Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti VAATIMUSMÄÄRITTELY --- Versio 1.0 --- Laatija: STM ja konsultit Tarkistaja: Hyväksyjät:
VAATIMUSMÄÄRITTELY DOKUMENTIN MUUTOSHISTORIA Huom. Muutoshistoriaan kirjataan vain päätösten pohjalta tehdyt muutokset, ei työversioita. Revnro Pvm / Tekijä Kappale / Kappaleet Muutoksen sisältö
Vaatimusmäärittely Arkistopalvelu VAATIMUSMÄÄRITTELY versio 0.8 3 () SISÄLLYSLUETTELO 1 JOHDANTO... 1 1.1 Dokumentin tarkoitus... 1 1.2 Määrittelyn kattavuus ja rajaukset... 1 1.3 Lähtökohdat... 1 2 TIETOJÄRJESTELMÄN YLEISKUVAUS... 3 2.1 Tietojärjestelmän tarkoitus ja sisältö... 4 2.2 Edellytykset palvelujen toteuttamiselle... 5 2.2.1 Asiakirjojen löydettävyys... 5 2.2.2 Asiakirjojen luettavuus... 5 2.2.3 Asiakirjojen todistusvoimaisuus ja luotettavuus... 5 2.2.4 Potilaan tietosuojan toteutuminen... 6 2.3 Arkistoitujen potilasasiakirjojen hallinnointi... 7 2.3.1 Asiakirjan elinkaari arkistossa... 7 2.3.2 Asiakirjojen luokittelu ja arkistonmuodostussuunnitelma... 8 2.3.3 Arkistonmuodostussuunnitelma ja henkilörekisterit... 9 2.4 Arkistokomponentin suhde muihin osaprojekteihin... 9 2.5 Käytettävät standardit... 10 3 ARKISTOPALVELUN KÄYTTÖ KUVANTAMISESSA... 12 3.1 Kuvantamisen nykytilanne... 12 3.2 Kuvantaminen kansallisessa arkistopalvelussa... 13 3.3 Arkistopalvelun tietojärjestelmäarkkitehtuuri kuvien osalta... 14 4 SIDOSRYHMÄKUVAUS... 16 4.1 Terveydenhuollon palvelujen antaja... 16 4.2 Viranomainen... 16 4.3 Ulkopuolinen toimija... 17 4.4 Järjestelmätoimittaja... 17 4.5 Kansalainen... 17 4.6 Tutkija... 17 5 TOIMINTA- JA TYÖPROSESSIEN KUVAUS... 18 5.1 Asiakirjan arkistointi... 18 5.1.1 Asiakirjan arkistointi... 18 5.2 Asiakirjan käyttö arkistopalvelussa... 20 5.3 Asiakirjan luovutus arkistopalvelusta... 21 5.4 Asiakirjojen jakelu... 21 5.5 Arkistonhallinta... 23 5.5.1 Asiakirjojen hävittäminen... 23 5.6 Arkistojen hallinta... 25 6 TOIMINNALLISUUDEN KUVAUS... 26 6.1 Käyttäjäkuvaukset... 26 6.1.1 Terveydenhuollon ammattihenkilö... 26 6.1.2 Potilastietojärjestelmä... 26 6.1.3 Arkistonmuodostaja... 26 6.1.4 Arkistonhoitaja... 27 6.1.5 Arkistopalvelun antaja... 27 6.1.6 Kansalainen... 27
Vaatimusmäärittely Arkistopalvelu VAATIMUSMÄÄRITTELY versio 0.8 4 () 6.1.7 Viranomainen... 28 6.1.8 Kansallinen arkistopalvelu... 28 6.2 Käyttötapauskuvaukset... 28 6.2.1 Toiminnalliset käyttötapaukset... 28 Käyttötapaus 1.6.1: Arkistoi asiakirja... 28 Käyttötapaus 2.6.2 Asiakirjan käyttö/luovutus... 32 6.2.2 Arkiston hoito ja palvelun ylläpito... 34 Käyttötapaus 3.6.4: Hävitä asiakirjoja... 34 Käyttötapaus 3.6.5: Metatietojen ylläpito... 37 Käyttötapaus 3.6.6: Asiakirjojen laadun seuranta... 40 Käyttötapaus 3.6.7: Arkistonmuodostussuunnitelman ylläpito... 44 Käyttötapaus 3.6.8: Arkistonmuodostajien ylläpito... 46 Käyttötapaus 3.6.9:. Metatietorakenteiden hallinnointi (3.6.9)... 49 Käyttötapaus 3.6.10: Tilastot, raportit ja otannat... 52 Käyttötapaus 3.6.11: Asiakirjan elinkaaren ylläpito... 54 7 VAATIMUSTEN KUVAAMINEN... 56 8 VIITTAUKSET... 65 8.1 Tausta- ja referenssiaineistona käytetyt asiakirjat... 65 8.2 Sovellettavat standardit, ohjeet ja käytännöt... 65
VAATIMUSMÄÄRITTELY 1/66 1 JOHDANTO 1.1 Dokumentin tarkoitus Sosiaali- ja terveysministeriö (STM) on käynnistänyt hankkeen kansallisen terveydenhuollon arkistopalvelun (KANTA) perustamiseksi. Tässä dokumentissa esitetään KANTA-palvelun arkistokomponentin toiminnallisen määrittelyn ja vaatimusmäärittelyn tulokset. Se täydentää kokonaisarkkitehtuuri-osaprojektin vaatimusmäärittelydokumenttia, johon tulee perehtyä ennen tämän vaatimusmäärittelyn lukemista. 1.2 Määrittelyn kattavuus ja rajaukset 1.3 Lähtökohdat Määrittelyssä kuvataan arkistokomponentin sidosryhmät, käyttäjät, toiminnallisuus ja liittymät KANTA-palvelun muihin osajärjestelmiin. Lähtökohtana toiminnalliselle määrittelylle ovat projektin aikana kuvatut arkistopalvelun ja arkistonhallinnan käyttötapaukset. Lisäksi käsitellään lyhyesti kuvantamista kansallisessa arkistopalvelussa. Tämän määrittelyn lähtökohdat on esitetty seuraavassa. Sosiaali- ja terveysministeriö (STM) määrää asetuksella ja sitä täydentävillä ohjeilla arkistoinnissa hyväksyttävistä asiakirjojen tiedostoformaateista. Ensimmäisessä vaiheessa tekstimuotoiset potilasasiakirjat arkistoidaan CDA-R2 muodossa ja kuvantamisessa syntyneet potilasasiakirjat DICOM-muodossa. Koodistopalvelun yhteydessä pidetään myös koodistoa potilasasiakirjojen käyttötarkoituksista. Arkistopalveluun kytkeytyvien potilastietojärjestelmien tietoturvataso on riittävän korkealla tasolla. ja STM:n nimeämä taho määrittelee niiden tietoturvatasolle auditointiprosessin. STM:n nimeämä taho valvoo tietoturvatason toteutumista käytännössä. JUHTA (Julkisen hallinnon tietohallinnon neuvottelukunta) suosittelee Kansallisarkiston johdolla ja JHS-työryhmän määrittelyn perusteella asiakirjallisille tiedoille yhteisen valtakunnallisen arkistonmuodostussuunnitelman tehtäväluokituksen, johon myös määritellään syntyvät loogiset henkilörekisterit sekä niiden käyttötarkoitukset. STM määrää terveydenhuollon toimintayksiköiden potilasasiakirjojen arkistoinnissa käytettävästä tehtäväluokituksesta, joka perustuu tähän valtakunnalliseen JHS-suositukseen. Tätä kansallista tehtäväluokitusta ylläpitämään tulee nimetä työryhmä.
VAATIMUSMÄÄRITTELY 2/66 STM:n nimeämä taho laatii tämän järjestelmän piiriin tuleville terveydenhuollon asiakirjoille kansallisesti yhtenäisen sähköisen arkistonmuodostussuunnitelman, joka perustuu tehtäväluokitustyöryhmän laatimaan JHS-suositukseen. Potilasasiakirja-asetuksessa määritellään arkistoitavien asiakirjojen säilytysajat ja muut arkistointiin liittyvät elinkaarisäännöt. Tässä vaiheessa ei toteuteta keskeneräisen asiakirjan tallentamista hakemisto- ja rekisteröintipalveluun eikä keskeneräisen asiakirjan luovutusta, koska keskeneräisen potilasasiakirjan määrittelyt ovat vielä auki. Keskeneräiseen hoitoon liittyvien tietojen käsittelyn toiminnallisuus määritellään erikseen potilasasiakirja-asetuksen laatimisen yhteydessä. Yksi mahdollisuus voisi olla, että tuotetaan hoitojakson aloitusasiakirja, joka toimitetaan arkistoon vastaavalla tavalla kuin muutkin asiakirjat. Aloitusasiakirjan sisältö olisi tyhjä, mutta se sisältäisi riittävät metatiedot palvelukokonaisuuden käynnistämisestä.
VAATIMUSMÄÄRITTELY 3/66 2 TIETOJÄRJESTELMÄN YLEISKUVAUS Kansallisen terveydenhuollon arkistopalvelun (KANTA) tarkoitus on mahdollistaa sähköisten potilasasiakirjojen käyttö yli organisaatio- ja tietojärjestelmärajojen potilaan hoidossa sekä tilastointi- ja tutkimustyössä tavalla, joka on vallitsevien lakien, asetusten ja viranomaismääräysten mukainen. Tavoitteen onnistuminen edellyttää, että asiakirjat ovat löydettävissä ja luettavissa, että niiden oikeudellinen todistusvoimaisuus säilyy riippumatta siitä, missä ja koska niitä käytetään, ja että asiakirjoihin pääsevät käsiksi ainoastaan ne henkilöt, joilla on hoitosuhde tai muu asiallinen yhteys potilaaseen tai ne, joilla on niihin lakiin perustuva oikeus. Koska kansalliseen arkistopalveluun kootaan Suomen mittakaavassa ennennäkemättömän suuri määrä henkilötietolain (1999/523) ja potilaan asemasta ja oikeuksista annetun lain (1992/785) alaisia tietoja, on myös ensiarvoisen tärkeää, että kansalaisilla on mahdollisuus valvoa ja rajoittaa heitä koskevien tietojen käyttöä. Jotta nämä vaatimukset voisivat toteutua, täytyy käytössä olla kansallisella tasolla yhtenäinen tapa luokitella asiakirjat, päättää missä muodossa ne arkistoidaan sekä kuinka niitä arkistoinnin aikana kohdellaan. Koska lakien ja asetusten mukaan sähköisiä potilasasiakirjoja tulee kohdella samalla tavalla kuin fyysisiä asiakirjoja, on myös tärkeää säilyttää jatkuvuus olemassa olevan arkistotoimen kanssa. Näin ollen asiakirjojen hallinnoinnin ja luokittelun perustana käytetään JHS-työryhmän määrittelemää asiakirjallisten tietojen tehtäväluokitusta. Kuva 1 Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin kokonaiskuva. Kansallisessa arkistopalvelussa arkistokomponentti sekä hakemisto- ja rekisteröintipalvelu muodostavat arkistokokonaisuuden, jossa rekisteröintitiedot sijaitsevat hakemisto- ja rekisteröintipalvelussa ja arkistolliset ja syntykontekstin osoittavat metatiedot sekä itse asiakirja arkistokomponentissa.
VAATIMUSMÄÄRITTELY 4/66 Eri arkistonmuodostajien on käytettävä samoja metatietoja, jotta niiden asiakirjat ovat keskenään yhteismitalliset ja niitä voidaan hakea yhdenmukaisin hakutavoin. Potilasasiakirja-asetuksessa puolestaan tarkennetaan muun muassa asiakirjojen säilytysajat. Näiden perusteella laaditaan potilasasiakirjojen arkistointia varten yhteinen kansallinen arkistonmuodostussuunnitelma, joka muodostaa yksittäisten arkistonmuodostajien arkistonmuodostussuunnitelmien yhteisen ytimen. KANTA-arkkitehtuurissa arkistokomponentin tehtävä on yksilöityjen asiakirjojen vastaanotto, jakelu ja säilytys. Se esiintyy toimijana useimmissa KANTA-palvelun palveluprosesseissa. Ensisijaiset loogiset riippuvuudet ovat hakemisto-, loki-, suostumusten hallinta- sekä tunnistus- ja allekirjoituspalveluun. Hakemisto- ja rekisteröintipalvelu vastaa asiakirjojen löydettävyydestä. Loki- ja valvontapalveluun tallentuu merkintä kaikesta asiakirjojen käsittelystä. Suostumusten hallintapalvelusta tarkistetaan potilaan suostumus hänen tietojensa luovuttamiseen muuhun kuin rekisterin käyttötarkoituksen mukaiseen käyttöön rekisterinpitäjän omassa toiminnassa. Tunnistus- ja allekirjoituspalvelua käytetään asiakirjojen todistusvoimaisuuden osoittamisessa ja säilyttämisessä. Arkistokomponentin tärkeimmät rajapinnat ovat asiakirjan jakelu, asiakirjan arkistointi ja arkiston hallinnointi. 2.1 Tietojärjestelmän tarkoitus ja sisältö Arkistopalvelun tehtävä on mahdollistaa potilasasiakirjojen käyttö ja luovutus eri potilastietojärjestelmien ja terveydenhuollon toimintayksiköiden välillä sekä säilyttää potilasasiakirjat siten, että niiden todistusvoimaisuus ja luotettavuus säilyy koko arkistointiajan. Suurin osa organisaatioista on vielä tilanteessa, jossa niillä on käytössä lukuisia keskenään ei-yhteensopivia potilastietojärjestelmiä. Asiakirjoja ei ole mahdollista jaella potilastietojärjestelmien välillä edes toimittaessa saman terveydenhuollon toimintayksikön sisällä. Potilasasiakirjoja jaellaan yleisimmin tulosteina. Tämä vaikeuttaa asiakirjojen saatavuutta, tuottaa tarpeettomia materiaali- ja logistiikkakustannuksia ja johtaa tarpeettomien ja kalliiden kliinisten tutkimusten tekemiseen, koska aikaisemmin tehdyistä tutkimuksista syntyneet tiedot eivät ole käytettävissä. Perussyy tilanteelle on, että standardeja potilasasiakirjojen esittämiselle ja jakelulle ei ole ollut laajassa käytössä. Tilanne on muuttumassa standardien kehittyessä ja yleistyessä. Potilasasiakirjojen kannalta keskeisimmät standardit ovat CDA-R2 ja kuvantamisen tiedostomuotoja ja viestinvälitystä standardoiva DICOM. DICOMstandardi ei kuitenkaan kata kaikkia potilasasiakirjojen arkistoinnin vaatimuksia, ennen kaikkea metatietomääritysten osalta. Potilasasiakirjojen saatavuus eri järjestelmien ja eri terveydenhuollon toimintayksiköiden välillä tulee mahdolliseksi, kun asiakirjoille määritellään standardoidut esitystavat ja luodaan kanavat, joilla niitä voidaan tietoturvallisesti ja lakien ja asetusten määrittelemien tietosuojavaatimusten mukaisesti siirtää. Kansallisen terveydenhuollon arkistopalvelun tarkoitus on tehdä tämä tehtävä. Potilastietojärjestelmistä sinne siirretyt potilasasiakirjat ovat muiden järjestelmien ja perusyksiköiden käytettävissä lakien, asetusten ja viranomaismääräysten asettamissa rajoissa.
VAATIMUSMÄÄRITTELY 5/66 2.2 Edellytykset palvelujen toteuttamiselle 2.2.1 Asiakirjojen löydettävyys 2.2.2 Asiakirjojen luettavuus Potilasasiakirjojen käytettävyys yli järjestelmä- ja organisaatiorajojen riippumatta käytön ajasta ja paikasta hyvin pitkälle tulevaisuuteen edellyttää, että asiakirjat ovat löydettävissä ja luettavissa kun niitä tarvitaan kuitenkin siten, että lakien ja asetusten määräämät tietosuojavaatimukset toteutuvat, ja että niiden todistusvoima säilyy riippumatta arkistointiajan pituudesta. Arkistoituja asiakirjoja tulee voida hallinnoida lakien, asetusten ja viranomaismääräysten mukaisilla tavoilla. Nämä määräykset koskevat erityisesti asiakirjojen jakelua (kenelle asiakirjat saa jaella ja millä perusteella) sekä niiden hävittämistä (koska ja millä perusteella asiakirjat tulee hävittää). Asiakirjojen löydettävyyttä käsittelee hakemisto- ja rekisteröintipalvelun vaatimusmäärittelydokumentti. Arkistokomponentin tehtävä löydettävyysvaatimuksen toteutumisessa on jaella hakemisto- ja rekisteröintipalvelun avulla löydetyt ja OIDtunnuksella yksilöidyt potilasasiakirjat. Asiakirjojen luettavuuden varmistaminen koko pitkän arkistointiajan perustuu keskitetysti ja kurinalaisesti hallinnoituun migraatiopolitiikkaan. Päätökset siitä, mitä tiedon esitysmuotoja hyväksytään arkistoitaviksi, täytyy tehdä kansallisella tasolla. Jokaiselta tallennusmuodolta edellytetään migraatiosuunnitelma, joka määrittelee kuinka asiakirjojen luettavuus varmistetaan standardien ja formaattien muuttuessa tulevaisuudessa. 2.2.3 Asiakirjojen todistusvoimaisuus ja luotettavuus Asiakirjan tehtävänä on todistaa jokin tapahtuma tai toimenpide. Asiakirja on läpileikkaus henkilön tai organisaation toiminnasta. Asiakirjan todistusvoimaisuudella ja luotettavuudella tarkoitetaan sitä, että asiakirjan käyttäjä voi luottaa asiakirjassa esiintyviin tietoihin. Jotta todistusvoimaisuus ja luotettavuus säilyisivät, on voitava osoittaa asiakirjan muuttumattomuus asiakirjan elinkaaren aikana eli arkistopalvelun kannalta arkistointiaikana, sekä varmistaa asiakirjan syntykontekstin osoittavien tietojen lähde ja mahdollinen muutoshistoria. Todistusvoimaisuuden ja luotettavuuden säilyttäminen on arkistokomponentin tehtävä. Asiakirjan eheyden, kiistämättömyyden ja luotettavuuden osoittamisessa keskeiset tekniset menetelmät ovat sähköinen allekirjoitus ja aikaleima, joita käsitellään tunnistaminen ja sähköinen allekirjoitus palvelun määrittelydokumenteissa, sekä loki- ja valvontapalveluun sisältyvä arkiston käyttöloki. Arkistokomponentti ylläpitää asiakirjojen eheyttä, kiistämättömyyttä ja luotettavuutta aikaleimaamalla jokaisen arkistoidun asiakirjan arkistointihetkellä sekä virkistämällä vanhenevat allekirjoitukset palvelinvarmenteellaan. Asiakirjan syntykontekstilla tarkoitetaan tietoja prosessista, tapahtumasta tai olosuhteista, joista asiakirja on todiste. Tällaisia tietoja ovat esimerkiksi asiakirjan luonut henkilö, hänen roolinsa, asiakirjan kohde, asiakirjan syntypaikka ja arkistointiaika, asiakirjan arkistoinut taho sekä tapahtuma tai prosessi, johon asiakirja
VAATIMUSMÄÄRITTELY 6/66 liittyy. Ilman syntykontekstin kuvaavia tietoja asiakirjaan ei voida luottaa. Niitä tulee kohdella samojen periaatteiden mukaisesti kuin itse asiakirjoja: niitä voidaan muuttaa ainoastaan virheiden korjaamiseksi ja tällöin muutos tapahtuu versioimalla metatieto. Tämä toimenpide säilyttää metatietojen mahdollisen muutoshistorian sekä lähettää jokaisesta muutoksesta tiedon loki- ja valvontapalveluun, jota voidaan kiistatilanteessa verrata arkistokomponentissa säilytettyyn muutoshistoriaan. Asiakirjaa kohdellaan virheen korjaamistilanteessa samalla tavoin. Korjattu versio korvaa korjaamattoman. Molempiin merkitään tieto korvautumisesta, ja korjattu versio säilytetään arkistossa osana asiakirjan todistusvoimaisuuden osoittavaa aineistoketjua. Korvattua versiota ei siis jaella muuten kuin erillisillä toimenpiteillä, jos virhettä joudutaan jälkikäteen selvittämään esimerkiksi oikeusturva-asioissa. Asiakirjan todistusvoimaisuus voidaan osoittaa seuraamalla asiakirjan ja sen syntykontekstin osoittavien metatietojen versiohistoriaa loki- ja valvontapalvelusta ja tarkistamalla teknisesti asiakirjan eheys validoimalla allekirjoitukset ja aikaleimat. 2.2.4 Potilaan tietosuojan toteutuminen Kansalliseen arkistopalveluun kootaan jopa kansainvälisessä mittakaavassa suuri määrä potilasasiakirjoja. Jotta kansalaisen tietosuoja toteutuu lakien ja asetusten määräämällä tavalla, on ensisijaisen tärkeää, että järjestelmä sallii vain potilasasiakirjojen asianmukaisen käytön, ja että kansalainen itse pystyy seuraamaan ja kontrolloimaan häntä koskevia tietoja ja niiden käyttöä. Tämä asettaa vaatimuksia asiakirjojen hallinnoinnille ja luokittelulle. Arkistopalveluun arkistoitujen asiakirjojen luovutuksen ja käytön sekä valvonnan kannalta keskeiset vaatimukset on määritelty Henkilötietolaissa (523/1999), Julkisuuslaissa (621/1999), Laissa potilaan asemasta ja oikeuksista (785/1992), Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (EV 232/2006) ja Asetuksessa potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001). Niissä määritellään käsitteet rekisterinpitäjä, henkilörekisteri ja käyttötarkoitus sekä määrätään kuinka potilasasiakirjoja saa käyttää, kenelle niitä saa luovuttaa ja millä perusteella, ja millaisia oikeuksia kansalaisella on omiin tietoihinsa. Perusperiaate on, että potilasasiakirjaa saa käyttää ainoastaan sen alkuperäiseen käyttötarkoitukseen saman terveydenhuollon palvelujen antajan (rekisterinpitäjän) sisällä. Luovutuksessa muuhun käyttötarkoitukseen tai toiselle terveydenhuollon palvelujen antajalle tarvitaan potilaan suostumus. Kuvaa mutkistaa kuitenkin, että lainsäädännössä on määritelty pakottavia tarpeita esimerkiksi potilaan hengen pelastaminen jolloin asiakirja saadaan luovuttaa toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle myös ilman potilaan nimenomaista suostumusta. Tämä edellyttää täydellisen käyttölokin muodostumista (audit trail), lokin aktiivista seurantaa, sekä potilaan oikeutta itse seurata omien tietojensa käyttöä ja luovutusta rekisterinpitäjien sisällä ja välillä. Asiakkaan oikeudet on määritelty Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköiseksi käsittelyksi (EV 232/2006, 18-19 ). Potilas ei voi itse katsella käyttölokejaan eikä hän saa nähdä luovuttajan ja luovutuksensaajan henkilötietoja,
VAATIMUSMÄÄRITTELY 7/66 mutta hänellä on oikeus saada kirjallisesta pyynnöstä asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön ja luovutuksen peruste. 2.3 Arkistoitujen potilasasiakirjojen hallinnointi Kansalliseen terveydenhuollon arkistopalveluun arkistoitujen asiakirjojen hallinnointi ja käsittely on määritelty lainsäädännössä varsin yksityiskohtaiselle tasolle. Itse arkistopalvelun asema on määritelty Laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (EV 232/2006). Palvelu on myös arkistolain (831/1994) ja arkistolaitoksen määräysten alainen. Asiakirjojen hallinnoinnista ja jakelusta määrätään henkilötietolaissa (523/1999), julkisuuslaissa (621/1999), laissa potilaan asemasta ja oikeuksista (785/1992) ja asetuksessa potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001). Nämä juridiset velvoitteet ovat sitovia, ja ne määräävät paljolti arkiston ja asiakirjojen hallinnoinnissa käytettävät menettelytavat. Näissä laeissa ja asetuksissa määritellään käsite arkistonmuodostaja, joka on asiakirjoja tuottava hallinnollinen yksikkö, eli yksi tai useampi potilaslain (785/1992) tarkoittama terveydenhuollon toimintayksikkö. Kukin terveydenhuollon toimintayksikkö on myös henkilötietolain tarkoittama rekisterinpitäjä. Erityisesti on huomioitava, että lainsäädännön näkökulmasta sähköisillä ja fyysisillä potilasasiakirjoilla ei ole laadullista eroa: molempia koskevat samat säilytystä, hävitystä, käyttöä, luovutusta, seurantaa ja suojelua koskevat normit. 2.3.1 Asiakirjan elinkaari arkistossa Sähköisten potilasasiakirjojen arkisto ei ole ainoastaan passiivinen asiakirjavarasto. Lait, asetukset ja viranomaismääräykset määrittelevät arkistoidun asiakirjan elinkaaren, joka alkaa asiakirjan syntyhetkestä ja päättyy asiakirjan hävitykseen tai jatkuu sen pysyvänä säilytyksenä. Lainsäädännöstä on johdettavissa säännöt, jotka vaikuttavat asiakirjan tilaan sen elinkaaren aikana. Asiakirjan tila esimerkiksi sen julkisuusluokka, tietoturvaluokka tai jopa asiakirjatyyppi voi muuttua useitakin kertoja arkistoinnin aikana. Potilasasiakirjojen osalta nämä säännöt on useimmiten sidottu potilaan henkilötietoihin sekä palvelukokonaisuuden tai palvelutapahtuman ajankohtaan. Esimerkiksi asiakirjojen hävitysajat määrätään usein laskettaviksi potilaan kuolemasta tai palvelukokonaisuuden päättymisestä. Tämä tarkoittaa, että esimerkiksi asiakirjalle määrätty hävitysaika ei voi olla tiedossa sillä hetkellä kun asiakirja syntyy tai kun se viedään arkistoon. Jos asiakirja on asetuksessa määrätty hävitettäväksi vaikkapa kymmenen vuoden kuluttua potilaan kuolemasta, saattaa kulua kymmeniä vuosia ennen kuin hävitysaika on edes teoriassa tiedettävissä. Näin ollen ei voida edellyttää, että potilastietojärjestelmät voisivat säädellä asiakirjan elinkaaren aikaisia tapahtumia sen jälkeen kun asiakirja on siirtynyt arkistoon pois niiden vaikutuspiiristä. Lisäksi tietyt asiakirjat on lakien ja määräysten mukaan arkistoitava pysyvästi. Asiakirjojen elinkaaret on voitava määritellä ja hallinnoida keskitetysti ja arkistojärjestelmän on tehtävä asiakirjojen tilan muutokset automaattisesti määriteltyjen sääntöjen perusteella.
VAATIMUSMÄÄRITTELY 8/66 2.3.2 Asiakirjojen luokittelu ja arkistonmuodostussuunnitelma Potilaan tietosuojan toteutuminen (ks. luku 2.2.4 yllä) ja asiakirjojen elinkaaren hallinnointi edellyttävät, että asiakirjat luokitellaan siten, että kukin asiakirja kuuluu yhteen ja vain yhteen tietoluokkaan, josta voidaan periyttää tai päätellä yksiselitteiset asiakirjaa koskevat elinkaari- ja tietosuojasäännöt. Kun sääntöjä koskevat lait, määräykset ja asetukset muuttuvat, voidaan nämä muutokset toteuttaa asiakirjaluokitteluun, eikä koko asiakirjamassan läpikäyntiä tarvita. Arkistolaki määrää, että arkistonmuodostajan on määriteltävä tehtäviensä hoidon tuloksena kertyvien asiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistä arkistonmuodostussuunnitelmaa (AMS) ja että arkistotoimen vaatimukset on otettava huomioon arkistonmuodostajan tieto- ja asiakirjahallinnossa. Koska asiakirjat liittyvät arkistonmuodostajan tehtäviin ja niihin liittyviin tietoprosesseihin, arkistomuodostussuunnitelma on laadittava tehtävien pohjalta. Asiakirjat eivät ole arkistossa irrallisina, vaan liittyvät organisaation tehtäviin ja niihin liittyviin tietoprosesseihin. Tehtäväluokka, johon asiakirja kuuluu, on siis osa asiakirjan todistusvoiman osoittavaa aineistoa. Laki määrää niin ikään, että asiakirjan elinkaarta ja hävitystä koskevat säännöt on kirjattava arkistonmuodostussuunnitelmaan. Tavoiteltaessa asiakirjojen yhteiskäyttöisyyttä ja yhteistä sähköistä arkistointipalvelua, tulee tehtävien määrittely tehdä kansallisesti. Tämä tekee mahdolliseksi paitsi hallinnoida näitä sääntöjä keskitetysti, myös valvoa, että asiakirjoja kohdellaan lakien, asetusten ja viranomaismääräysten mukaisesti. Viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) todetaan, että viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Lain nojalla annetussa asetuksessa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) säädetään toimenpiteistä hyvän tiedonhallintatavan toteuttamiseksi. Julkisuusasetuksen mukaisesti viranomaisen on arkistolaissa (831/1994) tarkoitettua arkistonmuodostussuunnitelmaa hyväksi käyttäen selvitettävä ja arvioitava asiakirjansa ja tietojärjestelmänsä sekä niihin talletettujen tietojen merkitys samoin kuin asiakirjaja tietohallintonsa. Asiakirjojen säilytysaikoja määrättäessä on otettava huomioon, mitä niistä on erikseen säädetty tai määrätty. Arkistolaitos myös määrää, mitkä asiakirjat tai asiakirjoihin sisältyvät tiedot säilytetään pysyvästi (arkistolaki 831/1994, 9 ). Voimassaolevan päätöksen mukaan tällaisia ovat 18. ja 28. päivinä syntyneiden potilasasiakirjat. Tällaisten asiakirjojen pysyväissäilytyksen periaatteita ei ole vielä määritelty. Eri asiakirjojen säilytysaikoihin on tarkoitus ottaa kantaa tulevassa potilasasiakirja-asetuksessa. Paperiarkistossa arkistonmuodostussuunnitelmalla on keskeinen rooli asiakirjojen löydettävyydessä. Sähköinen arkistointi mahdollistaa tehokkaammat ja joustavammat metatietoihin perustuvat asiakirjahaut, jolloin tämä funktio poistuu arkistonmuodostussuunnitelmalta. Terveydenhuollon arkistopalvelussa tämä tehtävä siirtyy hakemisto- ja rekisteröintipalvelulle, ja se kuvataan tarkemmin hakemistoja rekisteröintipalvelun määrittelydokumentissa.
VAATIMUSMÄÄRITTELY 9/66 Jotta kansallinen arkistopalvelu voidaan ottaa käyttöön terveydenhuollon toimintayksiköiden välillä, on välttämätöntä, että kaikki toimintayksiköt käyttävät yhdenmukaista arkistonmuodostussuunnitelman tehtäväluokitusta. Asiakirjojen tuottajan roolissa toimivan potilastietojärjestelmän tarvitsee ainoastaan tietää, mihin tehtäväluokkaan sen tuottamat asiakirjat kuuluvat, minkä jälkeen arkistopalvelu vastaa asiakirjan elinkaaren toteutumisesta arkistoinnin aikana. Tehtäväluokituksen ja arkistonmuodostussuunnitelmien yhdenmukaistaminen on tärkeä osa kansallista arkistopalvelua. Julkisella sektorilla arkistonmuodostajia on arviolta 500 800 ja yhdenmukainen arkistonmuodostussuunnitelma edistää säilytettävän aineiston hallintaa ja ylläpitoa rekisterinpitäjittäin. Tämän lisäksi tulevat yksityisen terveydenhuollon arkistonmuodostajat, mikäli nämä liittyvät kansalliseen arkistopalveluun. Tulevaisuudessa, kun potilastietojärjestelmiä uusitaan, on myös mahdollista toteuttaa ns. AMS-integraatio, jossa potilastietojärjestelmä hakee arkistointipalvelusta sen arkistonmuodostussuunnitelmassa määritellyt sen tuottamia asiakirjoja koskevat säännöt ja vastaa sen jälkeen itse asiakirjojen elinkaaresta niin kauan kun alkuperäinen asiakirja on sen vaikutuspiirissä. Tätä ennen laissa asetettujen vaatimusten toteutuminen edellyttää, että potilasasiakirjat siirretään arkistopalveluun riittävän aikaisessa vaiheessa. Kansallisesti yhdenmukaisen tehtäväluokituksen määrittelee JHS-työryhmä. Kukin arkistonmuodostaja ottaa sitten käyttöön tarvitsemansa osan tästä tehtäväluokituksesta. Jotta kansallinen tehtäväluokitus pysyy tulevaisuudessakin yhtenäisenä, tulee JUHTA:n nimetä työryhmä ylläpitämään sitä. 2.3.3 Arkistonmuodostussuunnitelma ja henkilörekisterit Potilaan tietosuoja on sidottu ensi sijassa asiakirjoista muodostuviin henkilörekistereihin. Jokainen arkistonmuodostussuunnitelman tehtäväluokituksessa määritelty (alimman) asiakirjatason tehtäväluokka voidaan määritellä kuuluvaksi johonkin henkilörekisteriin. Arkistonmuodostussuunnitelmaa käytetään siis myös tiedon luokittelussa henkilötietolain (523/1999) tarkoittaman tiedon käyttötarkoituksen määrittelemiseksi ja eri käyttötarkoituksiin kerätyn tiedon pitämiseksi loogisesti eri rekistereissä. 2.4 Arkistokomponentin suhde muihin osaprojekteihin Kansallisen terveydenhuollon arkistopalvelun kokonaisarkkitehtuuri kuvataan kokonaisarkkitehtuurin määrittelydokumenteissa. Se perustuu prosessimalliin, jossa palveluväylään määritellään palveluprosessit. Arkistokomponentti esiintyy toimijana useimmissa palveluprosesseissa. Näiden prosessien tärkeimmät muut toimijat ovat hakemisto- ja rekisteröintipalvelu, loki- ja valvontapalvelu ja suostumustenhallintapalvelu. Niiden toiminnot on määritelty kunkin palvelun määrittelydokumentissa. Lisäksi arkistokomponentti käyttää asiakirjojen todistusvoimaisuuden säilyttämisessä sekä tietoturvan toteuttamisessa tunnistaminen ja sähköinen allekirjoitus määrittelydokumentissa kuvattuja tekniikoita ja palveluja, joita ovat mm. sähköinen allekirjoitus, järjestelmäallekirjoitus ja aikaleima.
2.5 Käytettävät standardit VAATIMUSMÄÄRITTELY 10/66 Arkistokomponenttiin arkistoidut asiakirjat etsitään hakemisto- ja rekisteröintipalvelun kautta. Hakemisto- ja rekisteröintipalvelusta löytyy potilasasiakirjan yksilöivä tunniste, jolla asiakirja voidaan arkistokomponentista noutaa. Jokaisesta arkistointiin liittyvästä käyttötapahtumasta asiakirjan arkistointi, asiakirjan nouto, arkiston hoito ja hallinta arkistopalvelu tallentaa merkinnän loki- ja valvontapalvelun tapahtumalokiin. Palveluväylä tekee lokimerkinnät ydinprosesseista asiakirjojen luonti ja asiakirjojen käyttäminen. Jos asiakirjan luovutus edellyttää potilaan suostumusta, palveluväylä tarkistaa suostumuksen olemassaolon suostumushallinnasta ennen pyynnön lähettämistä arkistokomponentille. Sosiaali- ja terveysministeriö määrittelee ja ylläpitää luetteloa kulloinkin sovellettavista standardeista. Tämä määrittelydokumentti perustuu taulukossa 1 esitettyihin standardeihin, lakeihin, asetuksiin, viranomaismääräyksiin ja lakiehdotuksiin. Taulukko 1: Käytettävät standardit Standardit, ohjeet, käytännöt HL7/CDA R2 Laki potilaan asemasta ja oikeuksista (785/1992) Asetus potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä, Eduskunnan vastaus /Hallituksen esitys eduskunnalle asiakastietolaiksi HE 253/2006 DICOM Arkistolaki (831/1994) Arkistolaitoksen määräykset Henkilötietolaki (1999/523) Julkisuuslaki (621/1999) ja Soveltamisalue Asiakirjamuoto ja metatietoja Potilastietojen salassapito ja luovuttaminen Potilasasiakirjojen laatiminen ja säilyttäminen Potilastietojen salassapito ja luovuttaminen Röntgen- ja muiden kuvien tallennusmuoto Laki antaa puitteet arkistotoimelle Asiakirjan elinkaari ja säilyttäminen, pysyvästi säilytettävät asiakirjat Henkilörekisterien pitäminen ja henkilön tietosuoja Asiakirjojen salassa pidettävyys ja hyvä tiedonhallinta-
VAATIMUSMÄÄRITTELY 11/66 Standardit, ohjeet, käytännöt asetus 1030/1999 JHS 143 JHS 147 JHS 156 Tehtäväluokitus ISO 15489 ISO 23081 IHE/XDS Soveltamisalue tapa Asiakirjan metatietovaatimukset Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Asiakirjojen ja tietojen rekisteröinti sähköisen asioinnin ja asiankäsittelyn tiedonhallinnassa Asiakirjallisten tietojen kansallinen tehtäväluokitus. Sitä käytetään arkistonmuodostussuunnitelmien laatimisen runkona. Asiakirjahallintoa ohjaava standardi Asiakirjahallinnon asiakirjoihin liittyviä kuvailutietoja eli metadatoja ohjaava standardi, joka sovelletaan: asiakirjoihin ja niiden kuvailutietoihin (metadata) prosesseihin, jotka vaikuttavat niihin järjestelmiin, joissa niitä säilytetään tai käsitellään organisaatioihin, jotka ovat vastuussa niiden hallinnasta Malli asiakirjan yhteiskäytölle ja säilyttämiselle. Ei ole varsinainen standardi vaan yhteisö, joka verifioi ja hyväksyy järjestelmiä eri osa-alueiden osalta yhteensopiviksi IHE-määritysten kanssa.
VAATIMUSMÄÄRITTELY 12/66 3 ARKISTOPALVELUN KÄYTTÖ KUVANTAMISESSA 3.1 Kuvantamisen nykytilanne Kuvantamisella tarkoitetaan potilaan kuvaamista seulonta- tai hoitotarkoituksessa, eli palvelutapahtumia, joiden tuloksena syntyy kuva-aineistoja. Kuva-aineistojen tutkimiseen erikoistunut terveydenhuollon ammattilainen laatii niistä lausunnon, joka on potilaskertomukseen kuuluva potilasasiakirja. Kuvantamista on esim. röntgenkuvien ottaminen, tietokonetomografia, magneettikuvaus (MRI), mammografia ja ultraäänikuvaus. Tästä syntyy melko laaja kirjo erilaisia kuva-aineistoja. Kuvantamisessa vakiintunut DICOM-standardi sallii erilaisten kuva-aineistojen tallentamisen ns. eri modaliteeteilla. Kuvantamisen modaliteetti tarkoittaa kuvantamisteknologian määrittelyä ja sitä sovelletaan kuvaamaan, miten eri kuvantamislaitteet konfiguroidaan tallentamaan kuvat ja kuviin liittyvät tiedot DICOM-standardin mukaisesti. DICOM on salliva standardi, jonka seurauksena eri toimintayksiköissä määritellyt modaliteetit saattavat olla epäyhteensopivia. Kuvantaminen on arkistopalvelun yksi keskeisimmistä sovelluskohteista, koska kuvantamisen standardit ovat vakiintuneempia kuin muissa potilastietojärjestelmissä käytettävät standardit ja kuva-aineistoilla on keskeinen asema potilaan hoidossa. Toisaalta kuva-aineistoa syntyy paljon ja yksittäiset kuvat ovat tiedostokooltaan useita kertaluokkia esim. potilaskertomuksia suurempia. Tämä asettaa arkistopalvelulle kuvantamisen kannalta erityisiä kapasiteettivaatimuksia. Niitä käsitellään arkistokomponentin teknisessä arkkitehtuurimääritysdokumentissa. Kuvantamisprosessi käynnistyy, kun hoitovastuussa oleva terveydenhuollon ammattilainen laatii tutkimuspyynnön, joka toimitetaan kuvantamispalveluita tuottavan yksikön lausunto- ja toiminnanohjausjärjestelmään (jäljempänä RISjärjestelmä). RIS-järjestelmä toimii kuvantamisen tuotannonohjausjärjestelmänä ja sisältää tiedot kaikista tutkimuspyynnön perusteella otetuista kuvista. Nämä kuvat tuotetaan eri modaliteeteilla ja tallennetaan DICOM-formaatissa kuvantamista suorittavan toimintayksikön PACS-järjestelmään. Kun kuvat on otettu ja radiologi tai muu terveydenhuollon ammattilainen on laatinut niistä lausunnon, lausunto palautetaan lähetteen laatineeseen potilastietojärjestelmään potilasasiakirjana. Edellä lueteltujen kuvamuotojen lisäksi on tunnistettu tarve tallentaa valokuva- ja videoaineistoja (esim. JPEG, TIFF, PDF, MPEG).
VAATIMUSMÄÄRITTELY 13/66 3.2 Kuvantaminen kansallisessa arkistopalvelussa Kansallisessa arkistopalvelussa kuvantamisessa noudatetaan seuraavia lähtökohtia: 1. Paikallinen/alueellinen toiminnanohjausjärjestelmä (esim. RIS) rekisteröi muodostuvan lähetteen, lausunnon ja kuvat kansalliseen hakemisto- ja rekisteröintipalveluun. 2. Paikallinen/alueellinen toiminnanohjausjärjestelmä (esim. RIS) siirtää lausunnot ja kuvat kansalliseen arkistointipalveluun kansallisen arkkitehtuurin mukaisesti. Lausuntojen ja kuvien siirron osalta menettely on: o Terveydenhuollon toimintayksikkö päättää, mitkä kuvat ja milloin lausunnot ja kuvat siirretään kansalliseen arkistopalveluun. Asetuksella kuitenkin tulee määrätä, minkä ajan kuluessa siirto on suoritettava. Mikäli tietty lausunto tai kuva tarvitaan tätä ennen toisessa toimintayksikössä arkistopalvelun kautta, nämä siirretään arkistopalveluun välittömästi. o Toimintayksikkö päättää milloin siirretyt lausunnot ja kuvat hävitetään paikallisesta/alueellisesta toiminnanohjausjärjestelmästä. STM:n tulee määrätä asetuksella aikarajat, johon mennessä ne viimeistään täytyy hävittää. Kansallisessa arkistopalvelussa lausunnot ja kuvat hävitetään toimintayksikön arkistonmuodostussuunnitelman mukaisesti. o On huomioitava, että jos terveydenhuollon toimintayksikkö röntgenpalvelujen tilaajana ja kuvantamispalveluiden antaja ovat tehneet erikoissairaanhoitolain 10 b :n 1 ja 2 momenttiin perustuvan kuvantamispalveluiden rekisterinpitoa koskevan sopimuksen, jonka perusteella kuvantamispalveluiden antaja on tilaajalle tuottamiensa potilasasiakirjojen (kuvat ja niistä annetut lausunnot) rekisterinpitäjä, niin sopimusta jouduttaneen tarkistamaan edellä lueteltujen päätösten osalta. 3. Lausunnot ja kuvat haetaan arkistopalvelusta kansallisen arkkitehtuurin mukaisesti kuvantamisen potilastietojärjestelmiin. 4. Arkistopalvelun antaja määrittelee kuinka DICOM-standardin sallimia modaliteetteja sovelletaan kansallisessa arkistopalvelussa.
VAATIMUSMÄÄRITTELY 14/66 Kuva 2 Kuvantaminen kansallisessa arkistopalvelussa. HIS/EHR (Healthcare Information System/Electronic Health Record) tarkoittaa potilastietojärjestelmää, RIS (Radiological Information System) tarkoittaa kuvantamisen toiminnanohjausjärjestelmää, ja PACS (Picture Achiving and Cammunications System) tarkoittaa kuva-aineiston paikalliseen tallentamiseen ja välittämiseen tarkoitettua järjestelmää. 3.3 Arkistopalvelun tietojärjestelmäarkkitehtuuri kuvien osalta Kuvantaminen asettaa seuraavat keskeiset vaatimukset kansalliselle arkistopalvelulle: Ratkaisun tulee perustua kuva-aineiston toimittamiseen yhteen keskitettyyn kansalliseen arkistoon Arkistopalvelu ei saa asettaa teknisiä rajoituksia siihen arkistoitavien kuvien ja objektien tiedostomuodoille. Arkistopalveluun täytyy voida tallentaa tekstimuotoista ja binäärimuotoista tietoa. Kuvat tallennetaan arkistopalvelun DICOM-formaatissa. Kuvien tiedonsiirron protokollana voi olla DICOM tai HL7. (Protokollan osalta määrittelyjä vielä tarkennetaan valittavan tietojärjestelmäkokonaisuuden toiminnallisuuden perusteella.) Arkistopalvelu mahdollistaa DICOM-kuvien lisäksi yleisimpien digitaalisten kuva- ja videotiedostomuotojen arkistoinnin.
VAATIMUSMÄÄRITTELY 15/66 Näin toteutettuna arkkitehtuuri mahdollistaa muidenkin digitaalisten aineistojen (EKG-mittaukset, teho-osaston ja muut seurantakäyrät sekä mittaustulokset jne.) sähköisen arkistoinnin saman mallin mukaisesti. Tällä hetkellä esteenä näiden aineistojen arkistoinnin aloittamiselle on, että niiden tiedostomuodoille ei vielä ole yleisesti hyväksyttyä tai sovellettua standardia. Arkistoitavaa datamäärää voidaan kuvien osalta pienentää merkittävästi edellyttämällä, että radiologi merkitsee lausuntoonsa, mihin kuviin lausunto perustuu. Tällöin arkistoidaan vain ne kuvat, joihin lausunto perustuu tai määrätään lyhyempi säilytysaika kuville, joita ei ole käytetty lausunnon perustana. Kahdelta terveydenhuollon toimintayksiköltä on saatu tietoja kuvien käytöstä toimintayksikön sisällä. Molempien kokemukset tukevat toinen toisiaan ja osoittavat että kuvien käyttö kohdistuu voimakkaasti tuoreisiin kuviin. Alle 10 % käytöstä kohdistuu kuviin jotka ovat yli 3 kk vanhoja. Saatavissa olleiden tilastotietojen pohjalta nykyinen tallennuskapasiteettitarve on arviolta 70 TB. Kun tallennustarpeen kasvu oletetaan vakioksi 150 %, tallennuskapasiteettitarve on 10 vuoden päästä 8000 TB. Tiedonsiirto- ja tallennuskapasiteettitarvetta käsitellään tarkemmin kokonaisarkkitehtuurin vaatimusmäärittelydokumentissa.
VAATIMUSMÄÄRITTELY 16/66 4 SIDOSRYHMÄKUVAUS Sidosryhmät ovat tahoja, jotka ovat kansallisen arkistopalvelun vaikutuspiirissä, vaikuttavat arkistopalvelun toimintaan tai valvovat sen toimintaa. Kuva 3 Kansallisen arkistopalvelun sidosryhmät ja niiden suhteet arkistopalveluun. 4.1 Terveydenhuollon palvelujen antaja 4.2 Viranomainen Terveydenhuollon palvelujen antajalla tarkoitetaan Potilaslain 2 :n 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, Työterveyshuoltolain (1383/2001) 7 :n 2 kohdassa tarkoitettua työnantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä (EV 232/2006, 3 kohta 7). Terveydenhuollon palvelujen antajat ovat kansallisen arkistopalvelun tärkeimpiä käyttäjiä sekä asiakirjojen tuottajina että niiden käyttäjinä. Sosiaali- ja terveysministeriö (STM) ohjaa ja valvoo sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä ja siihen tarkoitettuja valtakunnallisia tietojärjestelmäpalveluja. Arkistolaitos ohjaa ja valvoo asiakirjahallintoa, asiakirjojen pit-
4.3 Ulkopuolinen toimija 4.4 Järjestelmätoimittaja 4.5 Kansalainen 4.6 Tutkija VAATIMUSMÄÄRITTELY 17/66 käaikaissäilytystä sekä pysyvästi säilytettävien asiakirjojen säilytystä koko niiden elinkaaren ajan. Henkilötietojen käsittelyä ohjaa, neuvoo ja valvoo tietosuojavaltuutetun toimisto. Terveydenhuollon oikeusturvakeskus (TEO) ja lääninhallitukset ylläpitävät ja edistävät osaltaan potilasturvallisuutta valvomalla terveydenhuollon ammattihenkilöitä. Muita viranomaisia ovat: Kunnat tai kuntayhtymät, joiden vastuulla on arkistonmuodostus Kansaneläkelaitos (Kela), joka tuottaa palveluita terveydenhuollolle Sosiaali- ja terveysalan kehittämiskeskus (STAKES), joka toimii terveydenhuollon tutkijana, tutkimuslaitoksena ja valtakunnallisena tilastoijana. Ulkopuolinen toimija on taho, jolla on lain määrittelemä oikeus arkistopalvelussa säilytettyyn tietoon. Järjestelmätoimittaja kehittää toimittamansa potilastietojärjestelmät sellaisiksi, että ne ovat yhteensopivia arkistopalvelun tietojärjestelmäarkkitehtuurin kanssa. Kansalaisella tai hänen laillisella edustajallaan terveydenhuollon asioissa on oikeus tarkastella laissa määrättyjä itseään koskevia tietoja arkistopalvelussa. Kansalainen liittyy arkistopalveluun katseluyhteyden kautta. Tutkija tekee tutkimustyötä tai asiakirjatutkimusta käyttäen hyväksi arkistopalvelussa säilytettäviä potilasasiakirjoja. Tutkimusten tekijät ovat tämän määrittelyn ulkopuolella.
VAATIMUSMÄÄRITTELY 18/66 5 TOIMINTA- JA TYÖPROSESSIEN KUVAUS 5.1 Asiakirjan arkistointi 5.1.1 Asiakirjan arkistointi Arkistokomponentin kannalta tärkeät prosessit ovat ydinprosessit - asiakirjan arkistointi, asiakirjan käyttäminen ja arkistonhallinta sekä arkistojen hallinta ja terveydenhuollon arkistonmuodostussuunnitelman (AMS) hallinta. Ydinprosessikaaviot on kuvattu kokonaisarkkitehtuurin vaatimusmäärittelydokumentissa. Tärkeimmät arkiston tarjoamat palvelut kokonaisarkkitehtuurille ovat asiakirjan arkistointi ja asiakirjojen jakelu käyttö- tai luovutustarkoitukseen. Asiakirjojen arkistonhallinnan kannalta keskeisin arkiston tarjoama palvelu on arkistoidun asiakirjan elinkaaren automaattinen ylläpito sähköisessä arkistonmuodostussuunnitelmassa (eams) määriteltyjen sääntöjen perusteella. Asiakirjat päätyvät elinkaarensa lopussa hävityslistalle, jonka kautta asiakirjat hävitetään. Arkistoidun asiakirjan elinkaaren ylläpito ja arkistokomponentin moduulirakenne on kuvattu kokonaisarkkitehtuurin arkkitehtuurimäärittelydokumentissa. Asiakirjan arkistoinnilla tarkoitetaan asiakirjan siirtoa kansalliseen arkistopalveluun ennalta laaditun suunnitelman mukaan. Potilastietojärjestelmä arkistoi asiakirjan, kun asiakirjasta vastuussa oleva terveydenhuollon ammattihenkilö päättää, että asiakirja on valmis. Potilastietojärjestelmän tulee arkistoida asiakirja, kun se täyttää asetuksessa määrätyt vaatimukset asiakirjan valmistumisajasta. Tämän jälkeen asiakirjaa ei voida enää muuttaa muuten kuin korvaamalla se uudella versiolla, ja siitä potilastietojärjestelmiin jäävät kopiot voidaan hävittää. Ellei asiakirjaa ole vielä rekisteröity hakemisto- ja rekisteröintipalveluun, se rekisteröidään arkistoinnin yhteydessä. Tässä vaiheessa ei toteuteta keskeneräisen asiakirjan tallentamista hakemisto- ja rekisteröintipalveluun eikä keskeneräisen asiakirjan luovutusta, koska keskeneräisen potilasasiakirjan määrittelyt ovat vielä auki. Keskeneräisenä rekisteröity asiakirja merkitään hakemisto- ja rekisteröintipalveluun valmiiksi, minkä jälkeen asiakirjan arkistossa oleva kappale katsotaan alkuperäiseksi ja potilastietojärjestelmiin mahdollisesti jäävät kappaleet kopioiksi. Potilastietojärjestelmät arkistoivat asiakirjoja kun ne valmistuvat. Arkistointipyyntö koostuu seuraavista tiedoista: Protokollaa täsmentävät tiedot, esimerkiksi versio, synkronisuus, aika, arkistoitavien asiakirjojen lukumäärä ja koko Pyyntöä täsmentävät tiedot, esimerkiksi arkisto ja tehtäväluokka, johon asiakirja arkistoidaan, syntyykö arkistointitapahtumassa uudelle asiakirjalle suhde muihin arkistoituihin asiakirjoihin (esimerkiksi kun virheellinen
VAATIMUSMÄÄRITTELY 19/66 asiakirja korvataan korjatulla versiolla), onko kyseessä valmiin asiakirjan vai luovutusversion arkistointi Arkistoitavan asiakirjan metatiedot XML-muodossa potilasasiakirjaasetuksessa määriteltävän rakenteen mukaisesti Itse arkistoitava asiakirja binääri- tai tekstimuodossa Arkistoitava asiakirja ja sen metatiedot muodostavat arkistoitavan kokonaisuuden. Kuva 4. Asiakirjan arkistointi
VAATIMUSMÄÄRITTELY 20/66 Kuvassa 4 on esitetty asiakirjan arkistoinnin vaiheet, joita seuraavassa tarkennetaan. 1. Potilastietojärjestelmä on käynnistänyt asiakirjan arkistointiprosessin palveluväylässä, ja palveluväylä lähettää asiakirjan arkistokomponentin arkistoi asiakirja rajapinnalle. 2. Arkistokomponentti tarkistaa pyynnön oikeudet. Koska palveluväylä on luotettu järjestelmä, käytännössä tämä tarkoittaa palvelimen tunnistamista esimerkiksi IP-numeron ja palvelinvarmenteen avulla. 3. Arkistokomponentti tarkistaa, että kaikki vaadittavat arkistolliset metatiedot on lähetetty ja metatietorakenne vastaa eams:iin määriteltyä. 4. Arkistokomponentti tarkistaa, seuraako asiakirjan arkistoinnista tarve muuttaa viittauksia muissa asiakirjoissa. Näin voi tapahtua esimerkiksi jos virheellinen asiakirja korvataan korjatulla versiolla. Tällöin virheellisen asiakirjan metatietoihin liitetään merkintä virheellisyydestä sekä viittaus korvaavaan asiakirjaan. 5. Jos muutoksia tuli, arkistokomponentti tekee ne. 6. Muutoksista kirjataan merkintä arkiston tekniseen tapahtumalokiin ja päivitetään metatietojen muutoshistoria. 7. Arkistokomponentti kokoaa syntykontekstin osoittavat ja arkistolliset metatiedot lähetetyistä metatiedoista ja muista lähteistä (esimerkiksi arkistointiaika palvelimen kellosta tai kolmannen osapuolen luotetusta kellosta). 8. Arkistokomponentti tallentaa arkistolliset ja syntykontekstin osoittavat metatiedot. 9. Arkistokomponentti tarkistaa asiakirjan olemassaolon ja tallentaa sen. 10. Asiakirjan onnistuneesta arkistoinnista tehdään merkintä arkiston tekniseen tapahtumalokiin. 11. Arkistokomponentti muodostaa palautusviestin, jossa se kuittaa arkistointitapahtuman onnistuneeksi. Jos jossakin vaiheessa tapahtui virhe, palautetaan kuvan 4 mukaisesti virheilmoitus, josta selviää virheen luonne ja aiheuttaja. 5.2 Asiakirjan käyttö arkistopalvelussa Arkistopalvelussa asiakirjan käyttö tarkoittaa, että terveydenhuollon ammattihenkilö hakee käyttöönsä oman organisaationsa potilastietojärjestelmässä luodun asiakirjan samaan käyttötarkoitukseen kuin mihin asiakirja on luotu. Asiakirja siis (1) kuuluu loogiseen henkilörekisteriin, jonka käyttötarkoitus on sama kuin käyttöpyynnössä ilmaistu, ja (2) asiakirjapyyntö tulee saman rekisterinpitäjän sisältä.
VAATIMUSMÄÄRITTELY 21/66 Asiakirja voi sijaita potilastietojärjestelmässä, kansallisessa arkistopalvelussa tai eri potilastietojärjestelmissä, jotka yhdessä muodostavat loogisen potilasrekisterin. Asiakirjan käyttöön ei tarvita potilaan suostumusta. 5.3 Asiakirjan luovutus arkistopalvelusta 5.4 Asiakirjojen jakelu Arkistopalvelussa asiakirjan luovutus tarkoittaa potilastiedon antamista muuhun kuin sen sisältävän loogisen henkilörekisterin käyttötarkoituksen mukaiseen käyttöön rekisterinpitäjän omassa toiminnassa. Luovutus perustuu potilaan suostumukseen tai lakiin. Suostumus voi olla kirjallinen, suullinen tai asiayhteydestä ilmenevä. Suostumukseen perustuva luovutus edellyttää hoitosuhdetta tai muuta asiallista yhteyttä potilaan ja terveydenhuollon ammattihenkilön välillä. Jos asiakirja on keskeneräinen, se sijaitsee potilastietojärjestelmässä. Tällöin siitä arkistoidaan kansalliseen arkistopalveluun kopio, johon asiakirjan hyödyntäjä viittaa. Tällä varmistetaan terveydenhuollon ammattilaisen oikeusturva siinä tapauksessa että luovutettua asiakirjaa on käytetty hoitopäätöksen perusteena ja siihen tulee myöhemmin merkityksellisiä muutoksia. Jos asiakirja on valmis, se sijaitsee kansallisessa arkistopalvelussa eikä siihen enää voi tulla muutoksia. Tässä tapauksessa asiakirjaa hyödyntävä taho viittaa suoraan arkistoituun asiakirjaan. Asiakirja jaellaan arkistosta, kun hakupalvelu on yksilöinyt sen ja on varmistettu, että haku voidaan tehdä joko suostumuksen perusteella luovutuksena tai rekisterinpitäjän sisäisenä käyttönä. Pyyntö koostuu seuraavista tiedoista: Protokollaa täsmentävät tiedot, esimerkiksi versio, synkronisuus, aika, pyydettyjen asiakirjojen määrä Pyydetyn asiakirjan yksilöivä tunniste Arkistokomponentti käsittelee pyynnön ja muodostaa vastausviestin, joka sisältää: Protokollaa täsmentävät tiedot, kuten yllä Asiakirjan metatiedot, mihin on lisätty tieto siitä, että jaeltu asiakirja on kopio Itse asiakirja Virhetilanteessa arkistokomponentti palauttaa virhekoodin ja virheen kuvauksen sisältävän palautusviestin. Arkistokomponentti voi myös allekirjoittaa asiakirjan tai koko palautusviestin tarvittaessa. Jos jaeltava asiakirja on kooltaan hyvin suuri (esim. kuva-aineistot), tälle toiminnolle syntyy teknisiä rajoitteita.
VAATIMUSMÄÄRITTELY 22/66 Kuva 5 Asiakirjan jakelu Kuvassa 5 on esitetty asiakirjan jakelun vaiheet, joita seuraavassa tarkennetaan. 1. Potilastietojärjestelmä on käynnistänyt asiakirjan käyttö- tai luovutusprosessin. Palveluväylä on löytänyt asiakirjan hakemisto- ja rekisteröintipalvelun avulla ja lähettää arkistokomponentille asiakirjan jakelupyynnön. 2. Arkistokomponentti tarkistaa pyynnön oikeudet. Koska palveluväylä on luotettu järjestelmä, käytännössä tämä tarkoittaa palvelimen tunnistamista esimerkiksi IP-numeron ja palvelinvarmenteen avulla. 3. Arkistokomponentti hakee asiakirjan ja sen metatiedot tiedonhallintakerroksesta. 4. Arkistokomponentti validoi asiakirjan alkuperäisyyden ja eheyden, jotka sähköiset allekirjoitukset ovat varmistaneet asiakirjan arkistoinnissa.
5.5 Arkistonhallinta 5.5.1 Asiakirjojen hävittäminen VAATIMUSMÄÄRITTELY 23/66 5. Arkistokomponentti lisää asiakirjan metatietoihin tiedon, että jaeltava asiakirja on kopio alkuperäisestä. 6. Arkistokomponentti päättelee pyynnöstä, tarvitaanko jaeltavalle asiakirjalle sähköinen järjestelmäallekirjoitus sen eheyden ja kiistämättömyyden tarkistamiseen potilastietojärjestelmässä. 7. Jos allekirjoitus tarvitaan, arkistokomponentti allekirjoittaa sen ja liittää allekirjoituksen asiakirjan metatietoihin. 8. Arkistokomponentti jakelee asiakirjan palautusviestissä ja kirjaa tapahtumasta merkinnän arkistokomponentin tekniseen tapahtumalokiin. 9. Jos jossakin vaiheessa tapahtuu virhe, arkistokomponentti lähettää palautusviestinä virheilmoituksen, josta selviää virheen tyyppi ja aiheuttaja. Arkistonhallinnalla tarkoitetaan hallinnollisia toimenpiteitä, jotka tapahtuvat yksittäisen arkiston sisällä. Näitä ovat esimerkiksi metatietojen ylläpito, asiakirjojen laadun seuranta sekä arkistonmuodostussuunnitelman ylläpito. Ne kuuluvat arkistonhoitajan vastuualueelle. Arkistonhallinta on osa hallintaprosessia. Arkistonhallinnan palveluprosessien kannalta keskeisin, nimittäin asiakirjojen hävitys, on kuvattu tässä tarkemmin. Asiakirjat hävitetään kun niiden suunniteltu säilytysaika on päättynyt. Arkistonhoitaja pyytää arkistokomponentilta käyttöliittymänsä kautta hoitamansa arkiston hävityslistan. Sillä näkyvät kaikki ne asiakirjat, joiden suunniteltu hävityspäivä on menneisyydessä ja joita ei ole vielä hävitetty. Tietyt arkistolain määrittelemät asiakirjat on määrätty pysyvään säilytykseen pysyvästi eli niitä ei hävitetä ollenkaan.