Kansalliset auditointivaatimukset potilastietojärjestelmille. # Kriteeri / kontrollitavoite. Kommentit. todentaminen / auditointi

Samankaltaiset tiedostot
Kansalliset auditointivaatimukset potilastietojärjestelmille

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Liite 1 Tietoturvavaatimukset potilastietojärjestelmille ja apteekkijärjestelmille ja järjestelmien käyttöympäristöille

sivu 1 (8) Sähköinen lääkemääräys vaatimusmäärittely versio 2.93

sivu 1 (8) Sähköinen lääkemääräys vaatimusmäärittely versio 2.8

sivu 1 (6) Sähköinen lääkemääräys vaatimusmäärittely versio 2.7

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

Kansalliset auditointivaatimukset terveydenhuollon organisaatioille

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

Resepti-palvelu. Reseptikeskus. Palvelukuvaus 1 (6) Resepti-palvelu

Lääkkeenmäärääjän ammattioikeus- ja rajoitustiedot

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

sivu 1 (5) Sähköinen lääkemääräys vaatimusmäärittely versio 2.91

Reseptin lakimuutokset

ACUTE OHJE Informointi, kielto ja suostumus

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN MUUTOKSIA JA TOIMINTAMALLIN TARKENTAMINEN ALKAEN

Kela Kanta-palvelut Terveydenhuollon todistusten välitys Toiminnalliset prosessit

Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta.

Sähköinen allekirjoitus

Suomeksi Näin käytät ereseptiä

E-RESEPTI SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN VAATIMUSMÄÄRITTELY. Terveydenhuollon tietotekniikka -seminaari Miia Nopanen

Sähköisen lääkemääräyslain muutokset HE 219/ /251 THL/OPER lakimies Joni Komulainen Joni Komulainen, lakimies, OPER

Kansalliset toimintamallit. Sähköinen lääkemääräys

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Sähköinen lääkemääräys vaatimusmäärittely Yleiskuvaus Versio 2.71

Kanta-palvelut. Kansalaisinfoa 2018

sivu 1 (5) Sähköinen lääkemääräys vaatimusmäärittely versio 2.71

Muutokset lakiin sähköisestä lääkemääräyksestä. Jari Porrasmaa ministry of social affairs and health (Finland)

TIETOSUOJASELOSTE Reseptikeskus

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

ACUTE eresepti. Muutokset ja korjaukset

Kelain-palvelun käyttöehdot

Sähköinen lääkemääräys vaatimusmäärittely Käyttötapaukset - Apteekkijärjestelmä Versio 2.5

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Hoitotietojen käytön lokivalvonnan vaatimuksia

Sähköinen lääkemääräys vaatimusmäärittely Vaatimukset - Potilastietojärjestelmä Versio 2.5

SÄHKÖINEN RESEPTI. Sähköisen allekirjoituksen läpimurto? Terveydenhuollon ATK-päivät Tampere-talo. Matti Kataja STM

Tietosuojaseloste Reseptikeskus Rekisterinpitäjä Nimi Kansaneläkelaitos. Puhelin Postinumero Postiosoite PL 450

KOKONAISLÄÄKEHOIDON HALLINTA

Lääkitysmäärittelyt. Lääkitysmäärittelyt v (9) Prosessit (LUONNOS) Operatiivisen toiminnan ohjaus yksikkö, OPER

Lääkitysmäärittelyt 2016 Käyttötapaukset

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

KanTa-palvelut sähköinen resepti ja potilastiedon arkisto Vakuutusyhtiöpäivä Henna Koli, Kela

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Lääkelista ja lääkitys OHJE

Kanta-palvelut, Kelan näkökulma

Sähköinen lääkemääräys pitkäaikaisessa avo- tai laitoshoidossa Kansalliset toimintamallit alkaen Päivitetty

KanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0

Laki. EDUSKUNNAN VASTAUS 216/2006 vp. Hallituksen esitys laiksi sähköisestä lääkemääräyksestä sekä laiksi lääkelain 57 ja 57 a :n muuttamisesta.

Kokemuksia sähköisestä lääkemääräyksestä

Naantalin kaupunki Rekisteriseloste

Sisällysluettelo 1 Johdanto eresepti asiakkaan informointi Lääkkeen määrääminen eresepti Lääkkeen hakeminen...

Naantalin kaupunki Rekisteriseloste

Lakimuutosten vaikutukset terveydenhuollon ja apteekkien toimintaan

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki

KanTa. Sähköinen resepti terveydenhuollossa ja apteekeissa

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Suostumuskäytännöt Suomen perustuslaki

Kanta. Potilastiedon arkiston arkistonhoitajan opas

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Kanta-palvelut ja palautteiden jakelukäytäntö. Silja Iltanen Palvelupäällikkö, tietosuojavastaava Tietohallinto, Satasairaala

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Kelain-palvelun käyttöehdot

Kanta-palvelut vauvasta vaariin ja mummiin

Potilastiedon arkiston käyttöönotto ja arkistonhoitaja

Potilastiedon arkiston käyttöönotto ja arkistonhoitaja. Kela, Kanta-palvelut,

Valtakunnallinen lääkityslista moniammatillisen yhteistyön työkaluna tulevaisuudessa. Harri Nurmi THL/OPER Fimea

Omien tietojen katselu. Terveydenhuollon ATK-päivät

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Kanta-palvelut asiakkaan tueksi. Potilaan päivä, Kuopio Konstantin Hyppönen

Sähköinen resepti Terveystalossa

Kelain-palvelun käyttöehdot

Omakannan uudet toiminnallisuudet

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Potilastiedon arkisto 2. vaiheen tietosisällöt ja toiminnallisuus. Projektipäällikkö Anna Kärkkäinen

ereseptin käyttöönotto terveydenhuollossa - case Kotka Anne Kallio kehitysjohtaja, ylilääkäri Medi-IT Oy

Henrietta Linde Proviisori

Näin käytät ereseptiä

Resepti Potilastiedon arkisto. Kanta-palvelut vauvasta vaariin ja mummiin

Sähköinen lääkemääräys vaatimusmäärittely Vaatimukset - Potilastietojärjestelmä Versio 2.9

Tietosuojakysely 2018

Ohje 6/2018 1(5) THL/1579/ /2018. Operatiivisen toiminnan ohjaus (OPER)

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINTAMALLIEN MUUTOKSET APTEEKEISSA

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Sosiaalihuollon asiakastiedon arkisto. Pirjo Vuorikallas

Sosiaalihuollon valtakunnallisten tjpalveluiden. I-vaihe

Sähköinen lääkemääräys vaatimusmäärittely Vaatimukset - Potilastietojärjestelmä Versio 2.93

Potilastiedon arkisto. Arkistonhallinta ja arkistonhoitajan tehtävät

Tietosuoja ja tietoturva

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

WINHIT OMAVALVONTA. Omavalvonnan käyttöliittymän ja seurantalokin ohjekirja

Transkriptio:

Kansalliset auditointivaatimukset potilastietojärjestelmille Luottamuksellisuus ja eheys 1 Tiedonsiirron luottamuksellisuus ja eheys reseptikeskukseen on turvattu Sähköisen lääkemääräyksen ja siihen liittyvien luottamuksellisten tietojen siirtäminen reseptikeskukseen tai sieltä muualle on salattu (vähintään esim. SSL 3.0/TLS 1.0) ja sähköisesti allekirjoitettu. Tarkastetaan järjestelmäkuvaukset, kuvaukset salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. 2 Tietoliikenteen salaus ja tietojen luottamuksellisuus Sivulliset eivät saa saada selville suojattuja tietoja eivätkä tiedot saa muuttua tiedonsiirron aikana. Asiakirjojen, sähköisten reseptien ja potilaalle välitettävien viestien luottamuksellisuus (se etteivät ne voi joutua sellaisten tahojen tietoon, jolle ne eivät säädösten mukaan tai muutoin kuulu) tulee turvata kaikessa toimintayksiköiden, ammatinharjoittajien, reseptitietokannan, KanTapalvelun ja potilaan/kansalaisen välisessä tiedonvaihdossa. Tieto siitä, että potilas/kansalainen on asioinut terveydenhuollon toimintayksikön, ammatinharjoittajan, apteekin, reseptikeskuksen, earkiston tai muiden KanTa-palvelujen kanssa ei saa joutua sivullisten käsiin. Viestit ja dokumentit voidaan välittää salaamattomana käytettäessä point-point VPN- yhteyksiä tai sovellutus-ohjelmien välistä SSL/TLS-yhteyttä. Muuten viestit tulee salata luotettavalla tekniikalla (muita ovat mm. SSH ja IPsec. myöhemmin on tulossa mahdollisesti WS-Security Encryption) Tällä hetkellä Kela tukee SSL 3.0 ja TLS 1.0-tekniikoita. Sähköinen allekirjoitus Potilastietojärjestelmän ja Kanta-palvelujen välisen viestinnän luottamuksellisuus tulee taata vähintään SSL 3.0-tasoisella salaustekniikalla. Kansalliset auditointivaatimukset potilastietojärjestelmille 1

3 Sähköisestä lääkemääräyksestä tulee luotettavasti käydä ilmi sen määrääjä Sähköiset lääkemääräykset, näiden mitätöinnit ja korjaukset on allekirjoitettava lääkkeen määrääjän henkilökohtaisella, kehittyneellä sähköisellä allekirjoituksella. Varmenteena on käytettävä terveydenhuollon (Valvira) ammattivarmennetta. Allekirjoittajan tulee voida allekirjoittaa sähköisesti yhdellä kerralla kaikki saman potilaan samalla kerralla määrätyt lääkemääräykset. Varmennetaan, että järjestelmässä on toiminnallisuus, joka tarjoaa käyttäjälle kehittyneen sähköisen allekirjoituksen sähköisiin lääkemääräyksiin ja korjauksiin käyttäen Valvira:n allekirjoitusvarmennetta. Järjestelmän tulee vaatia allekirjoitusta ennen kuin lääkemääräys tai sen muutos hyväksytään. Vahva tunnistaminen 4 Sähköisen viestinnän molemmat osapuolet tulee tunnistaa ereseptin sanomat siirretään salattua httpsprotokollaa käyttäen "two-way SSL" -tavalla, eli SSL-yhteyden asiakas ja palvelin esittävät toisilleen sertifikaatit, joilla kummankin identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista. Myös TLS toteutus on hyväksyttävä. Molemmat osapuolet tulee todentaa, ei vain palvelinpäätä, kuten tyypillisesti tehdään. Järjestelmässä on saman potilaan kaikkien samalla kerralla toimitettujen lääkemääräysten allekirjoittamisen mahdollistava toiminnallisuus. Varmistetaan, että järjestelmä muodostaa toimivan two-way SSL (tai TLS) httpsyhteyden reseptikeskukseen sanomien välittämistä varten tai että reseptikeskuksesta on toimiva salattu yhteys järjestelmiin. Tarkastetaan sertifikaattien avainten bittimäärä ja algoritmi salauksen vahvuuden toteamiseksi. Varmistetaan, että myös asiakaspää (client) tunnistetaan. Kansalliset auditointivaatimukset potilastietojärjestelmille 2

5 Vahva tunnistaminen Terveydenhuollon tietojärjestelmän on tunnistettava käyttäjä (eli terveydenhuollon työntekijä) vahvalla tunnistusmenetelmällä terveydenhuollon tunnistusvarmennetta käyttäen, jos hänelle annetaan oikeuksia reseptikeskukseen. 6 Tunnistautuminen järjestelmiin Tietojärjestelmiin tulee sallia kirjautuminen ainoastaan vahvaa tunnistusmekanismia käyttäen tai vahvaa salasanaa käyttäen. 7 Salasanat Mikäli järjestelmän käyttäjillä on käytössä salasanat, tulee niiden määritysten olla erittäin vahvat ja vaihto säännöllistä. Vahvan salasanan parametrit: Minimipituus 8 merkkiä, vaaditaan kompleksista salasanaa (erikoismerkkejä, numeroita ja isoja/pieniä kirjaimia), salasanahistoria min. 12 edellistä salasanaa, salasanan maksimi-ikä 40pv, minimi-ikä 1pv, väärien kirjautumisyritysten maksimimäärä 5 yritystä, jonka jälkeen tunnus lukkiutuu eikä avaudu automaattisesti. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. 8 Sulkulistan tarkastus ja päivitys Lääkemääräyksiä käyttäjäorganisaation tietojärjestelmässä kirjoittavien henkilöiden varmenteiden voimassaolo (sulkulista) on tarkastettava Valvira:n tiedoista. Siltä osin kun oikeudet ilmenevät voimassaolevasta varmenteesta, niitä ei tarvitse erikseen tarkastaa. Lisäksi henkilöiden sulkulistatiedot (ammattioikeuden rajoitustiedot) on päivitettävä Valvira:n varmennepolitiikan mukaisesti. Varmistetaan käyttöoikeusmäärittelyistä, että käyttäjä tunnistetaan tässä tilanteessa. Varmistetaan järjestelmästä että se vaatii tunnistusvarmenteen tunnistamistilanteessa. Varmistetaan, että järjestelmä tukee Valviran mukaisten vaatimusten täyttävää tunnistusvälinettä Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (toimikortti) tai vahva salasana. Tarkastetaan salasanaparametrit järjestelmästä Tarkastetaan, että järjestelmä tarkistaa henkilöiden varmenteiden voimassaolon. Tarkastetaan, että järjestelmän tulee vaatia sulkulistatietojen päivittämistä vähintään kerran vuorokaudessa (tai kulloinkin voimassa olevan Valviran varmennepolitiikan mukaisesti) Kansalliset auditointivaatimukset potilastietojärjestelmille 3

9 Ammattihenkilön tunnistaminen 10 Yhteyden osapuolten ja laitteiden tunnistaminen Tietojärjestelmän käyttäjä tulee tunnistaa siten, että käyttäjä todennetaan yksiselitteisesti. Tunnistamisessa tulee käyttää Valvira:n varmennepalvelua ja varmenteita. Järjestelmässä ei saa olla ylläpito tai muuta vastaavia oikeuksia ja toiminnallisuuksia, joiden avulla järjestelmän käyttö ilman käyttäjän yksiselitteistä tunnistamista olisi mahdollista Toimintayksiköllä tai organisaatiolla tulee olla käytössä joko erillinen käyttäjätietojen ja käyttöoikeuksien hallintajärjestelmä (IAM) joka hyödyntää tunnistetietoja. Hallintajärjestelmän tulee olla roolipohjainen ja se voi olla toteutettuna itse järjestelmään, jolloin erillistä IAM-järjestelmää ei välttämättä tarvitse olla. Apteekit, palveluntuottajat ja käyttäjäorganisaatiot sekä niiden ko. palveluun liittyvät palvelimet tulee luotettavasti tunnistaa niiden liittyessä KanTapalveluun ennen sähköisen yhteyden aloittamista. Tarkastetaan toimintayksikön tai organisaation käyttäjien tunnistautumistavat Tarkastetaan kuvaukset roolien, käyttäjätietojen ja käyttöoikeuksien hallinnan periaatteista. Testataan tunnistamista sähköisellä varmennekortilla (ts. terveydenhuollon ammattikortilla ) Tarkastetaan, että yhteiskäyttöisiä tunnuksia tai muita mahdollisia ylläpitooikeuksia ei ole niin, että niillä voisi tehdä järjestelmässä toimia ilman tekijän yksiselitteistä tunnistamista Tarkastetaan, että järjestelmät on toteutettu niin, että sekä palvelin että asiakaspää tunnistetaan luotettavasti Tarkastetaan toimintayksiköiden varmennepolitiikat. Tarkastetaan varmennepalvelujen käyttösopimukset (sitoutuminen Valvira:n ehtoihin). Tarkastetaan sertifikaatit. Käyttövaltuushallinta Kansalliset auditointivaatimukset potilastietojärjestelmille 4

11 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen) Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja. Toisin sanoen järjestelmässä itsessään tulee olla mahdollisuus hallita käyttöoikeuksia näiden vaatimusten edellyttämällä tavalla (tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla --> Vaatimukset organisaatiolle). 12 Käyttövaltuushallinta Terveydenhuollon tietojärjestelmästä tehtäviin toimiin (tietojen katselu, tallentaminen ja muu käsittely) reseptikeskukseen on annettava oikeudet ainoastaan laissa mainituille ammattihenkilöille (Laki sähköisestä lääkemääräyksestä) 13 Käyttäjän sähköisiin lääkemääräyksiin liittyvien oikeuksien hallinta Reseptikeskuksessa olevien tietojen katselu, tallettaminen ja muu käsittely edellyttää asianmukaisia käyttöoikeuksia ja järjestelmään liittyvää käyttöoikeuksien hallintaa Tarkastetaan, että järjestelmässä on sellaiset ominaisuudet, joiden avulla voidaan toteuttaa hyvä käyttöoikeuksien hallinta (roolit, vanhojen oikeuksien poisto/lukitus jne...) Tarkastetaan järjestelmästä että sinne on määritelty erilaisia käyttöoikeuksia/rooleja Tarkastetaan, että järjestelmä mahdollistaa reseptikeskuksen toimien (tietojen katselu, tallentaminen ja muu käsittely) rajaamisen mainituille käyttäjäryhmille. Varmistetaan, että oikeudet/roolit tehdä kyselyjä on määritelty vain mainituille ammattihenkilöille/ryhmille. Tarkastetaan, että reseptikeskuksessa olevien tietojen katselu, tallettaminen ja muu käsittely ei ole mahdollista ilman käyttöoikeuksia ja että niissä sovelluksissa, joilla käsittelyä tehdään, on asianmukainen käyttöoikeuksien hallinta Kansalliset auditointivaatimukset potilastietojärjestelmille 5

14 Lääkemääräysten tarkasteluoikeus Lääkkeen määrääjällä on hoitosuhteen jatkuessa salassapitosäännösten estämättä ja ilman potilaan suostumusta oikeus saada tieto reseptikeskukseen tallettamistaan lääkemääräyksistä ja niiden toimitustiedoista. Vaatimus koskee myös lääkärin toisessa yksikössä tai työterveyshuollossa kirjoittamia lääkemääräyksiä (tulkinta tarkistettu). Laki ei edellytä hoitosuhteen olemassaolon teknistä varmistamista, mutta järjestelmässä pitää olla valmius tähän. 15 Lääkemääräysten tarkasteluoikeus 16 Lääkemääräysten tarkasteluoikeus Lääkärit ja hammaslääkärit voivat nähdä muiden antamat sähköiset lääkemääräykset ja niiden toimitustiedot potilaan tai hänen laillisen edustajansa antamalla suullisella suostumuksella (edellyttäen hoitosuhdetta). (Myös hoitotilanteessa lääkemääräystä kirjoitettaessa.) Lääkärillä, hammaslääkärillä ja muilla laissa mainituilla terveydenhuollon ammattihenkilöillä on salassapitosäännösten estämättä oikeus saada tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja toimitustiedoista ilman potilaan suostumusta lain säätämissä tilanteissa, jos se on tarpeen kiireellisen hoidon antamiseksi. Lääkäri joutuu kuitenkin hakiessaan tietoja reseptikeskuksesta antamaan ns. kyselyn syy -tiedon ja tiedon potilaan antamasta suostumuksesta. (Kela tarkennuksia, ei lähdemateriaalissa) Tarkastetaan, että lääkärin tai hammaslääkärin oikeuksilla voi nähdä muiden antamat lääkemääräykset. Tarkastetaan, onko järjestelmässä kohta, johon lääkäri voisi merkitä suullisen hyväksynnän olemassaolon Tarkastetaan, että lääkärin tai hammaslääkärin oikeuksilla voi nähdä muiden antamat lääkemääräykset. Tarkastetaan, onko järjestelmässä kohta, johon lääkäri voisi merkitä kiireellisen tarpeen olemassaolon Kansalliset auditointivaatimukset potilastietojärjestelmille 6

17 Lääkemääräyksien tarkasteluoikeus 18 Henkilökunnan oikeudet 19 Opiskelijoiden oikeudet Lääkemääräyksien tarkasteluoikeus säilyy vaikka lääkäri, hammaslääkäri tai muu lain mainitsema terveydenhuollon ammattihenkilö, jolla on oikeus lääkemääräysten kirjoittamiseen, on menettänyt lääkemääräysten kirjoitus- oikeuden, jos muut katselun edellytykset täyttyvät. Muulla terveydenhuollon henkilökunnalla kuin lääkäreillä, hammaslääkäreillä ja lääketieteen ja hammaslääketieteen opiskelijoilla ei ole oikeuksia reseptikeskukseen. Tietojärjestelmäasiantuntijoilla pitäisi olla oikeudet tehtävänsä mukaisesti varmistaa järjestelmän toimivuus ja tehdä virheselvityksiä Opiskelijoilla (lääketieteen ja hammaslääketieteen) ei ole oikeuksia määrätä lääkkeitä itselleen. Tarkastetaan miten lääkärin tai hammaslääkärin oikeuksilla voi tarkastella lääkemääräyksiä. Katsotaan, onko järjestelmässä toiminnallisuus/kohta, johon voisi merkitä lääkemääräysoikeuden olemassaolon ja mikä vaikutus tällä toiminnallisuudella on lääkemääräysten tarkasteluoikeuteen. Eli voidaanko järjestelmässä erotella lääkemääräysoikeuden ja lääkemääräyksien tarkasteluoikeuden. Tarkastetaan, että roolit on määritelty vastaavasti ja, että muilla kuin mainituilla rooleilla: (Lääkäri, hammaslääkäri ja lääketieteen ja hammaslääketieteen opiskelija) ei ole oikeuksia reseptikeskukseen Tarkastetaan tietojärjestelmäasiantuntijoiden oikeudet järjestelmään ja varmistetaan että ne liittyvät työtehtävien hoitamiseen. Tarkastetaan, että lääketieteen tai hammaslääketieteen opiskelija ei voi määrätä itselleen lääkkeitä Kansalliset auditointivaatimukset potilastietojärjestelmille 7

20 Opiskelijoiden oikeudet 21 Lukuoikeus reseptikeskukseen Käyttöoikeuksien tarkastaminen 22 Käyttövaltuuksien tarkastaminen (Ammattioikeuden tarkastaminen) Terveydenhuollon ammattihenkilölaissa ja asetuksessa säädetyt opinnot suorittaneilla lääketieteen ja hammaslääketieteen opiskelijoilla on oikeus kirjoittaa sähköisiä lääkemääräyksiä toimiessaan tilapäisesti lääkärin tehtävissä julkisen tai yksityisen terveydenhuollon organisaatiossa. Valvira rekisteröi opiskelijat terveydenhuollon ammattihenkilö-rekisteriin, ja heillä on käytössä samat välineet vahvaan tunnistamiseen ja henkilökohtaiseen, kehittyneeseen sähköiseen allekirjoitukseen kuin lääkäreillä ja hammaslääkäreillä. Terveydenhuollon toimintayksikön siihen oikeuttamilla henkilöillä on reseptikeskuksesta saapuneiden, organisaatiolle kohdistettujen reseptien uusimispyyntöjen lukuoikeus terveydenhuollon tietojärjestelmästä. Terveydenhuollon toimintayksikössä uusimispyynnöt voi vastaanottaa toimintayksikön tehtävään valitsema henkilö, joka voi olla muukin kuin lääkkeen määräämiseen oikeutettu henkilö. Sähköisiä lääkemääräyksiä organisaation potilaskertomusjärjestelmässä kirjoittavien henkilöiden ammattioikeudet on tarkastettava Valvira:n tiedoista annettaessa heille oikeudet potilaskertomusjärjestelmään. Siltä osin kun oikeudet ilmenevät voimassaolevasta varmenteesta, niitä ei tarvitse erikseen tarkastaa. Tarkastetaan, että opiskelijoiden oikeuksilla voi tehdä sähköisiä lääkemääräyksiä. Ei kuitenkaan heille itselleen. Tarkastetaan, että järjestelmään voidaan määritellä sellainen rooli (oikeudet ko. toimintoihin), jolla voi lukea reseptikeskuksesta saapuneita, organisaatiolle kohdistettujen reseptien uusimispyyntöjä T: Järjestelmään saadaan Valvira:n ammattioikeustietojen mukaiset oikeudet käyttäjille. K: Käyttäjien ja työntekijöiden oikeuksienhallinta on määritelty ja käyttäjien ammattioikeudet tarkastetaan. Ammattioikeudet ja rajoitukset tarkastetaan (Valvira:lta) myös järjestelmien sisäänkirjautumisen Kansalliset auditointivaatimukset potilastietojärjestelmille 8

23 Ammattioikeuteen liittyvien rajoitusten tarkistaminen 24 Ammattioikeuksien tarkistaminen ennen sähköistä allekirjoitusta Valvira:n rajoitustietojen mukaiset ammattihenkilön ammattioikeuden rajoitukset tarkastetaan aina käyttäjää tunnistettaessa (sisäänkirjaantuessa) eikä niitä tallenneta pysyvästi käyttöoikeustietoihin. Valvira:n rajoitustiedot tarkastetaan Valvira:n ylläpitämästä sanomapohjaisesta attribuuttipalvelusta. Lääkemääräyksen toimittavan henkilön ammattioikeudet ja niiden voimassaolo on tarkastettava ennen sähköistä allekirjoitusta Valvira:n tiedoista. yhteydessä (Kela tarkennus, ei lähdemateriaalissa). Tarkastetaan, että käyttäjän kirjautuessa Valviralta tarkastetaan, onko ko. käyttäjällä ammatillisia rajoituksia (esim. ei oikeutta kirjoittaa lääkemääräyksiä) -> Verkkoliikenteen analysointi kirjautuessa tai muu todennustapa Tarkastetaan, että ammatilliset rajoitukset tarkastetaan sisään kirjautuessa ja että sellaisia toimia ei voi tehdä, jotka on rajattu oikeuksien ulkopuolelle 25 Lääkärin oikeus määrätä tiettyä lääkettä Valvonta ja lokitus Käytännössä tarkastus tehdään jo sisäänkirjautumisvaiheessa ja nämä tiedot voidaan tallentaa istunnon ajaksi. Jos ammattioikeuksissa on rajoituksia, niin järjestelmä ei saa sallia kirjautuneen käyttäjän tehdä sellaisia toimia, jotka on rajattu oikeuksien ulkopuolelle (esim. tehdä lääkemääräyksiä) Jos lääkemääräyksen kirjoitusoikeuden omaavan terveydenhuollon ammattihenkilön oikeutta määrätä lääkettä on rajoitettu tietyn lääkevalmisteen osalta, järjestelmä ei saa salli hänen kirjoittaa sellaisia lääkemääräyksiä, joissa määrätään kyseistä lääkevalmistetta. Määräyksen mitätöinti on mahdollista Tarkastetaan, että ammatilliset rajoitukset tarkastetaan sisään kirjautuessa ja että sellaisia toimia ei voi tehdä, jotka on rajattu oikeuksien ulkopuolelle. Tarkastetaan miten muut rajoitukset tarkastetaan. Kansalliset auditointivaatimukset potilastietojärjestelmille 9

26 Lokitietojen muuttumattomuus Lokitietojen muuttumattomuus tulee varmistaa. Lisäohjeistus: Vahti 3/2009 Tarkastetaan miten järjestelmän lokiympäristö on toteutettu. 27 Käyttöloki Tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot tietojen haun ja käytön osalta (esim. tilanteissa, joissa järjestelmä hakee reseptikeskuksesta enemmän tietoa kuin mitä käyttäjälle näytetään perusjärjestelmän suodattaessa tietoja). Riittävillä lokitiedoilla tarkoitetaan lokia, joka sisältää vähintään tiedot siitä: kuka järjestelmään on ollut kirjautuneena ja mitä toimia hän on järjestelmässä tehnyt mitä tietoja kyseiselle käyttäjälle on näytetty (jos osa haetuista tiedoista suodatetaan järjestelmän toimesta) milloin järjestelmässä on mitäkin toimia tehty millaisia toimia, johon oikeudet eivät ole riittäneet, on yritetty tehdä 28 Lokien seurantaväline Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten. 29 Käyttöloki Tietojärjestelmän lokista tulee löytyä reseptikeskuksen tietojen haun ja käytön osalta laissa määritetyt asiat eli reseptikeskukseen tallentuu erikseen kustakin lääkemääräyksestä tiedot (lokitiedot) siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tietoja taikka mitätöineet lääkemääräyksen sekä toimenpiteen ajankohta. Tarkastetaan järjestelmän lokiasetukset ja määritysmahdollisuudet ja käydään läpi otos lokitiedoista. Varmistetaan joko järjestelmän tuottamasta lokitiedosta tai dokumentaatiosta, että vaatimukset täyttyvät Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen ja valvontaan. Tarkastetaan järjestelmän lokiasetukset ja käydään läpi otos lokitiedoista. Varmistetaan, että vaatimukset täyttyvät ja lokeista löytyvät seuraavat asiat: aikaleima tehty toiminto toiminnon kohde ja Toiminnon suorittaja = Käyttäjä Kansalliset auditointivaatimukset potilastietojärjestelmille 10

30 Viestinnän kirjanpito Reseptikeskuksen ja KanTa-palvelun sekä niiden asiakkaiden välisestä viestinnästä on pidettävä lokia siten, että tässä esitetyt muut lokeihin liittyvät vaatimukset toteutuvat. Lokia tulee pitää yhteyden molemmissa päissä, eli reseptikeskuksessa ja potilastietojärjestelmien päässä. Tietojen käsittely 31 Haettujen tietojen säilytys Reseptikeskuksesta haettuja lääkemääräyksiä ja näiden lääketoimituksia ei saa pysyvästi erikseen määriteltyjä poikkeuksia lukuun ottamatta tallentaa terveydenhuollon tietojärjestelmään. Väliaikaisesti tallennetut tiedot tulee poistaa välittömästi käytön jälkeen, kun niitä ei enää tarvita. Tarkastetaan, että lokia kirjataan yhteyksien muodostamisesta. Tarkastetaan muiden lokeihin liittyvien vaatimusten tarkastamisen yhteydessä. T/K: Järjestelmä ei talleta lääkemääräyksiä tai niiden toimituksia pysyvästi, pl. mainitut poikkeukset. Järjestelmään voi kuitenkin tallentaa sellaiset väliaikaisesti käsitellyt tiedot, jotka ovat välttämättömiä lokeille asetettujen vaatimusten täyttämiseksi (sähköisten lääkemääräysten tunnisteet ja versionumerot sekä potilaskertomusjärjestelmällä luotujen lääkemääräysten uudet versiot ja mitätöintitiedot, mikäli nämä on tehty muulla potilaskertomusjärjestelmällä tai apteekin tietojärjestelmällä) Muut pakolliset vaatimukset Lääkärin tai muun lain mainitseman terveydenhuollon ammattihenkilön tulee voida kirjoittaa terveydenhuollon tietojärjestelmään omat havainnot toisessa organisaatiossa kirjoitetuista määräyksistä tai apteekin toimituksista. Kansalliset auditointivaatimukset potilastietojärjestelmille 11

32 Teknisen yhteistestauksen läpäisy Järjestelmän tulee olla testattu ja hyväksytty yhteistestauksen (tai myöhemmin muun vastaavan sisältöisen teknisen testauksen) testaussuunnitelman ja hyväksymiskriteerien mukaan. Tarkastetaan, että järjestelmä on osallistunut yhteistestaukseen Tarkastetaan teknisen yhteistestauksen tulokset ja niiden läpäisy 33 Istunnon katkaisu Potilastietojärjestelmän on huolehdittava, että yhteys reseptikeskukseen katkeaa, kun käyttäjä ei käytä järjestelmän reseptikeskukseen liittyviä toimintoja aktiivisesti 30 minuutin kuluessa. (reseptikeskuksen tiedot eivät tämän jälkeen saa olla käytettävissä ilman tunnistamista uudelleen). Huomioitava, että potilastietojärjestelmillä ei ole yhteys "auki" reseptikeskukseen, vaan se muodostetaan aina uudelleen sanomien lähetystä varten, siten vaatimus kohdistuu yleisesti kertomusjärjestelmän käyttöliittymän lukitsemiseen Vaihtoehtoisesti automaattisen uloskirjauksen sijasta asia voitaisi ehkä hoitaa esim. erikoissairaanhoidossa työaseman lukitsemisella, jolloin 30 minuutin jälkeen pitää antaa PIN uudelleen, mutta istunto olisi heti valmis. 34 Syötteen tarkastus Järjestelmän tulee tarkastaa ennen reseptikeskukseen suoritettavaa hakua, että lääkärin syöttämät potilaan yksilöintitiedot ja lääkemääräyksen tunnus ovat oikeassa muodossa. Tarkastetaan, että potilastietojärjestelmässä ei ole aina avoinna olevaa yhteyttä reseptikeskukseen. Tarkastetaan, että kertomusjärjestelmän käyttöliittymä lukitaan tai yhteys katkaistaan, mikäli käyttäjä ei käytä sitä aktiivisesti 30 minuutin sisällä Tarkastetaan, että järjestelmässä on syötteen tarkastus, joka tarkastaan esimerkiksi henkilötunnuksen oikean muodon tai lääkemääräyksen yksilöintitiedoin oikean muodon. Testataan, että hakua ei voi tehdä tiedoilla, jotka eivät ole muodoltaan oikeita Kansalliset auditointivaatimukset potilastietojärjestelmille 12

35 Potilaan informointi Terveydenhuollon toimintayksikön tai lääkkeen määrääjän on informoitava potilasta sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Annetusta informaatiosta tulee tehdä merkintä potilaskertomukseen. T: Potilaskertomusjärjestelmästä on nähtävissä, että potilasta on informoitu, riippumatta siitä onko informaatiotieto tuotettu automaattisesti. K: informointikäytäntö on määritelty ja käyttäjien tiedossa. 36 Sähköisen reseptin kieltäminen 37 Potilaan suostumuksien dokumentointi Uusittaessa sähköistä lääkemääräystä katsotaan potilaan olevan tietoinen sähköisestä lääkemääräyksestä ja siihen liittyvistä oikeuksistaan. Potilaalla on oikeus tapauskohtaisesti kieltää sähköisen lääkemääräyksen kirjoituksen. Potilaan antama kielto on lääkemääräyskohtainen (ei potilaskohtainen, eli kielto ilmoitettava joka erikseen joka kerta, kun ei halua sähköistä lääkemääräystä). Vaatimus ei ole pakollinen, eli järjestelmässä ei tarvitse olla erillistä toimintoa kiellolle. Vaatimus voi kohdistua myös järjestelmän käyttäjäorganisaatioon, jolla tulee olla ohje/ toimintatapa niitä tilanteita varten, joissa potilas ei anna suostumusta sähköiseen lääkemääräykseen Tieto potilaan tai hänen laillisen edustajan antamasta suostumuksesta ja sen tyypistä (suullinen tai kirjallinen) lähetetään reseptikeskukseen. Tarkastetaan, että joko järjestelmässä on erillinen toiminto kiellolle tai organisaatiolla on määritellyt toimintatavat potilaan kieltäessä sähköisen lääkemääräyksen. (mm. kuinka tällöin käytetään paperista lääkemääräystä, reseptikeskuksen ja lääketietokannan tietojen hyödyntäminen jne.) Tarkastetaan, että järjestelmässä on ominaisuus, jonka avulla on mahdollista dokumentoida potilaan antamat suostumukset Kansalliset auditointivaatimukset potilastietojärjestelmille 13

38 Tietojen päivitys Lääketietokannan mukaiset tiedot lääkkeistä, korvattavista perusvoiteista, kliinisistä ravintovalmisteista ja määräaikaisista erityislupavalmisteista on päivitettävä lääkemääräys- ja toimitusohjelmistoihin kunkin kuukauden 1. ja 15. päivänä. 39 Lääkemääräyksen uudistaminen Järjestelmä mahdollistaa sen, että sähköisen lääkemääräyksen voi uudistaa 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta käyttämällä pohjana uudistettavan lääkemääräyksen tietoja. earkistovaiheen vaatimukset EI AUDITOIDA RESEPTIKESKUSVAIHEESSA Tarkastetaan, että järjestelmä mahdollistaa lääketietokannan mukaisten tietojen päivittämisen. Tarkastetaan, että tiedot päivitetään vaaditulla intervallilla. Tarkastetaan onko tähän olemassa toiminto järjestelmässä / automatisoitu prosessi tai muu määrämuotoinen tapa, joka varmistaa päivitysten ajantasaisuuden. Tarkastetaan järjestelmädokumentaatiosta tai muuten, että järjestelmä mahdollistaa uusimispyynnön tekemisen uudistettavan lääkemääräyksen pohjalta 16 kuukauden kuluessa alkuperäisen lääkemääräyksen antamisesta. Testataan lääkemääräyksen uusimista alkuperäisen määräyksen pohjalta Kansalliset auditointivaatimukset potilastietojärjestelmille 14

40 Asiakirjan muuttumattomuus tulee pystyä varmistamaan Potilaskertomusten muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella. Sähköiset potilasasiakirjat tulee allekirjoittaa organisaation tai tietoteknisen laitteen tekemällä kehittynyttä sähköistä allekirjoitusta vastaavalla allekirjoituksella. Tarkastetaan järjestelmädokumentaatiosta, että asiakirja tulee allekirjoittaa. Tarkastetaan, että järjestelmä tukee allekirjoittamista earkistovaiheen vaatimuksia - auditoidaan myöhemmin Sähköisessä muodossa olevissa lääkintölaillisissa lausunnoissa ja todistuksissa sekä vastaavissa asiakirjoissa tulee olla asiakirjan laatijan allekirjoitus joka on kehittynyt sähköinen allekirjoitus (PKI-toteutukseen perustuva allekirjoitus). Asiakirja (sen kuvailutiedot ja body) allekirjoitetaan muuttumattomuuden takaamiseksi. Kansalliset auditointivaatimukset potilastietojärjestelmille 15

41 Sähköisen allekirjoituksen tarkastus ja aikaleima Allekirjoitetussa dokumentissa ei saa olla piilotettuja makroja tms. koodeja, joiden avulla allekirjoitetun dokumentin näyttömuoto tai sisältö voi muuttua. Allekirjoitukseen tulee liittää aikaleima. Allekirjoitustapahtuman tulee olla kiistämätön ja tapahtumasta tulee tehdä lokimerkintä. Tarkastetaan asiakirjan kuvaus ja se, mitä kuhunkin kohtaan merkitään, jotta voidaan varmistua, että siellä ei ole piilotettuja makroja tai muita koodeja. Tarkastetaan lisäksi otoksella dokumentteja tämän varmistamiseksi. Tarkastetaan allekirjoitukseen liittyvät järjestelmäkuvaukset ja tietoturvapolitiikka. earkistovaiheen vaatimuksia - auditoidaan myöhemmin Testataan allekirjoittamalla asiakirjoja ja tarkistamalla HASH-koodin oikeellisuus. Tarkastetaan, että allekirjoitetun asiakirjan sisältö on yhtenevä sen kanssa mitä allekirjoittaja on nähnyt. Varmistetaan, että on olemassa jokin järjestelmä, johon lokimerkintä voidaan tehdä ja että lokimerkintä tehdään allekirjoitustapahtumasta (milloin tapahtuma on allekirjoitettu). Kansalliset auditointivaatimukset potilastietojärjestelmille 16

42 Asiakirja ja sanoma ei saa muuttua viestinvälityksen yhteydessä Välitettävän sanoman merkitys ei saa muuttua. a) Välitetyn asiakirjan sisältö mukaan lukien metatiedot ei saa muuttua viestinvälityksessä. b) Asiakirjan muuttumattomuus voidaan varmistaa sähköisellä allekirjoituksella ja sanoma voidaan sisällyttää sähköiseen kirjekuoreen. c) Sekä sanoman sisältämä asiakirja että sen kuvailutiedot tulee allekirjoittaa sähköisellä allekirjoituksella ja niiden yhteenkuuluvuus varmistaa. d) Sanoman muuttumattomuus tulee varmistaa sähköisellä allekirjoituksella tai muulla luotettavalla tekniikalla. Terveydenhuollon ammattihenkilö tai palvelin varmistaa asiakirjan eheyden allekirjoittamalla asiakirjan salaisella avaimella. Tarkastetaan, että lähetetty ja vastaanotettu sanoma ovat sisällöllisesti ja toiminnallisesti identtisiä. Tarkastetaan sähköisten asiakirjojen allekirjoituksen oikeellisuus. Tarkastetaan testisanomilla. a) Tarkastetaan, että lähetetty asiakirja on sekä CDA rungon että metatietojen osalta identtinen vastaanotetun kanssa. b) Tarkastetaan, että asiakirjan muuttumattomuus voidaan varmistaa sähköisellä allekirjoituksella ja että sanoma voidaan sisällyttää sähköiseen kirjekuoreen (allekirjoitettuun pakettiin). c) Tarkastetaan järjestelmädokumentaatiosta, että myös kuvailutiedot allekirjoitetaan d) Tarkastetaan, miten sanoman muuttumattomuus varmistetaan earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 17

43 Käyttöoikeudet Käyttäjälle tulee voida määritellä tehtävän mukaiset (roolipohjaiset) käyttöoikeudet Vain ne henkilöt, joilla on oikeus työtehtäviensä johdosta laatia potilasasiakirjoja, käsitellä suostumuksia ja kieltoja tai allekirjoittaa asiakirjoja voivat käyttää ko. toimintoja. Järjestelmässä tulee olla poikkeustilanteiden hallinnan edellyttämät toiminnot, joilla käyttöoikeus voidaan tilapäisesti ohittaa (tarkoittaa, että joku toimenpide voidaan tehdä esimerkiksi pääkäyttäjän oikeuksin, vaikka ko. toimenpide ei kuulu pääkäyttäjän työtehtäviin. Tekijä ja tehty toimenpide tulee silti luotettavasti yksilöidä ja kirjata). Ohitustilanteet tulee merkitä automaattisesti erilliseen luetteloon, jonka käsittelystä tulee olla ohjeet tietoturvapolitiikassa. 44 Käyttöloki Järjestelmän käyttölokiin tallennetaan tieto: käytetyistä asiakastiedoista siitä palvelujen antajasta, jonka asiakastietoja käytetään asiakastietojen käyttäjästä sekä tietojen käyttötarkoituksesta ja käyttöajankohdasta. Tarkastetaan käyttöoikeuksien hallinnan kuvaukset. Testataan käyttöoikeuksia todellisessa tilanteessa. Testataan käyttöoikeuksien ohitustilanteet ja niistä syntyvät lokimerkinnät Tarkastetaan lokeihin syntyvät merkinnät. Tarkastetaan käyttöoikeuksien ohitustilanteiden kuvaukset tietoturvapolitiikasta. V: mainitut tiedot käyvät ilmi lokimerkinnöistä earkistovaiheen vaatimuksia - auditoidaan myöhemmin earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 18

45 Suostumusten hallinta Potilastietojärjestelmissä tulee olla suostumuksen hallinnan järjestelmä. Suostumuksen hallinnan järjestelmän tulee taata suostumusten kiistämättömyys. Suostumuksen hallinta voidaan toteuttaa kirjaamalla kuhunkin asiakirjaan potilaan antama suostumus ja varmistamalla asiakirjan muuttumattomuus, kuten näissä vaatimuksissa edellytetään. Kiistämättömyys voidaan todentaa lokitietojen ja asiakirjojen avulla. Tiedoista tulee ilmetä: suostumuksen antamisen ajankohta, suostumuksen antaja, tiedot joiden luovuttamiseen suostumus kohdistetaan, tietojen käyttötarkoitus ja kuka/ketkä ovat luovutuksen saajia. Tarkastetaan järjestelmäkuvaukset ja testataan suostumusten laatimista, muuttamista ja poistamista. Tarkastetaan suostumusten kiistämättömyys lokitietojen ja asiakirjojen avulla earkistovaiheen vaatimuksia - auditoidaan myöhemmin 46 Tapahtumien kirjaaminen Vaihtoehtoisesti organisaatiolla voi olla myös erillinen tekninen suostumustenhallintajärjestelmä, johon perusjärjestelmä ja erillisjärjestelmät liittyvät ja jonka muodostaman kokonaisuuden kautta suostumuksen hallinnan vaatimukset toteutuvat kaikissa KanTa-palveluihin liittyvissä järjestelmissä Asiakirjan muodostamisesta tehdään lokimerkintä earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 19

47 Potilasohjeen vastaanottaminen ja tallentaminen Potilasohje voidaan tallentaa väliaikaisesti potilaskertomusjärjestelmään (mahdollisen tulostuksen epäonnistumisen varalta), mutta se on poistettava 12 tunnin kuluessa tulostuksesta, jonka jälkeen sitä ei enää saa tulostaa. Tarkastetaan, että potilasohjeet eivät tallennu pysyvästi ja että on olemassa manuaalinen tai automatisoitu toiminne, joka poistaa potilasohjeen viimeistään 12 tunnin kuluttua tulostuksesta. Jos toiminne on manuaalinen, tarkastetaan, että tähän on olemassa käyttäjille tarkoitettu ohje. earkistovaiheen vaatimuksia - auditoidaan myöhemmin Kansalliset auditointivaatimukset potilastietojärjestelmille 20

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute