OHJE v1.1 1(4) 27.2.2012 KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT Auditoinnilla tarkoitetaan toimenpidettä, jolla varmistetaan, että KanTa-kokonaisuuteen liittyvät järjestelmät ja organisaatiot täyttävät turvallisuudelle ja KanTa-järjestelmien toiminnallisuudelle asetettavat minimivaatimukset. Auditointivaatimukset on kerätty voimassa olevista määräyksistä ja ne muodostavat tarkistuslistan vaatimuksista, jotka olisi täytettävä joka tapauksessa. Auditointi on välttämätön ehto organisaation liittymiselle KanTa-palveluihin. Auditointi jakautuu kahteen osaan: järjestelmien auditointiin ja organisaatioiden auditointiin. Auditointi kohdistuu Reseptikeskukseen liittymisen yhteydessä eresepti toimintaan ja siihen liittyviin tietojärjestelmiin ja tietoliikenneyhteyksiin. Auditoitaessa järjestelmiä ja organisaatioita earkiston käyttöön, auditoinnin kohteena ovat eresepti- ja earkisto-toiminta sekä ereseptija earkisto-palveluja tarjoavat järjestelmät. Auditoinnin toteuttamista varten STM on hyväksynyt allamainitut kansalliset auditointivaatimukset. STM voi vuosittain tehdä muutoksia vaatimuksiin. Lokakuussa 2011 on päätetty kansallisten auditointivaatimusten versioon 1.0 9.9.2010 tulevista muutoksista. Kansalliset auditointivaatimukset apteekeille (STM) Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (STM) Kansalliset auditointivaatimukset apteekkijärjestelmille (STM) Kansalliset auditointivaatimukset potilastietojärjestelmille (STM) Kansalliset auditointivaatimukset välittäjille (STM) Muutokset Kanta-hankkeeseen liittyvässä auditoinnissa (STM) 10.10.2011 Järjestelmien auditointi Kaikki KanTa-kokonaisuuteen kuuluvat tietojärjestelmät on auditoitava. Tämä koskee sekä valtakunnallisia palveluita (earkisto- ja eresepti-palvelu-, rooli- ja attribuuttipalvelu sekä koodistopalvelu) sekä niitä käyttäviä potilastietojärjestelmiä ja apteekkijärjestelmiä. Auditointi jakautuu kahteen vaiheeseen. Yhteistestauksessa (tekninen auditointi) varmistetaan järjestelmien tekninen yhteentoimivuus. Tämän vaiheen järjestelyistä vastaa Kela. Testausta varten Kela on laatinut testausmallin, jolla varmistetaan, että eri osapuolet pystyvät toteuttamaan vaaditut toiminnallisuudet ja ymmärtämään toistensa tallentamat dokumentit. Tietoturva-auditoinnissa varmistetaan, että järjestelmiin ja, siltä osin kuin kyse on toimittajan vastuulla olevista asioista, niiden tekniseen käyttöympäristöön (konesalit, palvelimet ym.) on rakennettu auditointivaatimuksissa ilmoitetut turvallisuusominaisuudet. Tästä auditoinnista vastaa STM. Teknisesti auditoinnin toteuttaa erillinen asiantuntijataho, joka tällä hetkellä on KPMG Oy. KPMG:n auditoija arvioi järjestelmän suhteessa auditointivaatimukseen ja kirjoittaa auditointiraportin. Raportin perusteella STM hyväksyy, hyväksyy ehdollisena tai hylkää auditoinnin. Ehdollinen hyväksyminen tarkoittaa, että järjestelmään on tehtävä muutoksia ja muutokset tulee hyväksyttää erikseen. Ennen muutosten toteuttamista järjestelmän käyttö voidaan sallia, jos virheen vaikutukset voidaan estää järjestelmän käyttötapaa tilapäisesti muuttamalla.
Järjestelmän teknisen ja tietoturva-auditoinnin kulku. 1. Järjestelmän toimittaja varmistuu omissa sisäisissä testeissään, että järjestelmä täyttää teknisen ja tietoturva-auditoinnin vaatimukset 2. Toimittaja ilmoittautuu Kelan yhteistestaukseen 3. Läpimenneen yhteistestauksen jälkeen Kela toimittaa tiedon tuloksista STM:lle 4. Toimittaja pyytää STM:ltä tietoturva-auditointia 5. STM, KPMG ja toimittaja sopivat auditoinnin teknisistä järjestelyistä (mm. kahden viikon toimitusaika ) 6. KPMG laatii auditoinnista kirjallisen raportin STM:lle 7. STM päättää auditoinnin hyväksymisestä raportin perusteella 8. Toimittajalle annetaan todistus hyväksytystä auditoinnista ja hyväksytty järjestelmä lisätään KanTa.fi-sivuston luetteloon. Auditointi on voimassa 3 vuotta sille järjestelmälle, joka on ollut auditoinnin kohteena. Uudet ominaisuudet ja merkittävät muutokset edellyttävät auditoinnin uusimista. Auditointitarpeesta päättää STM. Toimittaja ottaa yhteyttä STM:n auditoinnista vastaavaan henkilöön noin 3 kuukautta ennen kuin tehdyt muutokset ovat auditoitavissa. Käytännössä kaikki potilastietojärjestelmät auditoidaan vähintään kahdesti: ensin sähköiseen reseptiin liittyviin toiminnallisuuksien osalta ja seuraavassa vaiheessa arkistoon liit-tyvien ominaisuuksien osalta. Auditointi on toimenpide, jolla toimittaja vakuuttaa muut osapuolet järjestelmänsä vaatimustenmukaisuudesta. Auditoinnin kulut ovat osa tuotekehitystä ja ne laskutetaan järjestelmätoimittajalta alkuvaiheen koeauditointeja lukuun ottamatta. Organisaation auditointi Organisaatiot jaetaan auditoinnissa kahteen ryhmään: Terveydenhuollon organisaatiot ja apteekit sekä muut organisaatiot (ns. välittäjät). Terveydenhuollon organisaatioiden ja apteekkien auditointi suoritetaan itseauditointina. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Liittyvän terveydenhuoltopalveluita tuottavan organisaation ja apteekin auditoinnin kulku 1. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa
2. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. organisaatio tekee hallinnollisen liittymispäätöksen 4. organisaatio tekee hakemukset palvelu- ja henkilövarmenteista VRK:lta 5. organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ja välittäjät ovat omalta osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi. Terveydenhuollon organisaation ja apteekin osalta velvollisuus noudattaa kulloinkin voimassa olevia auditointivaatimuksia on pysyvä. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset. Välittäjän auditointi Kanta-palveluihin liittyvän organisaation liitynnän toteuttamisessa ns. välittäjänä (KanTa välittäjä on määrittelty kanta.fi -sivun sanastossa) käyttämät palveluntarjoajat auditoidaan KPMG:n toimesta tai itseauditointina käyttäen välittäjälle asetettuja kansallisia auditointivaatimuksia. Välittäjä on terveydenhuollon organisaation tai apteekin KanTa-liitynnän toteuttamisessa käyttämä palveluntarjoaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilastietoja, esim. ylläpitotoimien yhteydessä. VRKn palvelinvarmenteella toteutettava TLS-salattu yhteys muodostetaan yleensä välittäjän ja KanTa-palvelujen välille. Välittäjäksi ei määritellä organisaatiota, joka toimii ainoastaan TLSsalatun tietoliikenteen reitittäjänä eikä voi nähdä salaamattomia potilastietoja. Välittäjän erityistapaus on organisaatio, joka on itse KanTa-liittyjä, esim. sairaanhoitopiiri tai sen liikelaitos. Mikäli välittäjän vastuulla olevaa ympäristöä hyödynnetään usean KanTa-liittyjän tiedonsiirtoyhteyden toteuttamisessa, riittää että palveluntarjoaja / organisaatio auditoidaan kertaalleen. Mikäli sama välittäjä hyödyntää eri ympäristöjä usean KanTa-liittyjän tiedonsiirtoyhteyksien toteuttamisessa, tulee välittäjän vastata siitä että auditointikriteerien mukaiset vaatimukset täyttyvät myös muissa kuin auditoidussa ympäristössä (vaihtoehtoisesti tulee jokainen ympäristö erillisesti auditoida). Välittäjän, joka on itse KanTa-liittyjä, esim. sairaanhoitopiiri tai sen organisaatioon kuuluva liikelaitos, terveydenhuollon yksikön tai julkisen viranomaisen kokonaan omistama yhtiö, auditointi voidaan tehdä itseauditointina. Jos tällainen KanTa-liityntäpistettä hallinnoiva välittäjä ha-
luaa tietonsa julkaistavan KanTa.fi-sivustolla, sen tulee antaa kirjallinen, allekirjoitettu vakuutus itseauditoinnin suorittamisesta ja välittäjää koskevien auditointivaatimusten täyttämisestä ensimmäiselle välittäjän palveluja käyttävälle liittyjäasiakkaalleen, joka toimittaa vakuutuksen Kelalle liittymishakemuksen ja sitoumuksen mukana. Välittäjän auditoinnin kulku 1. välittäjänä toimivalla organisaatiolla on KanTa-palveluihin liittyvä asiakas ja tämän antama valtuutus toimia sen sanomaliikenteen välittäjänä KanTaan 2. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen sen palveluita käyttävien liittyjäorganisaatioiden liittymisvaiheessa 3. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 4. jos välitystoimintaan liittyy sanoman muodostamiseen liittyviä palveluita, organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio hyvissä ajoin ennen sen palveluita käyttävien liittyjäorganisaatioiden liittymistä. 5. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa 6. organisaatio ilmoittautuu THL:n ylläpitämään Välittäjärekisteriin 7. organisaatio hakee VRK:lta tarvittavat varmenteet ja varmistaa tietoliikenneyhteyksien toiminnan 8. organisaatio rakentaa yhteydet Kelan palveluihin 9. kun organisaatiolta edellytetään ulkoista auditointia a. organisaatio pyytää STM:ltä auditointia, auditoinnista sovitaan STM:N KMPG:n ja organisaation kesken b. STM päättää auditoinnin tuloksesta KPMG:n raportin perusteella, organisaatio saa todistuksen auditoinnista ja hyväksytyt organisaatiot julkaistaan Kanta.fisivustolla 10. organisaatio, jolta ei edellytetä ulkoista auditointia, suorittaa itseauditoinnin loppuun ja vahvistaa välittäjälle asetettujen auditointivaatimusten täyttämisen. 11. organisaation palveluita käyttävät liittyjäorganisaatiot voivat tehdä omat sitoumuksensa Kelan kanssa. Liittyjäorganisaatiolle itseauditoinnista vakuutuksen antaneet välittäjät julkaistaan Kanta.fi-sivustolla. Välittäjäorganisaation auditointi on toimenpide, jolla toimittaja vakuuttaa muut osapuolet toimintansa vaatimuksenmukaisuudesta. Ulkoisen auditoinnin kulut ovat osa organisaation laatutyötä ja ne laskutetaan välittäjäorganisaatiolta.
Välittäjäorganisaatioiden ulkoinen auditointi on voimassa kolme vuotta, minkä jälkeen auditointi on uusittava. Auditointi on uusittava myös merkittävien muutosten jälkeen. Kysymykset uuden auditoinnin tarpeellisuudesta osoitetaan STM:ään Välittäjäorganisaatioiden tulee noudattaa auditointivaatimuksia sellaisina kuin ne kulloinkin ovat voimassa. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset.