KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT



Samankaltaiset tiedostot
Auditointi. Teemupekka Virtanen

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

KanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0

KanTa. Liittymisohje KanTa-palveluihin

Uuden terveydenhuoltolain toteutumisen edistäminen. ereseptin käyttöönoton suunnittelu ja valmistelu

KanTa. Liittymisohje KanTa-palveluihin

Terveydenhuollon todistusten välitys Kelaan -palvelu

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Kanta. Liittymisohje Kanta-palveluihin

KanTa-palveluiden liittyjämääritelmä. erespa Vaikuttajafoorumi2 Kehittämispäällikkö Maritta Korhonen

Potilastiedon arkistoon liittyminen 6 kk tukikokous

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Terveydenhuollon valtakunnalliseen tietojärjestelmäpalveluun liittyminen ja ereseptin käyttöönotto

KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät Erkki Aaltonen

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

erespa viitoittaa tietä ereseptiin Ohjeistus ereseptin auditointivaatimusten täyttämiseksi Yksityisen sektorin yritykset

Potilastiedon arkistoon liittyminen 3 kk tukikokous

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

Sähköinen lääkemääräys Käyttöönottojen tilanne ja tuki käyttöönottojen jälkeen

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Potilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja

Kanta Liittymisohje Kanta-asiakastestipalveluun

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3

L A H J A K I R J A. Sissolan pihapiirin muodostavat seuraavat tilat rakennuksineen;

Valmistautumistilaisuus liittyjälle Potilastiedon arkisto. Kela, Kanta-palvelut,

JOENSUUN SEUDUN HANKINTATOIMI KOMISSIOMALLI

eresepti-palvelun palvelukuvaus

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

Näin teet liittymishakemuksen ja päivität asiakastietojasi

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä Timo Airaksinen, Salivirta & Partners

AUTOMAATTINEN SAMMUTUSLAITTEISTO - SUUNNITTELUTOIMISTON HYVÄKSYMINEN 2016

KanTa-palvelujen tilannekatsaus. Marina Lindgren, KanTa-palvelut, Kela

HAKEMUS TEHOSTETUN PALVELUASUMISEN PALVELUSETELITUOTTAJAKSI

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

8. EMC-direktiivi ja standardihierarkia

Omien tietojen katselu. Terveydenhuollon ATK-päivät

Miten liitytään Kanta-palveluihin. Kanta-liittyjän ohje

sivu 1 (5) Sähköinen lääkemääräys vaatimusmäärittely versio 2.8

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Kanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote. SosKanta-hanke/Kaisa Pesonen

Tietosuojavastaavan toiminta ja dokumentointi

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

Näin teet liittymishakemuksen ja päivität asiakastietojasi

APTEEKKIEN TOIMINTAOHJEMALLI: SÄHKÖISEEN RESEPTIIN LIITTYVÄT HÄIRIÖTILANTEET

Miten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville

Kysely- ja välityspalvelu

erespa viitoittaa tietä ereseptiin Projektoinnin työpaja yrityksille 2014

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

KanTa. Liittyjät -ohje v. 1.0

Toiminta häiriötilanteissa. 3/2013 v. 1.3

ESR-Henkilö. Tunnistautuminen ESR-Henkilö -järjestelmässä

SISÄISEN AUDITOINNIN MENETTELYOHJE

Omakannan Omatietovaranto palvelun asiakastestaus

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN. Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

JIK-peruspalveluliikelaitoskuntayhtymä (jäljempänä Tilaaja ) Könnintie 27 B, ILMAJOKI. Hankinta- ja taloussuunnittelija, p.

SHY Turun paikallisosasto seminaariristeily EN sertifiointi

Luovia ratkaisuja Erasmus-byrokratian kanssa painimiseen KANSAINVÄLISTEN ASIOIDEN KEVÄTPÄIVÄT , TURKU

Kanta-palvelun vaatimukset palveluntuottajalle

Kanta-palvelun vaatimukset palveluntuottajalle

Organisaation muutostilanteet

Valtioneuvoston asetus

Kansallinen Terveysarkisto KanTa

Näin käytät ereseptiä

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

Organisaation muutostilanteet. Kela, Kanta-palvelut

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Valuuttamääräiset maksut RM-järjestelmässä Toimitusjohtajan päätös RM-järjestelmän liikkeeseenlaskijoille RM-järjestelmän tilinhoitajille

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

HANKINTASOPIMUS. Kyh Kyh liite 4. Osapuolet Perusturvakuntayhtymä Karviainen ("Ostaja") PL Nummela

Väli- ja loppuraportointi

Farmaseuttinen johtaja Sirpa Peura Suomen Apteekkariliitto

Kanta-palveluiden vaatimukset sote- ja maakuntauudistuksessa

Kela kansallisena toimijana sosiaali- ja terveydenhuollon sähköisten asiakirjojen käsittelyssä

SOPIMUS LAITE- JA OHJELMISTOTOIMITUKSESTA (LUONNOS )

AMMATTIOPPILAITOKSET Metsäalan Näyttötutkinnoista vastaavat

HUOM! Sinisellä taustavärillä on merkitty tarjoajan täytettäväksi tarkoitetut sarakkeet/kohdat/solut.

OMAISHOIDON VAPAAN JA KEHITYSVAMMAISTEN TILAPÄISHOIDON PALVELUIDEN HANKINTA

Kuusamon kaupungin ohjeistus PALVELUSETELI- JA OSTOPALVELUJÄRJESTELMÄN KÄYTTÖÖN

Puheenjohtajana taloyhtiössä rooli ja vastuut

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

Espoon kaupunki Pöytäkirja Teollisuustontin vuokrauspäätöksen jatkaminen Martinsillassa Sähkö-Polar Oy:lle, kortteli tontti 2

MATKAHUOLLON MATKAPALVELUIDEN KÄYTTÖÄ KOS- KEVA SOPIMUS

MYEERIKKILÄ OHJEET PELAAJALLE

Helsingin kaupunki, Jäteyhtiön perustajaosakkaana. Jäteyhtiön osakkeenomistajat ( Osakkeenomistaja tai yhdessä Osakkeenomistajat )

Aluetietojärjestelmien migraatio kansallisten palveluiden käyttöön

Välittäjän määritelmä:

Espoon kaupunki Pöytäkirja 59. Valmistelijat / lisätiedot: Katja Hakala, puh etunimi.k.sukunimi@espoo.fi

KanTa-palvelut. Sähköisen lääkemääräyksen yhteistestauksen suunnitelma. versio 1.2

Valmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

Transkriptio:

OHJE v1.1 1(4) 27.2.2012 KANTA-PALVELUIHIN LIITTYVÄN AUDITOINNIN MENETTELYT Auditoinnilla tarkoitetaan toimenpidettä, jolla varmistetaan, että KanTa-kokonaisuuteen liittyvät järjestelmät ja organisaatiot täyttävät turvallisuudelle ja KanTa-järjestelmien toiminnallisuudelle asetettavat minimivaatimukset. Auditointivaatimukset on kerätty voimassa olevista määräyksistä ja ne muodostavat tarkistuslistan vaatimuksista, jotka olisi täytettävä joka tapauksessa. Auditointi on välttämätön ehto organisaation liittymiselle KanTa-palveluihin. Auditointi jakautuu kahteen osaan: järjestelmien auditointiin ja organisaatioiden auditointiin. Auditointi kohdistuu Reseptikeskukseen liittymisen yhteydessä eresepti toimintaan ja siihen liittyviin tietojärjestelmiin ja tietoliikenneyhteyksiin. Auditoitaessa järjestelmiä ja organisaatioita earkiston käyttöön, auditoinnin kohteena ovat eresepti- ja earkisto-toiminta sekä ereseptija earkisto-palveluja tarjoavat järjestelmät. Auditoinnin toteuttamista varten STM on hyväksynyt allamainitut kansalliset auditointivaatimukset. STM voi vuosittain tehdä muutoksia vaatimuksiin. Lokakuussa 2011 on päätetty kansallisten auditointivaatimusten versioon 1.0 9.9.2010 tulevista muutoksista. Kansalliset auditointivaatimukset apteekeille (STM) Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (STM) Kansalliset auditointivaatimukset apteekkijärjestelmille (STM) Kansalliset auditointivaatimukset potilastietojärjestelmille (STM) Kansalliset auditointivaatimukset välittäjille (STM) Muutokset Kanta-hankkeeseen liittyvässä auditoinnissa (STM) 10.10.2011 Järjestelmien auditointi Kaikki KanTa-kokonaisuuteen kuuluvat tietojärjestelmät on auditoitava. Tämä koskee sekä valtakunnallisia palveluita (earkisto- ja eresepti-palvelu-, rooli- ja attribuuttipalvelu sekä koodistopalvelu) sekä niitä käyttäviä potilastietojärjestelmiä ja apteekkijärjestelmiä. Auditointi jakautuu kahteen vaiheeseen. Yhteistestauksessa (tekninen auditointi) varmistetaan järjestelmien tekninen yhteentoimivuus. Tämän vaiheen järjestelyistä vastaa Kela. Testausta varten Kela on laatinut testausmallin, jolla varmistetaan, että eri osapuolet pystyvät toteuttamaan vaaditut toiminnallisuudet ja ymmärtämään toistensa tallentamat dokumentit. Tietoturva-auditoinnissa varmistetaan, että järjestelmiin ja, siltä osin kuin kyse on toimittajan vastuulla olevista asioista, niiden tekniseen käyttöympäristöön (konesalit, palvelimet ym.) on rakennettu auditointivaatimuksissa ilmoitetut turvallisuusominaisuudet. Tästä auditoinnista vastaa STM. Teknisesti auditoinnin toteuttaa erillinen asiantuntijataho, joka tällä hetkellä on KPMG Oy. KPMG:n auditoija arvioi järjestelmän suhteessa auditointivaatimukseen ja kirjoittaa auditointiraportin. Raportin perusteella STM hyväksyy, hyväksyy ehdollisena tai hylkää auditoinnin. Ehdollinen hyväksyminen tarkoittaa, että järjestelmään on tehtävä muutoksia ja muutokset tulee hyväksyttää erikseen. Ennen muutosten toteuttamista järjestelmän käyttö voidaan sallia, jos virheen vaikutukset voidaan estää järjestelmän käyttötapaa tilapäisesti muuttamalla.

Järjestelmän teknisen ja tietoturva-auditoinnin kulku. 1. Järjestelmän toimittaja varmistuu omissa sisäisissä testeissään, että järjestelmä täyttää teknisen ja tietoturva-auditoinnin vaatimukset 2. Toimittaja ilmoittautuu Kelan yhteistestaukseen 3. Läpimenneen yhteistestauksen jälkeen Kela toimittaa tiedon tuloksista STM:lle 4. Toimittaja pyytää STM:ltä tietoturva-auditointia 5. STM, KPMG ja toimittaja sopivat auditoinnin teknisistä järjestelyistä (mm. kahden viikon toimitusaika ) 6. KPMG laatii auditoinnista kirjallisen raportin STM:lle 7. STM päättää auditoinnin hyväksymisestä raportin perusteella 8. Toimittajalle annetaan todistus hyväksytystä auditoinnista ja hyväksytty järjestelmä lisätään KanTa.fi-sivuston luetteloon. Auditointi on voimassa 3 vuotta sille järjestelmälle, joka on ollut auditoinnin kohteena. Uudet ominaisuudet ja merkittävät muutokset edellyttävät auditoinnin uusimista. Auditointitarpeesta päättää STM. Toimittaja ottaa yhteyttä STM:n auditoinnista vastaavaan henkilöön noin 3 kuukautta ennen kuin tehdyt muutokset ovat auditoitavissa. Käytännössä kaikki potilastietojärjestelmät auditoidaan vähintään kahdesti: ensin sähköiseen reseptiin liittyviin toiminnallisuuksien osalta ja seuraavassa vaiheessa arkistoon liit-tyvien ominaisuuksien osalta. Auditointi on toimenpide, jolla toimittaja vakuuttaa muut osapuolet järjestelmänsä vaatimustenmukaisuudesta. Auditoinnin kulut ovat osa tuotekehitystä ja ne laskutetaan järjestelmätoimittajalta alkuvaiheen koeauditointeja lukuun ottamatta. Organisaation auditointi Organisaatiot jaetaan auditoinnissa kahteen ryhmään: Terveydenhuollon organisaatiot ja apteekit sekä muut organisaatiot (ns. välittäjät). Terveydenhuollon organisaatioiden ja apteekkien auditointi suoritetaan itseauditointina. Liittyessään valtakunnallisiin palveluihin organisaatio vakuuttaa, että se ja sen käyttämät tietojärjestelmät ja välittäjät täyttävät STM:n hyväksymät kansalliset auditointivaatimukset siltä osin kuin ne koskevat liittyjää ja ereseptiä. Liittyvän terveydenhuoltopalveluita tuottavan organisaation ja apteekin auditoinnin kulku 1. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen liittymisvaiheessa

2. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 3. organisaatio tekee hallinnollisen liittymispäätöksen 4. organisaatio tekee hakemukset palvelu- ja henkilövarmenteista VRK:lta 5. organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio liittymiseen mennessä 6. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa sekä että sen järjestelmätoimittajat ja välittäjät ovat omalta osaltaan toimittaneet organisaatiolle selvityksen kansallisten auditointivaatimusten täyttymisestä 7. organisaation allekirjoitusoikeuden omaava edustaja allekirjoittaa liittymishakemuksen yhteydessä Kelalle sitoumuksen, jossa hän vakuuttaa edustamansa organisaation täyttävän kansalliset auditointivaatimukset 8. organisaatio huolehtii, että sen toiminnan turvataso säilyy ja että se kehittyy seuraavan liittymisvaiheen vaatimuksia vastaavaksi. Terveydenhuollon organisaation ja apteekin osalta velvollisuus noudattaa kulloinkin voimassa olevia auditointivaatimuksia on pysyvä. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset. Välittäjän auditointi Kanta-palveluihin liittyvän organisaation liitynnän toteuttamisessa ns. välittäjänä (KanTa välittäjä on määrittelty kanta.fi -sivun sanastossa) käyttämät palveluntarjoajat auditoidaan KPMG:n toimesta tai itseauditointina käyttäen välittäjälle asetettuja kansallisia auditointivaatimuksia. Välittäjä on terveydenhuollon organisaation tai apteekin KanTa-liitynnän toteuttamisessa käyttämä palveluntarjoaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilastietoja, esim. ylläpitotoimien yhteydessä. VRKn palvelinvarmenteella toteutettava TLS-salattu yhteys muodostetaan yleensä välittäjän ja KanTa-palvelujen välille. Välittäjäksi ei määritellä organisaatiota, joka toimii ainoastaan TLSsalatun tietoliikenteen reitittäjänä eikä voi nähdä salaamattomia potilastietoja. Välittäjän erityistapaus on organisaatio, joka on itse KanTa-liittyjä, esim. sairaanhoitopiiri tai sen liikelaitos. Mikäli välittäjän vastuulla olevaa ympäristöä hyödynnetään usean KanTa-liittyjän tiedonsiirtoyhteyden toteuttamisessa, riittää että palveluntarjoaja / organisaatio auditoidaan kertaalleen. Mikäli sama välittäjä hyödyntää eri ympäristöjä usean KanTa-liittyjän tiedonsiirtoyhteyksien toteuttamisessa, tulee välittäjän vastata siitä että auditointikriteerien mukaiset vaatimukset täyttyvät myös muissa kuin auditoidussa ympäristössä (vaihtoehtoisesti tulee jokainen ympäristö erillisesti auditoida). Välittäjän, joka on itse KanTa-liittyjä, esim. sairaanhoitopiiri tai sen organisaatioon kuuluva liikelaitos, terveydenhuollon yksikön tai julkisen viranomaisen kokonaan omistama yhtiö, auditointi voidaan tehdä itseauditointina. Jos tällainen KanTa-liityntäpistettä hallinnoiva välittäjä ha-

luaa tietonsa julkaistavan KanTa.fi-sivustolla, sen tulee antaa kirjallinen, allekirjoitettu vakuutus itseauditoinnin suorittamisesta ja välittäjää koskevien auditointivaatimusten täyttämisestä ensimmäiselle välittäjän palveluja käyttävälle liittyjäasiakkaalleen, joka toimittaa vakuutuksen Kelalle liittymishakemuksen ja sitoumuksen mukana. Välittäjän auditoinnin kulku 1. välittäjänä toimivalla organisaatiolla on KanTa-palveluihin liittyvä asiakas ja tämän antama valtuutus toimia sen sanomaliikenteen välittäjänä KanTaan 2. organisaatio tutustuu hyvissä ajoin auditointivaatimuksiin ja huolehtii vaadittaviin toimiin ryhtymisestä ajoissa, jotta se pystyy osoittamaan vaatimusten täyttämisen sen palveluita käyttävien liittyjäorganisaatioiden liittymisvaiheessa 3. siltä osin kun organisaatio ostaa tietojärjestelmä- tai tietoliikennepalvelut muualta, organisaatio välittää niihin kohdistuvat vaatimukset ja todentamispyynnöt palveluiden tuottajilleen 4. jos välitystoimintaan liittyy sanoman muodostamiseen liittyviä palveluita, organisaatio huolehtii käyttämänsä tietojärjestelmän version olevan auditoitu versio hyvissä ajoin ennen sen palveluita käyttävien liittyjäorganisaatioiden liittymistä. 5. organisaatio tarkastaa, että auditointivaatimusten edellyttämät dokumentit ja toimenpiteet ovat kunnossa 6. organisaatio ilmoittautuu THL:n ylläpitämään Välittäjärekisteriin 7. organisaatio hakee VRK:lta tarvittavat varmenteet ja varmistaa tietoliikenneyhteyksien toiminnan 8. organisaatio rakentaa yhteydet Kelan palveluihin 9. kun organisaatiolta edellytetään ulkoista auditointia a. organisaatio pyytää STM:ltä auditointia, auditoinnista sovitaan STM:N KMPG:n ja organisaation kesken b. STM päättää auditoinnin tuloksesta KPMG:n raportin perusteella, organisaatio saa todistuksen auditoinnista ja hyväksytyt organisaatiot julkaistaan Kanta.fisivustolla 10. organisaatio, jolta ei edellytetä ulkoista auditointia, suorittaa itseauditoinnin loppuun ja vahvistaa välittäjälle asetettujen auditointivaatimusten täyttämisen. 11. organisaation palveluita käyttävät liittyjäorganisaatiot voivat tehdä omat sitoumuksensa Kelan kanssa. Liittyjäorganisaatiolle itseauditoinnista vakuutuksen antaneet välittäjät julkaistaan Kanta.fi-sivustolla. Välittäjäorganisaation auditointi on toimenpide, jolla toimittaja vakuuttaa muut osapuolet toimintansa vaatimuksenmukaisuudesta. Ulkoisen auditoinnin kulut ovat osa organisaation laatutyötä ja ne laskutetaan välittäjäorganisaatiolta.

Välittäjäorganisaatioiden ulkoinen auditointi on voimassa kolme vuotta, minkä jälkeen auditointi on uusittava. Auditointi on uusittava myös merkittävien muutosten jälkeen. Kysymykset uuden auditoinnin tarpeellisuudesta osoitetaan STM:ään Välittäjäorganisaatioiden tulee noudattaa auditointivaatimuksia sellaisina kuin ne kulloinkin ovat voimassa. Vaatimusten muuttuessa organisaatiolla on kuusi kuukautta aikaa täyttää uudet vaatimukset.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute