Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Transkriptio

1 Versio Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset Organisaatoriset vaatimukset Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 1 Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä ereseptiin ja KanTa-palvelujen käyttäjäksi on tehty. 2 Auditoitu järjestelmä Organisaatiossa on käytössä auditoitu ereseptikyvykäs järjestelmä, joka on parametroitu ereseptivaatimusten mukaisesti 3 Tietoturvapolitiikka Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön 4 Nimetty tietosuojavastaava 5 Ohjeet potilastietojen käsittelystä Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi th-lautakuntaan Tarkastetaan, että organisaatiolla on käytössään järjestelmä joka on läpäissyt auditoinnin. Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 1

2 Versio Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 6 Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan uuden Tarkastetaan, että organisaatio on ereseptin toimintamallin käyttöönottoon siltä osin kouluttanut henkilökunnan uuden kuin se otetaan käyttöön toimintayksiköissä toimintamallin käyttöönottoon - esim. reseptin uusimismenettely, suostumusmenettelyt. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit 7 Tietosuojan valvonta Organisaatiolla on laadittu tietosuojaan liittyvä Tarkastetaan, että organisaatiolla on Kelan seuranta- ja valvontasuunnitelma tai se on ottanut laatiman ohjeen mukainen tietosuojaan käyttöön Kelan laatiman tietosuojaohjeen liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu 8 Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta. toimittavan, jos väärinkäytöksiä ilmenee. Yksityisen lääkäriaseman liittymisessä ereseptiin on lisäksi sovittava kirjallisesti toimintamallista eli siitä, miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan ja onko lääkäriaseman ja tiloissa toimivien keskinäisistä vastuista sovittu. Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 2

3 Versio Tekniset vaatimukset 9 Viestinvälityksen sopimukset ja lainsäädäntö 10 Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. 11 Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 3 Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat

4 12 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) 13 Käyttöoikeuksien jako ja hallinta järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 4 Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Versio Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon Tarkastetaan osapuolten välisistä Organisaatio + ATK-tekninen

5 Versio toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (thorganisaatio/teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita 15 Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 5

6 Versio Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osaalueisiin: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Organisaatio Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) 17 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. ATK-tekninen Organisaatio ATK-osasto. 18 Lokitietojen muuttumattomuus Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 6

7 Versio Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. 20 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. 21 Hallintayhteydet järjestelmään Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti.. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu 22 Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 7 Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset.

8 Versio Tunnistautuminen järjestelmiin käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 8

9 Kansalliset auditointivaatimukset potilastietojärjestelmille Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi Luottamuksellisuus ja eheys 1 Tiedonsiirron luottamuksellisuus ja eheys reseptikeskukseen on turvattu Sähköisen lääkemääräyksen ja siihen liittyvien luottamuksellisten tietojen siirtäminen reseptikeskukseen tai sieltä muualle on salattu (vähintään esim. SSL 3.0/TLS 1.0) ja sähköisesti allekirjoitettu. Tarkastetaan järjestelmäkuvaukset, kuvaukset salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. 2 Tietoliikenteen salaus ja tietojen luottamuksellisuus Sivulliset eivät saa saada selville suojattuja tietoja eivätkä tiedot saa muuttua tiedonsiirron aikana. Asiakirjojen, sähköisten reseptien ja potilaalle välitettävien viestien luottamuksellisuus (se etteivät ne voi joutua sellaisten tahojen tietoon, jolle ne eivät säädösten mukaan tai muutoin kuulu) tulee turvata kaikessa toimintayksiköiden, ammatinharjoittajien, reseptitietokannan, KanTapalvelun ja potilaan/kansalaisen välisessä tiedonvaihdossa. Tieto siitä, että potilas/kansalainen on asioinut terveydenhuollon toimintayksikön, ammatinharjoittajan, apteekin, reseptikeskuksen, earkiston tai muiden KanTa-palvelujen kanssa ei saa joutua sivullisten käsiin. Viestit ja dokumentit voidaan välittää salaamattomana käytettäessä point-point VPN- yhteyksiä tai sovellutus-ohjelmien välistä SSL/TLS-yhteyttä. Muuten viestit tulee salata luotettavalla tekniikalla (muita ovat mm. SSH ja IPsec. myöhemmin on tulossa mahdollisesti WS-Security Encryption) Tällä hetkellä Kela tukee SSL 3.0 ja TLS 1.0-tekniikoita. Sähköinen allekirjoitus Potilastietojärjestelmän ja Kanta-palvelujen välisen viestinnän luottamuksellisuus tulee taata vähintään SSL 3.0-tasoisella salaustekniikalla. Kansalliset auditointivaatimukset potilastietojärjestelmille 1

10 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 3 Sähköisestä lääkemääräyksestä tulee luotettavasti käydä ilmi sen määrääjä Sähköiset lääkemääräykset, näiden mitätöinnit ja korjaukset on allekirjoitettava lääkkeen määrääjän henkilökohtaisella, kehittyneellä sähköisellä allekirjoituksella. Varmenteena on käytettävä terveydenhuollon (Valvira) ammattivarmennetta. Allekirjoittajan tulee voida allekirjoittaa sähköisesti yhdellä kerralla kaikki saman potilaan samalla kerralla määrätyt lääkemääräykset. Varmennetaan, että järjestelmässä on toiminnallisuus, joka tarjoaa käyttäjälle kehittyneen sähköisen allekirjoituksen sähköisiin lääkemääräyksiin ja korjauksiin käyttäen Valvira:n allekirjoitusvarmennetta. Järjestelmän tulee vaatia allekirjoitusta ennen kuin lääkemääräys tai sen muutos hyväksytään. Vahva tunnistaminen 4 Sähköisen viestinnän molemmat osapuolet tulee tunnistaa ereseptin sanomat siirretään salattua httpsprotokollaa käyttäen "two-way SSL" -tavalla, eli SSL-yhteyden asiakas ja palvelin esittävät toisilleen sertifikaatit, joilla kummankin identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista. Myös TLS toteutus on hyväksyttävä. Molemmat osapuolet tulee todentaa, ei vain palvelinpäätä, kuten tyypillisesti tehdään. Järjestelmässä on saman potilaan kaikkien samalla kerralla toimitettujen lääkemääräysten allekirjoittamisen mahdollistava toiminnallisuus. Varmistetaan, että järjestelmä muodostaa toimivan two-way SSL (tai TLS) httpsyhteyden reseptikeskukseen sanomien välittämistä varten tai että reseptikeskuksesta on toimiva salattu yhteys järjestelmiin. Tarkastetaan sertifikaattien avainten bittimäärä ja algoritmi salauksen vahvuuden toteamiseksi. Varmistetaan, että myös asiakaspää (client) tunnistetaan. Kansalliset auditointivaatimukset potilastietojärjestelmille 2

11 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 5 Vahva tunnistaminen Terveydenhuollon tietojärjestelmän on tunnistettava käyttäjä (eli terveydenhuollon työntekijä) vahvalla tunnistusmenetelmällä terveydenhuollon tunnistusvarmennetta käyttäen, jos hänelle annetaan oikeuksia reseptikeskukseen. 6 Tunnistautuminen järjestelmiin Tietojärjestelmiin tulee sallia kirjautuminen ainoastaan vahvaa tunnistusmekanismia käyttäen tai vahvaa salasanaa käyttäen. 7 Salasanat Mikäli järjestelmän käyttäjillä on käytössä salasanat, tulee niiden määritysten olla erittäin vahvat ja vaihto säännöllistä. Vahvan salasanan parametrit: Minimipituus 8 merkkiä, vaaditaan kompleksista salasanaa (erikoismerkkejä, numeroita ja isoja/pieniä kirjaimia), salasanahistoria min. 12 edellistä salasanaa, salasanan maksimi-ikä 40pv, minimi-ikä 1pv, väärien kirjautumisyritysten maksimimäärä 5 yritystä, jonka jälkeen tunnus lukkiutuu eikä avaudu automaattisesti. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. 8 Sulkulistan tarkastus ja päivitys Lääkemääräyksiä käyttäjäorganisaation tietojärjestelmässä kirjoittavien henkilöiden varmenteiden voimassaolo (sulkulista) on tarkastettava Valvira:n tiedoista. Siltä osin kun oikeudet ilmenevät voimassaolevasta varmenteesta, niitä ei tarvitse erikseen tarkastaa. Lisäksi henkilöiden sulkulistatiedot (ammattioikeuden rajoitustiedot) on päivitettävä Valvira:n varmennepolitiikan mukaisesti. Varmistetaan käyttöoikeusmäärittelyistä, että käyttäjä tunnistetaan tässä tilanteessa. Varmistetaan järjestelmästä että se vaatii tunnistusvarmenteen tunnistamistilanteessa. Varmistetaan, että järjestelmä tukee Valviran mukaisten vaatimusten täyttävää tunnistusvälinettä Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (toimikortti) tai vahva salasana. Tarkastetaan salasanaparametrit järjestelmästä Tarkastetaan, että järjestelmä tarkistaa henkilöiden varmenteiden voimassaolon. Tarkastetaan, että järjestelmän tulee vaatia sulkulistatietojen päivittämistä vähintään kerran vuorokaudessa (tai kulloinkin voimassa olevan Valviran varmennepolitiikan mukaisesti) Kansalliset auditointivaatimukset potilastietojärjestelmille 3

12 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 9 Ammattihenkilön tunnistaminen 10 Yhteyden osapuolten ja laitteiden tunnistaminen Tietojärjestelmän käyttäjä tulee tunnistaa siten, että käyttäjä todennetaan yksiselitteisesti. Tunnistamisessa tulee käyttää Valvira:n varmennepalvelua ja varmenteita. Järjestelmässä ei saa olla ylläpito tai muuta vastaavia oikeuksia ja toiminnallisuuksia, joiden avulla järjestelmän käyttö ilman käyttäjän yksiselitteistä tunnistamista olisi mahdollista Toimintayksiköllä tai organisaatiolla tulee olla käytössä joko erillinen käyttäjätietojen ja käyttöoikeuksien hallintajärjestelmä (IAM) joka hyödyntää tunnistetietoja. Hallintajärjestelmän tulee olla roolipohjainen ja se voi olla toteutettuna itse järjestelmään, jolloin erillistä IAM-järjestelmää ei välttämättä tarvitse olla. Apteekit, palveluntuottajat ja käyttäjäorganisaatiot sekä niiden ko. palveluun liittyvät palvelimet tulee luotettavasti tunnistaa niiden liittyessä KanTapalveluun ennen sähköisen yhteyden aloittamista. Tarkastetaan toimintayksikön tai organisaation käyttäjien tunnistautumistavat Tarkastetaan kuvaukset roolien, käyttäjätietojen ja käyttöoikeuksien hallinnan periaatteista. Testataan tunnistamista sähköisellä varmennekortilla (ts. terveydenhuollon ammattikortilla ) Tarkastetaan, että yhteiskäyttöisiä tunnuksia tai muita mahdollisia ylläpitooikeuksia ei ole niin, että niillä voisi tehdä järjestelmässä toimia ilman tekijän yksiselitteistä tunnistamista Tarkastetaan, että järjestelmät on toteutettu niin, että sekä palvelin että asiakaspää tunnistetaan luotettavasti Tarkastetaan toimintayksiköiden varmennepolitiikat. Tarkastetaan varmennepalvelujen käyttösopimukset (sitoutuminen Valvira:n ehtoihin). Tarkastetaan sertifikaatit. Käyttövaltuushallinta Kansalliset auditointivaatimukset potilastietojärjestelmille 4

13 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 11 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen) Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja. Toisin sanoen järjestelmässä itsessään tulee olla mahdollisuus hallita käyttöoikeuksia näiden vaatimusten edellyttämällä tavalla (tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla --> Vaatimukset organisaatiolle). 12 Käyttövaltuushallinta Terveydenhuollon tietojärjestelmästä tehtäviin toimiin (tietojen katselu, tallentaminen ja muu käsittely) reseptikeskukseen on annettava oikeudet ainoastaan laissa mainituille ammattihenkilöille (Laki sähköisestä lääkemääräyksestä) 13 Käyttäjän sähköisiin lääkemääräyksiin liittyvien oikeuksien hallinta Reseptikeskuksessa olevien tietojen katselu, tallettaminen ja muu käsittely edellyttää asianmukaisia käyttöoikeuksia ja järjestelmään liittyvää käyttöoikeuksien hallintaa Tarkastetaan, että järjestelmässä on sellaiset ominaisuudet, joiden avulla voidaan toteuttaa hyvä käyttöoikeuksien hallinta (roolit, vanhojen oikeuksien poisto/lukitus jne...) Tarkastetaan järjestelmästä että sinne on määritelty erilaisia käyttöoikeuksia/rooleja Tarkastetaan, että järjestelmä mahdollistaa reseptikeskuksen toimien (tietojen katselu, tallentaminen ja muu käsittely) rajaamisen mainituille käyttäjäryhmille. Varmistetaan, että oikeudet/roolit tehdä kyselyjä on määritelty vain mainituille ammattihenkilöille/ryhmille. Tarkastetaan, että reseptikeskuksessa olevien tietojen katselu, tallettaminen ja muu käsittely ei ole mahdollista ilman käyttöoikeuksia ja että niissä sovelluksissa, joilla käsittelyä tehdään, on asianmukainen käyttöoikeuksien hallinta Kansalliset auditointivaatimukset potilastietojärjestelmille 5

14 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 14 Lääkemääräysten tarkasteluoikeus Lääkkeen määrääjällä on hoitosuhteen jatkuessa salassapitosäännösten estämättä ja ilman potilaan suostumusta oikeus saada tieto reseptikeskukseen tallettamistaan lääkemääräyksistä ja niiden toimitustiedoista. Vaatimus koskee myös lääkärin toisessa yksikössä tai työterveyshuollossa kirjoittamia lääkemääräyksiä (tulkinta tarkistettu). Laki ei edellytä hoitosuhteen olemassaolon teknistä varmistamista, mutta järjestelmässä pitää olla valmius tähän. 15 Lääkemääräysten tarkasteluoikeus 16 Lääkemääräysten tarkasteluoikeus Lääkärit ja hammaslääkärit voivat nähdä muiden antamat sähköiset lääkemääräykset ja niiden toimitustiedot potilaan tai hänen laillisen edustajansa antamalla suullisella suostumuksella (edellyttäen hoitosuhdetta). (Myös hoitotilanteessa lääkemääräystä kirjoitettaessa.) Lääkärillä, hammaslääkärillä ja muilla laissa mainituilla terveydenhuollon ammattihenkilöillä on salassapitosäännösten estämättä oikeus saada tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja toimitustiedoista ilman potilaan suostumusta lain säätämissä tilanteissa, jos se on tarpeen kiireellisen hoidon antamiseksi. Lääkäri joutuu kuitenkin hakiessaan tietoja reseptikeskuksesta antamaan ns. kyselyn syy -tiedon ja tiedon potilaan antamasta suostumuksesta. (Kela tarkennuksia, ei lähdemateriaalissa) Tarkastetaan, että lääkärin tai hammaslääkärin oikeuksilla voi nähdä muiden antamat lääkemääräykset. Tarkastetaan, onko järjestelmässä kohta, johon lääkäri voisi merkitä suullisen hyväksynnän olemassaolon Tarkastetaan, että lääkärin tai hammaslääkärin oikeuksilla voi nähdä muiden antamat lääkemääräykset. Tarkastetaan, onko järjestelmässä kohta, johon lääkäri voisi merkitä kiireellisen tarpeen olemassaolon Kansalliset auditointivaatimukset potilastietojärjestelmille 6

15 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 17 Lääkemääräyksien tarkasteluoikeus 18 Henkilökunnan oikeudet 19 Opiskelijoiden oikeudet Lääkemääräyksien tarkasteluoikeus säilyy vaikka lääkäri, hammaslääkäri tai muu lain mainitsema terveydenhuollon ammattihenkilö, jolla on oikeus lääkemääräysten kirjoittamiseen, on menettänyt lääkemääräysten kirjoitus- oikeuden, jos muut katselun edellytykset täyttyvät. Muulla terveydenhuollon henkilökunnalla kuin lääkäreillä, hammaslääkäreillä ja lääketieteen ja hammaslääketieteen opiskelijoilla ei ole oikeuksia reseptikeskukseen. Tietojärjestelmäasiantuntijoilla pitäisi olla oikeudet tehtävänsä mukaisesti varmistaa järjestelmän toimivuus ja tehdä virheselvityksiä Opiskelijoilla (lääketieteen ja hammaslääketieteen) ei ole oikeuksia määrätä lääkkeitä itselleen. Tarkastetaan miten lääkärin tai hammaslääkärin oikeuksilla voi tarkastella lääkemääräyksiä. Katsotaan, onko järjestelmässä toiminnallisuus/kohta, johon voisi merkitä lääkemääräysoikeuden olemassaolon ja mikä vaikutus tällä toiminnallisuudella on lääkemääräysten tarkasteluoikeuteen. Eli voidaanko järjestelmässä erotella lääkemääräysoikeuden ja lääkemääräyksien tarkasteluoikeuden. Tarkastetaan, että roolit on määritelty vastaavasti ja, että muilla kuin mainituilla rooleilla: (Lääkäri, hammaslääkäri ja lääketieteen ja hammaslääketieteen opiskelija) ei ole oikeuksia reseptikeskukseen Tarkastetaan tietojärjestelmäasiantuntijoiden oikeudet järjestelmään ja varmistetaan että ne liittyvät työtehtävien hoitamiseen. Tarkastetaan, että lääketieteen tai hammaslääketieteen opiskelija ei voi määrätä itselleen lääkkeitä Kansalliset auditointivaatimukset potilastietojärjestelmille 7

16 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 20 Opiskelijoiden oikeudet 21 Lukuoikeus reseptikeskukseen Käyttöoikeuksien tarkastaminen 22 Käyttövaltuuksien tarkastaminen (Ammattioikeuden tarkastaminen) Terveydenhuollon ammattihenkilölaissa ja asetuksessa säädetyt opinnot suorittaneilla lääketieteen ja hammaslääketieteen opiskelijoilla on oikeus kirjoittaa sähköisiä lääkemääräyksiä toimiessaan tilapäisesti lääkärin tehtävissä julkisen tai yksityisen terveydenhuollon organisaatiossa. Valvira rekisteröi opiskelijat terveydenhuollon ammattihenkilö-rekisteriin, ja heillä on käytössä samat välineet vahvaan tunnistamiseen ja henkilökohtaiseen, kehittyneeseen sähköiseen allekirjoitukseen kuin lääkäreillä ja hammaslääkäreillä. Terveydenhuollon toimintayksikön siihen oikeuttamilla henkilöillä on reseptikeskuksesta saapuneiden, organisaatiolle kohdistettujen reseptien uusimispyyntöjen lukuoikeus terveydenhuollon tietojärjestelmästä. Terveydenhuollon toimintayksikössä uusimispyynnöt voi vastaanottaa toimintayksikön tehtävään valitsema henkilö, joka voi olla muukin kuin lääkkeen määräämiseen oikeutettu henkilö. Sähköisiä lääkemääräyksiä organisaation potilaskertomusjärjestelmässä kirjoittavien henkilöiden ammattioikeudet on tarkastettava Valvira:n tiedoista annettaessa heille oikeudet potilaskertomusjärjestelmään. Siltä osin kun oikeudet ilmenevät voimassaolevasta varmenteesta, niitä ei tarvitse erikseen tarkastaa. Tarkastetaan, että opiskelijoiden oikeuksilla voi tehdä sähköisiä lääkemääräyksiä. Ei kuitenkaan heille itselleen. Tarkastetaan, että järjestelmään voidaan määritellä sellainen rooli (oikeudet ko. toimintoihin), jolla voi lukea reseptikeskuksesta saapuneita, organisaatiolle kohdistettujen reseptien uusimispyyntöjä T: Järjestelmään saadaan Valvira:n ammattioikeustietojen mukaiset oikeudet käyttäjille. K: Käyttäjien ja työntekijöiden oikeuksienhallinta on määritelty ja käyttäjien ammattioikeudet tarkastetaan. Ammattioikeudet ja rajoitukset tarkastetaan (Valvira:lta) myös järjestelmien sisäänkirjautumisen Kansalliset auditointivaatimukset potilastietojärjestelmille 8

17 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 23 Ammattioikeuteen liittyvien rajoitusten tarkistaminen 24 Ammattioikeuksien tarkistaminen ennen sähköistä allekirjoitusta Valvira:n rajoitustietojen mukaiset ammattihenkilön ammattioikeuden rajoitukset tarkastetaan aina käyttäjää tunnistettaessa (sisäänkirjaantuessa) eikä niitä tallenneta pysyvästi käyttöoikeustietoihin. Valvira:n rajoitustiedot tarkastetaan Valvira:n ylläpitämästä sanomapohjaisesta attribuuttipalvelusta. Lääkemääräyksen toimittavan henkilön ammattioikeudet ja niiden voimassaolo on tarkastettava ennen sähköistä allekirjoitusta Valvira:n tiedoista. yhteydessä (Kela tarkennus, ei lähdemateriaalissa). Tarkastetaan, että käyttäjän kirjautuessa Valviralta tarkastetaan, onko ko. käyttäjällä ammatillisia rajoituksia (esim. ei oikeutta kirjoittaa lääkemääräyksiä) -> Verkkoliikenteen analysointi kirjautuessa tai muu todennustapa Tarkastetaan, että ammatilliset rajoitukset tarkastetaan sisään kirjautuessa ja että sellaisia toimia ei voi tehdä, jotka on rajattu oikeuksien ulkopuolelle 25 Lääkärin oikeus määrätä tiettyä lääkettä Valvonta ja lokitus Käytännössä tarkastus tehdään jo sisäänkirjautumisvaiheessa ja nämä tiedot voidaan tallentaa istunnon ajaksi. Jos ammattioikeuksissa on rajoituksia, niin järjestelmä ei saa sallia kirjautuneen käyttäjän tehdä sellaisia toimia, jotka on rajattu oikeuksien ulkopuolelle (esim. tehdä lääkemääräyksiä) Jos lääkemääräyksen kirjoitusoikeuden omaavan terveydenhuollon ammattihenkilön oikeutta määrätä lääkettä on rajoitettu tietyn lääkevalmisteen osalta, järjestelmä ei saa salli hänen kirjoittaa sellaisia lääkemääräyksiä, joissa määrätään kyseistä lääkevalmistetta. Määräyksen mitätöinti on mahdollista Tarkastetaan, että ammatilliset rajoitukset tarkastetaan sisään kirjautuessa ja että sellaisia toimia ei voi tehdä, jotka on rajattu oikeuksien ulkopuolelle. Tarkastetaan miten muut rajoitukset tarkastetaan. Kansalliset auditointivaatimukset potilastietojärjestelmille 9

18 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 26 Lokitietojen muuttumattomuus Lokitietojen muuttumattomuus tulee varmistaa. Lisäohjeistus: Vahti 3/2009 Tarkastetaan miten järjestelmän lokiympäristö on toteutettu. 27 Käyttöloki Tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot tietojen haun ja käytön osalta (esim. tilanteissa, joissa järjestelmä hakee reseptikeskuksesta enemmän tietoa kuin mitä käyttäjälle näytetään perusjärjestelmän suodattaessa tietoja). Riittävillä lokitiedoilla tarkoitetaan lokia, joka sisältää vähintään tiedot siitä: kuka järjestelmään on ollut kirjautuneena ja mitä toimia hän on järjestelmässä tehnyt mitä tietoja kyseiselle käyttäjälle on näytetty (jos osa haetuista tiedoista suodatetaan järjestelmän toimesta) milloin järjestelmässä on mitäkin toimia tehty millaisia toimia, johon oikeudet eivät ole riittäneet, on yritetty tehdä 28 Lokien seurantaväline Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten. 29 Käyttöloki Tietojärjestelmän lokista tulee löytyä reseptikeskuksen tietojen haun ja käytön osalta laissa määritetyt asiat eli reseptikeskukseen tallentuu erikseen kustakin lääkemääräyksestä tiedot (lokitiedot) siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tietoja taikka mitätöineet lääkemääräyksen sekä toimenpiteen ajankohta. Tarkastetaan järjestelmän lokiasetukset ja määritysmahdollisuudet ja käydään läpi otos lokitiedoista. Varmistetaan joko järjestelmän tuottamasta lokitiedosta tai dokumentaatiosta, että vaatimukset täyttyvät Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen ja valvontaan. Tarkastetaan järjestelmän lokiasetukset ja käydään läpi otos lokitiedoista. Varmistetaan, että vaatimukset täyttyvät ja lokeista löytyvät seuraavat asiat: aikaleima tehty toiminto toiminnon kohde ja Toiminnon suorittaja = Käyttäjä Kansalliset auditointivaatimukset potilastietojärjestelmille 10

19 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 30 Viestinnän kirjanpito Reseptikeskuksen ja KanTa-palvelun sekä niiden asiakkaiden välisestä viestinnästä on pidettävä lokia siten, että tässä esitetyt muut lokeihin liittyvät vaatimukset toteutuvat. Lokia tulee pitää yhteyden molemmissa päissä, eli reseptikeskuksessa ja potilastietojärjestelmien päässä. Tietojen käsittely 31 Haettujen tietojen säilytys Reseptikeskuksesta haettuja lääkemääräyksiä ja näiden lääketoimituksia ei saa pysyvästi erikseen määriteltyjä poikkeuksia lukuun ottamatta tallentaa terveydenhuollon tietojärjestelmään. Väliaikaisesti tallennetut tiedot tulee poistaa välittömästi käytön jälkeen, kun niitä ei enää tarvita. Tarkastetaan, että lokia kirjataan yhteyksien muodostamisesta. Tarkastetaan muiden lokeihin liittyvien vaatimusten tarkastamisen yhteydessä. T/K: Järjestelmä ei talleta lääkemääräyksiä tai niiden toimituksia pysyvästi, pl. mainitut poikkeukset. Järjestelmään voi kuitenkin tallentaa sellaiset väliaikaisesti käsitellyt tiedot, jotka ovat välttämättömiä lokeille asetettujen vaatimusten täyttämiseksi (sähköisten lääkemääräysten tunnisteet ja versionumerot sekä potilaskertomusjärjestelmällä luotujen lääkemääräysten uudet versiot ja mitätöintitiedot, mikäli nämä on tehty muulla potilaskertomusjärjestelmällä tai apteekin tietojärjestelmällä) Muut pakolliset vaatimukset Lääkärin tai muun lain mainitseman terveydenhuollon ammattihenkilön tulee voida kirjoittaa terveydenhuollon tietojärjestelmään omat havainnot toisessa organisaatiossa kirjoitetuista määräyksistä tai apteekin toimituksista. Kansalliset auditointivaatimukset potilastietojärjestelmille 11

20 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 32 Teknisen yhteistestauksen läpäisy Järjestelmän tulee olla testattu ja hyväksytty yhteistestauksen (tai myöhemmin muun vastaavan sisältöisen teknisen testauksen) testaussuunnitelman ja hyväksymiskriteerien mukaan. Tarkastetaan, että järjestelmä on osallistunut yhteistestaukseen Tarkastetaan teknisen yhteistestauksen tulokset ja niiden läpäisy 33 Istunnon katkaisu Potilastietojärjestelmän on huolehdittava, että yhteys reseptikeskukseen katkeaa, kun käyttäjä ei käytä järjestelmän reseptikeskukseen liittyviä toimintoja aktiivisesti 30 minuutin kuluessa. (reseptikeskuksen tiedot eivät tämän jälkeen saa olla käytettävissä ilman tunnistamista uudelleen). Huomioitava, että potilastietojärjestelmillä ei ole yhteys "auki" reseptikeskukseen, vaan se muodostetaan aina uudelleen sanomien lähetystä varten, siten vaatimus kohdistuu yleisesti kertomusjärjestelmän käyttöliittymän lukitsemiseen Vaihtoehtoisesti automaattisen uloskirjauksen sijasta asia voitaisi ehkä hoitaa esim. erikoissairaanhoidossa työaseman lukitsemisella, jolloin 30 minuutin jälkeen pitää antaa PIN uudelleen, mutta istunto olisi heti valmis. 34 Syötteen tarkastus Järjestelmän tulee tarkastaa ennen reseptikeskukseen suoritettavaa hakua, että lääkärin syöttämät potilaan yksilöintitiedot ja lääkemääräyksen tunnus ovat oikeassa muodossa. Tarkastetaan, että potilastietojärjestelmässä ei ole aina avoinna olevaa yhteyttä reseptikeskukseen. Tarkastetaan, että kertomusjärjestelmän käyttöliittymä lukitaan tai yhteys katkaistaan, mikäli käyttäjä ei käytä sitä aktiivisesti 30 minuutin sisällä Tarkastetaan, että järjestelmässä on syötteen tarkastus, joka tarkastaan esimerkiksi henkilötunnuksen oikean muodon tai lääkemääräyksen yksilöintitiedoin oikean muodon. Testataan, että hakua ei voi tehdä tiedoilla, jotka eivät ole muodoltaan oikeita Kansalliset auditointivaatimukset potilastietojärjestelmille 12

21 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 35 Potilaan informointi Terveydenhuollon toimintayksikön tai lääkkeen määrääjän on informoitava potilasta sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Annetusta informaatiosta tulee tehdä merkintä potilaskertomukseen. T: Potilaskertomusjärjestelmästä on nähtävissä, että potilasta on informoitu, riippumatta siitä onko informaatiotieto tuotettu automaattisesti. K: informointikäytäntö on määritelty ja käyttäjien tiedossa. 36 Sähköisen reseptin kieltäminen 37 Potilaan suostumuksien dokumentointi Uusittaessa sähköistä lääkemääräystä katsotaan potilaan olevan tietoinen sähköisestä lääkemääräyksestä ja siihen liittyvistä oikeuksistaan. Potilaalla on oikeus tapauskohtaisesti kieltää sähköisen lääkemääräyksen kirjoituksen. Potilaan antama kielto on lääkemääräyskohtainen (ei potilaskohtainen, eli kielto ilmoitettava joka erikseen joka kerta, kun ei halua sähköistä lääkemääräystä). Vaatimus ei ole pakollinen, eli järjestelmässä ei tarvitse olla erillistä toimintoa kiellolle. Vaatimus voi kohdistua myös järjestelmän käyttäjäorganisaatioon, jolla tulee olla ohje/ toimintatapa niitä tilanteita varten, joissa potilas ei anna suostumusta sähköiseen lääkemääräykseen Tieto potilaan tai hänen laillisen edustajan antamasta suostumuksesta ja sen tyypistä (suullinen tai kirjallinen) lähetetään reseptikeskukseen. Tarkastetaan, että joko järjestelmässä on erillinen toiminto kiellolle tai organisaatiolla on määritellyt toimintatavat potilaan kieltäessä sähköisen lääkemääräyksen. (mm. kuinka tällöin käytetään paperista lääkemääräystä, reseptikeskuksen ja lääketietokannan tietojen hyödyntäminen jne.) Tarkastetaan, että järjestelmässä on ominaisuus, jonka avulla on mahdollista dokumentoida potilaan antamat suostumukset Kansalliset auditointivaatimukset potilastietojärjestelmille 13

22 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 38 Tietojen päivitys Lääketietokannan mukaiset tiedot lääkkeistä, korvattavista perusvoiteista, kliinisistä ravintovalmisteista ja määräaikaisista erityislupavalmisteista on päivitettävä lääkemääräys- ja toimitusohjelmistoihin kunkin kuukauden 1. ja 15. päivänä. 39 Lääkemääräyksen uudistaminen Järjestelmä mahdollistaa sen, että sähköisen lääkemääräyksen voi uudistaa 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta käyttämällä pohjana uudistettavan lääkemääräyksen tietoja. earkistovaiheen vaatimukset EI AUDITOIDA RESEPTIKESKUSVAIHEESSA Tarkastetaan, että järjestelmä mahdollistaa lääketietokannan mukaisten tietojen päivittämisen. Tarkastetaan, että tiedot päivitetään vaaditulla intervallilla. Tarkastetaan onko tähän olemassa toiminto järjestelmässä / automatisoitu prosessi tai muu määrämuotoinen tapa, joka varmistaa päivitysten ajantasaisuuden. Tarkastetaan järjestelmädokumentaatiosta tai muuten, että järjestelmä mahdollistaa uusimispyynnön tekemisen uudistettavan lääkemääräyksen pohjalta 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta. Testataan lääkemääräyksen uusimista alkuperäisen määräyksen pohjalta Kansalliset auditointivaatimukset potilastietojärjestelmille 14

23 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 40 Asiakirjan muuttumattomuus tulee pystyä varmistamaan Potilaskertomusten muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella. Sähköiset potilasasiakirjat tulee allekirjoittaa organisaation tai tietoteknisen laitteen tekemällä kehittynyttä sähköistä allekirjoitusta vastaavalla allekirjoituksella. Tarkastetaan järjestelmädokumentaatiosta, että asiakirja tulee allekirjoittaa. Tarkastetaan, että järjestelmä tukee allekirjoittamista earkistovaiheen vaatimuksia - auditoidaan myöhemmin Sähköisessä muodossa olevissa lääkintölaillisissa lausunnoissa ja todistuksissa sekä vastaavissa asiakirjoissa tulee olla asiakirjan laatijan allekirjoitus joka on kehittynyt sähköinen allekirjoitus (PKI-toteutukseen perustuva allekirjoitus). Asiakirja (sen kuvailutiedot ja body) allekirjoitetaan muuttumattomuuden takaamiseksi. Kansalliset auditointivaatimukset potilastietojärjestelmille 15

24 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 41 Sähköisen allekirjoituksen tarkastus ja aikaleima Allekirjoitetussa dokumentissa ei saa olla piilotettuja makroja tms. koodeja, joiden avulla allekirjoitetun dokumentin näyttömuoto tai sisältö voi muuttua. Allekirjoitukseen tulee liittää aikaleima. Allekirjoitustapahtuman tulee olla kiistämätön ja tapahtumasta tulee tehdä lokimerkintä. Tarkastetaan asiakirjan kuvaus ja se, mitä kuhunkin kohtaan merkitään, jotta voidaan varmistua, että siellä ei ole piilotettuja makroja tai muita koodeja. Tarkastetaan lisäksi otoksella dokumentteja tämän varmistamiseksi. Tarkastetaan allekirjoitukseen liittyvät järjestelmäkuvaukset ja tietoturvapolitiikka. earkistovaiheen vaatimuksia - auditoidaan myöhemmin Testataan allekirjoittamalla asiakirjoja ja tarkistamalla HASH-koodin oikeellisuus. Tarkastetaan, että allekirjoitetun asiakirjan sisältö on yhtenevä sen kanssa mitä allekirjoittaja on nähnyt. Varmistetaan, että on olemassa jokin järjestelmä, johon lokimerkintä voidaan tehdä ja että lokimerkintä tehdään allekirjoitustapahtumasta (milloin tapahtuma on allekirjoitettu). Kansalliset auditointivaatimukset potilastietojärjestelmille 16

25 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 42 Asiakirja ja sanoma ei saa muuttua viestinvälityksen yhteydessä Välitettävän sanoman merkitys ei saa muuttua. a) Välitetyn asiakirjan sisältö mukaan lukien metatiedot ei saa muuttua viestinvälityksessä. b) Asiakirjan muuttumattomuus voidaan varmistaa sähköisellä allekirjoituksella ja sanoma voidaan sisällyttää sähköiseen kirjekuoreen. c) Sekä sanoman sisältämä asiakirja että sen kuvailutiedot tulee allekirjoittaa sähköisellä allekirjoituksella ja niiden yhteenkuuluvuus varmistaa. d) Sanoman muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella tai muulla luotettavalla tekniikalla. Terveydenhuollon ammattihenkilö tai palvelin varmistaa asiakirjan eheyden allekirjoittamalla asiakirjan salaisella avaimella. Tarkastetaan, että lähetetty ja vastaanotettu sanoma ovat sisällöllisesti ja toiminnallisesti identtisiä. Tarkastetaan sähköisten asiakirjojen allekirjoituksen oikeellisuus. Tarkastetaan testisanomilla. a) Tarkastetaan, että lähetetty asiakirja on sekä CDA rungon että metatietojen osalta identtinen vastaanotetun kanssa. b) Tarkastetaan, että asiakirjan muuttumattomuus voidaan varmistaa sähköisellä allekirjoituksella ja että sanoma voidaan sisällyttää sähköiseen kirjekuoreen (allekirjoitettuun pakettiin). c) Tarkastetaan järjestelmädokumentaatiosta, että myös kuvailutiedot allekirjoitetaan d) Tarkastetaan, miten sanoman muuttumattomuus varmistetaan earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 17

26 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 43 Käyttöoikeudet Käyttäjälle tulee voida määritellä tehtävän mukaiset (roolipohjaiset) käyttöoikeudet Vain ne henkilöt, joilla on oikeus työtehtäviensä johdosta laatia potilasasiakirjoja, käsitellä suostumuksia ja kieltoja tai allekirjoittaa asiakirjoja voivat käyttää ko. toimintoja. Järjestelmässä tulee olla poikkeustilanteiden hallinnan edellyttämät toiminnot, joilla käyttöoikeus voidaan tilapäisesti ohittaa (tarkoittaa, että joku toimenpide voidaan tehdä esimerkiksi pääkäyttäjän oikeuksin, vaikka ko. toimenpide ei kuulu pääkäyttäjän työtehtäviin. Tekijä ja tehty toimenpide tulee silti luotettavasti yksilöidä ja kirjata). Ohitustilanteet tulee merkitä automaattisesti erilliseen luetteloon, jonka käsittelystä tulee olla ohjeet tietoturvapolitiikassa. 44 Käyttöloki Järjestelmän käyttölokiin tallennetaan tieto: käytetyistä asiakastiedoista siitä palvelujen antajasta, jonka asiakastietoja käytetään asiakastietojen käyttäjästä sekä tietojen käyttötarkoituksesta ja käyttöajankohdasta. Tarkastetaan käyttöoikeuksien hallinnan kuvaukset. Testataan käyttöoikeuksia todellisessa tilanteessa. Testataan käyttöoikeuksien ohitustilanteet ja niistä syntyvät lokimerkinnät Tarkastetaan lokeihin syntyvät merkinnät. Tarkastetaan käyttöoikeuksien ohitustilanteiden kuvaukset tietoturvapolitiikasta. V: mainitut tiedot käyvät ilmi lokimerkinnöistä earkistovaiheen vaatimuksia - auditoidaan myöhemmin earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 18

27 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 45 Suostumusten hallinta Potilastietojärjestelmissä tulee olla suostumuksen hallinnan järjestelmä. Suostumuksen hallinnan järjestelmän tulee taata suostumusten kiistämättömyys. Suostumuksen hallinta voidaan toteuttaa kirjaamalla kuhunkin asiakirjaan potilaan antama suostumus ja varmistamalla asiakirjan muuttumattomuus, kuten näissä vaatimuksissa edellytetään. Kiistämättömyys voidaan todentaa lokitietojen ja asiakirjojen avulla. Tiedoista tulee ilmetä: suostumuksen antamisen ajankohta, suostumuksen antaja, tiedot joiden luovuttamiseen suostumus kohdistetaan, tietojen käyttötarkoitus ja kuka/ketkä ovat luovutuksen saajia. Tarkastetaan järjestelmäkuvaukset ja testataan suostumusten laatimista, muuttamista ja poistamista. Tarkastetaan suostumusten kiistämättömyys lokitietojen ja asiakirjojen avulla earkistovaiheen vaatimuksia - auditoidaan myöhemmin 46 Tapahtumien kirjaaminen Vaihtoehtoisesti organisaatiolla voi olla myös erillinen tekninen suostumustenhallintajärjestelmä, johon perusjärjestelmä ja erillisjärjestelmät liittyvät ja jonka muodostaman kokonaisuuden kautta suostumuksen hallinnan vaatimukset toteutuvat kaikissa KanTa-palveluihin liittyvissä järjestelmissä Asiakirjan muodostamisesta tehdään lokimerkintä earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 19

28 Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 47 Potilasohjeen vastaanottaminen ja tallentaminen Potilasohje voidaan tallentaa väliaikaisesti potilaskertomusjärjestelmään (mahdollisen tulostuksen epäonnistumisen varalta), mutta se on poistettava 12 tunnin kuluessa tulostuksesta, jonka jälkeen sitä ei enää saa tulostaa. Tarkastetaan, että potilasohjeet eivät tallennu pysyvästi ja että on olemassa manuaalinen tai automatisoitu toiminne, joka poistaa potilasohjeen viimeistään 12 tunnin kuluttua tulostuksesta. Jos toiminne on manuaalinen, tarkastetaan, että tähän on olemassa käyttäjille tarkoitettu ohje. earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 20

29 Kansalliset auditointivaatimukset apteekeille 1. Johtajuus 1.1 Strateginen ohjaus 1.2 Resursointi ja organisointi 1.3 Yhteistyön koordinointi Nro Vaatimus 1 Organisaatiolla on tiedossa toimintaansa koskeva lainsäädäntö. 2 Organisaatio on tunnistanut ydintoimintonsa ja -prosessinsa sekä organisoinut ja vastuuttanut ne. 3 Organisaatiolla on kirjallinen ja johdon hyväksymä tietoturvapolitiikka 4 Organisaatioon on nimitetty tietoturvavastaava, jonka työnkuvassa on mainittu tietoturvavastuut. 5 Tietoturvavastaavalla on aikaa tietoturvavastuidensa suorittamiseen. Toteutus apteekissa Apteekista löytyy listaus tärkeimmistä säädöksistä. Apteekista löytyy listaus ydinprosesseista ja niiden vastuuhenkilöistä. Apteekista löytyy tietoturvapolitiikka, jonka on allekirjoittanut apteekkari ja jonka sisällöstä jokainen työntekijä on tietoinen. Apteekista löytyy nimetty tietoturvavastaava (huom. eri asia kuin tietosuojavastaava). Apteekki voi osoittaa tietoturvatehtäviin varatun työajan. Kansalliset auditointivaatimukset apteekeille 1

30 6 Organisaation johto ja tietoturvallisuuden eri osaalueiden vastuuhenkilöt keskustelevat säännöllisesti. Apteekissa on organisoitu säännöllisesti kokoontuva tietoturvaryhmä, jossa käydään läpi tietoturvaan liittyvät kysymykset ja johon myös apteekkari osallistuu. Tietoturvaryhmän esityslistalla on kiinteästi SAL:n listauksessa määritellyt asiat sekä tarpeen mukaan muita tietoturvaan liittyviä asioita. 7 Organisaatiossa on säännöllisesti kokoontuva tietoturva-asioita käsittelevä yhteistyöryhmä. Apteekissa on organisoitu säännöllisesti kokoontuva tietoturvaryhmä, jossa käydään läpi tietoturvaan liittyvät kysymykset ja johon myös apteekkari osallistuu. Tietoturvaryhmän esityslistalla on kiinteästi SAL:n listauksessa määritellyt asiat sekä tarpeen mukaan muita tietoturvaan liittyviä asioita. 1.4 Raportointi ja viestintä sidosryhmille 8 Sidosryhmät, joille organisaatio on vastuussa tietoturvallisuudesta, ja niiden kontaktipisteet on tunnistettu. Apteekista löytyy luettelo sidosryhmistä ja niiden vastuuhenkilöistä. Huom. Myös asiakkaat ovat apteekin sidosryhmä. Kansalliset auditointivaatimukset apteekeille 2