Liite 1 Tietoturvavaatimukset potilastietojärjestelmille ja apteekkijärjestelmille ja järjestelmien käyttöympäristöille

Transkriptio

1 leistä potilastieto- ja apteekkijärjestelmien sekä järjestelmien käyttöympäristön olennaisista vaatimuksista Vaatimukset koskevat potilastieto- ja apteekkijärjestelmää tuotteena. Siltä osin kuin järjestelmän valmistaja / toimittaja vastaa järjestelmän (tai osajärjestelmän) käyttöympäristöstä on sertifioinnissa todennettava järjestelmän käyttöympäristöä koskevat vaatimukset. Jos valmistaja / toimittaja tuottaa terveydenhuollon organisaatiolle tukipalveluita ja sen henkilöstö käsittelee potilastietoja terveydenhuollon toimeksiannosta ja pääsee tällöin näkemään potilastietoja salaamattomana, on se tehtävä omavalvontasuunnitelma potilastietojen käsittelyä koskevien vaatimusten osalta. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 1

2 Tietoturvavaatimukset potilastietojärjestelmille ja apteekkijärjestelmille sekä järjestelmien käyttöympäristöön liittyvät vaatimukset (= hteinen vaatimus koskien kaikkiin Kanta-palveluihin liittymistä, R= vaatimus koskee sähköistä lääkemääräystä, A = Vaatimus koskee potilastiedon arkistoa, = vaatimus koskee vain apteekkijärjestelmiä) 1 Tiedonsiirron luottamuksellisuus ja eheys Kanta-palveluihin on turvattu 2 Tietoliikenteen salaus ja tietojen luottamuksellisuus Sähköinen allekirjoitus Siirretty organisaation/ käyttöympäristön vaatimuksiin Siirretty organisaation/ käyttöympäristön vaatimuksiin 3 Sähköisestä lääkemääräyksestä ja lääkintölaillisista lausunnoista tulee luotettavasti käydä ilmi sen määrääjä tai allekirjoittaja Sähköiset lääkemääräykset, näiden mitätöinnit ja korjaukset on allekirjoitettava lääkkeen määrääjän henkilökohtaisella, kehittyneellä sähköisellä allekirjoituksella. Varmenteena on käytettävä terveydenhuollon ammattivarmennetta. Sähköisessä muodossa olevissa lääkintölaillisissa lausunnoissa ja todistuksissa sekä vastaavissa asiakirjoissa tulee olla asiakirjan laatijan allekirjoitus joka on kehittynyt sähköinen allekirjoitus (PKItoteutukseen perustuva allekirjoitus). Allekirjoituksen voi toteuttaa niin, että allekirjoittajan voi allekirjoittaa sähköisesti yhdellä kerralla kaikki saman potilaan samalla kerralla määrätyt lääkemääräykset. Varmennetaan, että järjestelmässä on toiminnallisuus, joka tarjoaa käyttäjälle kehittyneen sähköisen allekirjoituksen sähköisiin lääkemääräyksiin liittyviin asiakirjoihin sekä niiden korjauksiin ja mitätöintiin käyttäen terveydenhuollon ammattivarmennetta Järjestelmän tulee vaatia allekirjoitusta ennen kuin lääkemääräys tai lääkintölaillinen lausunto tai sen muutos tai mitätöinti lähetetään Kanta-palveluihin. Järjestelmässä voi olla saman potilaan kaikkien samalla kerralla toimitettujen lääkemääräysten allekirjoittamisen mahdollistava toiminnallisuus. Muutos : Poistettu vaatimus moniallekirjoituksesta ja muutettu se mahdollisuudeksi hdistetty lääkintölailliset asiakirjat ja tarkennukset Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 2

3 4 A Asiakirjan muuttumattomuus tulee pystyä varmistamaan 5 Sähköisen viestinnän molemmat osapuolet tulee tunnistaa hteyden osapuolten ja laitteiden tunnistaminen 6 Käyttäjän tunnistaminen Asiakirjojen muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella. Muuttumattomuus on varmistettava sekä paikallisessa tallennuksessa että tiedonsiirrossa. Sähköiset potilasasiakirjat tulee allekirjoittaa organisaation tai tietoteknisen laitteen tekemällä kehittynyttä sähköistä allekirjoitusta luotettavuudeltaan vastaavalla allekirjoituksella, ns. järjestelmäallekirjoituksella. Järjestelmän tulee liittää asiakirjaan tietosisältöä vastaavat kuvailutiedot. Asiakirja (sen body-osio) allekirjoitetaan muuttumattomuuden takaamiseksi. Asiakirja ei saa sisältää asiakirjaa tai sen ulkoasua muuttavia elementtejä. Asiakirjan muodostamisesta tehdään lokimerkintä. Potilaskertomusta voidaan kerätä ja käsitellä järjestelmässä myös muussa kuin asiakirjamuodossa. Tällaisen potilaskertomuksen muuttumattomuus tulee taata ja muunnos asiakirjaksi tulee olla luotettava. Siirretty organisaation/ käyttöympäristön vaatimuksiin Tietojärjestelmän käyttäjä tulee tunnistaa siten, että käyttäjä todennetaan yksiselitteisesti. Tunnistamisessa tulee käyttää terveydenhuollon varmennepalvelua ja Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 3 Todennetaan paikallisesti tallennettavien eiallekirjoitettujen asiakirjojen muuttumattomuuden todentaminen. Varmennetaan muussa kuin asiakirjamuodossa olevan tiedon muuttumattomuus/versiointi Tarkastetaan, että allekirjoitetun asiakirjan sisältö on yhtenevä sen kanssa, mitä merkinnän tekijä on nähnyt. Tarkastetaan, että lähetetty asiakirja on sekä sisällön että metatietojen osalta yhteneväinen vastaanotetun kanssa. Tarkastetaan miten muussa kuin asiakirjamuodossa olevien tietojen sekä muiden kuin allekirjoitettujen asiakirjojen muuttumattomuus on varmistettu. Muuttumattomuus tulee taata siten, että asiakirjaa tai muussa muodossa tallennettua tietosisältöä ei voi muuttaa käyttöliittymän kautta. Muutokset tulee toteuttaa erillisen versiointi- ja/tai korjausprosessin kautta. Tarkistetaan kuvaukset, miten järjestelmään tunnistaudutaan. Muutos : Siirretty arkistoon liittyvä vaatimus (40) oikealle kohdalleen ja yhdistetty toisiin asiaan liittyviin vaatimukseen (41, 42). Poistettu maininta aikaleimasta 6.9. siirretty lääkintälailliset asiakirjat edelliseen vaatimukseen. Lisätty eiasiakirjamuodossa olevat tiedot : Poistettu vaatimus kuvailutietojen allekirjoittamisesta. Asiakirjan kuvailutietoja ei allekirjoiteta, koska niitä pitää kyetä muuttamaan Kanta:ssa vaihdettu järjestystä : Lisätty org.

4 varmenteita. Erityistilanteissa voi käyttää käyttäjätunnusta ja vahvaa salasanaa. Järjestelmässä ei saa olla ylläpito- tai muita vastaavia oikeuksia ja toiminnallisuuksia, joiden avulla järjestelmän käyttö ilman käyttäjän yksiselitteistä tunnistamista ei olisi mahdollista. Tarkastetaan kuvaukset roolien, käyttäjätietojen ja käyttöoikeuksien hallinnan periaatteista. Testataan tunnistamista sähköisellä varmennekortilla. vaatimuksiin vaatimus koskien toimintayksikön käyttäjien tunnistautumistapoja sekä vaatimus koskien yhteiskäyttöisiä tunnuksia Poistettu kohta käyttöoikeuksien hallintajärjestelmistä päällekkäisenä kohdan 10 kanssa 7 Tunnistautuminen järjestelmiin Tietojärjestelmiin tulee tuotantoympäristöissä sallia kirjautuminen ainoastaan vahvaa tunnistusmekanismia käyttäen tai vahvaa salasanaa käyttäen. Muuta kuin toimikorttikirjautumista käytettäessä voi käyttää ainoastaan organisaation omassa potilastietojärjestelmässä olevia tietoja. Mikäli järjestelmän käyttäjillä on käytössä salasanat, tulee niiden määritysten olla erittäin vahvat ja vaihto säännöllistä. Hyväksyttävät vahvan salasanan parametrit ovat Vahti-ohjeistuksen Sisäverkko-ohjeen mukaiset (9/2014 noudatetaan Vahti 3/2010 ohjetta): salasanan pituus min 10 merkkiä, merkkejä min. kolmesta luokasta, salasanan ikä 1-90 päivää, salasana ei saa olla sama kuin 5 edellistä salasanaa, salasana lukitaan esim. viiden virheellisen yrityksen jälkeen. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 4 Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (toimikortti) tai vahva salasana. Tarkastetaan salasanaparametrit järjestelmästä Lisätty aikaisemmin omana vaatimuksena olleet salasanat. Täsmennetty, mitä tietoja salasanalla tunnistautuessa voi käsitellä. Lisätty org. vaatimuksiin, että tarkistetaan tuotantoympäristön salasanaparametrit : Vahvan salasanan parametrin ajantasainen määrittely Vahti sisäverkkoohjeessa Apteekkijärjestelmissä toimikorttikirjautumista käytetään siinä vaiheessa, kun

5 8 Sulkulistan tarkastus ja päivitys Varmenteiden voimassaolo on tarkastettava VRK:n tiedoista. Lisäksi VRK:n henkilövarmenteiden ammattioikeusrajoitukset (sulkulistatiedot) on päivitettävä Valviran ohjeiden ja varmennepolitiikan mukaisesti. Tarkistetaan, että järjestelmä tarkistaa henkilövarmenteiden voimassaolon. Tarkastetaan, että järjestelmä vaatii sulkulistatietojen päivittämistä vähintään kerran vuorokaudessa (tai kulloinkin voimassa olevan VRK:n ja Valviran varmennepolitiikan mukaisesti). muodostetaan yhteys Reseptikeskukseen Muutos : Poistettu viittaus reseptien kirjoittamiseen. Poistettu maininta siitä, että kun oikeudet ilmenevät varmenteesta niitä ei tarvitse erikseen tarkastaa 9 R Ammattioikeuteen liittyvien rajoitusten tarkistaminen Valviran rajoitustietojen mukaiset ammattihenkilön ammattioikeuden rajoitukset tarkastetaan aina käyttäjää tunnistettaessa (sisäänkirjautuessa) eikä niitä tallenneta pysyvästi käyttöoikeustietoihin. Valvira:n rajoitustiedot tarkastetaan Valvira:n ylläpitämästä sanomapohjaisesta attribuuttipalvelusta. Jos ammattioikeuksissa on rajoituksia, niin järjestelmä ei saa sallia kirjautuneen käyttäjän tehdä sellaisia toimia, jotka on rajattu oikeuksien ulkopuolelle. Käyttäjän ammattioikeudet tarkistetaan Valviran attribuuttipalvelusta aina vuorokauden ensimmäisen kirjautumisen yhteydessä: tarkistetaan onko ko. käyttäjällä ammatillisia rajoituksia (esim. ei oikeutta kirjoittaa lääkemääräyksiä) -> Verkkoliikenteen analysointi kirjautuessa tai muu todennustapa. Siirretty vanha no 19 tähän. Lisätty mitätöinti lääkkeenmääräämisoikeuksie n rajoituksiin : Lisätty korjaus, mitätöinti, lisäys ja lukituksen purku Jos lääkemääräyksen kirjoitusoikeuden omaavan terveydenhuollon ammattihenkilön oikeutta määrätä lääkettä on rajoitettu tietyn lääkevalmisteen osalta, järjestelmä ei saa salli hänen kirjoittaa, korjata, lisätä, mitätöidä (tai purkaa lukitusta) sellaisia lääkemääräyksiä, joissa määrätään kyseistä lääkevalmistetta. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 5

6 Käyttövaltuushallinta 10 Käyttövaltuushallinta hdistetty vaatimukseen 11 (Käyttäjän oikeuksien asettaminen) 11 Käyttövaltuushallinta Järjestelmän tulee mahdollistaa käyttövaltuuksien antaminen eri toiminnallisuuksiin (tietojen katselu, tallentaminen, Kantaan liittyvät toiminnallisuudet, Reseptikeskuksen tietojen käsittely, muu käsittely) käyttäjäryhmittäin, järjestelmän käyttötarkoituksen mukaisesti. Vain ne henkilöt, joille käyttöoikeus toiminnallisuuksiin on annettu, voivat toiminnallisuuksia käyttää. Järjestelmässä itsessään tulee olla mahdollisuus hallita käyttöoikeuksia näiden vaatimusten edellyttämällä tavalla, tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Järjestelmä ei vaadi laajoja käyttöoikeuksia toimiakseen, eli käyttöoikeudet on voitava rajata tietojen katseluun ja / tai kirjaamiseen. Sähköiseen lääkemääräykseen liittyvät käyttöoikeudet kuvataan lääkemääräyksen vaatimusmäärittelyn liitteessä Lääkemääräyksiin ja toimitussanomaan liittyvät oikeudet Järjestelmässä tulee olla poikkeustilanteiden hallinnan edellyttämät toiminnot, joilla käyttöoikeus voidaan tilapäisesti ohittaa (tarkoittaa, että joku toimenpide voidaan tehdä esimerkiksi pääkäyttäjän oikeuksin, vaikka ko. toimenpide ei kuulu pääkäyttäjän työtehtäviin). Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 6 Tarkistetaan, miten järjestelmä käyttöoikeudet luodaan ja käyttääkö järjestelmä ensisijaisesti Valviran tarjoamia rajapintoja, ammattioikeudet tarkistamisessa. Tarkastetaan, että järjestelmä mahdollistaa toimien (tietojen katselu, tallentaminen ja muu käsittely, Kantaan liittyvät toiminnallisuudet) rajaamisen mainituille käyttäjäryhmille. Tarkastetaan järjestelmästä että sinne voidaan määritellä erilaisia käyttöoikeuksia/rooleja. Tarkastetaan, että järjestelmässä on sellaiset ominaisuudet, joiden avulla voidaan toteuttaa sen käyttötarkoituksen mukainen käyttöoikeuksien hallinta. Tarkistetaan järjestelmän valmius hoitosuhteen todentamiseen.(1) Testataan käyttöoikeuksia todellisessa tilanteessa. Tarkastetaan lokeihin syntyvät merkinnät. Tarkastetaan käyttöoikeuksien ohitustilanteiden kuvaukset tietoturvapolitiikasta. Muutos : Poistettu viittauksen sähköisiin lääkemääräyksiin/reseptikesk ukseen. Tarkistettu, että org. vaatimuksiin sisältyy kohta Varmistetaan, että oikeudet/roolit tehdä kyselyjä on määritelty vain mainituille ammattihenkilöille/ryhmille. poistettu tästä Poistettu: Testataan käyttöoikeuksien ohitustilanteet ja niistä syntyvät lokimerkinnät : Siirretään organisaatiovaatimuksiin organisaatioiden vastuulle kuuluvana käyttöoikeuksien myöntäminen määrätyille ryhmille tarkennus

7 Tekijä ja tehty toimenpide tulee silti luotettavasti yksilöidä ja kirjata). Ohitustilanteet tulee merkitä automaattisesti erilliseen luetteloon, jonka käsittelystä tulee olla ohjeet tietoturvapolitiikassa. Järjestelmässä on oltava kohta, johon voi kirjata potilaan suullisen suostumuksen reseptikeskuksen tietojen katseluun. Järjestelmässä on valmius hoitosuhteen tekniseen varmistukseen reseptin vaatimusten mukaisesti. Käyttäjällä on oikeus saada tieto kaikista itse kirjoittamistaan resepteistä hoitosuhteen jatkuessa. (1) Järjestelmässä oltava kohta, johon lääkäri voi merkitä kiireellisen tarpeen olemassaolon. Opiskelijat voivat tehdä potilaskertomusmerkintöjä. Potilastietojärjestelmässä tulee olla toiminto, jolla opiskelijoiden tekemät merkinnät hyväksytään. Tietojärjestelmäasiantuntijat joutuvat tietyissä tilanteissa tehtävänsä mukaisesti varmistamaan potilastietojärjestelmän toimivuutta ja tekemään virheselvityksiä. Tämä ei kuitenkaan ole normaalitilanne eikä tällaisia oikeuksia saa oletusarvoisesti olla. Tietojärjestelmäasiantuntijoilla ei ole oikeutta Kantapalveluissa olevien tietojen käsittelyyn hdistetty reseptioikeudet kohtaan 11 Tarkastetaan voidaanko järjestelmässä erotella lääkemääräysoikeuden ja lääkemääräyksien tarkasteluoikeuden. Tarkastetaan, onko järjestelmässä kohta, johon lääkäri voisi merkitä suullisen hyväksynnän olemassaolon. Tarkastetaan, että opiskelijoiden tekemien merkintöjen hyväksymiseen on toiminto. Tarkastetaan tietojärjestelmäasiantuntijoiden oikeudet potilastietojärjestelmään ja KanTapalveluihin. hdistetty seuraavasta kohdasta Lääkemääräykseen liittyvät käyttöoikeudet : Lisätty org. vaatimuksiin tietojärjestelmäasiantuntijoide n käyttöoikeutta koskeva vaatimus siirretty tietojärjestelmäasiantuntijoide n käyttöoikeudet organisaation vaatimuksiin : Potilasasiakirjaasetuksen 6 mukaan opiskelijalla on oikeus tehdä potilaskertomusmerkintöjä hänen toimiessaan laillistetun ammattihenkilön tehtävässä. Tällöin käyttöoikeuksiin merkitään ammattihenkilön rooli, ja näitä merkintöjä ei tarvitse tarkastaa. Työharjoittelujaksolla opiskelija toimii opiskelijan roolissa, hänellä on oltava opiskelijan rooli käyttöoikeuksissa ja terveydenhuollon ammattihenkilön tulee hyväksyä erikseen merkinnät.. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 7

8 12 R Käyttäjän sähköisiin lääkemääräysten tarkasteluoikeus 13 Opiskelijoiden kirjaamat merkinnät Käyttövaltuusvaatimukset yhdistetty kohtaan 11 hdistetty lääkemääräyksen käyttövaltuusvaatimukset kohtaan Lukuoikeus reseptikeskukseen uusimistilanteessa 15 R 16 Lääkemääräyksen uudistaminen Valvonta ja lokitus Lokitietojen muuttumattomuus hdistetty käyttövaltuusvaatimukset kohtaan 11 ja toiminnalliset vaatimukset siirretty järjestelmätoimittajan itse raportoitavaksi ennen yhteistestauksen aloitusta Poistettu, todennetaan testauksessa Lokitietojen muuttumattomuus tulee varmistaa. Lisäohjeistus: Vahti 3/2009. Järjestelmän tulee mahdollistaa lokitietojen muuttumattomuuden varmistaminen. Organisaatioilla voi olla erilaisia tapoja ratkaista muuttumattomuuden varmistaminen. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu : tarkennettu ptj:n ja organisaation vastuita. Lisätty maininta allekirjoituksesta ja säilytysajasta Lokitiedot tulee hävittää, kun ne eivät enää ole tarpeen asiakastietojen käytön ja luovutuksen lainmukaisuuden seuraamiseksi (säilytysaika 10+2 vuotta) Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 8

9 17 Käyttöloki Tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot tietojen haun ja käytön osalta (esim. tilanteissa, joissa järjestelmä hakee reseptikeskuksesta tai arkistosta enemmän tietoa kuin mitä käyttäjälle näytetään perusjärjestelmän suodattaessa tietoja). Tarkemmat vaatimukset käyttölokille kuvataan dokumentissa Vaatimukset käyttölokeille Järjestelmän pääkäyttäjän ja ylläpitäjän toimet järjestelmässä on lokitettava. Tarkastetaan järjestelmän lokiasetukset ja määritysmahdollisuudet ja käydään läpi otos lokitiedoista. Varmistetaan joko järjestelmän tuottamasta lokitiedosta tai dokumentaatiosta, että vaatimukset täyttyvät : Käyttölokivaatimukset osana PTA-käyttötapauksia (linkki) Lisätty virhelokit sekä pääkäyttäjän ja ylläpitäjän toimien lokitus Myös järjestelmän toiminnalliset virhetilanteet on lokitetteva Lokien seurantaväline Tekninen loki Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten. Seurantavälineen on oltava järjestelmässä itsessään tai järjestelmän on mahdollistettava ulkopuolisen seurantavälineen liittäminen. Kanta-palvelun ja sen asiakkaiden välisestä viestinnästä on pidettävä lokia siten, että tässä esitetyt muut lokeihin liittyvät vaatimukset toteutuvat. Lokia tulee pitää yhteyden molemmissa päissä, eli Kantapalveluissa ja järjestelmien päässä. Teknisistä lokitiedoista ei saa paljastua henkilötietoja. Järjestelmän tekniset virheet on lokitettava. Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen ja valvontaan, tai järjestelmä mahdollistaa ulkopuolisen seurantavälineen liittämisen. Tarkastetaan, että lokia kirjataan yhteyksien muodostamisesta. Tarkastetaan muiden lokeihin liittyvien vaatimusten tarkastamisen yhteydessä. Tarkastetaan, ettei teknisestä lokista ilmene henkilötietoja : Muutettu Kriteerin nimi. Lisätty teknisen lokiin henkilötietojen paljastamisen vaatimukset sekä virheiden lokitus. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 9

10 Tietojen käsittely Haettujen tietojen säilytys Reseptikeskuksesta haettuja lääkemääräyksiin liittyviä T/K: Järjestelmä ei talleta lääkemääräyksiä asiakirjoja (mm. lääketoimitukset jne.) ei saa tai niiden toimituksia pysyvästi, pl. mainitut pysyvästi erikseen määriteltyjä poikkeuksia lukuun poikkeukset. ottamatta tallentaa terveydenhuollon tietojärjestelmään. Väliaikaisesti tallennetut tiedot tulee tuhota kokonaan välittömästi käytön jälkeen, kun niitä ei enää tarvita. 20 Järjestelmään voi kuitenkin tallentaa sellaiset väliaikaisesti käsitellyt tiedot, jotka ovat välttämättömiä lokeille asetettujen vaatimusten täyttämiseksi (sähköisten lääkemääräysten tunnisteet ja versionumerot sekä potilaskertomusjärjestelmällä luotujen lääkemääräysten uudet versiot ja mitätöintitiedot, mikäli nämä on tehty muulla potilaskertomusjärjestelmällä tai apteekin tietojärjestelmällä). Tarkastetaan, että järjestelmässä on toiminto arkistosta ladattujen tietojen tuhoamiseksi. Toiminnan tulisi mieluiten olla automaattinen ja liittyä palvelutapahtuman päättymiseen : vaatimus tietojen poistamisesta tarkennettu vaatimukseksi tietojen tuhoamisesta kokoaan. Lisätietoja Vahti-ohjeiden tietoturva-asetuksessa tarkennus Potilastiedon arkistosta haetut tiedot voidaan tallettaa paikalliseen järjestelmään siksi ajaksi kun potilaalla on hoitosuhde ao. yksikköön. Tiedot voidaan säilyttää yhtenä asiakirjana tai purkaa paikallisen järjestelmän käyttämään muotoon. Hoitosuhteen päättyessä tiedot on voitava tuhota niiden paikallisesta tallennustavasta riippumatta. Lääkärin tai muun terveydenhuollon ammattihenkilön tulee voida kirjoittaa terveydenhuollon tietojärjestelmään omat havainnot toisessa organisaatiossa kirjoitetuista lääkemääräyksistä, apteekin toimituksista ja potilasasiakirjoista. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 10

11 Muut pakolliset vaatimukset 22 Istunnon katkaisu Järjestelmän on mahdollistettava kertomusjärjestelmän Tarkastetaan, että kertomusjärjestelmän käyttöliittymän lukittuminen, kun käyttäjä ei käytä sitä käyttöliittymä voidaan lukita tai yhteys aktiivisesti 30 minuutin kuluessa, jolloin 30 minuutin katkaistaan, mikäli käyttäjä ei käytä sitä jälkeen pitää antaa PIN uudelleen. aktiivisesti 30 minuutin sisällä : Lisätään organisaatiovaatimuksiin: Huolehdittava, että kertomusjärjestelmän käyttöliittymän lukitus tai työasemakohtainen lukitus käytössä Syötteen tarkastus Tietojen päivitys Järjestelmän tulee tarkastaa ennen tietojen hakua, että käyttäjän syöttämät potilaan yksilöintitiedot ja mahdollinen lääkemääräyksen tunnus ovat oikeassa muodossa. Järjestelmän on mahdollistettava tietojen päivitys Lääketietokannasta vaaditulla intervallilla. Lääketietokannan mukaiset tiedot lääkkeistä, korvattavista perusvoiteista, kliinisistä ravintovalmisteista ja määräaikaisista erityislupavalmisteista on päivitettävä lääkemääräys- ja toimitusohjelmistoihin Fimean ohjeiden mukaisesi. Kansallisesti ylläpidettävät perustiedot ja koodistot on päivitettävä THLn koodistopalvelusta. Tarkastetaan, että järjestelmässä on syötteen tarkastus, joka tarkastaa esimerkiksi henkilötunnuksen oikean muodon sekä lääkemääräyksen viivakoodin muodostumisen oikein Testataan, että hakua ei voi tehdä virheellisillä syötteillä. Tarkastetaan, että järjestelmä mahdollistaa tietojen päivittämisen. Tarkastetaan, että tiedot päivitetään vaaditulla intervallilla. Tarkastetaan onko tähän olemassa toiminto järjestelmässä / automatisoitu prosessi tai muu määrämuotoinen tapa, joka varmistaa päivitysten ajantasaisuuden. Jatkossa henkilötunnus voi olla muu kuin suomalainen (esim. epsosin myötä) ja Tarkennettu vaatimus koskemaan muidenkin kuin lääkärin syöttämiä tietoja. Täsmennetty syötteen tarkastuksen kuvausta : Fimean ohjeissa määritellään lääketietokannan päivitysintervalli (2*kk v. 2013).Muille koodistoille ei ole vaadittua intervallia : täsmennetty vaatimus: järjestelmän tulee mahdollistaa päivitys. Lisätään terveydenhuollon omavalvontasuunnitelmaohjei stukseen huomio organisaation vastuusta Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 11

12 27 A 28 R 29 A Hoitosuhteen varmistaminen Potilasohjeen vastaanottaminen ja tallentaminen Rekisterien erottaminen ja muiden kuin terveydenhuollon rekisterien Kantaan arkistoinnin estäminen Potilastietojärjestelmää varmistaa käyttäjän hoitosuhteen potilaaseen. Normaalisti varmistus tuotetaan automaattisesti järjestelmässä olevien tietojen (esim. ajanvaraus) perusteella. Tekninen varmistus edellyttää, että palveluyksikössä tai rajatussa yksiköiden joukossa vähintään yksi henkilö on osallistunut potilaan tietojen kirjaamiseen käyttäjän lisäksi. Jos hoitosuhdetta ei voida varmistaa teknisesti, annetaan erityinen syy tietojen käsittelylle. Potilasohje voidaan tallentaa väliaikaisesti potilaskertomusjärjestelmään (mahdollisen tulostuksen epäonnistumisen varalta), mutta se on poistettava 12 tunnin kuluessa tulostuksesta, jonka jälkeen sitä ei enää saa tulostaa. Järjestelmässä tulee voida erotella eri palveluissa syntyvät rekisterit toisistaan. Muita kuin terveydenhuollossa, esim. sosiaalihuollossa syntyviä ja sosiaalihuollon rekistereihin kuuluvia potilastietoja ei toistaiseksi arkistoida Kantaan, joten ko. rekisterit tulee voida erottaa terveydenhuollon rekistereistä ja estää tallentaminen Kantaan. Testataan hoitosuhteen teknisen varmistuksen toteutus. Tarkistetaan käyttöloki. Tarkastetaan, että potilasohjeet eivät tallennu pysyvästi ja että on olemassa toiminne, joka poistaa potilasohjeen viimeistään 12 tunnin kuluttua tulostuksesta. Tarkastetaan, miten erottaminen ja tallentamisen estäminen Kantaan on toteutettu : Siirretty tähän kohtaan kaikki hoitosuhteen varmistamiseen liittyvät vaatimukset Täsmennetty vaatimusta potilastietojärjestelmässä toteutettavan hoitosuhteen teknisen todentamisen osalta. Poistettu kuvauksesta Kantakäyttöön liittyvä osuus hoitosuhteen varmistuksesta palvelutapahtumalla, joka kontrolloidaan Kannan puolesta : Poistettu maininta potilasohjeen manuaalisesta poistamisesta : Laajennettu koskemaan yleisesti rekisterien erottelua Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 12

13 30 Kellojen synkronointi Tietojärjestelmän kellon on oltava synkronoitu Mittatekniikan keskuksen kellon kanssa. Tarkistetaan kellon synkronointi Uusi vaatimus 31 A Käyttötarkoituksen mukainen pysyvän osoitteiston kytkennän käyttö Sovellusturvallisuus Arkistoitaessa asiakirjoja erillisjärjestelmistä (lähinnä alueelliset tutkimusyksiköt) voidaan käyttää pysyvää osoitteistokytkentää arkistoinnin toteutukseen. Arkistointisanomalla ja suostumuksenhallinnan järjestelmähakujen sanomilla käytetään palvelun tilaajan tietoja. Mahdollisilla asiakirjojen hakusanomilla järjestelmä pakottaa käyttämään toimintayksikön omia tietoja sanomalla. Hakuja ei voi tehdä tilaajan nimissä. Tarkastetaan, että haettaessa asiakirjoja Kannasta järjestelmä pakottaa käyttämään toimintayksikön omia tietoja hakusanomalla Uusi vaatimus. Lisätään myös organisaatiovaatimuksiin. Osoitteistokytkennän tarkempi määrittely dokumentissa Erillisjärjestelmien liittäminen Kanta-palveluilhin Uusi kokonaisuus 32 Turvallisen ohjelmoinnin periaatteet järjestelmän toteutuksessa 1) Ohjelmistokehittäjien riittävä tietoturvatietous on varmistettu. 2) Ohjelmistokehityksen aikana on suoritettu tietoturvauhka-analyysi ja havaitut riskit on joko kontrolloitu tai nimenomaisesti hyväksytty. 3) Rajapinnat (ainakin ulkoiset) on testattu viallisilla syötteillä sekä suurilla syötemäärillä. 4) Riippuen ohjelmointiympäristöstä, helposti ongelmia aiheuttavien funktioiden ja rajapintojen käyttöön on määritelty politiikka ja sitä valvotaan (esim. listat kielletyistä funktioista). 5) Arkkitehtuuri ja lähdekoodi on katselmoitu. 6) Ohjelmakoodi on tarkastettu automatisoidulla staattisella analyysillä. 7) Ohjelmakoodin versionhallinnan ja kehitystyökalujen eheys on varmistettu. toimittaja selvittää, miten turvallisen ohjelmoinnin periaatteet on käytännössä huomioitu tuotekehityksessä esim. testausja katselmointiraporttien avulla Uusi vaatimus Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 13

14 33 34 leisiin hyökkäysmenetelmiin varautuminen Sovelluksen käyttämät verkkoportit järjestelmän rajapintojen on kestettävä yleiset hyökkäysmenetelmät ilman, että palvelussa/sovelluksessa käsiteltävien suojattavien tietojen luottamuksellisuus tai eheys vaarantuu. 1) sovellukset käyttävät pientä määrää määriteltyjä portteja 2) dynaamisia portteja käyttävät sovellukset käyttävät vain pientä porttiavaruutta OWASP:n uhkalistauket/ ASVS-kehystä (yleensä esim. 3-tasoisena) Uusi vaatimus Uusi vaatimus 35 Poikkeavan toiminnan havainnointi 1) järjestelmässä tulee olla menettely, jolla kerätyistä tallenteista pyritään havaitsemaan poikkeamia (erityisesti tietojärjestelmän luvaton käyttöyritys on kyettävä havaitsemaan) Tarkistetaan, miten järjestelmässä todennetaan sen luvaton käyttö Uusi vaatimus (myös organisaatioille) Järjestelmän käyttöympäristöön liittyvät vaatimukset 1 Luottamuksellisuus ja eheys Tiedonsiirron salaus ja tietoliikenteen luottamuksellisuus sekä eheys Kanta-palveluihin on turvattu Sivulliset eivät saa saada selville suojattuja tietoja (myös asiointi terveyspalveluissa on salassa pidettävä tieto) eivätkä tiedot saa muuttua tiedonsiirron aikana. Sähköisen lääkemääräyksen, potilasasiakirjojen ja niihin liittyvien luottamuksellisten tietojen siirtäminen kansallisiin palveluihin, niistä muualle, tai muussa palvelun antajien ja potilaiden välisessä tiedonvaihdossa on salattu (esim. SSL/TLS) ja sähköisesti allekirjoitettu. Tarkastetaan järjestelmäkuvaukset, kuvaukset salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. Kansaneläkelaitos antaa tekniset ohjeet hyväksyttävästä SSL/TSLsalaustasosta. Organisaatioiden on sitouduttava noudattamaan ohjeita ja tekemään tarvittavat muutokset. Minimisalaustaso 9/2014 on TSL-menetelmässä v. 1.1 Viestit ja dokumentit voidaan välittää salaamattomana käytettäessä point-to-point VPNyhteyksiä. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 14

15 / auditointi 2 3 Sähköisen viestinnän molemmat osapuolet tulee tunnistaa hteyden, osapuolten ja laitteiden tunnistaminen Verkkoliikenteen tietoliikenneprofiili Apteekit, palveluntuottajat ja käyttäjäorganisaatiot sekä niiden ko. palveluun liittyvät palvelimet tulee luotettavasti tunnistaa muodostettaessa yhteyttä Kanta-palveluun ennen sähköisen yhteyden aloittamista. hteyden osapuolten identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista. verkkoliikenteen normaali tietoliikenneprofiili (baseline) on tiedossa; on olemassa menettely, jolla normaalista tietoliikenneprofiilista eroava liikenne pyritään havaitsemaan; Tarkastetaan, että sekä palvelin että asiakaspää tunnistetaan luotettavasti. Tarkastetaan sertifikaattien avainten bittimäärä ja salausalgoritmin toteutus. Kansaneläkelaitos antaa tekniset ohjeet hyväksyttävästä salaustasosta (sertifikaattien avainten bittimäärä ja salausalgoritmi) UUSI VAATIMUS 4 Poikkeamien havainnointi 1) on olemassa menettely, jolla kerätyistä tallenteista pyritään havaitsemaan poikkeamia (erityisesti tietojärjestelmän luvaton käyttöyritys on kyettävä havaitsemaan); 2) toimintaan on jalkautettu kirjallinen lokien keräys-, luovutus-, hälytys- ja seurantapolitiikka/- ohje, joka on muodostettu ottaen huomioon toiminnan vaatimukset. UUSI VAATIMUS Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 15

16 Apteekkijärjestelmien vaatimukset Kriteeri / kontrollitavoite Luottamuksellisuus ja eheys 1 Tiedonsiirron luottamuksellisuus ja eheys reseptikeskukseen on turvattu 2 Tietoliikenteen salaus ja tietojen luottamuksellisuus 3 Sähköinen allekirjoitus Lääketoimitusten allekirjoitukset Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi Siirretty organisaation/ käyttöympäristön vaatimuksiin Siirretty organisaation/ käyttöympäristön vaatimuksiin Lääketoimitukset, niiden korjaukset ja mitätöinnit sekä lääkemääräysten korjaukset ja mitätöinnit on allekirjoitettava henkilökohtaisella, kehittyneellä sähköisellä allekirjoituksella. Varmenteena on käytettävä terveydenhuollon ammattivarmennetta. Lääkkeen toimittajan oikeus toimittamiseen tulee olla varmennettu ennen allekirjoitusta. Farmaseutin ja proviisorin tulee voida (mutta ei ole pakko) allekirjoittaa sähköisesti yhdellä kerralla kaikki saman potilaan samalla kerralla toimitetut lääkkeet. Järjestelmässä on toiminnallisuus, joka tarjoaa käyttäjälle kehittyneen sähköisen allekirjoituksen käyttäen terveydenhuollon ammattivarmennetta. Järjestelmän tulee vaatia sähköistä allekirjoitusta ennen kuin toimitus tai korjaus hyväksytään tai mitätöidään. Oikeuksien tarkistaminen. Järjestelmässä on saman potilaan kaikkien samalla kerralla toimitettujen lääkemääräysten allekirjoittamisen mahdollistava toiminnallisuus. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 16

17 # Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 4 5 Reseptin tekninen korjaaminen Vahva tunnistaminen (5) Sähköisen viestinnän molemmat osapuolet tulee tunnistaa hdistetty vaatimukseen 3 Farmaseutin ja proviisorin tulee voida tehdä sähköisen reseptin toimituksen yhteydessä teknisiä korjauksia reseptiin. Tekniset korjaukset, kuten iteroinnin siirtäminen oikeaan kenttään, ei saa muuttaa reseptin sisältöä. Tekniset korjaukset voidaan tehdä ilman lääkärin hyväksyntää. Farmaseutin ja proviisorin on voitava tehdä lääkärin suullisella suostumuksella myös sisältöä muuttavia korjauksia, jos lääkemääräyksen sisältö on epäselvä tai puutteellinen, Resepti tulee tallentaa uutena versiona Reseptikeskukseen, jossa on muutettu vain korjattuja tietoja. Siirretty organisaation/ käyttöympäristön vaatimuksiin (6) Vahva tunnistaminen hdistetty yhteisiin järkestelmävaatimuksiin nro 7 7 Vain voimassaolevia varmenteita voidaan käyttää (8) Tunnistautuminen järjestelmiin hdistetty käyttövaltuushallintavaatimukseen 11 hdistetty yhteisiin järkestelmävaatimuksiin nro 6 &7 (9) Salasanat hdistetty yhteisiin järkestelmävaatimuksiin nro 6 &7 (10 ) Sulkulistan tarkastus ja päivitys hdistetty yhteisiin järkestelmävaatimuksiin nro 8 Voi myös olla päätetty, että järjestelmään ei implementoida toiminnallisuutta, joka mahdollistaa useiden toimitusten allekirjoituksen samalla kertaa. Tarkastetaan, että korjattu resepti on muuttunut vain korjattujen tietojen osalta UUSI VAATIMUS Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 17

18 Kriteeri / kontrollitavoite Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi 11 Ammattihenkilön tunnistaminen Käyttövaltuushallinta hdistetty yhteisiin järkestelmävaatimuksiin nro 6 paitsi Apteekkijärjestelmässä tulee olla roolipohjainen käyttäjähallinta. Jos sellaista ei ole, tulee apteekilla olla erillinen joko erillinen käyttäjätietojen ja käyttöoikeuksien hallintajärjestelmä (IAM) joka hyödyntää tunnistetietoja. Hallintajärjestelmän tulee olla roolipohjainen ja se voi olla toteutettuna itse järjestelmään, jolloin erillistä IAM-järjestelmää ei välttämättä tarvitse olla. Tarkastetaan toimintayksikön tai organisaation käyttäjien tunnistautumistavat Tarkastetaan kuvaukset roolien, käyttäjätietojen ja käyttöoikeuksien hallinnan periaatteista. Testataan tunnistamista sähköisellä asiointikortilla (ts. terveydenhuollon varmennekortilla ) Tarkastetaan, että järjestelmään ei voida luoda yhteiskäyttöisiä tunnuksia tai muita mahdollisia ylläpito-oikeuksia siten, että niillä voisi tehdä järjestelmässä toimia ilman tekijän yksiselitteistä tunnistamista 12 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen) Poistettu, on jo käyttövaltuushallinta vaatimuksessa Käyttövaltuushallinta hdistetty yhteisiin järkestelmävaatimuksiin nro 11 Ks. edellinen 14 Käyttäjän sähköisiin lääkemääräyksiin liittyvien oikeuksien hallinta 15 Henkilökunnan oikeudet hdistetty yhteisiin järkestelmävaatimuksiin nro 11 hdistetty yhteisiin järkestelmävaatimuksiin nro 11 Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 18

19 Kriteeri / kontrollitavoite Käyttöoikeuksien tarkastaminen 16 Ammattioikeuteen liittyvien rajoitusten tarkistaminen 17 Ammattioikeuksien tarkistaminen ennen sähköistä allekirjoitusta 18 Käyttäjän oikeuksien tarkistaminen Valvonta ja lokitus Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi hdistetty yhteisiin järkestelmävaatimuksiin nro 9 Lääkemääräyksen toimittavan henkilön ammattioikeudet ja niiden voimassaolo on tarkastettava ennen sähköistä allekirjoitusta Valvira:n tiedoista. Käytännössä tarkastus tehdään jo sisäänkirjautumisvaiheessa ja nämä tiedot voidaan tallentaa istunnon ajaksi. Jos ammattioikeuksissa on rajoituksia, niin järjestelmä ei saa sallia kirjautuneen käyttäjän tehdä sellaisia toimia, jotka on rajattu oikeuksien ulkopuolelle. Huomioidaan apteekkijärjestelmien vaatimuksessa 11 Tarkastetaan, että ammatilliset rajoitukset tarkastetaan sisään kirjautuessa ja että sellaisia toimia ei voi tehdä, jotka on rajattu oikeuksien ulkopuolelle 19 Lokitietojen muuttumattomuus hdistetty yhteisiin järkestelmävaatimuksiin nro Käyttöloki hdistetty yhteisiin järkestelmävaatimuksiin nro Lokien seurantaväline hdistetty yhteisiin järkestelmävaatimuksiin nro Viestinnän kirjanpito hdistetty yhteisiin järkestelmävaatimuksiin nro 19 Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 19

20 Kriteeri / kontrollitavoite Tietojen käsittely Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi Lääkemääräyksen toimitustiedon tallennus Haettujen tietojen säilytys Tietojen näyttö Lääketoimituksen tulee olla onnistuneesti tallennettu Reseptikeskukseen ennen toimitustiedon tulostusta. Järjestelmä tulostaa toimitukseen liittyvän tarran vasta, kun se on tallentanut onnistuneesti toimituksen. Ennen lääkkeen luovuttamista lääkkeen ostajalle, tulee aina varmistua siitä, että lääketoimitus on tallentunut reseptikeskukseen. Apteekki ei saa tallentaa tietojärjestelmäänsä reseptikeskuksesta hakemiaan tietoja pidemmäksi aikaa kuin mitä toimituksen käsittely tai muu lainmukainen tarkoitus vaatii. Pois lukien: Lääkemääräysten tunnisteja versiotiedot, Säädöksiin perustuvia tietoja, kuten suorakorvausta ja reseptipäiväkirjaa varten tarvittavat tiedot. Reseptikeskuksesta haetut tiedot tulee poistaa apteekkijärjestelmästä välittömästi käsittelyn päätyttyä. Myöskään muissa apteekeissa tehtyjen toimitusten tietoja ei saa tallentaa. Lääkemääräyksestä näytetään ensisijaisesti uusin versio ja vain uusinta versiota voidaan käsitellä/muokata. Apteekkijärjestelmän tulee selkeällä visuaalisella tavalla näyttää lääkemääräyksen versiotiedot (esim. vanha, ei voimassaoleva versio). Tarkastetaan, että toimitustietoa ei ole mahdollista tulostaa ennen, kuin toimitus on onnistuneesti tallennettu. Tarkastetaan, että järjestelmässä on olemassa toiminnallisuus, jolla käyttäjä voi varmistua ennen lääkkeen luovuttamista, että lääketoimitus on tallentunut reseptikeskukseen. Tarkastetaan, että järjestelmä ei tallenna hakemiaan tietoja (poikkeuksia lukuun ottamatta) muuta kuin toimituksen käsittelyn vaatiman ajan. Tarkastetaan, että: Järjestelmä näyttää reseptikeskuksesta hakemistaan lääkemääräyksistä ensisijaisesti eri versioista uusimman version. Järjestelmällä voi käsitellä/muokata vain uusinta versiota, ei muita lääkemääräyksen versioita. Järjestelmä näyttää lääkemääräyksen eri versiotiedot tavalla, joka näkyy käyttäjälle selvästi. Testitapaus: Haetaan henkilön lääkemääräyksen tiedot. Tarkastetaan, että em. kohdat hoidetaan asianmukaisesti vastausta käyttäjälle näytettäessä. Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 20

21 26 Kriteeri / kontrollitavoite Tietojen näyttö Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi Järjestelmän tulee näyttää selkeällä visuaalisella Tarkastetaan, että: Järjestelmä näyttää tavalla käyttäjälle lääkemääräyksen ja toimituksen lääkemääräyksen ja toimituksen tilatiedot ja tilatiedot (mitätöity, lukittu, varattu jne..) sekä tilaan tilaan mahdollisesti liittyvän selityksen liittyvän selityksen, jossa sellainen on. selkeästi käyttäjälle. Järjestelmää näyttää Jos lääkemääräys on toimitusvarattu, varattu, varaustilan/annosjakelutiedon/lukituksen annosjakelussa tai lukittu toisen apteekin toimesta, asettaneen apteekin tiedot, jos apteekki ei ole järjestelmän tulee näyttää varaustilan/lukituksen asettanut näitä tietoja itse. Testitapaus: asettaneen apteekin tiedot. haetaan lääkemääräyksen ja toimituksen tietoja, joilla on erilaisia tilatietoja (mitätöity, lukittu, varattu jne..) ja tarkastetaan, että järjestelmä näyttää nämä tiedot käyttäjälle selkeästi. Testitapaus: Haetaan lääkemääräys, jonka toinen apteekki on toimitusvarannut, varannut, merkinnyt annosjakeluun tai lukinnut ja tarkastetaan näyttääkö järjestelmä toisen apteekin tiedot Muut pakolliset vaatimukset Teknisen yhteistestauksen läpäisy Reseptikeskukseen muodostetun yhteyden katkaiseminen Järjestelmän tulee olla testattu ja hyväksytty yhteistestauksen (tai myöhemmin muun vastaavan sisältöisen teknisen testauksen) testaussuunnitelman ja hyväksymiskriteerien mukaan. Apteekkijärjestelmän on huolehdittava, että yhteys reseptikeskukseen katkeaa, kun käyttäjä ei käytä järjestelmän reseptikeskukseen liittyviä toimintoja aktiivisesti 30 minuutin kuluessa (reseptikeskuksen tiedot eivät tämän jälkeen käytettävissä ilman tunnistamista uudelleen). Tarkastetaan, että järjestelmä on osallistunut yhteistestaukseen Tarkastetaan teknisen yhteistestauksen tulokset ja niiden läpäisy Tarkastetaan, että yhteys reseptikeskukseen katkaistaan, mikäli käyttäjä ei käytä järjestelmän reseptikeskukseen liittyviä toimintoja aktiivisesti 30 minuutin kuluessa Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 21

22 Kriteeri / kontrollitavoite Syötteen tarkastus Potilaan suostumuksien dokumentointi Suostumuksien kysely ja dokumentointi Tietojen päivitys Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi Järjestelmän tulee tarkastaa ennen reseptikeskukseen Tarkastetaan, että järjestelmässä on syötteen suoritettavaa hakua, että käyttäjän (apteekin tarkastus, joka tarkastaan esimerkiksi farmaseutti, proviisori tai farmasian opiskelija) henkilötunnuksen oikean muodon tai syöttämät potilaan yksilöintitiedot ja lääkemääräyksen yksilöintitiedoin oikean lääkemääräyksen tunnus ovat oikeassa muodossa. muodon. Testataan, että hakua ei voi tehdä tiedoilla, jotka Tieto potilaan tai hänen laillisen edustajan antamasta suostumuksesta (esim. yhteenveto potilaan sähköisistä lääkemääräyksistä ja määräysten toimittamatta olevasta määrästä tai potilasohje) ja sen tyypistä (suullinen tai kirjallinen) lähetetään reseptikeskukseen. Apteekin on annettava potilaan suullisen suostumuksen perusteella (potilaan pyynnöstä) tiedot hänen reseptikeskukseen tallennetuista lääkemääräyksistään ja määräysten toimittamatta olevasta määrästä (esim.hteenveto potilaan sähköisistä lääkemääräyksistä). Jos yhteenvedon noutaa joku muu kuin potilas itse tai hänen laillinen edustajansa, tulee noutajalla olla potilaan tai hänen laillisen edustajansa allekirjoittama suostumus. Lääketietokannan mukaiset tiedot lääkkeistä, korvattavista perusvoiteista, kliinisistä ravintovalmisteista ja määräaikaisista erityislupavalmisteista on päivitettävä toimitusohjelmistoihin kunkin kuukauden 1. ja 15. päivänä. eivät ole muodoltaan oikeita Tarkastetaan, että järjestelmässä on ominaisuus, jonka avulla on mahdollista dokumentoida potilaan antamat suostumukset Tarkastetaan, että järjestelmästä on mahdollista tulostaa yhteenveto potilaan sähköisistä lääkemääräyksistä Tarkastetaan, että järjestelmä mahdollistaa lääketietokannan mukaisten tietojen päivittämisen. Tarkastetaan, että tiedot päivitetään vaaditulla intervallilla. Tarkastetaan onko tähän olemassa automatisoitu prosessi tai muu määrämuotoinen tapa, joka varmistaa päivitysten ajantasaisuuden Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 22

23 33 Kriteeri / kontrollitavoite Valittavan lääkemääräyksen tilatiedon tarkistaminen Vaatimus/ Kontrolli Vaatimuksenmukaisuuden todentaminen / Audutointi Apteekkijärjestelmä tarkistaa toimitettavaa Testataan, että järjestelmä tarkistaa onko lääkemääräystä valittaessa, että lääkemääräys ei ole valittu lääkemääräys lukittu, mitätöity, lukittu, mitätöity, kokonaan toimitettu tai että siihen kokonaan toimitettu tai liittyykö siihen ei liity hyväksyttyä uusimispyyntöä (lääkemääräystä hyväksyttyä uusimispyyntöä. Jos näin on, ei ole uusittu). järjestelmä ilmoittaa, ettei ko. lääkemääräystä Jos lääkemääräys on jossain edellä mainituista voi toimittaa ja syyn siihen. Lisäksi tiloista, järjestelmä ilmoittaa käyttäjälle, että ko. järjestelmä estää lääkemääräyksen lääkemääräystä ei voida toimittaa ja syyn siihen. toimittamisen. Järjestelmä tarkastaa myös, että lääkemääräys ei ole Käsitellään lääkemääräystä jonka varattu, toimitusvarattu tai annosjakeluvarauksessa varaustilatieto on jokin vaatimuksessa toisessa apteekissa. kuvatuista Lääkemääräyksen uudistaminen Reseptikeskuksesta haettujen tietojen tarkastelu Reseptikeskuksesta haettujen tietojen tarkastelu Mikäli lääkemääräys on jossain edellä mainituista varaus-tiloista toiselle apteekille, apteekkijärjestelmä ilmoittaa käyttäjälle, että ko. lääkemääräystä ei voida toimittaa, lääkemääräyksen tilan ja tilan asettaneen apteekin tiedot. Järjestelmä mahdollistaa uusimispyynnön tekemisen sähköiseen lääkemääräykseen 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta. Järjestelmä ei saa mahdollistaa uusimispyynnön tekemistä kun 16 kuukauden määräaika on kulunut umpeen Lääketoimitusta tehdessä apteekkijärjestelmä saa hakea ja nähdä ainoastaan toimituksen kohteena olevan yhden henkilön tiedot kerrallaan. Apteekkijärjestelmä saa hakea ja nähdä toimittamisessa tarvittavat sähköisen lääkemääräyksen tiedot mukaan lukien sairausvakuutuskorvausoikeuteen vaikuttavat tiedot. Tarkastetaan, että järjestelmä ilmoittaa käyttäjälle, ettei lääkemääräystä voida toimittaa ja ilmoittaa myös syyn. Lisäksi tarkastetaan, että järjestelmä estää kyseisen lääkemääräyksen toimittamisen. Tarkastetaan järjestelmädokumentaatiosta tai muuten, että järjestelmä mahdollistaa uusimispyynnön tekemisen 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta. Testataan lääkemääräyksen uusimispyynnön tekemistä. Tarkastetaan, että järjestelmällä ei voi hakea muiden kuin toimituksen kohteena olevan yhden henkilön tietoja reseptikeskuksesta. Tarkastetaan mitä tietoja järjestelmä hakee lääketoimituksen yhteydessä Pyydetty tulkinta STM:ltä: Pitääkö vanhemmat, kuin 16 kk estää. STM tulkinta on: Laista tulee kaksivaatimusta: - reseptejä pitää voida uudistaa 16 kuukautta - yli 16kk ikäisiä reseptejä ei saa voida uudistaa tarkennus Kansalliset tietoturvavaatimukset potilastieto- ja apteekkijärjestelmille sekä käyttöympäristölle 23