Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti KANTA Loki- ja valvontapalvelu VAATIMUSMÄÄRITTELY

Transkriptio

1 Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti VAATIMUSMÄÄRITTELY V Laatija: STM ja konsultit Tarkistaja: Hyväksyjät:

2 VAATIMUSMÄÄRITTELY DOKUMENTIN MUUTOSHISTORIA Huom. Muutoshistoriaan kirjataan vain päätösten pohjalta tehdyt muutokset, ei työversioita. Revnro Pvm / Tekijä Kappale / Kappaleet Muutoksen sisältö

3 VAATIMUSMÄÄRITTELY SISÄLLYSLUETTELO 1 JOHDANTO Tämän dokumentin tarkoitus Määrittelyn kattavuus ja rajaukset Määrittelyn lähtökohdat ja riippuvuudet Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä Määrittelyhankkeen muut osaprojektit Muut hankkeet Valvonnasta TIETOJÄRJESTELMÄN YLEISKUVAUS Tietojärjestelmän tarkoitus Lokitus (Luovutus-, käyttö- ja tapahtumalokit) Sähköiseen luovutuspyyntöön perustuva luovutus Luovutusloki Arkiston käyttö Arkiston käyttöloki Potilastietojärjestelmän käyttöloki Käyttölokien varasto Arkiston tekninen tapahtumaloki KANTA -palveluiden järjestelmän ylläpitäjän käyttöloki Valvonta Valvonnan tavoitteet Valvontavastuu Valvonnan organisointi Standardit ISO 27799, HIPAA Arkistopalvelun järjestäjän valvontahenkilöstö Terveydenhuollon palvelun antajan valvontavastuu Kansalaisen valvontavastuu SIDOSRYHMÄKUVAUS Käyttäjäryhmät Tiedon tuottaja Tiedon käyttäjä Muut sidosryhmät TOIMINTA- JA TYÖPROSESSIEN KUVAUS Toiminta- alueen kuvaus Yleiskuvaus Kriittiset menestystekijät Toiminta- ja työprosessit Lokiasiakirjojen luonti KANTA -palveluissa Luovutusasiakirja Käyttötoimitusasiakirja KANTA -palveluiden Luovutuslokin katselu Kansalaisen tiedonsaantioikeus Valvojan käyttöliittymä Kansalaisen sähköinen katseluyhteys Lokiasiakirjojen hallinta... 29

4 VAATIMUSMÄÄRITTELY 4.6 Potilastietojärjestelmän käyttölokikirjaus KANTA -palveluiden tapahtumalokin lokikirjaus Käyttäjäkuvaukset ja käyttötarinat TOIMINNALLISUUDEN KUVAUS Käyttäjäroolit Käyttötapaukset Käyttötapaus 5.1 Kirjaa luovutusloki Käyttötapaus 5.2 Luovutusasiakirjan toimitus Luovutuslokiin Käyttötapaus 5.3 Kirjaa arkiston käyttöloki Käyttötapaus 5.4 Kirjaa tapahtumaloki Käyttötapaus 5.5 Potilastietojärjestelmän käyttölokien varastointi Käyttötapaus 5.6 Varastoitujen potilastietojärjestelmän käyttölokien palautus Käyttötapaus 5.7 Varastoitujen potilastietojärjestelmän käyttölokien hävittäminen Käyttötapaus 5.8 Luovutustietojen katselu Käyttötapaus 5.9 Arkiston käyttölokin katselu Käyttötapaus 5.10 Tapahtumalokin katselu VAATIMUSTEN KUVAAMINEN Terveydenhuollon yleiset vaatimukset Juridiset vaatimukset Toiminnalliset vaatimukset Arkkitehtuurivaatimukset Suorituskykyvaatimukset TIETOSISÄLLÖN KUVAUS Käsitemalli kuvaukset Tietojen ja toimintojen kohdistus TERMINOLOGIA VIITTAUKSET... 50

5 VAATIMUSMÄÄRITTELY 1/50 1 JOHDANTO 1.1 Tämän dokumentin tarkoitus Sosiaali- ja terveysministeriö (STM) on käynnistänyt hankkeen terveydenhuollon valtakunnallisen järjestelmäarkkitehtuurin määrittelystä ja kansallisen sähköisten potilastietojen arkistopalvelun perustamisesta. Taustalla on laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä. Lain tavoitteena on edistää terveydenhuollon potilastietojen saatavuutta sekä käytettävyyttä valtakunnallisen arkistopalvelun kautta. STM on kesäkuussa 2006 antanut WM-datan johtamalle konsortiolle toimeksiannon terveydenhuollon valtakunnallisen tietojärjestelmäarkkitehtuurin sekä kansallisesti tuotettavien tietojärjestelmäpalveluiden määrittelytyöstä. Määrittelytyön tavoitteena on kuvata valtakunnallisen loogisesti yhtenäinen tietojärjestelmäarkkitehtuuri, jonka avulla pystytään ratkaisemaan potilastietojen valtakunnallinen saatavuus sekä kansallinen sähköinen arkistointi. Kansallisella sähköisellä arkistolla (KANTA) tarkoitetaan tässä palvelua, joka pystyy vastaanottamaan, säilyttämään, luovuttamaan ja hävittämään alkuperäisiä sähköisiä asiakirjoja, jotka terveydenhuollon toimijat sekä julkisella että yksityisellä sektorilla toimittavat arkistoon. Sähköiseen arkistoon talletettuja asiakirjoja voivat hyödyntää terveydenhuollon toimintayksiköiden lisäksi myös muut toimijat, joilla lainsäädännön mukaan on siihen oikeus, esimerkiksi eri viranomaiset ja kansalainen omien tietojensa osalta. Terveydenhuollon palvelun antajien on liityttävä siirtymäajan puitteissa kansalliseen terveydenhuollon arkistopalvelun käyttäjiksi ja liittymisen jälkeen rekisteröitävä ja talletettava kaikki alkuperäiset potilasasiakirjat KANTA -palveluun. Terveydenhuollon palvelun antajat vastaavat omista tiedoistaan arkistossa. Kansalaisella on lakiehdotuksen mukaan oikeus saada tieto, mitä tietoja hänestä säilytetään, kenelle tietoja on luovutettu ja ketkä ovat hänen tietojaan käyttäneet. Osa näistä valvontaoikeuteen kuuluvista tiedosta tulee kansalaisen saada sähköisesti kansallisesta terveydenhuollon arkistosta ja sen luovutuslokeista, osa tulee olla selvitettävissä palvelun antajien potilastietojärjestelmien käyttölokeista. Terveydenhuollon ammattilaisen oikeusturvan tueksi on tarvittaessa voitava myös jäljittää tieto siitä, mitä potilasasiakirjoja oli käytettävissä hänen arvioidessaan potilaan hoitotarvetta ja tehdessään hoitoa koskevia päätöksiä. Tämän lisäksi rekisterinpitäjiltä ja kansalliselta toimijalta edellytetään aktiivista valvontaa väärinkäytösten selvittämiseksi sekä estääkseen asiattoman pääsyn potilastietoihin.

6 VAATIMUSMÄÄRITTELY 2/50 Terveydenhuollon palvelun antajat valmistautuvat luovuttamaan toisilleen arkaluontoisia potilastietoja kansallisen terveydenhuollon arkiston avulla. Kansallisen toimijan ja palvelun antajien välille tarvitaan ikuinen luottosuhde. Tämän perustamiseksi ja ylläpitämiseksi tarvitaan uskottava valvonta ja osapuolten auditointi ja sertifiointi. Kansalaisten luottamuksen takeeksi ja tiedonsaantioikeuksien toteuttamiseksi, terveydenhuollon ammattilaisten oikeusturvan tueksi, kansallisen toimijan toiminnan laadun valvomisen sekä tietosuojan ja tietoturvallisuuden edistämisen avuksi määritellään loki- ja valvontapalvelu. Loki- ja valvontapalvelu kokoaa kansallisesta terveydenhuollon arkistosta tiedonsaantioikeutta toteuttavan ja oikeusturvaa tukevan asiakirjojen luovutustiedon lokiasiakirjoiksi sekä laadunvalvontaan ja luottosuhteen varmistamiseen tarvittavan tiedon tapahtumalokeihin. Loki- ja valvontapalvelu tarjoaa kansalaisille ja valvoville tahoille pääsyn näihin lokitietoihin KANTA -palveluun toteutettavien palvelurajapintojen kautta. Lokipalvelu varautuu lisäksi kirjaamaan arkiston käyttölokit ja varastoimaan palvelun antajien järjestelmien käyttölokiasiakirjat. Tässä dokumentissa kuvataan kansalliseen terveydenhuollon arkistoon toteutettavan loki- ja valvontapalvelun vaatimusmäärittely. 1.2 Määrittelyn kattavuus ja rajaukset Tässä dokumentissa keskitytään loki- ja valvontapalvelun osajärjestelmään. Kokonaisuuden muut osat on kuvattu hankkeen muissa osaprojekteissa ja niiden tuottamassa dokumentaatiossa. Tässä dokumentissa kuvataan KANTA -palvelun loki- ja valvontapalvelulle asetettavat vaatimukset, osajärjestelmän tarjoamat palvelut sekä loogiset riippuvuudet muihin osajärjestelmiin toiminnallisesta näkökulmasta ja osana kansallista sähköistä potilasasiakirjojen arkisto- ja tiedonhakupalvelua. KANTA- järjestelmän teknisen arkkitehtuurin kuvaus on omassa dokumentissaan. Määrittelytyö perustuu asiakkaan nimeämään kirjalliseen lähdeaineistoon ja asiakkaan nimeämien asiantuntijoiden kanssa käytyihin keskusteluihin sekä yhteistoimintaan muiden osaprojektien asiantuntijoiden kanssa. 1.3 Määrittelyn lähtökohdat ja riippuvuudet Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä Sosiaali- ja terveysministeriö on valmistellut lain sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä samaan aikaan tämän määrittelytyön kanssa. Tällä voimaantulevalla lailla ja sitä täydentävillä asetuksilla on ratkaiseva vaikutus määriteltävän järjestelmän toiminnallisuuteen sekä toiminnallisuutta rajaavana että sitä vaativana tekijänä.

7 VAATIMUSMÄÄRITTELY 3/50 Lähtökohta 1 Laki velvoittaa kansallisen terveydenhuollon arkiston ylläpitämään luovutuslokia. Luovutuslokilla tarkoitetaan luovutuksiin liittyvää asiakirjakokonaisuutta, joka sisältää luovutuspyyntö-, suostumus-, potilashallinnon varmenne- ja luovutusasiakirjat. Luovutuslokit voivat olla KANTA -palvelun tuottamia tai terveydenhuollon palvelun antajien potilastietojärjestelmissä tuotettuja. Lähtökohta 2 Laki (6, HE yksityiskohtaiset perustelut s.53) velvoittaa palvelun antajat käyttämään rakenteisia potilaskertomusjärjestelmiä. KANTA palvelu luovuttaa palvelun antajan järjestelmään asiakirjoja CDA R2- siirto- ja talletusmuodossa (XML). Tiedot talletetaan palvelun antajan järjestelmään todennäköisesti fragmentteina tietokantaan ja esitetään käyttöliittymäsovelluksissa rakenteisena potilaskertomuksena. Täydellistä yksikäsitteistä muunnosta näiden rakenteiden välillä ei kenties ole. Kaikkia luovutuksella saatuja tietoja ei myöskään välttämättä käytetä. Laki velvoittaa palvelun antajat ylläpitämään käyttölokia. Käyttölokin CDA R2- asiakirjaa ei ole (vielä) määritelty. Asetuksella tullaan säätämään kansallisesti noudatettava rakenne ja sisältö tälle. Palvelun antajien käyttölokeista on selvittävä, kenellä on ollut pääsy jonkin yksilöidyn (OID) asiakirjan tietoihin. Lähtökohtana määrittelyissä on, että palvelun antajien potilastietojärjestelmät kykenevät lain tarkoittamassa mielessä seuraamaan käyttöliittymäsovellusnäkymien ja käytettävien potilasasiakirjojen suhdetta. Lähtökohta 3 Potilastietojen luovutukset perustuvat joko potilaan suostumukseen tai lain säädökseen. Sähköiseen luovutuspyyntöön perustuvat luovutukset toiselle terveydenhuollon palvelun antajalle on tehtävä kansallisen terveydenhuollon arkiston kautta. Näistä tuotetaan luovutuslokiasiakirjat ja rekisteröidään ja arkistoidaan ne. Muut sähköiset luovutukset toiselle terveydenhuollon palvelun antajalle voidaan tehdä myös suoraan palvelun antajan järjestelmästä tai kansallisesta arkistosta. Molemmissa vaihtoehdoissa tuotetaan ja arkistoidaan luovutuslokiasiakirjat kansalliseen terveydenhuollon arkistoon. Palvelun antajan järjestelmän on siis kyettävä tuottamaan luovutusasiakirja, mikäli luovutus tapahtuu suoraan. Sähköiset luovutukset muulle kuin toiselle terveydenhuollon palvelun antajalle toteutetaan terveydenhuollon palvelun antajan järjestelmästä. Luovutustieto näistäkin talletetaan kansalliseen terveydenhuollon arkistoon. Muut kuin sähköiset potilastietojen luovutukset palvelun antajalta muulle kuin toiselle terveydenhuollon palvelun antajalle edellyttävät myös luovutustietojen lokittamista. Myös näille on luotava sähköinen luovutetut tiedot kuvaava tai/ ja sisältävä luovutusasiakirja ja siihen liittyvät asiakirjat, jos luovuttaja on liittynyt KANTA -palvelun käyttäjäksi.

8 VAATIMUSMÄÄRITTELY 4/50 Lähtökohta 4 Lakeihin perustuviin potilastietojen luovutuksiin terveydenhuollon kansallisiin rekistereihin ei tuoteta luovutuslokiasiakirjoja tapahtuipa luovutus suoraan tai kansallisen arkiston kautta. Näistä luovutuksista arkistoidaan oma asiakirja. Lähtökohta 5 Tutkimuskäyttöön tehtävistä luovutuksista ei tuoteta luovutusasiakirjoja tapahtui luovutus suoraan arkistosta tai potilastietojärjestelmän kautta. Näistä luovutuksista arkistoidaan oma asiakirja. Lähtökohta 6 Jos potilastietojärjestelmän kautta tehtävä hakukyselyn tulos sisältää luovutettavia tietoja, tallennetaan hakutulos Luovutuslokiin. Lähtökohta 7 Potilas saa katseluyhteyden kautta tiedon, mille terveydenhuollon palvelun antajalle tai muulle luovutuksen saajalle hänen potilasasiakirjojaan on luovutettu. Luovutuksen saaja on juridinen henkilö tai organisaatio, jonka tiedot näytetään kansalaiselle, mutta luovutuspyynnön tehneen henkilön tietoja hänelle ei näytetä. Potilas saa katseluyhteyden kautta tiedon, mitä asiakirjoja hänestä on luovutettu, ellei häntä hoitava terveydenhuollon ammattihenkilö ole kieltänyt niiden luovutusja hakutietojen näyttämistä hänelle. Vaikka käyttölokit voidaan varastoida KANTA -järjestelmään, näihin lokeihin ei ole pääsyä katseluyhteyden kautta. Lähtökohta 8 KANTA palvelu lokittaa myös tiedon asiakirjojen kopioiden palauttamisesta takaisin asiakirjat alun perin tuottaneen palvelun antajan järjestelmään ja kirjaa nämä tiedot arkiston käyttölokiin. Arkiston käyttölokin tiedot ovat teknisesti hyvin samanlaiset kuin luovutuslokin. Arkiston käyttölokia ei kuitenkaan käytetä muuhun kuin mahdollisesti valvontaan liittyen Määrittelyhankkeen muut osaprojektit Loki- ja valvontapalvelun määrittelyä tehdään osana laajempaa hanketta, jossa määritellään koko kansallisen arkistopalvelun kokonaisuus. KANTA -palvelut koostuvat useista eri osajärjestelmistä, jotka kukin osaltaan määrittelevät eri osia kokonaisuudesta. Loki- ja valvontapalvelun määrittelytyössä on joitakin asioita määritelty hankkeen muissa osapalveluissa. Nämä lähtökohdat on koottu seuraavaan luetteloon.

9 VAATIMUSMÄÄRITTELY 5/50 Lähtökohta 1 Potilastietojärjestelmä toimittaa arkistoon CDA R2- muotoiset potilasasiakirjat sekä käyttö- ja luovutuspyynnöt ja varmenne- ja suostumusasiakirjat. Asiakirjat yksilöidään OID -tunnisteella. Lähtökohta Muut hankkeet Kansallisen terveydenhuollon arkiston viestinvälitys tuottaa teknisiä tapahtumalokeja. Näitä voidaan käyttää valvonnan toteuttamisessa, palvelun mitoituksessa, laadun ohjauksessa sekä auditoinneissa ja sertifioinnissa. Lähtökohta 1 Kansalaiselle annetaan mahdollisuus nähdä sähköisen katseluyhteyden kautta, mille palvelun antajalle tai muulle luovutuksen saajalle hänen potilasasiakirjojaan on luovutettu. Lähtökohta 2 Kansallisen terveydenhuollon arkiston ydinprosessit ovat asiakirjojen luonti, asiakirjojen käyttäminen ja asiakirjojen hallinta. Lähtökohta 3 Rekisterinpitäjät vastaavat paikallisten potilasjärjestelmien käyttölokeista ja että niihen tallentuu tieto siitä, mitä potilasasiakirjoja on käytetty ja kuka niitä on käyttänyt. Lähtökohta 4 Erityissuojattava tieto käsitellään hakemisto- ja rekisteripalvelussa ja se välitetään hakutietojen mukana potilastietojärjestelmään. Erityissuojattava tieto käsitellään ja valvotaan palvelun antajan potilastietojärjestelmässä.

10 VAATIMUSMÄÄRITTELY 6/50 Lähtökohta 5 Potilastietojärjestelmä toimittaa arkistoon CDA R2- muotoiset potilasasiakirjat sekä käyttöpyyntö-, luovutuspyyntö-, varmenne- ja suostumusasiakirjat. Luovutuksen tapahtuessa suostumustenhallinnan/ hakemisto- ja rekisteripalvelun osajärjestelmä tuottaa loki- ja valvontapalvelulle listan luovutetuista asiakirjoista. Lokipalvelu tuottaa näistä luovutus- tai arkiston käyttölokin. Asiakirjat yksilöidään OID - tunnisteella. Lähtökohta 6 Mikäli terveydenhuollon palvelun antaja luovuttaa suoraan potilastietoja toiselle terveydenhuollon palvelun antajalle sähköisesti, toimintayksikön potilastietojärjestelmä lähettää luovutustiedot rekisteröitäväksi ja arkistoitavaksi KANTA - järjestelmään. Lähtökohta Valvonnasta Mikäli terveydenhuollon palvelun antaja luovuttaa suoraan tietoja toiselle terveydenhuollon palvelun antajalle tai muulle luovutuksen saajalle muuten kuin sähköisesti, näistäkin luovutuksista on tuotettava sähköiset luovutustiedot KANTA - järjestelmään. Lähtökohta 1 KANTA -palvelun ylläpitotoimista on pidettävä ylläpitäjän käyttölokia. Lähtökohta 2 KANTA -palveluun järjestetään testausympäristö terveydenhuollon palvelun antajan potilastietojärjestelmien teknisen liittymiskyvyn varmistamiseksi. Lähtökohta 3 Terveydenhuollon palvelun antajat on päästettävä rekisteröimään ja arkistoimaan potilasasiakirjoja kansalliseen arkistoon, mikäli ne täyttävät tekniset liitettävyyden edellytykset. Lähtökohta 4 Terveydenhuollon palvelun antajan auditointi ja sertifiointi sähköisten luovutusten vastaanottoon oikeutetuksi organisoidaan puolueettomasti. Vastaava sertifiointivelvoite koskee myös KANTA -palveluita. Lähtökohta 5 Terveydenhuollon palvelun antajalle voidaan luovuttaa potilasasiakirjoja sähköisiin luovutuspyyntöihin perustuen, mikäli palvelun antajan sertifiointi on voimassa ja palvelun antaja toimii ikuisen luottosuhteen edellyttämällä laadukkuudella.

11 VAATIMUSMÄÄRITTELY 7/50 Mikäli terveydenhuollon palvelun antajan toiminnassa ilmenee olennaisia puutteita, oikeus sähköisten luovutusten saamiseen voidaan evätä. Mikäli terveydenhuollon palvelun antajan toiminnassa ilmenee vakavia puutteita ja rikkomuksia, oikeus hakemisto- ja arkistotietojen sähköiseen käyttämiseen voidaan evätä. Mikäli terveydenhuollon palvelun antajan järjestelmä häiritsee teknisesti, tuottaa kohtuuttomasti virheellisiä asiakirjoja tai levittää haittaohjelmia, asiakirjojen vastaanotto voidaan keskeyttää. Lähtökohta 6 Asiakastietojen käytön asiallisuuden ja muun toiminnan säädöstenmukaisuuden aktiivinen valvonta tarkoittaa väärinkäytösten tutkimisen lisäksi ajantasaisen valvonnan toteuttamista ja varautumista väärinkäytöksiä ennaltaehkäiseviin toimiin. Lähtökohta 7 STM tulee ohjeistamaan ja säätämään asetuksilla auditoinneista ja sertifioinneista.

12 VAATIMUSMÄÄRITTELY 8/50 2 TIETOJÄRJESTELMÄN YLEISKUVAUS 2.1 Tietojärjestelmän tarkoitus Kansalaisella on oikeus saada tieto, mitä tietoja hänestä säilytetään, kenelle tietoja on luovutettu ja ketkä ovat hänen tietojaan käyttäneet. Terveydenhuollon ammattilaisen oikeusturva edellyttää tietoa siitä, mitä tietoja hänellä on ollut käytettävissään arvioitaessa hoitotarvetta ja tehtäessä potilaan hoitoa koskevia päätöksiä. Tämän lisäksi rekisterinpitäjältä ja arkistopalvelun järjestäjältä edellytetään aktiivista valvontaa, että sivulliset eivät pääse katsomaan potilastietoja eivätkä tietosuojan tai tietoturvan vaarantamista eikä väärinkäyttöä pääse tapahtumaan. Loki- ja valvontapalveluiden tehtävänä on tallentaa tarvittava tieto lokeihin kansalaisen tiedonsaantinäkökulmaa, terveydenhuollon ammattilaisen oikeusturvaa ja rekisterinpitäjien ja tietojärjestelmäpalvelun järjestäjän valvontavelvollisuutta tukevalla tavalla ja laajuudessa. Kansallisen arkistopalvelun tallentamista lokeista voidaan hakea tietoja KANTA -palveluiden tarjoamin palvelurajapinnoin kansalaisen katseluyhteydelle ja valvontaohjelmien käyttöön. Lokiasiakirjoja syntyy KANTA -palvelun lokeihin, kun tehdään KANTA - palveluun hakukyselyjä tai haetaan sieltä joko oman tai toisen terveydenhuollon palvelun antajan asiakirjoja. Lokitietoja rekisteröidään ja arkistoidaan KANTA - palveluun myös liittyen suoraan palvelun antajien järjestelmistä tehtyihin potilasasiakirjojen luovutuksiin. Tapahtumalokeja kerätään ja säilytetään erikseen määrättävässä laajuudessa ja erikseen määrättävän säilytysajan verran. Potilasasiakirjojen käytöstä kirjataan lokitiedot potilastietojärjestelmien käyttölokeihin. Lokipalveluosuuden tarkoitus on tarkastaa tai tuottaa luovutuslokiasiakirjat, tuottaa ja lokittaa arkiston käyttöloki. Valvontapalveluosuuden tarkoitus on varmistaa laajasti tulkiten potilasasiakirjojen asianmukaista ja tietoturvallista käyttöä, ennalta ehkäistä väärinkäytöksiä, tukea väärinkäytösten selvittämistä, varmistaa osaltaan hyvän hallintotavan noudattamista ja auttaa palvelun laadun seuraamisessa ja kehittämisessä. Kuvassa 1 on esitetty loki- ja valvontapalvelun loogiset riippuvuudet.

13 VAATIMUSMÄÄRITTELY 9/50 Loki- ja valvontapalvelun loogiset riippuvuudet Terveydenhuollon toimintayksiköt Käyttölokien varastointi Kansallinen terveydenhuollon arkisto (KANTA) «subsystem» Potilastietojärjestelmä::Document Source Koodiston ja koodin nouto Muun potilasasiakirjan arkistointi ja rekisteröinti Suostumus- ja kieltoasiakirjan arkistointi ja rekisteröinti Asiakirjojen luovutusasiakirjat (oma- aloitteiset luovutukset) «subsystem» Koodistopalvelu «subsystem» Arkisto (Repository) Potilastietojärjestelmän käyttölokit Asiakirjan käyttöpyyntö, käyttötoimitusasiakirja Asiakirjan luovutuspyyntö, luovutusasiakirja Tapahtuma lokit Tiedon tuottaja Asiakirjojen luovutusasiakirjat (luovutukset muille) «subsystem» Loki ja valvonta Asiakirjan nouto Suostumusten tarkistukset Keskeneräisen asiakirjan arkistointi ja rekisteröinti «subsystem» Potilastietojärjestelmä::Document Consumer Asiakirjojen haku Asiakirjojen käyttöpyyntö Asiakirjojen luovutuspyyntö Asiakirjan rekisteröinti Suostumusten tarkistukset «subsystem» Suostumustenhallinta Haku-, käyttö- ja luovutuspyyntö, asiakirjaluettelo Tiedon käyttäjä Keskeneräisen asiakirjan nouto Keskeneräisen asiakirjan rekisteröinti «subsystem» Potilastietojärjestelmä::Repository «subsystem» Hakemisto- ja rekisteröinti (Registry) KANTAn ylläpitäjän käyttöloki Kuva 1. Kansallisen terveydenhuollon arkistopalvelun osajärjestelmät ja niiden väliset loogiset riippuvuudet 2.2 Lokitus (Luovutus-, käyttö- ja tapahtumalokit) Kuvassa 2 on esitetty loki- ja valvontapalvelun lokit. Kansalaisen katseluyhteys (KELA) Kansallinen arkistopalvelu (KANTA) Tekninen tapahtumaloki Potilastietojärjestelmä Luovutusloki Tapahtumaloki Tapahtumaloki Tekninen tapahtumaloki Tekninen Tapahtuma- tapahtumaloki Käyttöloki Arkiston käyttöloki Perusjärjestelmien käyttölokien varasto Kuva 2. Loki- ja valvontapalvelun lokit

14 VAATIMUSMÄÄRITTELY 10/ Sähköiseen luovutuspyyntöön perustuva luovutus Luovutusloki Sähköiseen luovutuspyyntöön perustuva potilasasiakirjojen luovutus terveydenhuollon palvelun antajalta toiselle tarkoittaa, että terveydenhuollon palvelun antaja (ammattihenkilö tai muu asiakirjan käyttöön oikeutettu henkilö) hakee potilastietojärjestelmäänsä kansallisesta terveydenhuollon arkistosta hakemisto- ja rekisteröintipalvelun kautta toisen rekisterinpitäjän potilastietojärjestelmässä luodun asiakirjan oman toimintayksikkönsä potilastietojärjestelmän kautta katsottavaksi (käytettäväksi). Luovutukseen on saatava pääsääntöisesti potilaan oma suostumus. Luovutus edellyttää hoitosuhdetta tai muuta lakiin perustuvaa yhteyttä potilaan ja terveydenhuollon ammattihenkilön välillä. Toimintayksikön sisällä käytettäessä potilasasiakirjoja muuhun kuin alkuperäiseen käyttötarkoitukseen on tämä myös potilasasiakirjojen luovutusta. Luovutuksen tapahtuessa loki- ja valvontapalvelu tallentaa KANTAn Luovutuslokiin tiedot luovutetuista asiakastiedoista, palvelujen antajasta, jonka tietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksen saajasta ja luovutusajankohdasta. Asiakastietojen luovuttajalla tarkoitetaan juridista henkilöä tai organisaatiota, joka on tehnyt luovutuspyynnön. Hakukyselyn vastaukset ovat myös luovutusta, kun ne sisältävät toisen toimintayksikön tietoja ja siitä tallennetaan myös tieto Luovutuslokiin. Luovutuksen tapahtuessa suoraan potilastietojärjestelmästä, tulee toimintayksikön potilastietojärjestelmän toimittaa KANTA -palveluun luovutusasiakirjat. Luovutusasiakirjat arkistoidaan ja rekisteröidään KANTA -palveluun riippumatta siitä, mistä luovutus on tapahtunut.

15 VAATIMUSMÄÄRITTELY 11/50 Kuva 3. Luovutusloki Arkiston käyttö Luovutuksesta tallennetaan KANTA -palveluun Luovutusasiakirja, joka sisältää henkilötunnuksen lisäksi tiedot luovutuspyyntö-, suostumus-, potilashallinnon varmenneasiakirjasta sekä viittaukset luovutettuihin potilasasiakirjoihin (kuva 3). Näin ollen Luovutusloki sisältää tiedot kaikista luovutukseen sisältyneistä asiakirjoista, joihin kansalaisella on tiedonsaantioikeus ja joiden luovutusta valvoo toimintayksikön valvoja. Tulevaisuudessa kansalaisella on myös mahdollisuus itse nähdä sähköisen katseluyhteyden kautta häntä koskevat Luovutuslokin tiedot lain täsmentämin rajauksin. Luovutuslokien tulee olla rekisterinpitäjäkohtaisesti erotettavissa siten, että kullakin rekisterinpitäjällä on näkymä vain omiin tietoihinsa. Sähköiseen luovutuspyyntöön perustuvassa luovutuksessa terveydenhuollon palvelun antajien välillä luovutusasiakirja tallennetaan luovuttavan osapuolen arkistoosaan ja se viittaa luovutuksen saajan osaan tallennettuihin luovutuspyyntöön, potilashallinnon varmenteeseen ja suostumusasiakirjaan. Muissa luovutuksissa luovutusasiakirja, suostumus sekä mahdolliset luovutuspyyntö ja potilashallinnon varmenne tallennetaan luovuttajan osaan kansallista arkistoa. KANTA -palveluiden kannalta asiakirjan käytöllä tarkoitetaan sitä, kun terveydenhuollon ammattihenkilö hakee käyttöönsä oman rekisterinpitäjänsä potilastietojär-

16 2.2.4 Arkiston käyttöloki VAATIMUSMÄÄRITTELY 12/50 jestelmässä luodun asiakirjan kopion käyttötarkoitusta muuttamatta. Käyttö ei edellytä suostumustarkastelua arkistossa. Terveydenhuollon ammattihenkilön hakiessa käyttöönsä KANTA -palveluista oman toimintayksikkönsä asiakirjoja, loki- ja valvontapalvelu tallennetaan tästä hausta Arkiston käyttölokiin tiedot käytetyistä asiakastiedoista, palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja ajankohdasta. Kuva 4. Arkiston käyttöloki Käyttötoimituksesta tallennetaan KANTA -palveluun käyttötoimitusasiakirja, joka sisältää tiedot käyttöpyyntö-, potilashallinnon varmenneasiakirjasta sekä käyttöön toimitetuista potilasasiakirjoista. Arkiston käyttöloki on kokonaisuus, joka sisältää tiedot käyttötoimitukseen sisältyneistä asiakirjoista. Käyttöloki tallennetaan luonnollisesti terveydenhuollon palvelun antajan omaan arkisto- osaan kansallisessa arkistossa. Arkiston käyttölokien tulee olla rekisterinpitäjäkohtaisesti erotettavissa, siten että kullakin rekisterinpitäjällä on näkymä vain omiin tietoihinsa Potilastietojärjestelmän käyttöloki Terveydenhuollon ammattihenkilön käyttäessä oman toimintayksikön potilastietojärjestelmässä olevia asiakirjoja (myös KANTA -palveluista luovutettuja), tallennetaan tieto käytetyistä asiakastiedoista, palvelujen antajasta, jonka asiakastietoja

17 2.2.6 Käyttölokien varasto VAATIMUSMÄÄRITTELY 13/50 käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja ajankohdasta potilastietojärjestelmän käyttölokiin. Käyttölokien avulla pystytään valvomaan ja tarvittaessa jäljittämään, kuka ja mitä potilasasiakirjoja tai mitä asiakirjojen osia käyttäjä on käyttänyt. Tämä edellyttää, että potilastietojärjestelmien potilastietojen käsittelyssä pystytään viittaamaan CDA R2- muotoisiin asiakirjoihin, jotka sisältävät lokitettavat OID tunnisteet (tai kyetään käsittelemään asiakirjoja suoraan tässä muodossa). Kansaneläkelaitos voi tarjota toimintayksiköille mahdollisuuden tallentaa potilastietojärjestelmien käyttölokit KANTA -palveluiden käyttölokivarastoon. Potilastietojärjestelmien käyttölokien tietojen siirto KANTA -palveluiden varastoitavaksi edellyttää potilastietojärjestelmien käyttölokien rakenteen ja sisällön yhtenäistämistä (käyttölokiasiakirjan määrittelyä ja velvoittavaa asetusta). Tämä ei ole arkiston osa, käyttölokeja ei arkistoida eikä rekisteröidä, kyseessä on vain tekninen säilyttäminen. KANTA -palvelut säilyttävät käyttölokiasiakirjat erillään palvelun antajittain Arkiston tekninen tapahtumaloki Ylläpitoa, valvontaa, ongelmien selvittämistä ja mahdollisesti laskutustietojen keruuta ja vastaavia hallinnollisia tarpeita varten talletetaan suoritetuista prosessien palveluista lokitiedot erilliseen KANTA -palveluiden tekniseen tapahtumalokiin. Tapahtumalokitietoja säilytetään asetuksessa määrättävät ajat. Tämän dokumentin luvussa on ehdotettu palvelun järjestäjälle KANTA - palveluiden valvontaan liittyviä asioita, joiden toteutuksessa voidaan hyödyntää Arkiston teknisestä tapahtumalokista saatavia tietoja. Arkiston tekninen tapahtumaloki palvelee järjestelmän ylläpitoa ja valvontaa ja siihen ei ole palvelun antajan henkilöillä ja kansalaisilla suoraa tiedonsaanti- oikeutta. KANTA -palveluiden tekninen tapahtumaloki on osa viestinvälityspalvelua.

18 VAATIMUSMÄÄRITTELY 14/ KANTA -palveluiden järjestelmän ylläpitäjän käyttöloki 2.3 Valvonta Valvonnan tavoitteet Kansaneläkelaitosta sitoo valtakunnallisia tietojärjestelmäpalveluja järjestäessään potilastietojen salassapitoa koskevat säännökset. Kansaneläkelaitoksen on ylläpidettävä rekisteriä sen järjestämisvastuulla olevien tietojärjestelmäpalvelujen ylläpitotehtäviin oikeutetuista henkilöistä sekä näiden käyttöoikeuksista. Kansaneläkelaitoksen on myös ylläpidettävä lokirekisteriä näiden palvelujen ylläpitotehtävien edellyttämistä potilastietojen käyttötapahtumista, jotka tallentuvat järjestelmän ylläpitäjän käyttölokiin. Lain mukaan rekisterinpitäjä velvoitetaan seuraamaan omien asiakasrekistereidensä tietojen luovutusta toiselle rekisterinpitäjälle taikka muulle tietoon oikeutetulle. Tällä rekisterinpitäjälle asetettavalla aktiivisella seurantavelvoitteella turvataan asiakkaan yksityisyyden suojan toteuttamista, siten että tietojen käsittely on suunniteltua ja hallittua. Käyttö- ja Luovutuslokitietojen avulla on pystyttävä jäljittämään tietojen väärinkäyttötilanteet jälkikäteen. Toimipaikan henkilökunnan kannalta tieto siitä, että jokaisesta käyttö- tai luovutustilanteesta jää lokimerkintä, toimii myös pelotteena, joten lokirekisterien pitämisellä on siten myös tietojen väärinkäyttöä ennaltaehkäisevä vaikutus. Kansaneläkelaitos vastaa osaltaan luovutuksista. Luovutuksia suostutaan antamaan vain, kun luovuttaja voi luottaa, että luovutusta pyytävän tietoturva ja -suoja ovat hyväksyttävällä tasolla. Tämä edellyttää yhteisesti sovitut valtakunnan tasoiset laatuvaatimukset riskienhallinnalle ja hyvän hallintotavan säädösten mukaiselle noudattamiselle. Palvelun hallinnointimielessä tämä edellyttää kaikkien osapuolien, myös Kansaneläkelaitoksen, toiminnan sertifiointia sovitun standardin mukaisesti ja valvontana toiminnan organisoinnin, prosessien ja laadun auditointia ja sertifioinnin pitämistä voimassa. Lähtökohtaisesti kaikkien palvelun antajien on liityttävä kansallisen terveydenhuollon arkiston käyttäjiksi. Palvelun antajan tuottamia asiakirjoja voidaan rekisteröidä ja arkistoida, kun palvelun antajan järjestelmät on todettu teknisesti toimiviksi ja yhteensopiviksi KANTA -palveluiden kanssa. Muut liittyneet osapuolet suostuvat vastaanottamaan potilasasiakirjojen luovutuksia, jos asiakirjat ovat teknisesti virheettömiä ja sisällöltään laadukkaita. KANTA -palveluun liittyneet osapuolet suostuvat tuottamiensa potilasasiakirjojen luovuttamiseen toisille palveluun liittyneille vain, jos he voivat luottaa kaikkien muiden korkeaan moraaliin, vastaanottavien organisaatioiden laadukkaaseen johtamiseen ja asiakirjojen ammattimaiseen käyttöön. Loki- ja valvontapalvelu tukee osaltaan luottosuhteen perustamista ja ylläpitämistä ja samalla antaa mahdollisuuden sulkea KANTA -palveluiden käytöstä henkilöt,

19 2.3.2 Valvontavastuu Valvonnan organisointi VAATIMUSMÄÄRITTELY 15/50 järjestelmät tai organisaatiot, jotka eivät käyttäydy luottamusta edellyttävällä tavalla tai joiden järjestelmät eivät ole hyväksyttävällä tasolla. Laissa valvontavelvollisuus on säädetty useille tahoille. Laissa tarkoitettujen valtakunnallisten tietojärjestelmä- palvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle. Tietosuojavaltuutetun toimisto, Terveydenhuollon oikeusturvakeskus sekä lääninhallitus alueellaan ohjaavat ja valvovat osaltaan laissa tarkoitettua sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä ja tietojen luovutuksen lainmukaisuutta. Terveydenhuollon palvelunantajan, Kansaneläkelaitoksen ja Terveydenhuollon oikeusturvakeskuksen on omalta osaltaan valvottava ja seurattava, että sen antamaan palveluun liittyvä tietosuoja toteutuu. Jos joku on lainvastaisesti käsitellyt asiakastietoja, tulee asianomaisen palvelunantajan tai Kansaneläkelaitoksen omaaloitteisesti ryhtyä tarvittaviin toimenpiteisiin. Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Lisäksi jokaisella palvelujen antajalla, Kansaneläkelaitoksella ja Terveydenhuollon oikeusturvakeskuksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Tässä dokumentissa kutsutaan toimintayksikön valvontaa toteuttavaa henkilöä valvojaksi. Vaatimukset, että toiminnassa noudatetaan hyvää hallintotapaa ja että riskienhallinta ja toiminnan sääntöjenmukaisuuden varmistaminen on kunnossa, kasvavat koko ajan. Tavoitteena on toiminnan laadun ja tehokkuuden varmistaminen ja parantaminen sekä mahdollisista poikkeamista johtuvien häiriöiden ja vahinkojen rajoittaminen. Tietosuojaan ja tietoturvaan liittyvien vaatimusten, riskien ja hyvän hallintotavan mukaisuuden valvonta on laaja ja kasvava asiakokonaisuus. Suomessa ei ole voimassa yksityiskohtaista sitovaa lainsäädäntöä eikä vakiintuneita käytäntöjä, jotka koskisivat terveydenhuoltoa tältä osin. Kyseessä on tärkeä riskienhallinnan osaalue, jonka tulee varmistaa, että eri tahoilta tulevat määräykset ja ohjeet voidaan todistettavasti täyttää nyt ja että mahdollisiin tuleviin entistä tiukempiin vaatimuksiin on varauduttu riittävästi. Valvonnan organisointi tukee haluttujen tavoitteiden saavuttamista ja helpottaa mahdollisten puutteiden havaitsemista. Valvonnan tukena ja tehostamisessa voidaan käyttää tähän tarkoitukseen kehitettyjä järjestelmiä.

20 VAATIMUSMÄÄRITTELY 16/50 Kansaneläkelaitos soveltaa riskienhallinnassaan COSOn periaatteita ja ohjeistusta. Seuraavassa on esitetty joitain valvonnan organisointiin liittyviä termejä ja määrittelyjä. GRC, IIA- suositukset, COSO, laatusertifiointi. GRC = Governance, Risk Management and Compliance IIA = The Institute of Internal Auditors COSO = Committee of Sponsoring Organizations of the Treadway Commission on 1985 perustettu organisaatio, jonka tavoitteena on taloudellisen raportoinnin laadun parantaminen ja toiminnan riskienhallinnan kehittäminen, alallaan maailman johtavia toimijoita Laatusertifiointi on toiminnan laadun varmistaminen sovittujen ohjeiden ja sovellettavien laatustandardien mukaisesti Standardit ISO 27799, HIPAA Näiden valvontastandardien soveltamisesta ei ole velvoittavia päätöksiä eikä selkeitä viranomaismääräyksiä. Lain valmistelussa ja perusteluissa viitataan ISO standardiin. Lähtökohtana valvonnan toteuttamiselle ja auditointiperiaatteille voisi olla jokin ISO 27799n tulkinta tältä osin Arkistopalvelun järjestäjän valvontahenkilöstö Arkistopalvelun järjestäjän vastuulla on KANTA -palveluiden ydinprosessien (päästä - päähän) toimivuuden varmistaminen, prosessien valvonta sekä palvelunantajan valvojan tarvitsemien raporttien tuottaminen. KANTA -palveluun kohdistuva valvonta sisältää seuraavia asioita: yhteentoimivuuden varmistaminen eri osapuolten kesken kaikilla tasoilla fyysisestä liitännästä loppukäyttäjän sovellukseen liittyvien osapuolten luovutusedellytysten auditointi sanomaliikenteen valvonta

21 VAATIMUSMÄÄRITTELY 17/50 prosessin läpimenomittareiden valvonta (KPI) - arkistointiviive - hakujen saatavuus - hakujen vasteajat SLA-seuranta tapahtumalokin automaattinen monitorointi virhetilanteiden hoito ja raportointi poikkeavan toiminnan raportointi tapahtumalokin automaattinen analysointi ja raportointi hallinnollisten tilastojen tuottaminen rekisterinpitäjille ja muille sidosryhmille käyttötoimitusten ja luovutusten raportointi - poikkeavat käyttö- ja luovutuspyyntökäyttäytymiset - poikkeavat hakukohteet (kenen tietoja pyydetty poikkeuksellisen usein tai perusteettoman laajasti) - sos- luovutukset, joilta puuttuu selitys - muu poikkeava käyttäytyminen Arkiston ydinprosessien on toimittava jatkuvatoimisesti ilman katkoja 24/7 periaatteella. Prosessien jatkuvan toimivuuden varmistaminen ja valvonta edellyttävät tapahtumalokin ja järjestelmälokien automaattista monitorointia (esim. BAM) sekä ongelmatilanteissa automaattisia hälytyksiä valvontahenkilöstölle Terveydenhuollon palvelun antajan valvontavastuu Terveydenhuollon palvelun antajan valvojan vastuulla ovat seuraavat asiat: arkiston sisällön valvonta asiakirjojen hallinnollisten kuvailutietojen oikeellisuus luovutusten ja käytön asianmukaisuuden valvonta käyttäjän ammattirooli hoitosuhteen tai asiayhteyden olemassaolo

22 VAATIMUSMÄÄRITTELY 18/50 käyttötarkoitus Kansalaisen valvontavastuu luovutuksissa asiakkaan suostumus muu lainsäädännöllinen peruste teknisen yhteensopivuuden aikaansaaminen ja ylläpito luottosuhteen aikaansaaminen ja ylläpito kaikkien potilasasiakirjojen arkistointi potilasasiakirjojen kopioiden hävittäminen ja valvonta annetavan asetuksen mukaisesti potilasasiakirjojen hävittämisen ohjaaminen annettavan asetuksen mukaisesti Terveydenhuollon asiakkaalle tai potilaalle ei ole säädetty valvontavastuuta. KAN- TA palvelut tarjoavat uudenlaisia valvontamahdollisuuksia kansalaiselle.

23 VAATIMUSMÄÄRITTELY 19/50 3 SIDOSRYHMÄKUVAUS Tässä kappaleessa kuvataan loki- ja valvontapalvelun sidosryhmät tietojärjestelmätasolla (kuva 5). Lokitusta IHE XDS- mallin mukaisesti toimivassa arkistoympäristössä hahmotetaan erityisesti. Organisaatio- ja käyttäjätasolla palvelun sidosryhmät ovat samat kuin koko kansallisen arkistopalvelun sidosryhmät. Ne on kuvattu kokonaisarkkitehtuuriosaprojektissa. Käyttölokien varastointi Käyttölokivarasto Tietoa Ylläpitävät järjestelmät Arkistopalvelu Tapahtumalokit Tietoa tuottavat järjestelmät Käyttöpyyntö, Käyttötoimitusasiakirja Luovutusasiakirjat suorista luovutuksista Asiakirjojen toimitus Luovutuspyyntö, Luovutusasiakirja Tietoa käyttävät järjestelmät Potilastietojärjestelmä Potilastietojärjestelmä KANTA::Valvoja Luovutusasiakirjat suorista luovutuksista?? Loki- ja valvontapalvelu Valvojan käyttöliittymä Kansalaisen katselutyhteys Palvelun antajan valvoja Haku-, Käyttö-, Luovutuspyyntö, Suostumus, Varmenne, Asiakirjaluettelo Kansalainen Hakupyyntö Käyttöpyyntö Luovutuspyyntö Hakemisto- ja rekisteröintipalvelu Asiakirjaluettelo, ym. Asiakirjaluettelo Suostumustenhallinnan palvelu Kuva 5. Loki- ja valvontapalvelun sidosryhmät 3.1 Käyttäjäryhmät Tiedon tuottaja Tiedon käyttäjä Arkistopalvelun muut osajärjestelmät ja terveydenhuollon palvelun antajien potilastietojärjestelmät Terveydenhuollon toimintayksikön valvojat tai muut henkilöt, jotka antavat kansalaisille tietoa heidän tietojensa luovutuksista.

24 3.1.3 Muut sidosryhmät VAATIMUSMÄÄRITTELY 20/50 Toimintayksikön valvojat, jotka valvovat potilastietojen luovutuksia toisille rekisterinpitäjille ja jotka valvovat oman yksikön potilasasiakirjojen käyttöä. Kansalaiset, jotka sähköisen katseluyhteyden kautta katsovat mm. omien potilasasiakirjojensa luovutustietoja. Muut sidosryhmät hyödyntävät loki- ja valvontapalveluita palvelun antajien järjestelmien kautta.

25 VAATIMUSMÄÄRITTELY 21/50 4 TOIMINTA- JA TYÖPROSESSIEN KUVAUS 4.1 Toiminta- alueen kuvaus Yleiskuvaus Lokiasiakirjoja syntyy KANTA -palveluun, kun potilastietojärjestelmän käyttäjä tekee hakukyselyjä tai hakee järjestelmästä asiakirjoja joko luovutus- tai käyttöpyynnöllä. Tässä luvussa kuvataan nämä eri toimintaprosessit ja se, miten loki- ja valvontapalvelu sisältyy niihin ja millaisia lokiasiakirjoja tarvitaan. Luovutuslokitietoja käsittelee toimintayksikön valvoja ja kansalainen sähköisen katseluyhteyden kautta Kriittiset menestystekijät KANTA -palveluiden Luovutuslokin viittauksineen tulee sisältää yksiselitteiset tiedot kaikista luovutetuista tiedoista sekä niiden pyytäjästä, käyttötarkoituksesta ja suostumuksesta, jotta valvonnassa ja mahdollisissa tarkastuksissa pystytään jälkikäteen näkemään luovutuksen sisältö vuosienkin kuluttua tapahtumahetkestä. 4.2 Toiminta- ja työprosessit Kuvassa 6 on esitetty loki- ja valvontapalvelun prosessikartta.

26 VAATIMUSMÄÄRITTELY 22/50 Tiedon tuottajan tietojärjestelmä Loki- ja valvonta (viestinvälitys tapahtumalokit) Arkisto Hakemisto- ja rekisteröinti Suostumusten hallinta Tiedon käyttäjän tietojärjestelmä Asiakirjojen luonti Asiakirjan luonti Kirjaa tapahtumaloki Kirjaa tapahtumaloki Asiakirjan arkistointi Asiak. rekisteröinti Suost.rekisterin päivitys Asiakirjojen luovutus tiedon tuottajalta Luovutusasiakirjan luonti Kirjaa tapahtumaloki Luovutusasiakirjan arkistointi Asiakirjan rekisteröinti Suost.rekisterin päivitys Asiakirjojen käyttö Kirjaa tapahtumaloki Kirjaa arkiston käyttöloki Kirjaa luovutusloki Anna asiakirjat käyttöön Anna luovutettavat asiakirjat Asiakirjojen haku Tarkista suostumukset Tarkista suostumukset Hae (etsi) asiakirjoja Nouda asiakirjat Nouda asiakirjat Asiakirjojen hallinta Kirjaa tapahtumaloki Hävitä asiakirjat Hävitä asiak. rek.tiedot Suost.rekisterin päivitys Kuva 6. Prosessikartta 4.3 Lokiasiakirjojen luonti KANTA -palveluissa Luovutusasiakirja Kun potilastietoja luovutetaan toiselle rekisterinpitäjälle, tallennetaan siitä järjestelmään luovutusasiakirja (attribuutilla luovutus ), joka sisältää tiedot asiakastiedoista, palvelujen antajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksen saajasta ja luovutusajankohdasta (5 ). Kun potilasasiakirjoja haetaan hakukyselyllä, hakutulokseen saattaa sisältyä toisen palvelun antajan tietoja. Tässäkin tapauksessa luovutetaan tietoja palvelun antajalta toiselle ja hakutulos tallennetaan luovutusasiakirja (attribuutilla hakutietojen luovutus ) Luovutuslokiin.

27 VAATIMUSMÄÄRITTELY 23/50 Luovutusasiakirja sisältää seuraavat tiedot: potilastiedot luovuttajan OID luovutuksen saajan tiedot, OID näytetäänkö luovutustiedot kansalaiselle (K/E)? Luovutuksen perusteet o hoitosuhteen sähköinen varmenneasiakirjan OID o luovutuspyyntöasiakirjan OID o suostumusasiakirjan OID luovutetut hakukyselyn tulokset luovutukseen sisältyvien asiakirjojen OID tunnisteet luovutusaika Hakutietojen luovutus

28 VAATIMUSMÄÄRITTELY 24/50 Kuvaus Resurssit Hakutietojen luovutus Luovutusasiakirjan minimikoko sisältää yhden luovutettava OID tunnisteen ja maksimissaan tuhansia OID tunnisteita. Tarvittava levytila tietorakenteen tallentamiseen vaihtelee noin 10 kbsta satoihin kb. Kesto Frekvenssi Tiedot 7500 tunnissa Hakutiedot ja asiakirjaluettelo Käyttötapaukset Kirjaa luovutusloki Asiakirjojen luovutus arkistosta Asiakirjan käyttö: Arkistoidun asiakirjan luovutus Kansallinen arkistopalvelu [Asiakirjatluovutus (Retrieve document)] Tarkasta sanoma Palveluväylä Prosessi moottori Hakemisto ja rekisteröinti Arkisto Loki- ja valvonta Suostumuksen hallinta Tarkasta asiakirja asiakirja sanomasta [invalid] [luovutuspyyntötiedot] Suostumusten luovutustarkastus [Virhe] Sanomassa virhe Sallitut asiakirjat [sallittujen asiakirjojen idt] [idt] Anna pyydetyt asiakirjat Pyydetyt asiakirjat [luovutuspyyntö asiakirja + luovutettavien oid:t] Kirjaa luovutusloki [Pyydetyt asiakirjat] Sanoma asiakirjoista Loki kirjattu [kuittaus]

29 VAATIMUSMÄÄRITTELY 25/50 Kuvaus Resurssit Luovutus perustuen sähköiseen luovutuspyyntöön Tietorakenteen minimikoko sisältää yhden luovutettava OID tunnisteen ja maksimissaan tuhansia OID tunnisteita. Tarvittava levytila tietorakenteen tallentamiseen vaihtelee noin 10 kbsta satoihin kb. Kesto Frekvenssi Tiedot 1400 tunnissa Luovutuspyyntö, lista asiakirjoista, suostumus Käyttötapaukset Kirjaa luovutusloki Asiakirjojen luovutus terveydenhuollon palvelun antajalta keskeneräisen asiakirjan luovutus arkiston avulla

30 VAATIMUSMÄÄRITTELY 26/50 Kuvaus Resurssit Luovutus perustuen sähköiseen luovutuspyyntöön keskeneräinen asiakirja Luovutusasiakirjan minimikoko sisältää yhden luovutettava OID tunnisteen ja maksimissaan kymmeniä OID tunnisteita. Tarvittava levytila tietorakenteen tallentamiseen vaihtelee noin 10 kbsta kymmeniin kb. Kesto Frekvenssi Tiedot Satoja tunnissa Luovutuspyyntö, lista asiakirjoista, suostumus Käyttötapaukset Kirjaa luovutusloki Asiakirjojen luovutus terveydenhuollon palvelun antajalta suoraan luovutuksen saajalle Kuvaus Resurssit Luovutus suoraan palvelun antajan järjestelmästä Luovutusasiakirjan minimikoko sisältää yhden luovutettava OID tunnisteen ja maksimissaan kymmeniä OID tunnisteita. Tarvittava levytila tietorakenteen tallentamiseen vaihtelee noin 10 kbsta kymmeniin kb. Kesto Frekvenssi Tiedot Satoja tunnissa Luovutuspyyntö, luovutusasiakirja, suostumusasiakirja Käyttötapaukset Luovutusasiakirjan arkistointi Luovutuslokiin

31 VAATIMUSMÄÄRITTELY 27/ Käyttötoimitusasiakirja Rekisterinpitäjän hakiessa KANTA -palveluista potilasasiakirjoja omaan käyttöön alkuperäiseen käyttötarkoitukseen, tallennetaan tästä järjestelmään käyttötoimitusasiakirja (attribuutilla käyttö ). Käyttötoimitusasiakirja sisältää seuraavat tiedot: potilastiedot käyttäjän OID käytön perusteet o käyttöpyyntöasiakirjan OID o hoitosuhteen sähköinen varmenneasiakirjan OID toimitukseen sisältyvien asiakirjojen OID tunnisteet käyttötoimituksen aika Asiakirjakopioiden käyttötoimitus Asiakirjan käyttö: Arkistoidun asiakirjan käyttö Kansallinen arkistopalvelu [Asiakirjatluovutus (Retrieve document)] Tarkasta sanoma Palveluväylä Prosessi moottori Hakemisto ja rekisteröinti Arkisto Loki- ja valvonta Suostumuksen hallinta Tarkasta asiakirja asiakirja sanomasta [invalid] [idt] Anna pyydetyt asiakirjat [Virhe] Sanomassa virhe Pyydetyt asiakirjat [Pyydetyt asiakirjat] Sanoma asiakirjoista Loki kirjattu [käyttöpyyntö asiakirja + oid:t] [kuittaus] Kirjaa arkiston käyttöloki

32 VAATIMUSMÄÄRITTELY 28/50 Kuvaus Resurssit Käyttötoimitus Käyttötoimitusasiakirjan minimikoko sisältää yhden luovutettava OID tunnisteen ja maksimissaan kymmeniä OID tunnisteita. Tarvittava levytila tietorakenteen tallentamiseen vaihtelee noin 10 kbsta kymmeniin kb. Kesto Frekvenssi Tiedot tunnissa Käyttöpyyntöä ja asiakirjaluettelo Käyttötapaukset Kirjaa Arkiston käyttöloki 4.4 KANTA -palveluiden Luovutuslokin katselu Kansalaisen tiedonsaantioikeus Valvojan käyttöliittymä Lain mukaan kansalaisella on oikeus saada palvelun antajalta kirjallisen pyynnön perusteella rekisterinpitäjätasoiset luovutuslokitiedot lukuun ottamatta niitä luovutuslokitietoja, joihin potilaalla ei 20 :n 2 momentin mukaan ole tiedonsaantioikeutta. Toimintayksikössä luovutus- ja käyttötietoja asiakkaalle toimittaa valvoja. Rekisterinpitäjän velvoite on seurata oman yksikkönsä potilasasiakirjojen käyttöä ja luovutusta. Tämän lisäksi kansalaiselle on pystyttävä antamaan tietoja hänen tietojensa luovutuksista. Tähän käyttöön tulee palvelun antajan potilastietojärjestelmään tai muuhun liitännäisjärjestelmään toteuttaa valvojan käyttöliittymä, jolla haetaan katseltavaksi KANTA -palveluista Luovutuslokin ja Arkiston käyttölokin asiakirjoja. Luovutus- ja käyttötoimitusasiakirjat haetaan KANTA -palveluista hyödyntäen sen rajapintoja Asiakirjan haku ja Asiakirjan käyttö. Valvojan ensisijainen tarve on nähdä luovutus- ja käyttötoimitustiedot potilaittain ja käyttäjittäin (luovutuksen pyytäjä).

33 VAATIMUSMÄÄRITTELY 29/50 Valvojan käyttöliittymän on mahdollistettava seuraavien asiakirjojen katselun: hakupyyntö luovutuspyyntö luovutusasiakirja käyttöpyyntö käyttötoimitusasiakirja potilashallinnon varmenneasiakirja suostumusasiakirja Valvojan katseluyhteydellä voi katsella vain oman toimintayksikön Luovutuslokin ja Arkiston käyttölokin tietoja sekä luovutuksiin liittyvät muiden rekistereiden suostumusasiakirjat. Valvojan käyttöliittymällä ei voi katsella potilasasiakirjoja. Koska valvojan on pystyttävä hakemaan KANTA -palveluista myös käyttäjittäin luovutukseen liittyviä asiakirjoja, tulee asiakirjojen hakuvaihtoehdot olla laajemmat kuin lain 11 on sanottu potilasasiakirjojen hakemisesta Kansalaisen sähköinen katseluyhteys Tulevaisuudessa kansalainen pääsee Kansaneläkelaitoksen toteuttaman sähköisen katseluyhteyden kautta näkemään Luovutuslokista itseään koskevat asiakastiedot, tiedot palvelun antajasta, jonka asiakastietoja on luovutettu, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksen saajasta (organisaatio, ei henkilöitä) ja luovutusajankohdasta. Kansalaiselle tulee näin oikeus nähdä Luovutuslokin luovutusasiakirjojen tiedot, mutta ei käyttötoimitusasiakirjoja eikä potilastietojärjestelmien käyttölokitietoja. 4.5 Lokiasiakirjojen hallinta Lokiasiakirjat hävitetään kansallisesta terveydenhuollon arkistosta automaattisesti säilytysajan päättyessä. Säilytysaika tullaan määräämään STM:n asetuksella. 4.6 Potilastietojärjestelmän käyttölokikirjaus Potilastietojärjestelmän käyttölokin on sisällettävä ainakin seuraavat tiedot: Kenen tietoja käytetty o henkilötunnus

34 VAATIMUSMÄÄRITTELY 30/50 Kuka on käyttänyt ja missä roolissa o käyttäjätunnus, ID, nimi, rooli o toimintayksikkö, rekisteri millä ohjelmistolla käytetty Onko hoitosuhde (varmenne olemassa) Mitä tehnyt (C, R,W,M,D)? Erillisvahvistusvaatimus (koodisto määriteltävä) Mitä dokumentteja on käytetty (OID) o Uusia hoitojakson aikana syntyneitä asiakirjoja o Vanhoja asiakirjoja o Luovutuksella saatuja asiakirjoja Milloin tietoja on käytetty? Käytön alku- ja loppuaika Työaseman IP- ja MAC-osoite 4.7 KANTA -palveluiden tapahtumalokin lokikirjaus Viestinvälitys tallentaa suoritetuista prosessien palveluista lokitiedot erilliseen KANTA -palveluiden tapahtumalokiin, jonka toiminta on kuvattu Viestinvälityspalvelun arkkitehtuurikuvauksessa. Järjestelmän tapahtumalokia tarvitaan järjestelmän ylläpidossa, valvonnassa, ongelmien selvittämisessä ja mahdollisesti laskutustietojen keruussa ja vastaavissa teknisissä ratkaisuissa. Toimipaikan rekisterien käytön valvontaan on mahdollista toimittaa tapahtumalokista raportteja. KANTA -palveluiden tapahtumalokiin tallentuu palveluista ainakin seuraavia tietoja: Rekisterinpitäjä, OID Palvelu Käsitellyt asiakirjat, asiakirjatyyppi, OID Asiakirjojen pyytäjä, organisaatio, käyttäjä

35 VAATIMUSMÄÄRITTELY 31/50 Luovuttaja, OID Onnistunut / Virhetilanne Mahdollinen laskutustieto Aikaleima Tapahtumalokin katseluoikeus on vain KANTA palveluiden - järjestelmävastaavilla ja katselusta tulee jäädä lokikirjaus järjestelmän ylläpitäjän käyttölokiin. 4.8 Käyttäjäkuvaukset ja käyttötarinat Kokonaisarkkitehtuurin vaatimusmäärittelyn luvussa Käyttötarinat on esitetty myös loki- ja valvontapalveluun liittyvää toiminnallisuutta.