilanteessa oikeasisältöisenä saatavissa joko suoraan väestötietojärjestelmästä taikka asianomaisen esittämästä henkilöasiakirjasta. Poikkeustilanteita ovat esimerkiksi seuraavat:

14 Henkilötunnus ei tiedossa VAATIMUSMÄÄRITTELY 10/76 o Esim. tuntematon tajuton potilas Ei suomalaista henkilötunnusta o Vastasyntynyt o Väestötietojärjestelmään rekisteröimätön Tilapäisesti terveydenhuollon ammattihenkilönä toimiva EU-maan kansalainen Maahanmuuttaja Matkailija Virheellinen henkilötunnus Ulkomaalaisten henkilötunnuksettomien yksilöinnin oletetaan helpottuvan suunnitteilla olevan väestötietojärjestelmää vastaavan valtakunnallisen ulkomaalaisrekisterin valmistuessa. Ellei yleistä ulkomaalaisten henkilötunnuksettomien rekisteriä ole käytettävissä, tulee välttämättömäksi rakentaa vastaava erillinen (sekä terveydenhuollossa toimivat henkilöt että potilaat ja sosiaalihuollon asiakkaat sisältävä) rekisteripalvelu sosiaali- ja terveydenhuoltoa varten.

15 VAATIMUSMÄÄRITTELY 11/76 2 TIETOJÄRJESTELMÄN YLEISKUVAUS 2.1 Tietojärjestelmän tarkoitus ja sisältö Kansallinen terveydenhuollon arkistointipalvelu (KANTA) on keskitetty järjestelmä joka pyrkii mahdollistamaan terveydenhuollon asiakastietojen oikea-aikaisen ja tietoturvallisen saatavuuden sekä käytettävyyden. Tunnistaminen ja sähköinen mahdollistavat terveydenhuollon ammattihenkilöiden, terveydenhuollon muun sähköisiä potilasasiakirjoja käsittelevän henkilökunnan sekä potilaiden oikeusturvan takaamisen. Tunnistaminen ja/tai sähköinen ovat kokonaisarkkitehtuurin mukaan osana useimpia KANTA -palveluiden osajärjestelmiä ja palveluun liittyviä potilastietojärjestelmiä. Apteekkijärjestelmät Potilastietojärjestelmät Roolit & oikeudet Viitetietokannat ym. alueelliset ratkaisut Katseluyhteys Roolit & oikeudet Palvelu pyyntöjä toimitus resepti Tiedon syöttö Tiedon haku Erikoissairaanhoito Terveyskeskukset Kuvantaminen Yksityinen sektori IP-verkko Kansallinen terveydenhuollon arkisto(kanta) Palveluväylä KANTA eresepti Tilastot Tunnistus & Varmennus Kela/ Stakes Koodistot Koodit Hakemisto & Rekisteröinti Asiakirjan hakutiedot Arkisto Lokipalvelu Luovutusloki Arkiston käyttöloki Tapahtumaloki AMS: Asiakirjat Asiakirjat Asiakirjat AMS AMS +metatiedot Suostumuksen hallinta eresepti TEO-varmennepalvelut Reseptikeskus Tilastot Koodistopalvelut Arkistonhoitajat Kuva 1. Kokonaisarkkitehtuurikuva, jossa on merkitty sinisellä tunnistamisen ja sähköisen allekirjoituksen osuuksia

16 VAATIMUSMÄÄRITTELY 12/ Käyttäjäryhmät KANTA -palvelun tietojen tulevia hyödyntäjiä ovat lakiehdotuksen ja arkkitehtuurimäärityksen mukaan seuraavat käyttäjäryhmät: Terveydenhuollon ammattihenkilö/käyttö perusjärjestelmien kautta Muu sähköisiä potilasasiakirjoja käsittelevä terveydenhuollon toimihenkilö/käyttö perusjärjestelmien kautta o potilaan hoitoon liittyen sähköisiä potilasasiakirjoja käsittelevä terveydenhuollon toimihenkilö o arkistonhoitaja Potilas/potilaskäyttöliittymä KANTA-järjestelmään Valvoja o tietosuojavastaava KANTA-järjestelmän ylläpitäjä/suora käyttöliittymä KANTAjärjestelmään o järjestelmän ylläpitäjän hallinnollisiin ja teknisiin ylläpitotehtäviin valtuuttamat toimihenkilöt tai muut tahot o järjestelmän toiminnan valvontaa suorittavat tahot Potilastietoja on oikeutettu käsittelemään vain potilaan hoitamiseen osallistuva terveydenhuollon toimihenkilö. Terveydenhuollon ammattihenkilöiden ja muun hoitavan henkilökunnan lisäksi potilastietoja ovat oikeutettuja käsittelemään myös hoidon järjestämiseen osallistuvat toimistohenkilöt sekä rekisterinpitäjän arkistonhoitajat. Terveydenhuollon ammattihenkilöistä säädetään laissa terveydenhuollon ammattihenkilöistä (559/1994) ja asetuksessa terveydenhuollon ammattihenkilöistä (564/1994). Terveydenhuollon ammattihenkilö on henkilö, joka on saanut ammatinharjoittamisoikeuden tai ammatinharjoittamisluvan sekä henkilö, jolla on oikeus käyttää terveydenhuollon ammattinimikettä. Terveydenhuollon ammattihenkilö tuottaa ja hyödyntää aineistoa, jota säilytetään kansallisessa terveydenhuollon arkistossa. Muu terveydenhuollon toimihenkilö on terveydenhuollossa työskentelevä henkilö, joka ei ole em. lain tarkoittama terveydenhuollon ammattihenkilö. Muu terveydenhuollon toimihenkilö voi tuottaa ja hyödyntää aineistoa, jota säilytetään kansallisessa terveydenhuollon arkistossa. Arkistonhoitaja on terveydenhuollon palvelujen antajan palveluksessa oleva muu terveydenhuollon toimihenkilö, joka tehtävään valtuutettuna ylläpitää tietyn rekis-

17 2.3 Käyttötavat VAATIMUSMÄÄRITTELY 13/76 terinpitäjän arkistotietoja. Arkistonhoitaja voi hyödyntää, poistaa ja muokata aineistoa, jota säilytetään kansallisessa terveydenhuollon arkistossa. Potilas on henkilö, jota koskevia tietoja on tallennettu kansalliseen terveydenhuollon arkistoon. Potilas voi tietyin rajoituksin hyödyntää terveydenhuollon palvelujen antajan potilastietojärjestelmissä tai kansallisessa terveydenhuollon arkistossa säilytettävää itseään koskevaa aineistoa. Potilas voi mahdollisesti jatkossa myös tuottaa ja muokata kansallisessa terveydenhuollon arkistossa säilytettävää aineistoa, kuten esimerkiksi suostumusasiakirjoja. Potilaan laillisella edustajalla on tietyin rajoituksin oikeus saada potilastietojärjestelmissä tai kansallisessa terveydenhuollon arkistossa säilytettäviä päämiestään koskevia tietoja. Ylläpitäjä voi ylläpitotehtävässään käyttää tarvittavilta osin kansallisessa terveydenhuollon arkistossa säilytettävää aineistoa. Kansaneläkelaitoksen on pidettävä rekisteriä sen hoidettavana olevien tietojärjestelmäpalvelujen ylläpitotehtäviin oikeutetuista ja näiden käyttöoikeuksista sekä lokirekisteriä ylläpitotehtävien edellyttämistä potilastietojen käyttötapahtumista. Tietosuojavaltuutettu, Terveydenhuollon oikeusturvakeskus sekä lääninhallitus alueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetun lain noudattamista. Terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen ja Terveydenhuollon oikeusturvakeskuksen on omalta osaltaan seurattava ja valvottava, että niiden antamaan palveluun liittyvä tietosuoja toteutuu. Jokaisella palvelujen antajalla, Kansaneläkelaitoksella ja Terveydenhuollon oikeusturvakeskuksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Valvovat tahot voivat saada käyttöönsä valvontatehtävässään tarvittavilta osin kansallisessa terveydenhuollon arkistossa säilytettävää aineistoa. Kansallisten palveluiden käyttöä voi tapahtua seuraavilla tavoilla: 1. Käyttö paikallisen järjestelmän kautta 2. Käyttö alueellisen järjestelmän kautta 3. Käyttö kansallisen järjestelmän kautta 4. Kansallisen palvelun suora käyttö Vaihtoehdossa 1. käyttäjä käyttää paikallista järjestelmää, joka tarjoaa käyttäjälle kansallista palvelua hyödyntäviä palveluita. Käyttö on luonteeltaan hajautettua. Vaihtoehdossa 2. käyttäjä käyttää alueellista järjestelmää, joka tarjoaa käyttäjälle kansallista palvelua hyödyntäviä palveluita. Käyttö on luonteeltaan hajautettua. Vaihtoehdossa 3. käyttäjä käyttää kansallista järjestelmää, joka tarjoaa käyttäjälle kansallista palvelua hyödyntäviä palveluita. Käyttö on luonteeltaan keskitettyä. Vaihtoehdossa 4. käyttäjä käyttää suoraan keskitetyn palvelun tarjoavaa järjestelmää. Käyttö on luonteeltaan keskitettyä.

18 VAATIMUSMÄÄRITTELY 14/ Määrittelytyön rajaukset Määrittely on päätetty rajata ensivaiheessa ensisijaisesti seuraavien käyttäjäryhmien seuraaviin käyttötapoihin: Terveydenhuollon ammattihenkilöt ja muut terveydenhuollon toimihenkilöt, joilla on käyttöoikeudet potilastietojärjestelmään, käyttävät KANTA - palvelua potilastietojärjestelmän kautta. Tämä potilastietojärjestelmä voi olla paikallinen tai alueellinen. Terveydenhuollon palvelunantajan arkistonhoitaja käyttää KANTA - palvelua suoraan. Arkistonhoitajien käyttäjähallinta on keskitettyä. Nämä rajaukset on päätetty projektin johtoryhmässä ja ohjausryhmässä Tätä rajausta vastaava toiminnallisuus on kuvattu tässä määrityksessä ensisijaisina käyttötarinoina ja käyttötapauksina. Rajauksen ulkopuolelle jäävää käyttöä on kuvattu toissijaisina käyttötarinoina ja käyttötapauksina. Kuvaus on tehty seuraavien olettamusten mukaisesti: Potilaan käyttö tapahtuu sähköisen katseluyhteyden toteuttavan kansallisen järjestelmän kautta. Tämä järjestelmä hyödyntää KANTA -palvelua. o Potilaan käyttöä voi tapahtua lisäksi paikallisten ja alueellisten palvelujen kautta. Tätä käyttöä ei kuvata tässä määrityksessä. Tietojen luovutus vakuutusyhtiön edustajalle tapahtuu paikallisen järjestelmän kautta. Nämä järjestelmät hyödyntävät kansallista terveydenhuollon arkistoa. Ensivaiheessa vakuutusyhtiön käytön ajatellaan jatkuvan kuten nykyisin, eli suoraan terveydenhuollon toimintayksiköiden kautta. Ylläpito- ja valvontakäyttö tapahtuu suoraan KANTA palveluun.

19 VAATIMUSMÄÄRITTELY 15/ Ulkoiset riippuvuudet Terveydenhuollon oikeusturvakeskuksen varmennepalvelu Aikaleimapalvelu Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) määritetään, että Terveydenhuollon oikeusturvakeskus hoitaa terveydenhuollon palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien henkilöiden ja tietoteknisten laitteiden varmennepalvelua, johon kuuluvat tunnistamisessa ja todentamisessa sekä sähköisessä allekirjoittamisessa tarvittavat varmenteet ja näihin liittyvät palvelut. Terveydenhuollon oikeusturvakeskus toimii siten varmentajana, joka tuottaa terveydenhuollossa käytettävät varmenteet. Kansalliseen arkistointipalveluun liittyminen edellyttää siten Terveydenhuollon oikeusturvakeskuksen varmennepalveluun liittymistä. Ylläpitämäänsä varmennejärjestelmää välittömästi koskevien velvollisuuksiensa ohella Terveydenhuollon oikeusturvakeskus vastaa osaltaan siitä, että kansallisiin tietojärjestelmäpalveluihin liittymisvelvollisten ja muiden kansallisiin tietojärjestelmäpalveluihin liittyvien palvelujen antajien tunnistamista ja allekirjoittamista koskevat menettelytavat vastaavat kaikilta osin laissa asetettuja vaatimuksia. Terveydenhuollon oikeusturvakeskus voi hankkia varmennejärjestelmän teknisiä palveluita tai varmennejärjestelmään liittyviä erillispalveluita ulkopuolisilta toimittajilta. Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain voimaan tullessa terveydenhuollossa käytettävien muiden varmentajien tuottamien varmenteiden käytön jatkamista lakiehdotuksessa esitetyn siirtymäkauden aikana ei kuvata tässä määrittelyssä. Aikaleima on tekninen menetelmä, jolla aika voidaan sitoa luotettavasti tietoon. Aikaleimapalvelulla on keskeinen tehtävä sähköisen allekirjoituksen todistusvoimaisuuden takaamisessa. Aikaleimapalvelua voidaan käyttää todistamaan myös allekirjoittamattoman tiedon olleen olemassa tiettynä ajankohtana. Aikaleimapalvelua tarvitaan laajamittaisesti terveydenhuollon kansallisissa tietojärjestelmäpalveluissa. Sähköisen allekirjoituksen tarkistaminen pitää sisällään allekirjoitukseen käytetyn varmenteen tarkistamisen. Koska varmenteiden voimassaoloaika on rajallinen, ei säily pitkään todistusvoimaisena. Sähköisen allekirjoituksen elinkaaren pidentäminen aikaleiman avulla tapahtuu aikaleimaamalla. Näin voidaan osoittaa, että on tehty varmenteen voimassaolon aikana. Myös allekirjoitukseen käytetyn varmenteen päätyminen sulkulistalle voi aiheuttaa ongelmia. Koska sulkulistalle merkitään aina sulkemisaika, niin vertaamalla sulkulistan sulkemisaikaa aikaleiman aikaan voidaan tarkistaa varmenteen voimassaolo hetkellä. Aikaleima on siis ratkaisu myös tähän ongelmaan.

20 VAATIMUSMÄÄRITTELY 16/76 Terveydenhuollon oikeusturvakeskus pyrkii hankkimaan varmennejärjestelmän edellyttämän aikaleimapalvelun kansalliselta aikaleimapalvelun viranomaistuottajalta. Jollei aikaleimapalvelua ole saatavissa viranomaisten toteuttamana, vastaava palvelu hankitaan muulta luotettavalta palvelun toimittajalta Väestörekisterit ja muut perusrekisterit Väestörekisterikeskuksen ylläpitämä väestötietojärjestelmä (VTJ) on Suomen kansalaisten ja Suomessa pysyvästi asuvien ulkomaalaisten perusrekisteri. Terveydenhuollon oikeusturvakeskus hyödyntää väestötietojärjestelmää ammattioikeuksien myöntämisessä ja rekisteröinnissä. Terveydenhuollon muun henkilökunnan yksilöinnin suunnitellaan myös perustuvan väestötietojärjestelmän ajantasaisten tietojen hyödyntämiseen. Suuri osa nykyisistä terveydenhuollon järjestelmistä hyödyntää väestötietojärjestelmää potilastietojen yksilöintitietojen laadun takaamiseen. Potilastietojen yksilöintitietojen oikeellisuus on ehdoton vaatimus kaikille kansalliseen palveluun liittyville potilastietojärjestelmille. Väestötietojärjestelmällä on keskeinen osa tämän tavoitteen saavuttamisessa. Henkilötunnuksettomien osalta yksilöinnin kaavaillaan perustuvan suunnitteilla olevassa väestötietojärjestelmää vastaavassa valtakunnallisessa ulkomaalaisrekisterissä annettavaan pysyvään rekisteritunnukseen. Ellei yleistä ulkomaalaisten henkilötunnuksettomien rekisteriä ole käytettävissä, tulee välttämättömäksi rakentaa vastaava (sekä terveydenhuollossa toimivat henkilöt että potilaat ja sosiaalihuollon asiakkaat sisältävä) keskitetty rekisteri sosiaali- ja terveydenhuollon yksilöintipalvelua varten. 2.6 Nykytilanne paikallisella tasolla Tunnistaminen ja käyttäjähallinta Suuri osa organisaatioista on vielä tilanteessa, jossa niillä on käytössä lukuisia eri järjestelmiä, joissa kussakin erilliset käyttäjien tunnistamismenetelmät, käyttäjätietorekisterit, ja käyttöoikeuksien jakaminen rooleittain tai henkilöittäin. Ratkaisut tästä ylläpidollisesti haastavasta tilanteesta pois pääsemiseksi ovat keskittyneet seuraaviin osa-alueisiin: Tunnistaminen o tunnisteiden yhtenäistäminen o keskitetty tunnistaminen

21 VAATIMUSMÄÄRITTELY 17/76 Käyttäjähallinta o organisaatiotasoinen keskitetty käyttäjähallinta o keskitetyn käyttäjähallinnan toimintaperiaatteiden yhtenäistäminen Käyttöoikeudet o käyttäjäroolien yhtenäistäminen organisaatiotasoisesti ja roolien hallinta keskitetysti o käyttöoikeusrakenteiden yhtenäistäminen organisaatiotasoisesti ja käyttöoikeuksien jakelu keskitetysti Sähköinen Tällä hetkellä terveydenhuollon eri organisaatioilla tunnisteiden käytössä on edetty vaiheeseen, jossa organisaation sisäisten toimikorttien käyttöönotto on menossa. Lisäksi useissa organisaatioissa on lähdetty toteuttamaan varmenteeseen perustuvaa tunnistamista eri järjestelmiin. Osa toteutuksista on tehty paikallisten keskitettyjen tunnistamisjärjestelmien avulla ja osa suoraan järjestelmiin. Käyttäjähallinnan osalta tilanne on edennyt samaa tahtia tunnistamisen kanssa. Tämä johtuu siitä, että varmenteiden luomisen yhteydessä syntyy samalla keskitetty käyttäjähakemisto, joka on usein yhdistetty paikallisverkon käyttäjähakemistoon. Keskeinen tarve tunnistamisen ja keskitetyn käyttäjähakemiston välillä on yhteinen käyttäjän yksilöintitieto. Sen avulla yhtenäinen tunnistaminen on toteutustavasta riippumatta mahdollista kytkeä keskitettyyn käyttäjähallintaan. Käyttöoikeudet rajataan organisaatioissa yleensä organisaatiorakenteen mukaisesti. Tämän lisäksi organisaatiorakenne on tyypillinen avainarvo tiedonsiirrossa eri järjestelmien välillä. Näistä syistä organisaatiorakenteisiin liittyvien tietorakenteiden yhdenmukaisuus eri järjestelmien välillä on tarpeen. Organisaatiorakenteiden, käyttäjätietojen ja roolien yhtenäistäminen organisaatioiden tasolla on vasta alullaan. Tämä vaikuttaa useisiin operatiivisiin järjestelmiin. Siksi siirtymäajasta tulee pitkä. Samalla kun varmenteet ovat levinneet käyttöön tunnistamisessa, myös samaan teknologiaan ja infrastruktuuriin perustuvan sähköisen allekirjoituksen käyttö on edistynyt. Sähköinen on jo toteutettu useiden eri organisaatioiden potilastietojärjestelmiin ja sen käyttö on kasvussa. Sähköisen allekirjoituksen käyttöönoton teknisinä haasteina ovat olleet sähköisiä allekirjoituksia tukevan rakenteellisen muodon (Clinical Document Architecture, CDA) hidas yleistyminen ja aikaleimapalvelun puuttuminen.

22 2.6.3 Henkilöiden yksilöinti 2.7 Tavoitetila Hajautusarkkitehtuuri VAATIMUSMÄÄRITTELY 18/76 Käyttäjillä on myös korkeita tavoitteita allekirjoituksen käytettävyydelle. Terveydenhoitoalalle erityinen toive on mahdollisuus allekirjoittaa monta asiakirjaa yhdellä kertaa. Tämän vaatimuksen toteuttamiseksi ei ole olemassa kansalliseen kokonaisuuteen sopivaa valmista teknistä ratkaisua. Suomessa henkilöiden vakiintunut yksilöintitieto on henkilötunnus. Väestörekisterikeskus myöntää henkilötunnukset, ylläpitää väestötietojärjestelmää (VTJ) ja tarjoaa henkilötietoihin liittyviä palveluita. Väestötietojärjestelmän ja Väestörekisterikeskuksen tarjoamien palveluiden avulla eri järjestelmät voivat yhdenmukaistaa henkilötietonsa. Julkisen sektorin terveydenhuollon perustietojärjestelmät tukevat potilaiden yksilöintiä henkilötunnuksella ja hyödyntävät Väestörekisterikeskuksen palveluita henkilötietojen yhdenmukaistamiseksi. Yksityisen sektorin terveydenhuollon perustietojärjestelmät tukevat potilaiden yksilöintiä henkilötunnuksella, mutta eivät yleisesti hyödynnä Väestörekisterikeskuksen palveluita henkilötietojen yhdenmukaistamiseksi. Henkilötunnuksettomien potilaiden yksilöintikäytäntö vaihtelee eri organisaatioiden tietojärjestelmissä. Kansallisen arkkitehtuurin tavoite tunnistamisen ja sähköisen allekirjoituksen osalta on mahdollistaa sähköisten potilastietojen käsittely perustietojärjestelmissä ja kansallisessa arkistopalvelussa tehokkaasti sekä tietoturvaa ja tietosuojaa koskevien säännösten mukaisesti. Tavoitteena on luoda järjestelmää koskevaan lainsäädäntöön pohjautuvat ratkaisut, jotka perustuvat standardeihin ja yhteensopiviin teknologioihin sekä yhtenäisiin käytäntöihin. Kansallista järjestelmää rakennettaessa pyritään lain sallimissa rajoissa hyödyntämään lain voimaan tullessa olemassa olevia ratkaisuja ja siten helpottamaan organisaatioiden sopeutumista valtakunnallisten tietojärjestelmäpalveluiden edellyttämiin vaatimuksiin. Terveydenhuollon ammattihenkilöt ja muut terveydenhuollon toimihenkilöt, joilla on käyttöoikeudet potilastietojärjestelmään, käyttävät KANTA -palvelua potilastietojärjestelmän kautta. Käyttäjien tunnistaminen ja käyttöoikeuksien hallinta toteutetaan potilastietojärjestelmässä.

23 VAATIMUSMÄÄRITTELY 19/76 Alla olevassa kuvassa on esitetty tämä valittu hajautusarkkitehtuuri Hajautettu toteutus Hajautusvalinnasta seuraa, että kansallisen palvelun tulee voida luottaa paikallisen järjestelmän seuraaviin osa-alueisiin: käyttäjän tunnistaminen käyttäjähallinta käytön rajaaminen sähköinen Käyttäjän tunnistamiseen luottaminen perustuu siihen, että luotetaan tunnistamismenetelmään ja tekniseen toteutukseen. Kun tunnistustoteutukset perustuvat yhdenmukaisesti varmenteisiin, ei tunnistamismenetelmiä tarvitse erikseen valvoa. Toteutuksien laatua voidaan valvoa esimerkiksi teettämällä auditointi ulkopuolisella taholla ennen kuin järjestelmä otetaan käyttöön. Virheet tunnistamistoteutuksissa voivat johtaa siihen, että tiedon käyttöä ei rajata oikein, eikä käyttöä voida valvoa jälkikäteen. Käyttäjähallintaan luottaminen perustuu siihen, että luotetaan sekä toteutukseen että ylläpitoon. Toteutuksien laatua voidaan valvoa esimerkiksi teettämällä auditointi ulkopuolisella taholla ennen kuin järjestelmä otetaan käyttöön. Ylläpidon laatua voidaan valvoa säännöllisillä tarkastuksilla. Virheet käyttäjähallinnassa voivat johtaa siihen, että tiedon käyttöä ei rajata oikein, eikä käyttöä voida valvoa jälkikäteen.

24 2.7.2 Ratkaisun yleiskuvaus Toteutuksen kuvaus Varmentaminen VAATIMUSMÄÄRITTELY 20/76 Käytön rajaamiseen luottaminen perustuu siihen, että luotetaan toteutukseen. Toteutuksien laatua voidaan valvoa esimerkiksi teettämällä auditointi ulkopuolisella taholla ennen kuin järjestelmä otetaan käyttöön. Virheet käytön rajaamisessa voivat johtaa siihen, että tiedon käyttöä ei rajata oikein. Käyttöä voidaan silti valvoa jälkikäteen. Mikäli käytön rajaamista tehdään myös keskitetyssä järjestelmässä, ei paikallisten järjestelmien toteuttamaan käytön rajaamiseen tarvitse luottaa. Sähköiseen allekirjoitukseen luottaminen perustuu siihen, että luotetaan menetelmään ja tekniseen toteutukseen. Kun toteutukset perustuvat yhdenmukaisesti varmenteisiin, ei menetelmiä tarvitse erikseen valvoa. Toteutuksien laatua voidaan valvoa esimerkiksi teettämällä auditointi ulkopuolisella taholla ennen kuin järjestelmä otetaan käyttöön. Virheet toteutuksissa voivat johtaa siihen, että tiedon eheyttä, kiistämättömyyttä tai alkuperää ei voida osoittaa jälkikäteen. Tunnistaminen ja sähköinen perustuvat julkisen avaimen järjestelmään. TEO toimii varmentajana terveydenhuollon palvelujen antajille, niiden tietoteknisille laitteille sekä kaikille terveydenhuollon ammattihenkilöille ja muille sähköisiä potilasasiakirjoja käsitteleville terveydenhuollon toimihenkilöille. TEO toimii tarvittavilta osin varmentajana KANTA -palvelun ja siihen liittyvien muiden kansallisten palveluiden osalta. Potilaiden tunnistaminen ja sähköinen perustuvat VRK:n kansalaisvarmenteeseen. Käytettävien sähköisen allekirjoituksen menetelmien täytyy vastata sähköisistä allekirjoituksista annetun lain kehittynyttä sähköistä ta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa riittää että käytetään luotettavuudeltaan vastaavaa sähköistä ta. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Potilaiden yksilöinti perustuu henkilötunnukseen. KANTA palveluun liittyvät järjestelmät vastaavat potilaiden yksilöintitietojen oikeellisuudesta. Henkilötunnuksettomien potilaiden osalta yksilöintitunnus perustuu valtakunnallisessa ulkomaalaisrekisterissä annettavaan pysyvään rekisteritunnukseen (tai vastaavaan). Terveydenhuollon palvelun antajien, niiden tietoteknisten laitteiden sekä potilasjärjestelmien käyttäjien varmenteet tuottaa TEO. KANTA:n käyttäjien varmenteet ja järjestelmän tietoteknisten laitteiden varmenteet tuottaa TEO.

25 VAATIMUSMÄÄRITTELY 21/76 Varmenteiden käyttöön liittyviä vaatimuksia ja asioita määritetään TEO:n varmennepolitiikassa Potilastietojärjestelmän toiminnallisuus Potilastietojärjestelmän toteutettavaksi tulevat seuraavat tunnistamisen ja sähköisen allekirjoituksen toiminnot: Tunnistautuminen KANTA -palveluun palvelinvarmenteella KANTA -palvelun tunnistaminen palvelinvarmenteella Tiedon sähköinen allekirjoittaminen palvelinvarmenteella Tiedon aikaleimaaminen Sähköisen allekirjoituksen tarkistaminen Käyttäjän tunnistaminen ammattivarmenteella Tiedon sähköinen allekirjoittaminen käyttäjän ammattivarmenteella Lisäksi tarjottaessa potilaalle mahdollisuus suostumuksen sähköiseen allekirjoittamiseen ovat seuraavat toiminnot mahdollisesti potilastietojärjestelmän toteuttamia: Potilaan tunnistaminen Tiedon sähköinen allekirjoittaminen potilaan kansalaisvarmenteella Nämä toiminnallisuudet asettavat vaatimuksia potilastietojärjestelmien tietoliikenneyhteyksille KANTA -palvelun toiminnallisuus KANTA -palvelun toteutettavaksi tulevat seuraavat tunnistamisen ja sähköisen allekirjoituksen toiminnot: Tunnistautuminen potilastietojärjestelmille palvelinvarmenteella Palveluun liittyvien tietojärjestelmien tunnistaminen palvelinvarmenteella Tiedon sähköinen allekirjoittaminen palvelinvarmenteella Tiedon aikaleimaaminen Sähköisen allekirjoituksen tarkistaminen Edellisten lisäksi arkistonhoitajille, valvojille ja ylläpitäjille tarjottavien käyttöliittymien yhteydessä täytyy toteuttaa seuraavia toimintoja: