Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista

Transkriptio

1 Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista Sisällys 1. Liittymisen aikataulu ja liittymismalli Potilastietojärjestelmä SOTE-rekisteri Varmennekortit Katso-tunnistus Tietosuoja ja tietoturva... Virhe. Kirjanmerkkiä ei ole määritetty. 7. Liittymishakemus ja käyttöönotto Auditointivaatimukset Liittymisen aikataulu ja liittymismalli Kysymys: Keitä laki ereseptistä koskee? eresepti eli sähköinen lääkemääräys tulee pakolliseksi kaikille lähtien. Yli 5000 reseptiä vuodessa kirjoittavien tulee ottaa eresepti käyttöön mennessä, alle 5000 reseptiä kirjoittavien sekä yksittäisten ammatinharjoittajien määräaika on tuo mennessä. Kysymys: Kattaako 5000 reseptin raja myös asemalla työskenteleviä muita yrityksiä / ammatinharjoittajia? Koko aseman reseptien määrä lasketaan, eli myös asemalla työskentelevien yritysten ja ammatinharjoittajien. Nämä liittyvät aseman eli pääliittyjän mukana. Kysymys: Miten THL:lle annetaan tieto liittymisaikataulusta ja mitä tietoja annetaan? Kaksi kuukautta ennen aiottua liittymistä THL:lle tulee antaa vapaamuotoinen ilmoitus osoitteeseen kantapalvelut@thl.fi. Tietoja mm. yrityksen nimi, OID-koodi, potilastietojärjestelmä, liittymispäivämäärä Kysymys: Voiko itsenäinen ammatinharjoittaja liittyä itsenäisenä, vaikka toimiikin lääkäriasemalla? Voiko käyttää pelkästään webreseptiä?

2 Tämä vaatii terveydenhuollon toimintayksikön ja sen tiloissa toimivan itsenäisen ammatinharjoittajan välisen sopimukseen tarkastelun, mitä keskinäinen sopimus velvoittaa eli mihin ovat sopimuksia allekirjoittaessaan sitoutuneet ja mitä sopimuksista poikkeaminen käytännössä tarkoittaa. Ammatinharjoittaja voi liittyä aina lisäksi myös itsenäisenä ammatinharjoittajana. Kysymys: Yritys on ostanut toisen yrityksen siten, että ostettu yritys toimii vanhalla nimellä (Yritys B), omistajana vain on isompi yritys (yritys A). Voidaanko Yritys B laskea omaksi liittyjäkseen (kirjoitetaan alle 5000 reseptiä vuodessa), vai liittyykö omistajansa Yritys A:n mukana? B liittyy omistajansa A mukana. 2. Potilastietojärjestelmä Kysymys: Vaatiiko ereseptin käyttö taustakseen jonkin tietyn potilastietojärjestelmän? Kysyjällä on käytössä ohjelma, jota ei enää päivitetä. Ei tiettyä, mutta auditoidun. Auditoidut järjestelmät on lueteltu: Kela on lain mukaan velvollinen toteuttamaan nettipohjaisen reseptipalvelun vuoteen 2017 mennessä, joka toimii yksittäisellä tietokoneella ja mobiililaitteen avulla riippumatta potilastietojärjestelmästä. 3. SOTE-rekisteri Kysymys: Entä jos tiloissa toimivan lääkärin yritystietoja ei näy Sote-rekisterissä? Entä ammatinharjoittajat, jotka eivät näy Sote-rekisterissä, pitääkö nämäkin ilmoittaa Kelalle? Kukin yritys on vastuussa tietojensa oikeellisuudesta Sote-rekisterissä. Jos tiloissa toimivan lääkärin yritystiedot eivät näy aliorganisaationa asemalle, täytyy ko. yrityksen korjata itse tietonsa. Eli korjata kaikki palveluyksikkönsä osoitetiedot oikein. Tiedot korjataan sinne, mistä toimilupa on haettu, eli Aviin tai Valviraan. Itsenäisille ammatinharjoittajille tulee oma rekisterinsä. Näitä ei ilmoiteta Kelalle, kuten tiloissa toimivat yritykset ilmoitetaan (liite Liittymishakemuksessa). Ammatinharjoittajien kanssa riittää tehtävä sopimus. Kysymys: Muuttuuko OID koodi kun muuttaa toiseen osoitteeseen? 4. Varmennekortit Kysymys: Ketkä kaikki tarvitsevat kortin pienessä toimipaikassa? Ammattikorttia tarvitsevat ensivaiheessa ne, jotka ovat yhteydessä Reseptikeskukseen, eli määräävät, katsovat yms. reseptejä. Jos kirjautuminen PTJ:ään on kortilla, niin silloin kaikki potilastietojärjestelmää käyttävät tarvitsevat varmennekortin. Jos otatte apteekista uusimispyyntöjä

3 suoraan, niin se, joka uusimispyynnöt ottaa vastaan, tarvitsee kortin. Jos hän ei ole th-ammattilainen, tulee olla henkilöstökortti. Suurten (hammas)lääkärikeskusten tapauksessa VRK suosittelee, että organisaatiot tekisivät asiakassopimukset heidän kanssaan, koska heidän oletus on, että muitakin kuin ammattikortteja tullaan tarvitsemaan. Kysymys: Riittääkö lääkärille yksi kortti, vaikka toimii useammassa toimipisteessä, joissa eri ohjelmat? Ammattikortti on henkilökohtainen ja toimipaikasta riippumaton. Vain yksi ammattikortti riittää. Henkilöstökortti ja toimijakortti ovat henkilökohtaisia, mutta myös organisaatiokohtaisia. Joten näiden kohdalla eri organisaatioissa tarvitaan omat korttinsa. Kysymys: Minkälainen kortinlukija pitäisi olla, onko vaatimuksia? Entä montako kortinlukijaa tarvitaan? Kortinlukijoille ei ole erityisiä vaatimuksia. Emme ole kuulleet, että jokin tietty merkki olisi huonompi muita. Kannattaa vertailla hintoja ja käytettävyyttä. Lukijoita myydään hyllytavarana tietotekniikkaa myyvissä liikkeissä. Kortinlukijaa tarvitaan kaikissa niissä työasemissa, missä Reseptikeskuksen palveluja käytetään, eli kirjoitetaan reseptejä tai haetaan tietoja Reseptikeskuksesta. Kysymys: Jos sukunimi muuttuu, tuleeko hankkia uusi kortti? Jos nimi, titteli tai joku muu sellainen tieto muuttuu, joka on printattuna kortin kylkeen, on hankittava uusi kortti. Nämä tiedot tallentuvat esim. lokitietoihin tietojärjestelmässä ja niiden tulee olla oikein. Näitä tietoja ei voida korttiin päivittää, vaan täytyy hakea uusi kortti. Erikoisalakaan ei päivity korttiin, jos se muuttuu. Tässä tapauksessa uusi kortti täytyy hankkia vain silloin kun se vaikuttaa työtehtävien tekemiseen. 5. Katso-tunnistus Kysymys: Missä tilanteissä Katso-tunnistetta tarvitaan? Muulloinkin kun liittyessä? Kanta-palvelujen ekstranetin käyttö vaatii Katso-tunnistuksen. Ekstranetissä on liittymisasiakirjojen lisäksi mm. seuraavaa: siellä ylläpidetään liittymishakemuksessa annettuja yrityksen tietoja, siellä löytyvät potilaan oikeuksiin liittyvät asiakirjat ja suostumukset ja erilaisia ohjeistuksia. Ekstranetissä on myös VRK:n asiakirjat. 6. Liittymishakemus ja käyttöönotto Kysymys: Kenen tulee allekirjoittaa liittymishakemus? Yrityksen allekirjoitusoikeuden omaava henkilö.

4 Kysymys: Kun käytetään välittäjää (meillä toimittajan palveluna -malli), ruksataanko kohta suljettu yhteys, vaikka yhteys välittäjään menee internetin kautta ja merkitäänkö IP:ksi välityspalvelun IP? Kysymys: Mitä konkreettisia hankintoja käyttöönotto vaatii? Potilastietojärjestelmän lisäksi tarvitaan vaadittavat tietoliikenneyhteydet ja varmenteet, sekä varmennekortit ja kortinlukijat. Kysymys: Mitä kuluja muodostuu ja paljonko ne ovat? PTJ lisäksi. Mitä sähköinen lääkemääräys maksaa lääkärille? Tällä hetkellä yksityinen terveydenhuolto maksaa 0,21 euroa jokaisesta kirjoitetusta sähköisestä reseptistä. Maksu määritellään STM:n asetuksella, jota uusitaan määräajoin. Nykyinen asetus, jossa em. hinta on määritelty, on voimassa vuoden 2014 loppuun. Syksyllä 2014 annettavalla uudella asetuksella määritellään vuoden 2015 alusta noudatettava maksu. 7. Auditointivaatimukset Kysymys: Tuleeko pienen yrityksen vastata kaikkiin auditointivaatimuksiin? Kyllä kaikkiin kohtiin jokin vastine tulee kirjoittaa. Näiden laajuutta ja muotoa on hyvä miettiä suhteessa yrityksen kokoon. Järjestelmätoimittaja vastaa monesta teknisestä kuvauksesta / kuittauksesta. Tässä vaiheessa kannattaa satsata tietoturvaan ja tietosuojaan. Ne voivat olla yhdessä dokumentissa ja toimivat pohjana jatkossakin. Kannattaa ajatella tarjottuja malleja käytännön kannalta, miten organisaatiossa asiat hoidetaan. Ei tarvitse kirjata mitään turhaa byrokratiaa, mitä ei noudateta. Auditointivaatimus 1: Sisäinen päätös liittymiselle Kysymys: Minkälainen dokumentti tulee laatia ja kuka sen allekirjoittaa? Päätös voi olla pöytäkirjamerkintä kokouksessa tai vain merkintä vaatimuksen kohdalle päivämäärästä, jolloin päätös on tehty. Hakemuksen allekirjoittaa allekirjoitusoikeuden omaava henkilö. Auditointidokumenttia ei lähetetä minnekään, mutta myös vaatimusten allekirjoittajan on hyvä olla sama henkilö, koska hän hakemuksen allekirjoituksellaan vahvistaa auditointivaatimusten täyttämisen. On hyvä, että ko. henkilö on myös perehtynyt auditointivaatimuksiin ja kuinka ne on täytetty. Auditointivaatimus 2: Auditoitu järjestelmä Kysymys: Mitä tulee tehdä, jos käytössä ei ole sähköistä potilastietojärjestelmää? eresepti tulee pakolliseksi kaikille reseptejä kirjoittaville, sähköinen arkisto tulee yksityisellä sektorilla pakolliseksi vain niille, joilla on sähköinen potilastietojärjestelmä. Jos ei aio hankkia sähköistä potilastietojärjestelmää, voi hankkia ereseptiä varten Kelan tai muun toimittaman webreseptin. Lain

5 mukaan Kela on velvollinen toteuttamaan webreseptin mennessä. Markkinoilla on myös muita kevyitä webreseptisovelluksia, joita voi käyttää potilastietojärjestelmästä riippumatta. Kysymys: Mitä sanktioita tulee, jos ei hanki auditoitua järjestelmää ajoissa? Kansalliset toimijat eivät ole määritelleet sanktioita. Lakimuutos tuli voimaan Valvontaviranomaisia ovat Valvira ja AVI. Kysymys: Onko syytä reseptinkirjoituspisteisiin hankkia erilliset ATK-systeemit, joilla kirjoitetaan vain reseptejä (tietoturvasyistä) vai voiko nämä kortinlukijat liittää normaaleihin koneisiin, joissa PTJ ja nettiyhteys ja joilla tehdään muutakin ns yleiskoneet. Voi olla normaalit koneet, kunhan tietoyhteydet on suojattu. Parempi kuitenkin, että koneissa joissa on PTJ ja eresepti, ei surffailla netissä muuten. Auditointivaatimus 3: Tietoturvapolitiikka Kysymys: Mikä on riittävä tietoturvapolitiikka? Riittävää tietoturvapolitiikkaa ei ole määritelty. On syytä tutustua kanta-sivuilla oleviin ohjeisiin ja miettiä käytännöllisesti riittävä tietoturvapolitiikka omaan yritykseen suhteutettuna. Kysymys: Kävisikö tietoturvapolitiikan ym. kriteerien auditoinnissa viittaus omavalvontasuunnitelmaan, jossa kyseiset asiat ja toimintamallit on jo henkilökunnan kanssa käyty läpi ja sovittu? Kyllä käy. Auditointikriteereissä voidaan viitata mm. omavalvontasuunnitelmaan, laatujärjestelmään tmv. organisaatiossa jo olevaan dokumentaatioon. Kysymys: Jos on yksityinen ammatinharjoittaja, toimien yhdessä toimipaikassa, pitääkö tehdä omavalvontasuunnitelma? Nykyisen lain mukaan kaikkien tietojärjestelmiä käyttävien sosiaali- ja terveydenhuolloin toimijoiden on laadittava omavalvontasuunnitelma. Tämä tulee tehdä mennessä. Omavalvontasuunnitelman ohje löytyy Valviran sivulta: Auditointivaatimus 4: Nimetty tietosuojavastaava Kysymys: Mitä tämä tarkoittaa yhden tai kahden henkilön yrityksessä? Tässä kannattaa käyttää ns. maalaisjärkeä. Itse on toimintansa tietosuojavastaava ja tietoturvapolitiikan voi laatia järkevästi oman toiminnan kannalta. Kysymys: Miten asiaan vaikuttaa, jos henkilö ei ole terveydenhuollon ammattihenkilö? Ei mitenkään. Lokitietojen tarkistamiseksi on käyttöoikeudet määriteltävä riittäviksi. Auditointivaatimus 5: Ohjeet potilastietojen käsittelystä Kysymys: Missä laajuudessa nämä asiat eri tahojen tulee tietää ja osata (esim. vastaanottovirkailija vs. rekisterin vastuuhenkilö)?

6 . Kysymys: Kuinka paljon tämä poikkeaa yleisestä alan ohjeistuksesta ja koulutuksesta?. Auditointivaatimus 6: Henkilökunnan koulutus Kysymys: Ketkä kaikki tulee kouluttaa ja mihin mennessä? Miten osaaminen todennetaan? Vähintään kaikki ereseptiä hyödyntävät ja vastaanottovirkailijat. Suositeltavaa on kouluttaa koko henkilökunta mahdollisten asiakkaiden kysymysten varalta ja uuden toimintamallin takia. Koulutus on todettava auditointivaatimuksissa siten, että liittymisvaiheessa on vähintään suunnitelma olemassa koulutuksen toteutuksesta käyttöönottoon mennessä. Koulutusta ei kansallisten toimijoiden puolesta todenneta mitenkään. Yritys voi itse vaatia mm. verkkokoulun läpikäymistä ja siellä olevan testin läpäisemistä. Kysymys: Onko koulutuksen osalta määrätty vaatimuksia, miten se tulee suorittaa. Koulutustapaa ei ole määrätty. Koulutus voi hyvin olla vaikka itseopiskelu, jos se tuntuu sopivimmalta tavalta edetä. Olennaista on, että osataan käyttää järjestelmää. Toinen kokonaisuus on se, että kaikki asiakkaiden kanssa tekemisissä olevat ymmärtävät sähköisen reseptin yleisen toimintamallin. KanTa-koulutusmateriaalia on ihan ok käyttää toimintamallin opettamiseen. Auditointivaatimus 7: Tietosuojan valvonta Kysymys: Miten tämä tulee hoitaa pienessä yrityksessä? Kysymys: Mihin otetaan yhteyttä, jos väärinkäytöksiä ilmenee? Mistä Kelan ohje löytyy? Kysymys: Miten tämä eroaa vaatimuksesta 16 (Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta )? Molemmat vaatimukset käsittelevät samaa aihetta ja ne olisivat ihan hyvin voitu kirjoittaa samaa vaatimukseen. Jos hakemalla hakee eroa, niin vaatimukset 1-8 ovat organisatorisia ja 9-26 teknisiä vaatimuksia, mutta tämäkään ero ei ole kovinkaan selkeä tämänkään vaatimuksen osalta. Yleisesti tietosuojan liittyvä dokumentaatio ja periaatteet kannattaa keskittää ja koostaa yhteen dokumenttiin, jossa vaaditut asiat on kerrottu. Auditointivaatimus 8: Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Kysymys: Miten toimitaan muiden yritysten kanssa? (laboratoriot, siivous, IT, ym.) Näiden kanssa voi tehdä sopimuksen tietojen salassapidosta.

7 Auditointivaatimus 9: Viestinvälityksen sopimukset ja lainsäädäntö Kysymys: Täyttä hepreaa, keneen pitää olla yhteydessä? Kenen tähän kuuluu osata vastata? Kysymys: Miten eroaa vaatimuksesta 10 (Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa)? Auditointivaatimus 10: Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Kysymys: Mitä ihmettä tämä tarkoittaa? Kehen otan yhteyttä teleoperaattorillani? Kysymys: Miten eroaa vaatimuksesta 9 (Viestinvälityksen sopimukset ja lainsäädäntö)? Kysymys: Kuinka pakollinen varayhteys on pienellä toimijalla tai jos alueellisesti ei edes mahdollista? 4.5 Varayhteys Organisaation ja KanTa-palvelujen välisen tietoliikenneyhteyden kahdentaminen on suositeltavaa. Liittymän tilaajan kannattaa varmistaa tietoliikenneoperaattoriltaan, että ensisijainen yhteys ja varayhteys kulkevat aidosti eri reittejä koko matkan. Varmistaminen voi olla mahdotonta, jos liittymät ostetaan eri operaattoreilta, koska operaattorit eivät yleensä paljasta liittymiensä fyysisiä yhteyksiä. Jos yhteyden toteuttaminen täysin kahdennettuna ei ole mahdollista, on suositeltavaa kahdentaa yhteys niin pitkälle kuin on taloudellisesti järkevää. Tulkitsemme, että kahdentaminen on suositeltavaa, mutta pienissä taloissa se ei ole taloudellisesti järkevää. Järjestelmästä tulostettavia paperireseptejä voi kirjoittaa yhä ja niin voidaan tehdä tietoliikenneyhteyden pätkiessä. Tämä tietysti edellyttää sitä, että järjestelmään pääsee käsiksi ilman tietoliikenneyhteyttä. Poikkeustilanteen varalla voi olla myös paperisia reseptilomakkeita. Tällöin apteekki kirjaa reseptin Reseptikeskukseen. Kysymys: Miten paljon tämän järjestämiseen tulee varata aikaa? Miten kokonaisviivettä voidaan mitata? Auditointivaatimus 11: Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Kysymys: Mitä tämä tarkoittaa? Ketä tämä koskee?

8 Auditointivaatimus 12: Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin ja muuhun potilastietojen käsittelyyn liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) Kysymys: Minkälainen kirjanpito käyttöoikeuksista on riittävä? Kysymys: Saako Kelan mallipohjaa muuttaa? Kysymys: Miten tämä eroaa vaatimuksesta 13 (Käyttöoikeuksien jako ja hallinta)? Auditointivaatimus 13: Käyttöoikeuksien jako ja hallinta Kysymys: Minkälainen prosessikuvaus pitää olla pienessä yrityksessä? Kysymys: Miten tämä eroaa vaatimuksesta 12 (Käyttövaltuushallinta)? Kysymys: Kuinka pitkään käyttöoikeustietoja tulee säilyttää? Itse käyttöoikeusdokumentti voi olla vaikka excel-taulukko, johon annetut käyttöoikeudet kirjataan. Käyttäjän yksilöintitietoja ja tietoa käyttöoikeudesta säilytetään 12 vuotta potilastietojen suojaamisen takia. Lokitietojen perusteella voidaan joutua tarkastelemaan, onko käyttäjällä olleet käyttäjäoikeudet ja niihin liitetyt roolit olleet asianmukaiset.tuolloin historiatieto on oltava näkyvissä. Joskushan voi käydä niin, että käyttäjälle annetaan vahingossa väärät käyttäjäoikeudet, jonka seurauksena käyttäjä pääsee tietoihin, joihin hänellä ei olisi oikeutta. käyttäjän tulisi olla tietoinen omista oikeuksistaan ja ilmoittaa vääristä oikeuksista joskus käyttäjät eivät huomaa virheellisiä oikeuksia ja eivät käytä niitä tällöin myöskään hyväkseen ja joka voidaan todentaa lokitiedoista joskus käyttäjät huomaavat laajemmat oikeudet kuin mihin heillä olisi oikeus, mutta eivät ilmoita organisaatiossa käyttäjäoikeuksista vastaavalle taholle vaan käyttävät oikeuksia väärin, ja joka on todennettavissa lokeista. Auditointivaatimus 14: Vastuiden määrittely Kysymys: Miten pienen aseman tulisi tämä vaatimus täyttää? Tarkistakaa itsellänne työasemien tietoturva-asiat sekä mahdollisen yrityksenne sisäisen verkon tietoturva-asiat. Näitä voi kysyä niiltä palveluntoimittajilta, joilta laitteet ja palvelut on hankittu, tai katsoa palvelukuvauksista. Jos teillä on IT-tuki lähellä, jota hyödynnätte, niin pyytäkää tässä apua tulkitsemaan näitä asioita. Liittyy myös kohtaan 20. Jos teillä ei ole IT-tukea, niin neuvoisimme sopimaan jonkun lähellä toimivan palveluntuottajan kanssa, että saatte tarvittaessa apua. Esim, keneltä olette hankkineet koneet tai verkon.

9 Kun ollaan yhteydessä kansalliseen palveluun, tässä Reseptikeskukseen, niin on tärkeää, että kaikissa koneissa ja verkossa on ajanmukainen tietoturva ja palomuuri. Ovat yleensä valmiina, kun esim. modeemi on hankittu. Kysymys: Tarkoittaako tämä, että jokaisen alihankkijan kanssa täytyy olla kirjallinen sopimus? Auditointivaatimus 15: Muutostenhallintaprosessi Kysymys: Mitä kaikkia muutoksia tämä koskee? Mitä tämä tarkoittaa käytännössä? Kysymys: Miten testaukset hoidetaan pienissä yrityksissä? Auditointivaatimus 16: Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Kysymys: Kuinka usein tulee tehdä ja kelle raportoida? Kysymys: Kuka tämän saa tehdä, jos joutuu tarkistamaan kalentereita ja kertomusmerkintöjä? Kysymys: Tarvitsenko henkilöstökortin lokitietojen seurantaan tietosuojavastaavana (ei th-ammattilainen)? Tämä kannattaa tarkastaa potilastietojärjestelmän toimittajalta, miten on toteutettu. Jos kirjautuminen järjestelmään on pelkästään kortilla, silloin tarvitsee. Kysymys: Miten seurataan muiden järjestelmien kuin PTJ:n käyttöä (esim. röntgen)? Näihinkin järjestelmiin, jotka eivät ole yhteydessä Kanta-palveluihin ja joissa kuitenkin on potilastietoa, kohdistuu vaatimuksia, jotka järjestelmätoimittajat tulevaisuudessa joutuvat ilmoittamaan olevan kunnossa. Nämä liittyvät esim. tietoturvaan ja tietosuojaan. Valvira tulee keräämään rekisteriä kaikista tuotantokäytössä olevista sosiaali- ja terveydenhuollon tietojärjestelmistä. Tässä vaiheessa ei tarvitse huolehtia muusta kuin potilastietojärjestelmästä, tarkistaa että se on virallisesti auditoitu. Erillisistä lokijärjestelmää ei tarvita. Tulevaisuudessa, kun Valviran rekisteri valmistuu, joutuvat muutkin järjestelmät huolehtimaan tietyistä tietosuoja-asioista. Toki kannattaa ottaa huomioon omassa tietoturva- ja tietosuojapolitiikassa ja ohjeissa kaikkiin järjestelmiin kohdistuva käyttö. Kysymys: Miten tämä eroaa vaatimuksesta 7 (Tietosuojan valvonta)? Auditointivaatimus 17: Virhetilanteiden hallinta

10 Kysymys: Kenen kanssa pienten yritysten pitää sopia poikkeustilanteista? PTJ:n toimittajan? Kysymys: Miten kansallisista virhetilanteista informoidaan? Ilmoittautumisen yhteydessä Kelalle annetaan yhteystiedot kansallisia virhetilanteita varten, eli kenelle niistä yrityksessä tiedotetaan. Jos mahdollista, tähän ei anneta kenenkään henkilökohtaisia tietoja, vaan yrityksen puhelin / sähköpostiosoite Auditointivaatimus 18: Lokitietojen muuttumattomuus Kysymys: Miten tämä hoituu, jos PTJ pyörii omalla palvelimella (Mihin erillinen lokipalvelin tulee)? Kysymys: Kenen vastuulla tämän järjestäminen on? Auditointivaatimus 19: Käyttäjätunnusten yksilöllisyys Kysymys: Saako työasemalle olla yhteinen tunnus (PTJ:ää varten on henkilökohtaiset tunnukset)? Auditointivaatimus 20: Verkkoyhteyden suojaus Kysymys: Millainen on minimivaatimus koskien verkkoyhteyttä/verkkoympäristöä? Kysymys: Minkälainen on riittävä palomuuri? Riittääkö palomuuriksi softapohjainen ratkaisu vai vaaditaanko ihan erillinen "rautapalomuuri"? Käykö vanha palomuuri? Tätä ei ole tarkasti määritelty. Palomuuri voi olla esim. tietoliikennetoimittajan myymä erillinen fyysinen laite tai oma hankkima, tai sisältyä modeemiin. Softapohjainen riittää. Jotkut järjestelmätoimittajat tarjoavat myös kokonaispakettia. Tärkeää on tunnistaa ne paikat, jossa palomuuria tarvitaan. Kanta-palveluiden vastaus: Kelalla ei ole yksityiskohtaisia ohjeita siitä miten asiakkaiden tulisi tehdä palomuurinsa määritykset. Auditointivaatimuksissa kerrotaan että Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Yleisesti ottaen palomuurin tarkoituksesta, palomuurisäännöstössä sallitaan vain ne yhteydet, mitä järjestelmien käyttämiseen tarvitaan. Kaikki muut yhteydet estetään (varsinkin kaikki ulkoapäin tulevat). Kelan puolelta on mahdoton ottaa kantaa asiakkaiden kulloinkin tarvitsemaan konfiguraatioon. Kysymys: Missä dokumentissa on tarkat vaatimukset palomuurille?

11 Kysymys: Toimittaja tarjoaa tietynlaista palomuuriratkaisua. Miten tarjouksen kanssa tulee toimia? Auditointivaatimus 21: Hallintayhteydet järjestelmään Kysymys: Tarkoitetaanko tässä pelkästään etäyhteyttä potilastietojärjestelmään ja ereseptijärjestelmään vai yleisesti ottaen etäyhteyttä meidän toimintaympäristöön (verkkoon)? Kysymys: Miten tarkistan toimittajan ylläpitoyhteydet järjestelmään? Auditointivaatimus 22: Järjestelmän ylläpito Kysymys: Pitääkö PTJ:lle olla täysin oma palvelin? Saako pankkiasioita hoitaa samalla laitteella? Auditointivaatimus 23: Tunnistautuminen järjestelmiin Kysymys: Pitääkö koko PTJ:n kirjautuminen muuttaa kortilla toimivaksi? Kysymys: Miten hoidetaan muiden kuin terveydenhuollon ammattilaisten kirjautuminen omaan PTJ:ään? Auditointivaatimus 24: Istunnon katkaisu Kysymys: Voiko tähän tehdä työasema tai tunnuskohtaisia poikkeuksia? (Toimenpiteet, leikkaukset ym.)? Kyllä voi. Ne voidaan mainita itseauditoinnissa, esim. leikkaussalissa istunnon katkaisu poikkeuksellisesti 60 min. Kysymys: Koskeeko aikakatkaisu myös koneita, joissa on muita potilastietoja koskevia ohjelmia, mutta ei PTJ:ää? Hyvän ja turvallisen tietoturvaperiaatteen mukaisesti työasemat tulee lukita aina, kun ne eivät ole aktiivisessa käytössä ja valvonnan alla. Kyse on hyvästä toimintatavasta. Voi olla hyvin perusteltua asettaa työasemat lukittautumaan tietyn passiivisen ajan jälkeen, vaikka se ei auditointivaatimusten mukaan pakollista kaikkien työasemien osalta olisikaan. Kysymys: Voiko samassa koneessa olla useampi istunto auki, jottei käyttäjän vaihtoon menisi niin paljon aikaa? Auditointivaatimus 25: Potilaan informointi

12 Kysymys: Voiko Kelan esitteen pohjalta tehdä oman version? Saako Kelan esitteitä tilattua sähköisesti? Auditointivaatimus 26: Sosiaalihuollossa syntyvien tietojen Kantaan tallentamisen estäminen Kysymys: Mitä tämä tarkoittaa? Koskeeko tämä meitä? Tämä koskee potilaskertomuksen sähköistä arkistointia. Itseauditoinnissa voidaan kirjata, että auditointivaatimus ei ole relevantti tällä hetkellä.