Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Samankaltaiset tiedostot
Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Tietojärjestelmien valvonnan ajankohtaiset asiat

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Terveydenhuollon ATK-päivät Logomo, Turku

Laatustandardit ja lakivaatimukset ohjaavat kehittämistyötä

Miten liitytään Kantapalveluihin. Ohje palveluja käyttöönottaville

Tietoturvan ja tietosuojan omavalvontasuunnitelma sote-palveluissa JUDO-työpaja Juha Mykkänen, kehittämispäällikkö

Organisaation muutostilanteet

Miten liitytään Kanta-palveluihin. Kanta-liittyjän ohje

Tietoturvallisuuden, tietosuojan ja tietojärjestelmien käytön omavalvontasuunnitelma

Olennaiset vaatimukset, sertifiointi + omavalvonta

Valmistautumistilaisuus liittyjälle Potilastiedon arkisto. Kela, Kanta-palvelut,

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Organisaation muutostilanteet. Kela, Kanta-palvelut

Sote-tietojärjestelmien luokittelu, sertifiointi ja omavalvonta: usein kysytyt kysymykset

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

Organisaatiomuutokset yksityisessä terveydenhuollossa

Liittymisvalmistelut Kanta-palveluun. Potilastiedon arkisto THL

Auditointi. Teemupekka Virtanen

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

Kanta-palvelut miten valmistautua liittymiseen

Potilastiedon arkistoon liittyminen 6 kk tukikokous

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

KETKÄ LIITTYVÄT KANTA-PALVELUIHIN. Ketkä liittyvät Kanta-palveluihin. Kanta-liittyjän ohje

Auditoinnista omavalvontaan - omavalvontasuunnitelma ja sen laatiminen

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Kanta-liittymisen tietoliikennearkkitehtuuri: Case Eksote. SosKanta-hanke/Kaisa Pesonen

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Kanta-palveluiden vaatimukset sote- ja maakuntauudistuksessa

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Apteekkisopimus Päihdelääketieteen torstaikoulutus Maritta Korhonen, Kela Kanta-palvelut

Kanta-palvelun vaatimukset palveluntuottajalle

Kanta-palvelun vaatimukset palveluntuottajalle

Sosiaalihuollon asiakastiedon arkisto

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

THL:n sosiaalihuollon palvelutehtäviä koskeva määräys, käyttöoikeuksien perusteet ja muut määräykset

Kysely- ja välityspalvelu

Kelain-palvelun käyttöehdot

Potilastiedon arkistoon liittyminen 3 kk tukikokous

HE 219/2013 vp. toimesta. Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin

KanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0

Terveydenhuollon todistusten välitys Kelaan -palvelu

VALTAKUNNALLINEN VALVONTAOHJELMA JA OMAVALVONTA Riitta Husso, LM Valvira

Toiminta häiriötilanteissa. Versio

Julkaistu Helsingissä 31 päivänä maaliskuuta /2014 Laki

Kanta-palvelut ja Sosiaalihuollon asiakastiedon arkiston käyttöönotto

Kelain-palvelun käyttöehdot

Potilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Kanta-palvelut, Kelan näkökulma

HE 30/2015 vp Hallituksen esitys eduskunnalle valtion talousarvioksi vuodelle 2016

Kanta-palvelut ja sosiaalihuolto, Kansa-hanke ja Kansa-koulu-hanke

Sosiaalihuollon asiakastiedon arkisto - Kyselytunti

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Näin teet liittymishakemuksen ja päivität asiakastietojasi. Ohje asiointiin Kanta Ekstranetissa

Rekisterinkäyttöoikeus sosiaalihuollon Kanta-palveluissa

Potilastiedon arkistoon liittyminen 3 kk tukikokous

Sosiaalihuollon asiakastiedon arkisto. Pirjo Vuorikallas

Sähköinen lääkemääräys Käyttöönottojen tilanne ja tuki käyttöönottojen jälkeen

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Ilmoituksenvaraisen yksityisen varhaiskasvatuksen rekisteröinti ja omavalvontasuunnitelma

Työterveyshuollon organisaatiomuutokset ja Kanta-palvelut

Kelain-palvelun käyttöehdot

VIRANOMAISVALVONTA vs. OMAVALVONTA

Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät Erkki Aaltonen

Sosiaalihuollon asiakastiedonarkisto osana Kanta-palveluita Sosiaali- ja terveydenhuollon atk-päivät Maarit Rötsä, THL/OPER

Kanta-palvelut sosiaalihuollossa ja asiakastiedon kirjaamisen kehittäminen

Sosiaalihuollon asiakastiedon arkiston käyttöönotto Eksotessa SosKanta-hanke

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Lain velvoitteet ja lakimuutosten vaikutukset yksityiselle sektorille. Jari Porrasmaa

Organisaation muutostilanteet. Kela, Kanta-palvelut,

Vanhojen potilastietojen arkistointi palvelun käyttöönotto

Kelan rooli maakunta- ja soteuudistuksessa

AVIn rooli infektioiden torjunnassa ja laadun varmistamisessa

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3

Sote-uudistuksen toimeenpano Kanta-palveluissa (Soutu-hanke) Erja Vornanen Kela

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys

SUOMESSA ALUEELLINEN TOIMIJA

KanTa. Liittyjät -ohje v. 1.0

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Tietosuojakysely 2019

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

OMAVALVONTA. Valviran näkökulmasta. Riitta Husso

Kanta-palvelut Sosiaalihuollon liittyminen Kanta-palveluihin

Transkriptio:

1(9) Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit Versio 09, 7.7.2015 Sisällys 1 Dokumentin tarkoitus... 2 2 Yleiskuva... 2 3 Toimijat... 3 4 Prosessit... 4 4.1 Prosessi: Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen yleiskuva... 4 4.2 Prosessi: Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kanta-yhteistestaus ja tietoturvallisuuden auditointi... 5 4.3 Prosessi: Kanta-välityspalvelun sertifiominen... 6 4.4 Prosessi: Vaatimustenmukaisuustodistuksen uudistaminen... 7 4 Lisätietoja... 9

2(9) 1 Dokumentin tarkoitus Tämä dokumentti on tukimateriaalia, jossa kuvataan yleiskuva, osallistujat ja prosessit Kanta-palveluihin liittyvien tietojärjestelmien ja välittäjäpalvelujen sertifioinnissa sekä sertifioinnin liittyminen toimijoiden omavalvontaan. Lain säädökset ja aihepiirin määräykset ovat noudatettavia dokumentteja, joita tämä dokumentti ja erilliset ohjeet tukevat. Dokumentti on tarkoitettu tietojärjestelmien valmistajille ja tietojärjestelmäpalvelujen tuottajille sekä niille Kanta-palveluihin liittyville tahoille, joita omavalvontasuunnitelmien laatiminen koskee. Dokumentissa kuvataan myös sertifiointiin ja valvontaan osallistuvien toimijoiden ja viranomaisten työnjakoa. 2 Yleiskuva Omavalvonta Sote-palveluntuottajien on lain ja määräysten mukaisesti huolehdittava tietoturvallisuuden toteutumisesta toiminnassaan. Omavalvonta on keino tämän tavoitteen toteuttamiseen. Omavalvontaa toteutetaan omavalvontasuunnitelman laatimisen ja sen toteuttamisen kautta. Suunnitelmassa on otettava kantaa siihen, miten asiakas- ja potilastietojen käsittelyssä ja tietojärjestelmien käytössä huolehditaan keskeisistä tietoturvallisuuteen vaikuttavista asioista. Tässä dokumentissa ei käsitellä omavalvontaa yksityiskohtaisesti, mutta yleiskuvassa on mukana omavalvonnan suhde sertifiointiin sekä sote-palvelutuottajien että välityspalvelujen osalta. Osana omavalvontaa kuuluu varmistua siitä, että käytettävillä Kanta-palveluihin liittyvillä järjestelmillä ja Kanta-välityspalveluilla on asianmukaiset vaatimustenmukaisuustodistukset. Sertifiointi Kanta-palveluihin liittyvien tietojärjestelmien sertifioinnin säädösten ja määräysten mukaisesti A-luokkaan kuuluvien tietojärjestelmien ja tietojärjestelmäpalvelujen on oltava sertifioituja. Sertifiointi sisältää seuraavat pääosat tai -vaiheet: Toiminnallisten vaatimusten kuvaaminen ja järjestelmän luokittelu (valmistaja tai tietojärjestelmäpalvelun tuottaja) Kanta-yhteistestaus (Kela, tietojärjestelmän valmistaja tai tietojärjestelmäpalvelun tuottaja) Kanta-tietoturva-auditointi (hyväksytty tietoturvallisuuden arviointilaitos, valmistaja tai tietojärjestelmäpalvelun tuottaja) Muutosilmoitusten teko ja käsitteleminen tietojärjestelmiin tehdyistä olennaisista muutoksista tai olennaisten vaatimusten muuttuessa Tietojärjestelmän valmistaja tai tietojärjestelmäpalvelun tuottaja vastaa yllä kuvatun sertifiointikokonaisuuden läpiviennistä omien tuotteidensa tai palvelujensa osalta. Tietojärjestelmien vaatimustenmukaisuuteen linkittyy keskeisesti myös palvelun antajien (tietojärjestelmien käyttäjäorganisaatiot) tai Kanta-välittäjänä toimivien tahojen tekemä omavalvontasuunnitelma, jonka yhtenä osana on sen varmistaminen, että käytettävät tietojärjestelmät ovat säädösten ja määräysten mukaisesti sertifioituja. Sertifioinnin ja auditoinnin perusteena Kanta-palveluihin liittyen ovat kulloinkin voimassa olevat määrittelyt.

3(9) Kokonaisuuden keskeisimpien prosessien yleiskuva on luvussa 4.1. Prosessikuvauksissa näkyvät lakiviittaukset ovat viittauksia lakiin 250/2014 (Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta). 3 Toimijat Dokumentissa ja prosessikuvauksissa käytetään seuraavia sidosryhmäkuvauksia, joiden merkitykset ja päävastuut suhteessa omavalvontaan ja sertifiointiin ovat seuraavat: Asiakasorganisaatio / palvelun antaja: terveydenhuollon toimintayksikkö, sosiaalihuollon palvelujen antaja (järjestävä viranomainen, julkinen tai yksityinen palvelun tuottaja), työterveydenhuollosta vastaava työnantaja, apteekki, itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilö o vastaa omavalvontasuunnitelmasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan Järjestelmän valmistaja: taho, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta, riippumatta siitä toimiiko tämä taho myös tietojärjestelmäpalvelun tuottajana o vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä Tietojärjestelmäpalvelun tuottaja: taho, joka tarjoaa palvelun antajalle tietojärjestelmäpalvelua, jossa käsitellään asiakas- ja potilastietoja, ja joka vastaa tietojärjestelmän valmistajalle asetettuihin vaatimuksiin valmistajana, valmistajan lukuun tai valmistajan puolesta o vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista Kanta-välityspalvelun toteuttaja: Tietojärjestelmäpalvelun tuottaja, joka toteuttaa teknisen Kantavälityspalvelun, jonka avulla toinen tietojärjestelmä liittyy Kanta-palveluun, vastaa Kantavälityspalvelun tietoturva-auditoinnista sekä Kanta-välittäjäpalvelulta vaadittavista ilmoituksista. Samaa sertifioitua Kanta-välityspalvelua on mahdollista käyttää useissa Kanta-liityntäpisteissä tai useiden eri välittäjien toiminnassa. Välittäjä: palvelun antajan Kanta-liityntäpisteen toteuttamisessa käyttämä palveluntarjoaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilastietoja, esimerkiksi ylläpitotoimien yhteydessä. Välittäjä vastaa välityspalvelun tuottajan omavalvonnan toteuttamisesta sekä siitä, että liityntäpisteen toteuttamisessa täytetään Kanta-välityspalvelua koskevat olennaiset vaatimukset. Välittäjä voi vastata Kanta-liityntäpisteen varmenteen hakemisesta ja hallinnoinnista ja siitä, että liityntäpisteessä käytettävään Kanta-välityspalveluun kohdistuvat sertifiointivaatimukset täyttyvät. Välittäjä voi joissakin tapauksissa olla myös Kanta-välityspalvelun toteuttaja. Tietoturvallisuuden arviointilaitos: viestintäviraston hyväksymä taho, joka suorittaa sertifiointiprosessin osana olevan tietoturvallisuuden auditoinnin, tuottaa vaatimustenmukaisuustodistuksen ja ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista Kanta-palvelut: Kelan palvelu, jonka vastuulla on Kanta-palveluiden (Sähköinen resepti-, Potilastiedon arkisto- ja Omakanta palvelut sekä Lääketietokanta) toteuttaminen, ylläpito ja kehittäminen Kanta-yhteistestausvastaava: suunnittelee ja koordinoi yhteistestauksen, ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista Kanta-asiakastuki: tarjoaa tukipalveluja Kanta-palveluiden asiakkaille THL/OPER: viranomainen, joka antaa määräykset olennaisista vaatimuksista ja omavalvontasuunnitelmasta

4(9) Valvira: valvontaviranomainen, joka ylläpitää rekisteriä tietojärjestelmistä ja valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta Viestintävirasto: valvontaviranomainen, joka hyväksyy tietoturvallisuuden arviointilaitokset ja valvoo niitä 4 Prosessit 4.1 Prosessi: Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen yleiskuva Prosessin tavoite: Palveluntantajien ja välityspalvelujen tuottajien omavalvonnan ja Kanta-palveluihin liittymisen tietoturvallisuuden varmistaminen, tietojärjestelmien ja Kanta-välityspalvelujen sertifiointi Prosessin käynnistymisehto tai -tapahtuma: säädösten voimaantulo (kaikki) omavalvonnan toteuttamisen aloittaminen, välittäjätahon valinta, Kanta-palveluihin liittyminen (palvelunantaja) välittäjäksi hakeutuminen (välittäjä) sertifiointiprosessiin hakeutuminen (tietojärjestelmäpalvelun tuottaja) olennaiset tietojärjestelmämuutokset (tietojärjestelmäpalvelun tuottaja) Prosessin lopputulos: palvelunantajalla on omavalvontasuunnitelma jonka mukaisesti se toimii palvelunantaja voi olla hakeutunut Kanta-palvelujen käyttäjäksi ja huomioinut toiminnassaan tällöin vaadittavat olennaiset vaatimukset ja riittävän omavalvonnan tason palvelunantajan ja mahdollisen välittäjän käyttämien välityspalveluiden osalta on varmistettu omavalvonnan ja sertifioinnin vaatimusten toteutuminen Kanta-palveluihin liittyvät tietojärjestelmät ja Kanta-välityspalvelut (luokka A) on sertifioitu olennaisten vaatimusten osalta, niiden olennaisten tietoturvavaatimusten täyttyminen on todennettu ulkoisella auditoinnilla ja järjestelmien yhteentoimivuus on varmistettu Kanta-yhteistestauksen kautta o sekä ennen järjestelmien käyttöönottoa että silloin, kun järjestelmiin tehdään olennaisia muutoksia

toteuttaja 1.4 Tietojärjestelmäpalvelun tuottaja 1.5 Välittäjä Palvelunantaja 5(9) Prosessikuvaus: 1.1 Omavalvonta 1.2 1.3 Välittäjästä sopiminen Kanta-palvelujen käyttäjäksi hakeminen Prosessi Kanta-palveluihin liittyminen 1.1 Omavalvonta 1.8 Välittäjätahoksi hakeutuminen Osaprosessi Välittäjäksi hakeutuminen (erillinen ohje) 1.5 Vaatimustenmukaisuuden arviointiin ja yhteistestaukseen hakeutuminen Osaprosessi -Tietojärjestelmien vaatimustenmukaisuuden arviointi Tietojärjestelmämuutosten välittäminen Osaprosessi Sertifioidun järjestelmän muutosilmoitusten käsitteleminen 1.7 Vaatimustenmukaisuuden arviointiin hakeutuminen Osaprosessi sertifioiminen Tietojärjestelmämuutosten välittäminen Osaprosessi Sertifioidun järjestelmän muutosilmoitusten käsitteleminen 4.2 Prosessi: Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kantayhteistestaus ja tietoturvallisuuden auditointi Prosessin tavoite: Kanta-palveluihin liittyvä tietojärjestelmä tai tietojärjestelmäpalvelu täyttää olennaiset toiminnallisuuteen, yhteentoimivuuteen ja tietoturvallisuuteen liittyvät vaatimukset ja on läpäissyt sertifiointiprosessin Prosessin käynnistymisehto tai -tapahtuma: tietojärjestelmäpalvelun tuottaja hakeutuu sertifiointiprosessiin Prosessin lopputulos: tietojärjestelmästä tai tietojärjestelmäpalvelusta on kuvattu sen käyttötarkoitus ja ne toiminnalliset vaatimukset jotka se täyttää tietojärjestelmä tai tietojärjestelmäpalvelu on läpäissyt hyväksytysti Kanta-yhteistestauksen tietojärjestelmä tai tietojärjestelmäpalvelu on läpäissyt hyväksytysti olennaisten tietoturvavaatimusten auditoinnin tietojärjestelmällä tai tietojärjestelmäpalvelulla on vaatimustenmukaisuustodistus ja vaatimustenmukaisuusraportti tietojärjestelmästä tai tietojärjestelmäpalvelusta on asianmukaiset tiedot Valviran rekisterissä Lisätietoja: sertifiointiprosessia ei suoriteta kaikkien käyttöympäristöjen osalta erikseen, vaan riittää, että eri käyttöympäristöissä käytettävä Kanta-palveluihin liittyvä tietojärjestelmä tai tietojärjestelmäpalvelu (tai sen versio) läpäisee sertifiointiprosessin vain kerran (ennen ensimmäistä tuotantokäyttöön ottoa tai Kanta-palveluihin liittymistä palvelun antajan käyttöympäristössä) suhteessa kulloinkin voimassa oleviin olennaisiin vaatimuksiin ja voimassaolosäädösten mukaisesti tietojärjestelmän tai tietojärjestelmäpalvelun tuottaja tai valmistaja vastaa siitä, että Valviralle toimitetaan ilmoitus tuotantokäyttöön otettavasta tietojärjestelmästä tai tuotantokäytön päättymisestä Valviralle toimitettavan ilmoituksen mukana on toimitettava selvitys vaatimustenmukaisuuden toteutumisesta (vaatimustenmukaisuustodistus) ja tuotantokäytön aloittamisajankohdasta

6(9) Prosessikuvaus: 4.3 Prosessi: Kanta-välityspalvelun sertifiominen Prosessin tavoite: välityspalvelun sertifioinnin toteuttaminen Prosessin käynnistymisehto tai -tapahtuma: välityspalvelun toteuttaja hakeutuu auditointiprosessiin Prosessin lopputulos: Kanta-välityspalvelusta on kuvattu sen käyttötarkoitus ja ne toiminnalliset vaatimukset jotka se täyttää Kanta-välityspalvelu on läpäissyt hyväksytysti olennaisten tietoturvavaatimusten auditoinnin Kanta-välityspalvelulla on vaatimustenmukaisuustodistus ja vaatimustenmukaisuusraportti Kanta-välityspalvelusta on asianmukaiset tiedot Valviran rekisterissä Lisätietoja: välityspalvelun toteuttaja voi olla sama taho tai eri taho kuin Kanta-liityntäpistettä hallinnoiva välittäjä; välittäjien on hakeuduttava välittäjäksi THL:n välittäjärekisteriohjeen mukaisesti: http://www.thl.fi/tilastoliite/koodistopalvelu/ohje_kanta_v%e4litt%e4j%e4rekisteri.pdf sertifiointiprosessia ei suoriteta kaikkien käyttöympäristöjen osalta erikseen, vaan riittää, että eri käyttöympäristöissä käytettävä Kanta-palveluihin liittyvä välityspalvelu (tai sen versio) läpäisee

VALVIRA Kanta-tuotantopalvelu Tietoturvallisuuden arviointilaitos toteuttaja 7(9) auditointiprosessin vain kerran (ennen ensimmäistä tuotantokäyttöön ottoa tai Kanta-palveluihin liittymistä palvelun antajan käyttöympäristössä) suhteessa kulloinkin voimassa oleviin olennaisiin vaatimuksiin ja voimassaolosäädösten mukaisesti välityspalvelun toteuttaja vastaa siitä, että Valviralle toimitetaan ilmoitus tuotantokäyttöön otettavasta Kanta-välityspalvelusta tai tuotantokäytön päättymisestä; Valviralle toimitettavan ilmoituksen mukana on toimitettava selvitys vaatimustenmukaisuuden toteutumisesta (vaatimustenmukaisuustodistus) ja tuotantokäytön aloittamisajankohdasta Prosessikuvaus: 2.1 1.4 Auditiointiprosessin käynnistäminen tietoturvallisuuden tarkastusraportti vaatimustenmukaisuustodistus 2.5 Käyttöönoton edellyttämästä tekniikasta sopiminen 2.6 Käyttöön otettavasta välityspalvelusta Ilmoittaminen 19 F 2.2 vaatimustenmukaisuuden arvioiminen tietoturvallisuuden tarkastusraportti 19 K 2.3 tietoturvallisuuden tarkastusraportin laatiminen 2.4 19 M vaatimustenmukaisuustodistuksen laatiminen 2.5 Käyttöönoton edellyttämästä tekniikasta sopiminen käyttöön otettavasta välityspalvelusta 2.8 Rekisterin ylläpitäminen käyttöön otettavasta välityspalvelusta 4.4 Prosessi: Vaatimustenmukaisuustodistuksen uudistaminen Prosessin tavoite: Kanta-palveluihin liittyvien tietojärjestelmien tai Kanta-välityspalvelun olennaisten muutosten edellyttämät sertifiointiprosessin osat (tarvittaessa yhteistestaus ja tietoturvallisuuden uudelleen auditointi) on suoritettu siten että muutokset sisältävä versio täyttää olennaiset toiminnallisuuteen, yhteentoimivuuteen ja tietoturvallisuuteen liittyvät vaatimukset ja on läpäissyt sertifiointiprosessin. Prosessin käynnistymisehto tai -tapahtuma: merkittävä tietojärjestelmämuutos (esim. uusi versio), joka edellyttää tai voi edellyttää uudelleen sertifiointia, tai sellaiset muutokset olennaisissa vaatimuksissa jotka edellyttävät vaatimustenmukaisuustodistuksen uudistamista.

Valvira Tietoturvallisuuden arviointilaitos 3.8 2.1 Yhteistestausvastaava 3.2 Kanta asiakastuki Järjestelmävalmistaja 8(9) Prosessin lopputulos: tietojärjestelmän tai tietojärjestelmäpalvelun olennaisten muutosten edellyttämällä tasolla on tarvittaessa suoritettu uudelleen Kanta-yhteistestaus tai tietoturvallisuuden auditointi tai sellaiset osat niistä, joilla olennaisten vaatimusten toteutuminen voidaan todentaa tietojärjestelmästä tai tietojärjestelmäpalvelusta on tarvittaessa päivitetty sen käyttötarkoitus ja ne toiminnalliset vaatimukset jotka se täyttää tietojärjestelmän tai tietojärjestelmäpalvelun uusi versio täyttää Kanta-yhteistestauksessa edellytettävät yhteentoimivuuden vaatimukset tietojärjestelmän tai tietojärjestelmäpalvelun uusi versio täyttää olennaiset tietoturvavaatimukset tietojärjestelmällä tai tietojärjestelmäpalvelulla on tarvittaessa uusi tai päivitetty vaatimustenmukaisuustodistus ja vaatimustenmukaisuusraportti tietojärjestelmästä tai tietojärjestelmäpalvelusta tai sen uudesta versiosta on asianmukaiset ja ajantasaiset tiedot Valviran rekisterissä Prosessikuvaus: tietojärjestelmämuutoksesta Järjestelmä eikä välityspalvelu? yhteistestaukseen tarpeettomuudesta tietoturvaauditoinnin tarpeesta tai tarpeettomuudesta 4.7 testaustarpeesta Vaatimustenmukaisuustodistus 4.12 Tiedon toimittaminen Valviran rekisteriin 4.1 Ilmoituksen vastaanottaminen 4.2 Käsittelypyynnön välittäminen 4.5 Yhteistestauksen tarpeen arvioiminen 4.6 yhteistestaukseen tarpeettomuudesta 4.8 Tietojärjestelmän vaatimustenmukaisuuden arviointi Kelan yhteistestauslausunto 4.3 Tietoturvan uudelleenarviointitarpeen arvioiminen 4.4 Tietojärjestelmän tai välityspalvelun vaatimustenmukaisuuden arviointi 4.9 4.11 Vaatimustenmukaisuustodistuksen päivittäminen 4.10 Rekisterin ylläpitäminen päivitetystä

9(9) 4 Lisätietoja http://www.kanta.fi/web/ammattilaisille/sertifiointi https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen Ilmoitukset tai lisätietoja niiden toimittamisesta: Kelalle lähetettävät ilmoitukset : kanta@kanta.fi Valviralle tehtävät ilmoitukset, lisätietoja: http://www.valvira.fi/terveydenhuolto/terveysteknologia/valviralle-tehtavat-ilmoitukset Sertifiointiin tai omavalvontasuunnitelmaan liittyvät kysymykset: kantapalvelut@thl.fi Yhteistestaukseen liittyvät kysymykset: kantakehitys@kanta.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute