Ohje 2/2018 1(7) OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA Kohderyhmät Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien tietojärjestelmien valmistajat Teknisten Kanta-välityspalvelujen toteuttajat Kela Kanta-palvelut Tietoturvallisuuden arviointilaitokset Voimassaoloaika Tämä ohje tulee voimaan välittömästi ja on voimassa toistaiseksi
Ohje 2/2018 2(7) OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA Tässä ohjeessa kerrotaan, mitkä ovat sellaisia muutoksia jo aikaisemmin yhteistestatussa ja tietoturva-auditoidussa tietojärjestelmässä, joista tulee ilmoittaa Kelalle ja tietoturvallisuuden arviointilaitokselle. Ohje kokoaa ja tarkentaa säädösten mukaisia menettelyjä ja sertifioinnin muita ohjeistuksia tietojärjestelmien muutostilanteissa. Tausta ja perusteet Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007 (asiakastietolaki) säädetään, että Kanta-palveluihin liittyvät sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyyn tarkoitetut tietojärjestelmät ja välityspalvelut on sertifioitava ennen tuotantokäyttöä. Sertifiointi sisältää Kelan järjestämän yhteistestauksen ja tietoturvallisuuden arviointilaitoksen kanssa suoritettavan tietoturvallisuuden auditoinnin. Tietojärjestelmän valmistaja tai tietojärjestelmäpalvelun tuottaja vastaa sosiaali- ja terveydenhuollon tietojärjestelmän vaatimustenmukaisuudesta ja tähän liittyvistä asiakastietolain 1 mukaisista yhteistestauksen, auditoinnin ja ilmoitusten velvoitteista. Asiakastietolaissa säädetään, että luokkaan A kuuluvien tietojärjestelmien muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Vaatimustenmukaisuustodistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai järjestelmään kohdistuvia olennaisia vaatimuksia muutetaan. Asiakas- ja potilastietojärjestelmien Kanta-palveluihin talletettavien tietojen yhteentoimivuus muiden asiakas- ja potilastietojärjestelmien kanssa on osoitettava Kelan järjestämässä yhteistestauksessa. Yhteentoimivuusvaatimus koskee myös tilanteita, joissa järjestelmiin tehdään merkittäviä muutoksia. Tämän vuoksi on välttämätöntä, että muutokset ilmoitetaan myös Kelalle. Yhteistestauksen edellytyksenä on myös valmistajan selvitys siitä, kuinka tietojärjestelmän toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Asiakastietolain mukaan Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja valtakunnallisten tietojärjestelmäpalvelujen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. Se voi myös antaa tarkempia määräyksiä valtakunnallisten tietojärjestelmäpalvelujen vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä. Tämä ohje on valmisteltu viranomaisyhteistyössä (THL, Kela, Valvira, Viestintävirasto, STM, tietoturvallisuuden arviointilaitokset), pohjautuen näille tahoille tulleisiin kyselyihin sekä sertifiointiprosessista 1 Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 19 e, f, k
Ohje 2/2018 3(7) saatuihin kokemuksiin. Ohjeessa käytetyt termit kuten valmistaja ja tietojärjestelmäpalvelun tuottaja vastaavat THL määräyksessä 1/2015 2 noudatettuja termejä. Menettelyjä tarkentavat ohjeet Tietojärjestelmän valmistajan tai tietojärjestelmäpalvelun tuottajan tulee ilmoittaa luokkaan A kuuluvien järjestelmien merkittävistä muutoksista Kelalle ja tietoturvallisuuden arviointilaitokselle tämän ohjeen mukaisesti. Kun järjestelmän vaatimustenmukaisuustodistuksen voimassaolo on vanhentumassa, tulee tietojärjestelmäpalvelun tuottajan ottaa yhteyttä Kelaan ja tietoturvallisuuden arviointilaitokseen, jotta järjestelmän yhteistestaus- ja tietoturva-auditointitarve voidaan arvioida uudelleen. Tarvittaessa järjestelmä on yhteistestattava ja auditoitava uudelleen siten, että se saa voimassa olevan vaatimustenmukaisuustodistuksen. Yhteydenotto Kelaan ja tietoturvallisuuden arviointilaitokselle tulee tehdä viimeistään 6 kuukautta ennen vaatimustenmukaisuustodistuksen vanhenemista. Tietojärjestelmäpalvelun tuottajana sote-palvelunantajalle voi toimia myös muu taho kuin tietojärjestelmän alkuperäinen valmistaja 3. Järjestelmää koskevat vaatimukset on dokumentoitava ja täytettävä myös tässä tapauksessa. Jos vaatimuksista vastaava tietojärjestelmäpalvelun tuottaja on joku muu kuin valmistaja, valmistajan ja tietojärjestelmäpalvelun tuottajan on keskenään sovittava siitä, kuka vastaa järjestelmämuutoksiin liittyvistä sertifiointi- ja testausmenettelyistä ja järjestelmään liittyvistä muutosilmoituksista. Sopijaosapuolten on huomioitava myös yhteistestaukseen liittyvät ohjeistukset esimerkiksi siitä, että yhteistestaukseen tuleva tietojärjestelmä vastaa riittävästi tuotannonkaltaista kokonaisuutta. Tietojärjestelmäpalvelun tuottajan vaihtuessa tulee huolehtia siitä, että järjestelmää ja sen päivityksiä koskevat vaatimukset täyttyvät edelleen, ja että niiden täyttyminen on dokumentoitu. Uuteen yhteistestaukseen hakeutumisen yhteydessä tai kun järjestelmä ilmoitetaan tietoturvallisuuden arviointilaitokselle uudelleenauditointitarpeen arviointia varten on toimitettava järjestelmälomake THL Määräyksen 2/2016 mukaisesti 4. Lomakkeeseen on 2 THL Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/maaraykset-jamaarittelyt/maaraykset 3 Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit https://www.kanta.fi/documents/20143/91501/luokittelut+omavalvonta+sertifiointi+- +Usein+kysytyt+kysymykset.pdf/e18b288f-d3be-df68-ed26-d4c3a21b9777 4 THL Määräys 2/2016: Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista
Ohje 2/2018 4(7) merkittävä uudet ja merkittäviä muutoksia sisältävät toiminnot ja tietosisällöt siten, että ne erottuvat selkeästi muista järjestelmään toteutetuista toiminnoista ja sisällöistä. Asiakastietolain mukaisesti kaikki A- ja B-luokkaan kuuluvat tietojärjestelmät on ilmoitettava Valviran ylläpitämään rekisteriin 5. Tämä ohje koskee vain A-luokan järjestelmiä. Tämän ohjeen mukaisten ilmoitusten yhteydessä on tarvittaessa päivitettävä tietojärjestelmää koskevat tiedot myös Valviran rekisteriin, mikäli aiemmin ilmoitetut tiedot muuttuvat tai täydentyvät. Mikäli valmistajalle tai tietojärjestelmäpalvelun tuottajalle on epäselvää tarvitaanko uudelleentestauksen tai uudelleenauditoinnin arviointia, asiaa voi tiedustella THL:n, arviointilaitoksen tai Kelan Kanta-palvelujen kautta. Merkittävät muutokset Tietojärjestelmään tehtävistä merkittävistä muutoksista tulee ilmoittaa Kelaan sekä tietoturvallisuuden arviointilaitokselle. Ilmoituksen perusteella Kela arvioi tietojärjestelmän yhteistestauksen uusimistarpeen ja tietoturvallisuuden arviointilaitos arvioi tietoturvaauditoinnin uusimistarpeen. Esimerkiksi alla kuvatut muutokset ovat sellaisia, jotka edellyttävät ilmoitusta Kelan Kantapalveluihin yhteistestaustarpeen arviointia varten sekä ilmoitusta tietoturvallisuuden arviointilaitokselle uudelleenauditointitarpeen arviointia varten. 1. Järjestelmään toteutetaan toiminnallisuuksia kansallisten määrittelyjen perusteella, ja näissä määrittelyissä tai niihin liittyvässä julkaisusuunnitelmassa mainitaan, että määrittelyn käyttöönotto edellyttää uudelleentestausta tai uudelleenauditointia. 2. Järjestelmän käyttäjäkunta tai liittymismalli muuttuu olennaisesti uuden version yhteydessä, esimerkiksi ammattilaiskäyttäjien lisäksi järjestelmän käyttäjiksi tulee sote-palvelujen asiakkaita tai potilaita, tai järjestelmän käyttäjäksi tulee yksityisten palveluntuottajien lisäksi julkisia palveluntuottajia tai päinvastoin. 3. Järjestelmä liittyy Kanta-palveluun, johon se ei ole aiemmin liittynyt, esimerkiksi Reseptikeskuksen lisäksi Potilastiedon arkistoon, Potilastiedon arkiston lisäksi Sosiaalihuollon asiakastiedon arkistoon tai Omakannan Omatietovarantoon (PHR), tai Sosiaalihuollon asiakastiedon arkiston lisäksi Potilastiedon arkistoon. 5 Valvira sosiaali- ja terveydenhuollon tietojärjestelmien rekisteri http://www.valvira.fi/terveydenhuolto/terveysteknologia/tuotteen_markkinoille_saattaminen/tietojarjestelmat
Ohje 2/2018 5(7) 4. Järjestelmän käyttöliittymä tai toiminnallisuus uusitaan merkittävin osin tai niihin tehdään merkittäviä muutoksia. Tällaisista muutoksista on ilmoitettava, jos muutokset voivat vaikuttaa myös Kanta-palveluihin lähetettävien tai sieltä haettavien tietojen tai asiakirjojen oikeellisuuteen, Kanta-rajapintojen tai sanomarakenteiden toimivuuteen, tai tietoturvallisuusvaatimusten toteuttamistapaan. 5. Järjestelmä liitetään suoraan Kanta-palveluihin, kun se on ennen ollut liittyneenä Kanta-palveluihin välittävän järjestelmän kautta. 6. Valvontaviranomainen, kuten Valvira, edellyttää järjestelmän tai sen uuden version uudelleentestaustarpeen tai uudelleenauditointitarpeen arviointia. 7. Auditointivaatimuksiin liittyvissä dokumentaatiojärjestelyissä tai järjestelmän kehitystyön organisoinnissa tehdään merkittäviä muutoksia (esimerkiksi merkittävä liiketoimintamuutos kuten yritysfuusio tai yrityskauppa, järjestelmän tuottaneen kehittäjätiimin vaihtuminen). 8. Järjestelmään 1 kohdistuvia olennaisia vaatimuksia on testattu tai auditoitu hyväksytysti järjestelmän tai tuotteen 2 kautta, ja järjestelmä 2 muuttuu siten, että muutos voi vaikuttaa olennaisten vaatimusten toteutumiseen järjestelmässä 1. 9. Järjestelmästä löydetään merkittäviä potilasturvallisuuteen liitttyviä puutteita tai virheitä. Merkittävien virheiden osalta on erityisesti huolehdittava myös ilmoituksista valvontaviranomaisille (Valvira) sekä järjestelmien käyttäjille. Merkittäviä muutoksia, jotka edellyttävät ilmoitusta Kelan Kanta-palveluihin yhteistestaustarpeen arviointia varten, mutta eivät edellytä ilmoitusta tietoturvallisuuden arviointilaitokselle uudelleenauditointitarpeen arviointia varten ovat esimerkiksi seuraavantyyppiset muutokset: 10. Järjestelmään tehdään muutoksia, jotka vaikuttavat Kanta-rajapintaan, järjestelmän käyttämiin palvelupyyntöihin tai näissä käytettyihin sanomarakenteisiin. Merkittäviä muutoksia, jotka edellyttävät ilmoitusta tietoturvallisuuden arviointilaitokselle uudelleenauditointitarpeen arviointia varten, mutta eivät edellytä ilmoitusta Kelan Kantapalveluihin yhteistestaustarpeen arviointia varten ovat esimerkiksi seuraavantyyppiset muutokset: 11. Tietojärjestelmäpalvelun tuottajan vastuulla olevaan järjestelmän käyttö- tai suoritusympäristöön tehdään sellaisia merkittäviä muutoksia, jotka vaikuttavat käyttöympäristön tietoturvallisuuden olennaisten vaatimusten 6 toteuttamiseen. Muutos voi olla esimerkiksi sellainen, jossa järjestelmä tai sen merkittävä osakomponentti siirtyy sote-palveluntuottajan ympäristöstä pilvipalveluun tai SaaSmalliin. Ilmoitustarve ei koske hyväksytyn ja auditoidun järjestelmän asennusta uuteen asiakasympäristöön, jossa vaatimukset täytetään vastaavalla tasolla ja vastaavilla menettelyillä kuin aiemmissa käyttöympäristöissä. 6 THL määräys 1/2015 vaatimukset 44-51
Ohje 2/2018 6(7) 12. Järjestelmästä löydetään merkittäviä tietoturvallisuuteen liittyviä puutteita tai virheitä, joiden korjaaminen on varmistettava tietoturvallisuuden auditoinnilla. Merkittävien virheiden osalta on erityisesti huolehdittava myös ilmoituksista valvontaviranomaisille (Valvira) sekä järjestelmien käyttäjille. Järjestelmää ei tarvitse ilmoittaa uudelleensertifiointi- tai testaustarpeen uudelleenarviointiin seuraavissa tilanteissa. Näissäkin tilanteissa on kuitenkin huolehdittava siitä, että Valviran rekisterissä sekä Kelan Kanta-palveluissa ja tietoturvallisuuden auditointilaitoksella on ajantasaiset tiedot kaikista tuotannossa käytettävien järjestelmien tuotenimistä ja niiden valmistajista: 13. Aiemmin testattuun tai auditoituun järjestelmään toteutetaan uusi sisältö tai toiminnallisuus, joka ei vaikuta Kanta-rajapintoihin tai tietoturvallisuuden auditointivaatimuksiin, esimerkiksi sairaalajärjestelmään toteutetaan uusi osaston vuodepaikkojen statusnäkymä tai sosiaalihuollon asiakastietojärjestelmään toteutetaan uusi toiminnallisuus muistutteiden esittämiseen käyttäjille. 14. Järjestelmän myyntinimi tai tuotenimi muuttuu, mutta järjestelmään ei tehdä Kanta-rajapintoihin, tietoturvallisuusvaatimuksiin, tai merkittäviä toiminnallisuuteen liittyviä muutoksia. Vaatimustenmukaisuustodistus on sallittua päivittää järjestelmän uudelle tuotenimelle siten, että järjestelmän kaikkien tuotannossa olevien versioiden nimet ovat mukana todistuksessa. 15. Yrityksen nimi tai y-tunnus muuttuu, mutta muutoksella ei ole vaikutuksia yrityksen toteuttamiin tuotteisiin tai tietojärjestelmiin. 16. Valmistajan tai tietojärjestelmäpalvelun tuottajan yhteyshenkilö tai yhteystiedot tietoturva-auditoinnissa tai yhteistestauksessa muuttuvat.