KanTa. Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti
|
|
- Ilmari Ranta
- 7 vuotta sitten
- Katselukertoja:
Transkriptio
1 OHJE KanTa Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti OHJE: Tämä dokumentti on tarkoitettu taustamateriaaliksi ereseptin auditointivaatimusten käsittelyyn ja toteutumisen seurantaan. Auditointivaatimusten kommentit ovat eri osapuolien kesken syntyneitä tulkintoja ja esimerkkejä mahdollisista toteutustavoista, eikä niiden oikeellisuutta taata. STM vastaa virallisten auditointivaatimusten ylläpidosta. Terveyden ja hyvinvoinnin laitos Institutet för hälsa och välfärd National Institute for Health and Welfare
2 2 Sisältö 1 Organisaation itseauditointi Käytännön ohjeita Auditointivaatimukset... 6
3 3 1 Organisaation itseauditointi Sähköisestä lääkemääräyksestä annetun lain 23 :n mukainen velvollisuus laatia lääkemääräykset sähköisesti tulee voimaan kuntien ja valtion terveydenhuollon toimintayksiköissä 1 päivänä huhtikuuta Tätä ennen terveydenhuollon organisaatioiden on liityttävä Kelan ylläpitämään Reseptikeskukseen (KunTo-hanketoimiston ylläpitämän aikataulun mukaisesti). Liittymisen edellytyksenä on, että organisaatio täyttävää turvallisuudelle ja KanTa-järjestelmien toiminnallisuudelle asetettavat minimivaatimukset (kansalliset auditointivaatimukset). Vaatimusten täyttyminen todennetaan itseauditoinnilla 1. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Hyvä yleisohje liittymisen valmisteluun on KELAn julkaisema Liittymisohje KanTapalveluihin 2. Auditoinnin kulku on kuvattu STM:n ohjeessa: 1. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa 2. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. organisaatio tekee hallinnollisen liittymispäätöksen 4. organisaatio tekee hakemukset palvelu- ja henkilövarmenteista 5. organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ovat omalta 1 STM:n ohje : KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT
4 4 osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi.
5 5 2 Käytännön ohjeita Organisaation itseauditoinei ole yksittäinen tilaisuus, joka pidetään juuri ennen liittymistä KanTa-palveluihin, vaan kyse on vaadittujen toimien toteuttamisesta käyttöönottoprojektin osana siten, että lopulta voidaan todeta vaatimusten täyttyvän. STM:n ohjeenkin mukaan vaatimuksiin on tutustuttava hyvissä ajoin, jotta tarvittavat toimet ehditään tehdä. Esimerkiksi tietoliikenteelle asetetut vaatimukset pitää huomioida yhteyksiä tilattaessa, ja tietoturvapolitiikan laatimiseen ja hyväksyttämiseen kuluvaa aikaa ei välttämättä lasketa päivissä vaan kuukausissa. Tietoturvaan ja tietosuojaan kohdistuvat vaatimukset eivät ole mitenkään uusia, erityisesti KanTa-palvelujen käyttöönotosta johtuvia. Terveydenhuollon organisaatioilta on aikaisemminkin edellytetty ohjeistusta potilastietojen käsittelystä sekä rekisterinpitäjän tehtävistä. Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti. Auditointivaatimusten täyttäminen ei siten ole pelkästään ereseptin käyttöönoton projektipäällikön vastuulla, vaan tarvittavien toimenpiteiden toteuttamiseen tarvitaan koko organisaation osallistumista heti ensimmäisistä arvioista alkaen. Liittymishakemuksen KanTa-palveluihin allekirjoittaa henkilö, jolla on organisaation nimenkirjoitusoikeus (hallintosäännön perusteella, tyypillisesti esim. toimialajohtaja). Allekirjoituksellaan organisaatio sitoutuu noudattamaan auditointivaatimuksia. Käytännössä hyvä tapa käsitellä auditointivaatimuksia organisaatiossa on käydä vaatimukset läpi allekirjoittajan kanssa ensin alustavasti, jotta voidaan keskustella täsmällisistä tavoitteista ja siitä, miten tarvittavat toimenpiteet suoritetaan sekä allekirjoitushetkeä silmälläpitäen: Minkälaiset todisteet ja esittelyn vaatimusten toteutumisesta allekirjoittaja aikanaan haluaa. Lähtötaso voi joidenkin vaatimusten osalta usein olla vaatimaton. Tällöinkin kannattaa pitää mielessä, että nimenomaan ereseptin käyttöönotolle asetettujen vaatimusten täyttäminen on vain yksi osa laajempaa kokonaisuutta. Tavoitteena olisi hyvä pitää tietosuojaan ja tietoturvaan liittyvien asioiden suunnitelmallista ja jatkuvaa kehittämistä
6 6 3 Auditointivaatimukset Kriteeri nro 1 Tyyppi Organisatoriset vaatimukset Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä ereseptiin ja KanTa-palvelujen käyttäjäksi on tehty. Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi th-lautakuntaan Hakemus ja sitoumus dokumentti: Sitoumuksen allekirjoittamisella organisaatio sitoutuu hakemuksessa ja sen liitteissä kuvattuihin ehtoihin. Auditoinnin tärkein tarkoitus varmistaa, että Kanta-vaateet täyttyvät. Tätä auditointia kannattaa myös käyttää organisaation toimintamallien muutokseen. Jos kaikki vaateet eivät täyty, niin tätä kannattaa käyttää vääntimenä nykytilan parantamiseksi.
7 7 Kriteeri nro 2 Tyyppi Auditoitu järjestelmä Organisaatiossa on käytössä auditoitu ereseptikyvykäs järjestelmä, joka on parametroitu ereseptivaatimusten mukaisesti Tarkastetaan, että organisaatiolla on käytössään järjestelmä joka on läpäissyt auditoinnin. Kelan auditoimat järjestelmät luetellaan kanta.fi sivustolla: Auditoitavalle perusjärjestelmälle pitää tehdä konfiguraatiomuutoksia esimerkiksi: - OID-koodit, - käyttöoikeusmäärittelyt käyttäjille, - eresepti-toiminnallisuus kytketty päälle, - yhteysosoitteet konfiguroitu, - varmenteet asennettu yhteysosapuolten välille, - sulkulistojen nouto määräsyklillä, - lääketietokanta, jos järjestelmä vaatii sen konfigurointia. Järjestelmätoimittajilla tulisi olla dokumentti vaadituista parametreista, jota päivitetään tarvittaessa jo suoritettujen käyttöönottokokeiden perusteella. Asiakkaan pitää muistaa pyytää näitä, jos toimittaja ei niitä automaattisesti toimita tai muuten projektisuunnitelmassaan huomioi.
8 8 Kriteeri nro 3 Tyyppi Tietoturvapolitiikka Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tietoturvallisuuden hallinnointi sekä siihen liittyvät tietoturvapolitiikka, tietoturva-asiat ja tietosuoja-asiat eivät ole erityisesti eresepti-asioita, vaan ne kuuluvat yleishallintoon ja rekisterinpitäjän velvollisuuksiin. Jos organisaatiossa on nämä asiat (dokumentit + systemaattinen koulutus) rempallaan, niin kannattaa käyttää tätä hyväksi. Olisiko mahdollista tehdä alueellista yhteistyötä (vai tehdäänkö jo?) KanTa-sivuilta löytyy dokumentti Tietoturvapolitiikan malli terveydenhuollon organisaatioille. Ydinkysymys on kuitenkin se, että tietoturvapolitiikka jalkautetaan, jolloin se toteuttaa auditoinnin hengen eikä pelkästään kirjainta. Yksi lähestymistapa tietoturvapolitiikan ajantasaisuuden ja kattavuuden arviointiin on hyödyntää Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) -dokumentin ohjeita ja tarkastuslistoja, esim. kohdat A1.1 ja A2.1 alakohtineen.
9 9 Kriteeri nro 4 Tyyppi Nimetty tietosuojavastaava Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tietosuojavastaavan tehtävät ja toimenkuva: Kaikilla terveydenhuollon organisaatioilla pitää lain mukaan olla tietosuojavastaava. Tietosuojavastaavan tehtävänä on olla organisaationsa tietosuoja-asiantuntija ja toimia johdon apuna tietosuojaan liittyvissä kysymyksissä. Organisaation johto on viime kädessä vastuussa siitä, että tietosuoja toteutuu organisaatiossa lainsäädännön mukaisesti.
10 10 Kriteeri nro 5 Tyyppi Ohjeet potilastietojen käsittelystä Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä STM Potilasasiakirjaopas: pdf Organisaation oman oppaan pitää olla linjassa valtakunnallisen oppaan kanssa, joten oma potilasasiakirjaopas tulee päivittää STM:n ohjeen mukaiseksi. ( on julkaistu ohje Potilastietojen käsittely voi myös olla hyödyllinen. Siinä on ohjeistusta tietojen luovutuksesta jne.) Koulutus tarkoittaa esimerkiksi koulutussuunnitelmaa ja sen jatkuvaa toteuttamista. On huomattava, että jos käytetään alihankkijoita, niin omistajia velvoittavat säädökset koskevat myös alihankkijaa ja auditointivaatimusten todentaminen on ulotettava sinne.
11 11 Kriteeri nro 6 Tyyppi Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan uuden ereseptin toimintamallin käyttöönottoon siltä osin kuin se otetaan käyttöön toimintayksiköissä Tarkastetaan, että organisaatio on kouluttanut henkilökunnan uuden toimintamallin käyttöönottoon: esim. reseptin uudistaminen, suostumusmenettelyt. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit Toimintamallikoulutus on tarjolla eri tasoilla: Yleinen (video, toimintamallidokumentti, verkkokoulutus) tai yhdistettynä tietojärjestelmän koulutukseen. Käyttöönoton kannalta auditointivaatimus täyttyy, kun toimintamallit on koulutettu niille, jotka ereseptiä alkavat käyttämään. Organisaatio sitoutuu siis siihen, että ereseptiä käyttävät vain siihen koulutuksen saaneet henkilöt. Liittymishakemuksen jättöhetkellä koko henkilöstön ei siis tarvitsisi olla koulutettuna. Käytännössä koulutetaan kaikki käyttäjät kerralla ja samassa yhteydessä voi olla perusteltua potilastietojen käsittelyn lisäksi kouluttaa tietoturvaa hieman laajemmin. Erityisen tärkeää on kertoa toimintamalleista myös johdolle ja esimiehille. Yhteistyö apteekkien kanssa on myös suositeltavaa, jotta kokonaisuus (määräys, toimitus, uusimiset) muodostuu mahdollisimman sujuvaksi. Toimintamallikoulutuksessa pitäisi käsitellä esimerkiksi seuraavia asioita 1) sovitut + ohjeistetut potilaan informointikäytännöt, 2) miten organisaatiossa on sovittu lääkemääräyksen käsittelyyn liittyvät asiat 3) Henkilöstö on perillä mistä ereseptissä on kyse (esim. Kela rekisterinpitäjä + tietojen tarkastuspyyntöihin liittyvät proseduurit) Koulutustarpeita selventää erillinen dokumentti ereseptin toimintamallit julkisessa terveydenhuollossa.
12 12 Kriteeri nro 7 Tyyppi Tietosuojan valvonta Organisaatiolla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma tai se on ottanut käyttöön Kelan laatiman tietosuojaohjeen Tarkastetaan, että organisaatiolla on Kelan laatiman ohjeen mukainen tietosuojaan liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. KELAn ohje reseptikeskuksen käytön valvonnasta ja seurannasta: ja tuota soveltamalla voidaan muokata organisaation käytäntö. Vaikka ohje koskee vain ammattihenkilön kortilla toimimista reseptikeskukseen, niin samalla vaivalla siitä kannattaa tehdä koko organisaation toimintamalli. ereseptin verkkokoulun tietosuojaosio:
13 13 Kriteeri nro 8 Tyyppi Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta Yksityisen lääkäriaseman liittymisessä ereseptiin on lisäksi sovittava kirjallisesti toimintamallista eli siitä, miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan ja onko lääkäriaseman ja tiloissa toimivien keskinäisistä vastuista sovittu. Kyseessä on yksityisiä lääkäriasemia koskevat vaateet, mutta organisaation olisi yleisemmin ottaen hyvä tarkastaa vastaavat vastuut ostopalveluissa (ks. myös #13, #14, #21). Miten sopimusasiat on hoidettu mahdollisen alihankkijaketjun läpi. Viitannee ereseptilain 22 :ään, jossa sanotaan: Lääkemääräykset on laadittava [ ] sähköistä lääkemääräystä käyttäen kaikissa julkisen ja yksityisen terveydenhuollon toimintayksiköissä sekä terveydenhuollon toimintayksikön tiloissa toimivien itsenäisten ammatinharjoittajien vastaanotoilla, jollei potilas ole kieltänyt sähköisen lääkemääräyksen laatimista JA Itsenäisenä ammatinharjoittajana toimivat lääkärit ja hammaslääkärit voivat ottaa käyttöön tämän lain mukaisen sähköisen lääkemääräyksen. Yksityisillä taloilla on yleensä järjestelmä talon puolesta, mutta vastaanottajat ovat itsenäisiä ammattiharjoittajia. Varmaan jostain löytyy lääkäritalo, jossa vastaanottoa pitävän lääkärin ei ole pakko käyttää paikallista tietojärjestelmää X? Siksi asioista pitää sopia selkeästi ja kirjallisesti.
14 14 Kriteeri nro 9 Tyyppi Viestinvälityksen sopimukset ja lainsäädäntö Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Organisaatiolla tarkoitetaan liittyjää (Kelan Liittyjät-ohje) ja vaatimus kohdistuu käytännössä kaikkiin sopimuksiin, joita yksittäinen liittyjä KanTa-tietoliikenteen toteuttamiseksi solmii. Palvelimien välinen liikenne tulee suojata, mutta samassa VLA- Nissa olevien palvelimien välinen SSL/TLS -salaus ei ole välttämättä kiireellisin tehtävä. Työasemien ja palvelimien välistä liikennettä ei tarvitse suojata, jos ne ovat samassa fyysisesti suojatussa verkossa, jos työasemien liikenne kulkee fyysisten verkkojen välillä (esim. operaattorin verkossa), niin silloin suojaustarve on todennäköisempi. Välittäjätaho pitää auditoida erikseen.
15 15 Kriteeri nro 10 Tyyppi Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman Kan- Ta-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. Sopimuksissa pitää ottaa huomioon tietoturvan osalta yhteyksien Kelaan lisäksi esim. sopimukset verkko-operaattoreiden kanssa (työasemilta palvelimelle, jos fyysisesti eri verkossa), sopimukset palvelimelta välityspisteelle.
16 16 Kriteeri nro 11 Tyyppi Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Koskee pääasiassa VRK:lta haettavia palvelinvarmenteita. Käytettävissä ei vielä ole erityistä hyvät käytännöt - dokumenttia. Esimerkiksi: VeriSignin ohjeissa kehotetaan tallentamaan yksityinen avain (mieluusti salattuna) siten, että mahdollisten tietomurron sattuessa avain tai sen kopio ei joudu sivullisten käsiin. Pankkien maksuliikenneohjeet puolestaan suosittavat avaimen säilytystä salattuna ja niin, että on dokumentoitu kenellä ja miten (missä tapauksissa) pääsyoikeudet on hoidettu ja miten avaimen käsittelystä jää jälki. HUOM: Palvelinvarmenteetkin vanhenevat, joten erityistä huomiota on kiinnitettävä siihen, että niiden uusiminen on annettu jollekin tehtäväksi ja merkattu huolella kalenteriin!
17 17 Kriteeri nro 12 Tyyppi Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Reseptikeskus hallinnoi osaltaan reseptikeskuksen käyttäjätietoja - Terveydenhuollon varmennekortteihin nojautuen. ereseptiosioihin ja reseptikeskukseen ei pääse ilman toimikorttia (myös vaatimus numero 23.) Potilastietojärjestelmien oman käyttäjähallinnan osalta käyttöoikeudet ja niihin liittyvät prosessit tulisi olla dokumentoituna. Jos prosessiin osallistuu useampi organisaatio, esimerkiksi sairaanhoitopiiri ja sen IT-ylläpidosta vastaava tytäryhtiö, niin molemmat kuvaavat oman osuutensa käyttäjähallinnasta (esim. shp kuvaa, kuinka käyttäjätietojen ja oikeuksien prosessit hoidetaan sen puolella ja kun tunnushakemus saapuu ylläpitäjälle, niin miten prosessi jatkuu). Tunnusten luontiin on organisaatioilla usein kunnossa olevat prosessit. Haastavampaa on toteuttaa kunnolla tunnusten oikeuksien muutokset ja poistot. Prosessissa on otettava myös huomioon tilapäiset työntekijät, mikä tekee siitä astetta hankalampaa. Vaateet saattavat aiheuttaa useissa organisaatioissa paineita käyttäjähallinnan kehittämiselle. Toisaalta KanTa-palveluiden käytön edellyttämät terveydenhuollon varmennepalvelut (varmennekortit) voivat joiltain osin helpottaa nykyisiä käytäntöjä, ainakin korttien käyttö on huomioitava käyttövaltuushallintaa kehitettäessä.
18 18 Kriteeri nro 13 Tyyppi Käyttöoikeuksien jako ja hallinta Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Sopiva hetki havahtua käyttäjätunnusten hallinnan ongelmallisuuteen. Tutustukaa oman organisaationne potilastietojärjestelmien aktiivisten käyttöoikeuksien tilaan. Se saattaa herättää. On helppo tehdä tunnuksia, mutta haastavampi ongelma on muutosten hallinta ja oikeuksien poisto. Jos asia ei ole kunnossa, niin voisiko tätä käyttää käyttäjähallintaprojektin herätteenä. On syytä minimissään pohtia ja todennäköisesti kehittää käyttäjähallintaprosesseja.
19 19 Kriteeri nro 14 Tyyppi Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (thorganisaatio/ teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Sopimukset ja palvelukuvaukset. Jos ei ole palvelukuvauksia koko organisaation osalle, niin voitaneen sorvata sopimus Kan- Ta-palveluiden osalta tai päivittää jotain olemassa olevaa sopimusta.
20 20 Kriteeri nro 15 Tyyppi Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Käytetään auditoitua potilastietojärjestelmään, joten järjestelmätoimittaja on muutoksenhallinnan osin jo toteuttanut. Organisaation vastuulle jää mm. vastaanottotestaus, hyväksymiskäytännöt. versionvaihtoon liittyvät käytänteet sekä toipumissuunnitelma. Katso myös: Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvan ja tietosuojan hallinnan periaatteet ja hyvät käytännöt (STAKES: RAPORTTEJA 5/2005) kohdat A6.2 ja A8.4 sekä vastaavat tarkastuslistat. Jos organisaatiolla on käytännöt, joilla hoidetaan versionvaihdot jne., niin nyt voisi olla hyvä hetki kirjata ne auki. Voiko tätä käyttää toimittajan ja asiakkaan välisen toimitusprosessin selkeyttämiseen? Voiko tällä vaatia, että testausprosessi, käyttöohjeet, käyttökoulutus jne on toimittajalla ryhdikkäämmin hoidettu, koska vaateet asiakkaalle (th-organisaatio) ovat nyt virallisia?
21 21 Kriteeri nro 16 Tyyppi Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osa-alueisiin: Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Vaateessa on kaksi erityyppistä, mutta toisiinsa liittyvää asiaa. Millaiset ovat prosessit tietoturvapoikkeamien havainnointiin ja millaiset prosessit ovat tietosuojan valvontaan. Tietoturvapoikkeamien havainnointi ja raportointi. Esimerkiksi tietoturvakäsikirjaan ohjeistus poikkeamien havainnoinnista ja normaaliin koulutukseen tietoturva/tietosuojakoulutusta, ellei jo ole. Toisaalta alihankkijoiden ja organisaatioiden välisissä sopimuksissa tietoturva- ja salassapito-asiat pitää ottaa huomioon. Tietosuojaan liittyviä lokitietoja seurataan esimerkiksi a) rutiininomaisin pistokokein, b) erityisissä tapauksissa (esim. julkkis sairastaa) c) potilaan tms pyynnöstä. Prosessi pitäisi olla selvä: kuka tekee, mitä analysoidaan, miten dokumentoidaan ja miten toimitaan ja dokumentoidaan, jos poikkeamia löytyy. Dokumentti Reseptikeskuksen tietojen käsittelyn seurannasta ja valvonnasta terveydenhuollossa ja apteekissa löytyy osoitteesta: Verkkokoulutuksen tietoturva- ja tietosuojaosiot
22 22 Kriteeri nro 17 Tyyppi Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Toipumissuunnitelman tekeminen voi olla koko organisaation osalta haastavaa. KanTa-palveluita voisi käyttää lähtöpisteenä. Toisaalta tässä yhteydessä pohditaan myös virhetilanteiden havainnointia (kuka huomaa, miten toimitaan). Voi olla paikallaan laajentaa verkon normaalivalvontaa potilastietojärjestelmiin (esim. Tekniset valvontajärjestelmät kuten SCOM ta CA Spectrum), jos niitä ei ole vielä kohdennettu niihin. Kela on laatinut toiminta ohjeet häiriötilanteisiin:
23 23 Kriteeri nro 18 Tyyppi Lokitietojen muuttumattomuus Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Tämä on kohta, joka on käytännössä järjestelmätoimittajan vastuulla. Jos järjestelmä on auditoitu, niin tämän pitäisi olla kunnossa myös välittäjän auditoinnissa. Admin-varmoja lokeja ei voitane vieläkään vaatia, kun lähtötaso on ollut hieman heikkoa. Reseptin osalta lokitiedoista on joustettu, koska niissä tiedot kertyvät myös Kelan lokiin. Arkiston osalta lopputuloksena pitää olla sellainen loki, että se voidaan esittää luotettavana todisteena oikeudelle. Ei se tarkoita täysin satavarmasti suojattua lokia, mutta esimerkiksi eri lokeja yhdistelemällä saatua luotettavaa kuvaa siitä, mitä on tapahtunut. Jos eri lokit ovat eri tahojen hallussa eikä yksi ihminen voi muuttaa niitä kaikkia, on lopputulos kohtuullisen uskottava. Esimerkiksi erillinen lokipalvelin luotettavassa paikassa. Kannattaa miettiä a) minkälaisia lokituspalvelimia on saatavilla ja miten niitä voisi osana koko IT-infraa hyödyntää ja b) mihin suuntaan potilastietojärjestelmätoimittajat ovat etenemässä. Todennäköisesti vaatimuksia tarkastellaan tiukemmin earkiston auditointivaatimuksia käsiteltäessä.
24 24 Kriteeri nro 19 Tyyppi Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. Myös ohjelmistotoimittajan ja tukipalveluiden mahdollisesti käyttämät yhteistunnukset pitää muuttaa yksilöllisiksi (myös Oraclet, BizTalkit yms. ylläpitäjätunnukset pitäisi olla yksilöllisiä. Tässä tosin on noudatettava malttia, ettei saada aikaan enemmän ongelmia kuin hyötyä). Toisaalta ohjelmistoissa lienee ominaisuus, joka päästää ereseptiosioihin vain toimikortilla tunnistautuneen käyttäjän. Tässä yhteydessä voisi olla syytä pohtia myös th-toimija kortin käyttöä toimittajan etäyhteyksien tunnistamiseen. Yleisesti: tätä kohtaa voitaisiin pitää herätteenä siihen, että yhteyskäyttöisistä tunnuksista päästäisiin eroon.
25 25 Kriteeri nro 20 Tyyppi Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Verkkodiagrammi ajan tasalla tai joku muu normaalitoimintaa hyödyntävä menetelmä. Ajantasainen verkkodiagrammi helpottaa normaalia arkipäiväistä ylläpitoa, mutta se helpottaa myös auditointia. Kun on olemassa ajantasainen verkkokaavio, niin salaukseen tai tietoliikenteen kahdentamiseen liittyvät tarpeet on helpompi selvittää.
26 26 Kriteeri nro 21 Tyyppi Hallintayhteydet järjestelmään Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti.. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu Miten etäyhteydet on toteutettu (vpn, rdp)? Periaatteessa etäyhteyksissä (myös toimittajan!) pitäisi käyttää joko vahvaa salasanaa tai toimikorttia.
27 27 Kriteeri nro 22 Tyyppi Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja www-sovellusten haavoittuvuuksilta (esim. OWASP top 10). Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Järjestelmän koventaminen Yleistäen: Tutkitaan ja tukitaan kaikki tiet, joista voisi päästä asiattomasti käsiksi salaamattomaan potilastietoon tai aiheuttaa ongelmia sen saatavuudelle tai eheydelle. Jos järjestelmät on toteutettu dedikoiduilla palvelimilla, auditoiduilla järjestelmillä ja toimittajan ohjeistuksen mukaan, niin nykyjärjestelmien pikainen muuttaminen lie haastavaa. Yleisesti ottaen tätä ohjeistusta olisi syytä käyttää laajemmin teknisen tietoturvan ja tietoturvatietoisuuden parantamiseksi. Uushankinnoissa tietoturva on jo nyt hankintakriteeri, mutta sen asema korostuu tässä yhteydessä.
28 28 Kriteeri nro 23 Tyyppi Tunnistautuminen järjestelmiin Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan Kun Uranus, Pegasos ja Effica (myöhemmin muutkin) ovat päässeet auditoinnista läpi, täyttyy tämä kohta myös ko. auditoituja järjestelmiä hyödyntävällä välittäjällä. eresepti-osioihin ja reseptikeskukseen ei pääse ilman toimikorttia. Salasanojen vahvistamista ei tule pakottaa kerralla (vastarinta). Tunnistautumista kehitetään suunnitelmallisesti toimikorttikirjautumisen yhteydessä, salasanojen osalta jatkuvalla (tietoturvapolitiikan) mukaisella tiedottamisella ja valvonnalla jne. On huomattava, että hallintavälineiden tunnistautumisessa on käytössä vahvat salasanat (tai jokin muu vahva tunnistusmekanismi) siis ne järjestelmän osat, joita ei käytä suuri joukko käyttäjiä, vaan hyvin rajattu (ylläpitäjien) joukko.
Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset # Kriteeri / kontrollitavoite Organisaatoriset vaatimukset
LisätiedotKanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi olevasta käsikirjasta.
Tietoturvavaatimukset Kanta- välittäjäpalveluja tarjoavalle Kanta- välittäjän määritelmä: Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy www.kanta.fi
LisätiedotOMAVALVONTASUUNNITELMA
RÄÄKKYLÄN KUNTA Sosiaali- ja terveydenhuollon tietojärjestelmät TERVEYSKESKUS OMAVALVONTASUUNNITELMA Hyväksytty; Perusturvalautakunta _._.2015 Saila Tarkkonen Omavalvontasuunnitelmassa selvitetään miten
LisätiedotAuditointi. Teemupekka Virtanen 14.5.2010
Auditointi Teemupekka Virtanen 14.5.2010 Lähtökohta Kaikki KANTAan liittyneet organisaatiot jakavat saman tietomassan Keskinäinen luottamus Yhteiset toimintaperiaatteet Yhteinen turvataso Minä uskallan
LisätiedotOsapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.
Mallisopimus Sopimus e-reseptipalveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja itsenäinen ammatinharjoittaja ("Ammatinharjoittaja") sopivat e-reseptipalveluun
LisätiedotKanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä
Kanta-sopimusmalli / Yritys-Yritys Sopimus eresepti-palveluun liittymisestä Tällä sopimuksella yksityinen terveydenhuollon toimintayksikkö ( Lääkäriasema ) ja Lääkäriaseman tiloissa toimiva lääkäripalveluyhtiö
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen antajilla on velvoite laatia omavalvontasuunnitelma,
LisätiedotKanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys
KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto Ensimmäisenä sähköinen lääkemääräys Käyttöönottoon valmistautuminen 07.06.2013 4.6.2013 Sähköinen lääkemääräys 1 Esityksen sisältö Kansalliset
LisätiedotSosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma
1 (10) johtoryhmä 10.3.2015 38, yhtymähallitus 30.3.2015 Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma Sosiaalihuollon ja terveydenhuollon palvelujen
LisätiedotLiittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013
Liittyminen eresepti-palveluun Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen 13.5.2013 eresepti-palveluun liittyjä eresepti-palveluun liittyjä on terveydenhuollon toimintayksikkö
LisätiedotLiittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen
Liittyminen eresepti-palveluun Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen eresepti-palveluun liittyjä eresepti-palveluun liittyjä on terveydenhuollon toimintayksikkö,
LisätiedotPotilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja
Potilastiedon arkisto Hakemus ja sitoumus Kela, Kanta-palvelut, 8.1.2015 Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja Hakemus on sitoumus Edellytykset vaiheeseen siirtymiselle
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa työsuhteisina ja ammatinharjoittajina
LisätiedotLiittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen
Liittyminen eresepti-palveluun Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen Palvelujen käyttöönoton aikataulut Sähköinen resepti käytössä Apteekeissa ja sivuapteekeissa
LisätiedotERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä Timo Airaksinen, Salivirta & Partners
ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä 8.2.2013 Timo Airaksinen, Salivirta & Partners ereseptiin on liityttävä 1.4.2014 mennessä ereseptin on oltava käytössä kaikilla lääkärikeskuksissa
LisätiedotVaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi
Versio 1.0 9.9.2010 Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset Organisaatoriset vaatimukset Vaatimus/Kontrolli
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0 Kanta 255 10.15 1(11) Sisällys 1 Liittymisvelvoitteiden ja -vastuiden täyttäminen... 3 2 Kanta-palveluihin liittyvät tietojärjestelmät
LisätiedotKanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä
Malli: Asiakastietojen käsittely 1 (7) KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä Ohje: Tämän ohjeen kohderyhmä on terveydenhuollon toimintayksikön johto. Ohje on
LisätiedotTietosuojakysely 2019
Tietosuojakysely 2019 Kanta-palvelut tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Kela FPA Kanta-palvelut Kanta tjänsterna www.kanta.fi PL 450, 00056 Kela PB 450, 00056 FPA kanta@kanta.fi
LisätiedotPotilastiedon arkistoon liittyminen 6 kk tukikokous
Potilastiedon arkistoon liittyminen 6 kk tukikokous Kela, Kanta-palvelut, 2.9.2014 Viimeisin versio: Kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja Käsiteltävät asiat Kelan rooli ja Potilastiedon
LisätiedotLiittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut, 10.2.2016
Liittyminen Kanta-palveluihin Valmistelukokous Kela, Kanta-palvelut, 10.2.2016 Käsiteltävät asiat Kelan rooli ja Kanta-palvelut Kanta-palveluihin liittymisen päävaiheet Käyttöliittymä rekisterinpitäjän
LisätiedotTietosuojakysely 2018
Tietosuojakysely 2018 05/2018 Kela Tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Sisällys Taustatiedot 1 Vastaajatiedot 1 Tulokset 1 Yleistä 1 Tietosuojavastaavat 2 Apteekkarin tai organisaation
LisätiedotSopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä
Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.2 Kanta-sopimusmalli 2 (10) Sisällysluettelo 1 Johdanto... 3 2 Liittymisvelvoitteet ja vastuut... 3 3 Kanta-palveluihin liittyvät
LisätiedotTietosuojakysely 2016
Tietosuojakysely 2016 Yksityinen terveydenhuolto Kansaneläkelaitos Tietosuojavaltuutetun toimisto Sisällys Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto... 2 Yleistä... 2 Tietosuojavastaavat...
LisätiedotTietosuojakysely 2017
Tietosuojakysely 2017 Apteekki Tekijät Kela Tietosuojavaltuutetun toimisto Raportti Sisällys 1 Tietosuojakyselyn tulokset Apteekki... 2 1.1 Yleistä... 2 1.2 Tietosuojavastaavat... 4 1.3 Apteekkarin tai
LisätiedotKanta. Liittymisohje Kanta-palveluihin
Liittymisohje 1 (16) Kanta Liittymisohje Kanta-palveluihin Tämä dokumentti on toimintayksiköitten ja hankeen johdolle tarkoitettu ohje. Ohjeessa kuvataan yleisellä tasolla Kanta-palveluihin liittymisen
LisätiedotNäin teet liittymishakemuksen ja päivität asiakastietojasi
Näin teet liittymishakemuksen ja päivität asiakastietojasi Tämä ohje on tarkoitettu niille, jotka tekevät liittymishakemuksen Kanta-palveluihin ja päivättävät asiakastietojaan. Ohjeessa on käsitelty kaikki,
LisätiedotKanTa. Liittymisohje KanTa-palveluihin
Liittymisohje 1 (17) KanTa Liittymisohje KanTa-palveluihin Tämä dokumentti on toimintayksiköitten ja hankeen johdolle tarkoitettu ohje. Ohjeessa kuvataan yleisellä tasolla KanTa-palveluihin liittymisen
LisätiedotSecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com
SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet
LisätiedotNäin teet liittymishakemuksen ja päivität asiakastietojasi
Näin teet liittymishakemuksen ja päivität asiakastietojasi Tämä ohje on tarkoitettu niille, jotka tekevät liittymishakemuksen Kanta-palveluihin tai päivittävät asiakastietojaan. Ohjeessa on käsitelty kaikki
LisätiedotKysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista
Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista Sisällys 1. Liittymisen aikataulu ja liittymismalli... 1 2. Potilastietojärjestelmä... 2 3. SOTE-rekisteri... 2
LisätiedotKansalliset auditointivaatimukset terveydenhuollon organisaatioille
Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan rajoittua käyttöönotettaviin
LisätiedotUuden terveydenhuoltolain toteutumisen edistäminen. ereseptin käyttöönoton suunnittelu ja valmistelu
Uuden terveydenhuoltolain toteutumisen edistäminen ereseptin käyttöönoton suunnittelu ja valmistelu Tietoturva- ja tietosuojatason selvittäminen, huomioiden valtakunnallisen sähköisen tietojärjestelmäpalvelun
LisätiedotKanTa-palvelut. Web-reseptisovellukset. versio 1.0
Kela Liite auditointivaatimuksiin 1 (8) KanTa-palvelut Web-reseptisovellukset versio 1.0 Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 0.1 31.10.2013 KanTa-palveluryhmä, Kela Ensimmäinen
LisätiedotKanTa-palvelujen tilannekatsaus. Marina Lindgren, KanTa-palvelut, Kela 25.5.2010
KanTa-palvelujen tilannekatsaus Marina Lindgren, KanTa-palvelut, Kela 25.5.2010 KanTa-palvelut 25.5.2010 2 Kansallinen Terveysarkisto (KanTa) on yhteinen nimitys valtakunnallisille tietojärjestelmäpalveluille:
LisätiedotKokemuksia sähköisestä lääkemääräyksestä
Kokemuksia sähköisestä lääkemääräyksestä TERVE-SOS 2011 Johanna Andersson 23.5.2011 Medi-IT Oy Heikinkatu 7, 48100 Kotka Puh. 05-211 1888 Fax. 05-220 5919 www.medi-it.fi 1 Potilasohje Tiedot toimitetusta
LisätiedotKanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0
Kela Testauspalvelusuunnitelma 1 (7) KanTa-palvelut Sähköisen lääkemääräyksen testauspalvelun suunnitelma versio 1.0 Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 1.0 11.11.2011 KanTa-palveluryhmä,
LisätiedotKansalliset auditointivaatimukset terveydenhuollon organisaatioille
Versio 2.0 19.4.2013 Kansalliset vaatimukset terveydenhuollon organisaatioille Versioon 2.0 on käsitteet resepti ja reseptikeskus muutettu asiakirjoiksi ja kansallisiksi palveluiksi. Auditoinnissa voidaan
LisätiedotOrganisaation muutostilanteet. Kela, Kanta-palvelut
Organisaation muutostilanteet Kela, Kanta-palvelut 28.9.2017 Valmistautuminen organisaatiomuutoksiin Kartoita vaikutukset Kanta-palveluiden liittymisiin Tuleeko uusi/uusia liittyjiä? Lopettaako liittyjä
LisätiedotOrganisaation muutostilanteet
Organisaation muutostilanteet 29.11.2018 Kela, Kanta-palvelut Sisältö Valmistautuminen organisaatiomuutoksiin Terveydenhuollon muutostilanteet Muutostilanteista ilmoittaminen Uudet liittymiset Tekniset
LisätiedotKanTa-kokonaisuus ja kunnat
KanTa-kokonaisuus ja kunnat KanTa earkisto: kansallinen sähköinen arkisto- ja välityspalvelu potilasasiakirjoille eresepti ekatselu kansalaisen katseluyhteys omiin tietoihinsa perustuu lainsäädäntöön liittymisvelvoite
LisätiedotTIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt
TIETOSUOJASELOSTE HP/ 15.5.18 TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt Hanna Pirskanen toiminnanjohtaja 2 Sisällys 1 Tietoturvapolitiikka...3 2 Tietotilinpäätös...3 2.1 Organisaation tietovarannot,
LisätiedotPotilastiedon arkiston käyttöönotto ja arkistonhoitaja
Potilastiedon arkiston käyttöönotto ja arkistonhoitaja Kela, Kanta-palvelut, 8.1.2015 Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja Käsiteltävät asiat Valmistautuminen Potilastiedon
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(8) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 08, 31.3.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotSÄHKÖISEN LÄÄKEMÄÄRÄYKSEN MUUTOKSIA JA TOIMINTAMALLIN TARKENTAMINEN 01.11.2015 ALKAEN
Ohje 8/2015 1(5) SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN MUUTOKSIA JA TOIMINTAMALLIN TARKENTAMINEN 01.11.2015 ALKAEN Kohderyhmät Voimassaoloaika Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen
LisätiedotValmistautumistilaisuus liittyjälle Potilastiedon arkisto. Kela, Kanta-palvelut,
Valmistautumistilaisuus liittyjälle Potilastiedon arkisto Kela, Kanta-palvelut, 7.9.2016 Käsiteltävät asiat Liittymismallit Potilastiedon arkistoon liittyminen Hakemus-sitoumus Käyttöönottokoe ja tuotantokäytön
LisätiedotOhje ja testitapaus. 1 Käyttöönottokoe. 1.1 Kanta-arkistonhoitaja ja Arkistonhoitajan käyttöliittymä. 1.2 Käyttöönottokokeessa esiintyvät ongelmat
Ohje ja testitapaus 1 (5) Ohje ja testitapaus 1 Käyttöönottokoe Käyttöönottokokeen tarkoituksena on varmistaa teknisesti tietojärjestelmien yhteentoimivuus tuotantoympäristössä. Tätä käyttöönottokokeen
LisätiedotMiten liitytään Kanta-palveluihin. Kanta-liittyjän ohje
Miten liitytään Kanta-palveluihin Kanta-liittyjän ohje Sisällys 1 Johdanto... 1 1.1 Kanta-palvelut... 1 1.2 Kanta-palveluun liittyjät... 1 1.3 Kanta-liittyjä... 1 2 Liittymisen valtakunnallinen ja alueellinen
LisätiedotPotilastiedon arkistoon liittyminen 3 kk tukikokous
Potilastiedon arkistoon liittyminen 3 kk tukikokous Kela, Kanta-palvelut, 7.4.2014 Viimeisin versio: Kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja Käsiteltävät asiat Kansalaisviestintä Liittyminen
LisätiedotMiten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville
Miten liitytään Kantapalveluihin Ohje palveluja käyttöönottaville 15.10.2018 Sisällys 1 Johdanto...2 1.1 Kanta-palvelut...2 1.2 Kanta-palveluun liittyjät...2 1.3 Kanta-liittyjä...2 2 Liittymisen valtakunnallinen
LisätiedotKansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät 25.5.2009 Erkki Aaltonen
Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät 25.5.2009 Erkki Aaltonen Esityksen sisältö KanTa ja sen tausta Käyttöönotto ja tilanne nyt Mikä muuttuu eresepti earkisto Omien
LisätiedotKysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon
Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon Sisällys 1. Liittymisvelvoite, aikataulu ja liittymismallit... 2 2. Liittymisvalmistelut... 5 3. Potilastietojärjestelmä...
LisätiedotOrganisaatiomuutokset yksityisessä terveydenhuollossa
Organisaatiomuutokset yksityisessä terveydenhuollossa 19.10.2017 1 Johdanto Terveydenhuollon palvelunantaja tai itsenäinen ammatinharjoittaja (IAH) vastaa potilastietojen rekisterinpitäjänä arkistoitujen
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotApteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut
Apteekkisopimus Päihdelääketieteen torstaikoulutus 4.10.2018 Maritta Korhonen, Kela Kanta-palvelut 1 Kanta-palvelut Kaikille kansalaisille Apteekeille (~810) Julkiselle terveydenhuollolle ( > 1000 palveluyksikköä)
LisätiedotPotilastiedon arkiston käyttöönotto ja arkistonhoitaja. Kela, Kanta-palvelut,
Potilastiedon arkiston käyttöönotto ja arkistonhoitaja Kela, Kanta-palvelut, 16.11.2015 Käsiteltävät asiat Valmistautuminen Potilastiedon arkiston käyttöönottoon Arkistonhoitajan käyttöliittymä Käyttöönottokoe
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotLiittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,
Liittyminen Kanta-palveluihin Valmistelukokous Kela, Kanta-palvelut, 6.9.2016 Käsiteltävät asiat Kelan rooli ja Kanta-palvelut Kanta-palveluihin liittymisen päävaiheet Käyttöliittymä rekisterinpitäjän
LisätiedotValmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen 29.11.
Valmistautuminen potilastiedon arkiston käyttöönottoon Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen 29.11.2012 Kansallinen käyttöönoton tuki liittyjille Käyttöönoton käsikirja
LisätiedotResepti-palvelu. Reseptikeskus. Palvelukuvaus 1 (6) Resepti-palvelu
Palvelukuvaus 1 (6) on Kansaneläkelaitoksen (jäljempänä Kela) Kanta-palvelujen ylläpitämä ja Kanta-palveluihin kuuluva palvelu, joka käsittää Reseptikeskuksen ylläpidon reseptien tallentamista ja toimittamista
LisätiedotLokipolitiikka (v 1.0/2015)
KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN
LisätiedotKäytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta
Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotNäin teet liittymishakemuksen ja päivität asiakastietojasi
Näin teet liittymishakemuksen ja päivität asiakastietojasi Tämä ohje on tarkoitettu niille, jotka tekevät liittymishakemuksen Kanta-palveluihin. Ohjeessa on käsitelty kaikki, kohdat, joita sitoumuksen
LisätiedotKanTa. Liittyjät -ohje v. 1.0
1 (20) KanTa Liittyjät -ohje v. 1.0 2 (20) Sisältö Säädöstausta... 3 1 Liittymään velvoitetut terveydenhuollon organisaatiot ja apteekit... 4 2 Terveydenhuollon toimintayksikkö... 6 1. Kansanterveyslain
LisätiedotLokitietojen käsittelystä
Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja
LisätiedotKanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote. SosKanta-hanke/Kaisa Pesonen
Kanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote SosKanta-hanke/Kaisa Pesonen 13.11.2018 Eksote-Kanta arkkitehtuurikuva Lokienvalvontaohjelma Sama tietoliikennereitti myös PTJ:sta Kanta-palvelujen
LisätiedotKanta-sertifiointi ja omavalvonta yleiskuva ja prosessit
1(9) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 09, 7.7.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation
LisätiedotCase VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio
Case VRK: tietosuojan työkirjat osa 2 JUDO Työpaja #4 - tietosuoja Noora Kallio Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat Ratkaistava asia Miten tietosuoja-asetuksen
LisätiedotSairaanhoitopiiri tarjoaa terveydenhuollon järjestelmäpalvelut kunnille
LÄNSI-POHJASSA SAIRAANHOITOPIIRI TARJOAA TERVEYDENHUOLLON TIETOJÄRJESTELMÄPALVELUT Sairaanhoitopiiri tarjoaa terveydenhuollon järjestelmäpalvelut kunnille Alueellisten hankevastaavien seminaari 14.09.2009
LisätiedotTämän kyselyn määritelmät on kuvattu sopimuksessa.
LIITE 1 (5) KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA 1. Yleistä Tämä Kiinteistövaihdannan palvelun (KVP) rajapintojen käyttöä koskeva tietoturvakuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä
LisätiedotKanta-palvelut, Kelan näkökulma
Kanta-palvelut, Kelan näkökulma Pia Järvinen-Hiekkanen Lääkäriliitto 6.3.2014 Kela Kanta-palvelujen toteuttajana Kela on myös iso IT-talo Tietohallinnon toimialalla toimii IT-osasto, Tietohallinto-osasto
LisätiedotTietosuojaseloste. Trimedia Oy
Tietosuojaseloste Trimedia Oy www.trimedia.fi info@trimedia.fi +358 44 535 7215 1 Tietosuojaseloste 1. Rekisterin pitäjä Yritys valvoo antamiasi tietoja ja on vastuussa henkilötiedoista tietosuojalain
LisätiedotKANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3
KanTa-palvelujen yleiset toimitusehdot 1 KanTa-palvelujen yleiskuvaus KanTa-palvelujen tuottaja ylläpitää alla mainittuja KanTa-palveluja. Asiakas käyttää palveluja omalla tietojärjestelmällään. KanTa-palveluilla
LisätiedotKETKÄ LIITTYVÄT KANTA-PALVELUIHIN. Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje
Ketkä liittyvät Kanta-palveluihin Kanta-liittyjän ohje Sisällys 1 Johdanto... 1 2 Käsitteet... 1 3 Kanta-palveluun liittyjät... 2 3.1 Potilastiedon arkistoon liittyjät... 2 3.2 Sähköiseen reseptiin liittyjät...
LisätiedotPotilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta
Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Terveydenhuollon atk-päivät 26.-27.5.2009, Redicom Oy jukka.koskinen@redicom.fi
LisätiedotKanTa. Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa
Seuranta ja valvonta 1(16) KanTa Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa Dokumentin muutoshistoria Versio Pvm Tekijä / hyväksyjä Kuvaus 1.0 KanTa-palveluryhmä
LisätiedotKokemuksia kertakirjautumisesta kuinka Valvira-kortista tehdään haluttu
Kokemuksia kertakirjautumisesta kuinka Valvira-kortista tehdään haluttu 26.5.2010 Pertti Eskelinen Head of Consulting and Support Salcom Group Oy, osasto 57 Salcom Groupin tavoite ja missio Yritys, joka
LisätiedotTietosuojavastaavan toiminta ja dokumentointi
Tietosuojavastaavan toiminta ja dokumentointi Johanna Sorvettula Tietosuojavastaava Hallintojohtaja, varatuomari, MBA 2015 EPSHP - Johanna Sorvettula 1 Tietosuojavastaavan tehtävät Tietosuojavastaavan
Lisätiedoterespa viitoittaa tietä ereseptiin
erespa viitoittaa tietä ereseptiin Miksi yhteistä tekemistä? Useimmille pienille ja keskisuurille yksityisille palveluntuottajille, joilla ei ole omaa tietohallintoa, liittymisen toimenpiteet ja auditointivaatimukset
LisätiedotKelain-palvelun käyttöehdot
Kelain-palvelun käyttöehdot 1. Kelain-palvelun yleiskuvaus 2. Palvelun sisältö Kelain-palvelun tuottaja ylläpitää alla kuvattua palvelua. Asiakas käyttää palvelua omalla päätelaitteellaan. Kelain-palvelulla
LisätiedotTOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA
Sisällysluettelo 1 Johdanto 2 2 Kanta-palvelujen toiminnassa tai yhteyksissä havaitaan häiriö 4 3 Ilmoitus käyttötukeen 5 4 Tiedota häiriöstä muuta henkilöstöä 6 5 Häiriön laajuus 6 6 Toimintamalli Kanta-palvelujen
LisätiedotHenkilötietojen käsittelyn ehdot. 1. Yleistä
Henkilötietojen käsittelyn ehdot Liite 7 1 (6) Henkilötietojen käsittelyn ehdot 1. Yleistä 1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa PISA 2021 -palvelusopimusta (Dnro ), jäljempänä
LisätiedotNaantalin kaupunki Rekisteriseloste
Naantalin kaupunki Rekisteriseloste 1. Rekisterinpitäjä Naantalin kaupunki, sosiaali- ja terveyslautakunta kirjaamo@naantali.fí 2. Yhteyshenkilö rekisteriä koskevissa asioissa Susanna Kekkonen Tuulensuunkatu
LisätiedotKysely- ja välityspalvelu
Palvelukuvaus 1 (5) Kysely- ja välityspalvelu Kysely- ja välityspalvelu on Kansaneläkelaitoksen (jäljempänä Kela) Kantapalvelujen ylläpitämä ja Kanta-palveluihin kuuluva tietojärjestelmäpalvelu, jonka
LisätiedotLAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy
LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.
LisätiedotKelain-palvelun käyttöehdot
Kelain-palvelun käyttöehdot 1. Kelain-palvelun yleiskuvaus 2. Palvelun sisältö Kelain-palvelun tuottaja ylläpitää alla kuvattua palvelua. Asiakas käyttää palvelua omalla päätelaitteellaan. Kelain-palvelulla
Lisätiedot2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia
OAMK / Luova 4.5. ja 11.5. Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä Sisältö 1. päivä Johdanto Auditoinnin tavoitteet Ympäristöstandardin (ISO 14001) pääkohdat Alustava ympäristökatselmus Auditoinnin
LisätiedotPK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi
Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotKelain-palvelun käyttöehdot
Käyttöehdot 1 (7) -palvelun käyttöehdot -palvelulla tarkoitetaan sähköisestä lääkemääräyksestä annetussa laissa (61/2007) Kelan hoidettavaksi säädettyä käyttöliittymäpalvelua, joka mahdollistaa sähköisten
LisätiedotNäin teet liittymishakemuksen ja päivität asiakastietojasi. Ohje asiointiin Kanta Ekstranetissa
Näin teet liittymishakemuksen ja päivität asiakastietojasi Ohje asiointiin Kanta Ekstranetissa 17.10.2018 Sisällys 1 Yleistä...2 1.1 Kanta Ekstranet...2 1.2 Kirjautuminen Kanta Ekstranetiin...3 1.3 Organisaation
LisätiedotPSOP-SADe kansallinen. 23.4.2013 Johanna Mätäsaho. yhteensopivuus
PSOP-SADe kansallinen 23.4.2013 Johanna Mätäsaho yhteensopivuus Sisällys PSOP-SADe palvelujen järjestämisen orkestroijana Palveluhakemisto-yhteensopivuus Liittyminen KanTa-palveluihin 2 Palvelujen järjestämisen
LisätiedotTerveydenhuollon yksiköiden valmiudet liittyä KanTa an
Terveydenhuollon yksiköiden valmiudet liittyä KanTa an ATK-päivät 27.5.09 Sessio: Sähköinen asiointi Ilkka Winblad*, Päivi Hämäläinen**, Jarmo Reponen* *FinnTelemedicum Oulun yliopisto **Terveyden ja hyvinvoinnin
Lisätiedot1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta
Liite 1 Henkilötietojen käsittelyn ehtoihin Henkilötietojen käsittelyn ehdot 1. Yleistä 1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta (Dnro
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotTerveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku
Teknologia: Tekniikan auditointi ja sertifiointi Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku Ylitarkastaja Jari Knuuttila, Valvira 1 Määritelmiä ja aiheeseen liittyvät lait 2 Auditointi, sertifiointi,
LisätiedotKETKÄ LIITTYVÄT KANTA-PALVELUIHIN Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje
Ketkä liittyvät Kanta-palveluihin Kanta-liittyjän ohje Sisällys 1 Johdanto... 1 1.1 Sosiaali- ja terveydenhuollon asiakastietojen säädöstausta... 1 1.2 Sähköisen lääkemääräyksen säädöstausta... 1 2 Käsitteet...
LisätiedotPostinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava
1 Rekisterinpitäjä Nimi Kansaneläkelaitos Postiosoite PL 450 Postinumero 00056 Kela Puhelin 020 634 11 Käyntiosoite Nordenskiöldinkatu 12, 00250 Helsinki 2 Rekisteriasioita hoitava henkilö tai yhteyshenkilö
LisätiedotPotilastiedon arkiston käyttöönotto ja arkistonhoitaja. Kela, Kanta-palvelut,
Potilastiedon arkiston käyttöönotto ja arkistonhoitaja Kela, Kanta-palvelut, 22.6.2016 Valmistautuminen Potilastiedon arkiston käyttöönottoon Tutustu Potilastiedon arkiston verkkokoulun Arkistonhallinta
Lisätiedot