Ohje 9/2015 1(6) PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA Kohderyhmät: Voimassaolo: Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien tietojärjestelmien valmistajat Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Apteekit Tietoturvallisuuden arviointilaitokset Kela/Kanta-palvelut Ohje tulee voimaan heti ja on voimassa 31.12.2017 asti Tämä ohje korvaa THL:n ohjeen 6/2015 Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa.
Ohje 9/2015 2(6) PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTA- VIEN TIETOJÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA Tämä ohje tarkentaa sertifiointiprosessia uusien vaatimusten käyttöönottovaiheessa sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille. Ohje liittyy THL:n ohjeeseen 8/2015 Sähköisen lääkemääräyksen muutokset ja toimintamallien tarkennukset 01.11.2015 alkaen. Ohje korvaa THL:n ohjeen 6/2015 Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa. Ohjeessa on tarkennettu määräaika- ja uudelleenauditointikohtia toimintamallitarkennusten, auditoinnissa esiin nousseiden vaatimustarkennusten ja kustannuskysymysten, järjestelmissä todettujen korjaustarpeiden, sekä viranomaislinjausten pohjalta. Tausta ja perusteet Lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) tuli muutoksia ja tarkennuksia vuonna 2014. Lain perusteella Kanta-palveluihin (kuten Reseptikeskukseen) liittyvät tietojärjestelmät kuuluvat luokkaan A. Luokan A tietojärjestelmiltä edellytetään sertifiointiprosessin tuloksena saatava vaatimustenmukaisuustodistus ennen tuotantokäyttöä. Reseptikeskukseen liittyviä tietojärjestelmiä ovat apteekkien tietojärjestelmät tai potilastietojärjestelmät, joissa toteutetaan sähköisen lääkemääräyksen määrittelyjen mukaisia toiminnallisuuksia. Useat näistä tietojärjestelmistä on jo liitetty Kanta-palveluihin ja niiden tietoturva on auditoitu suhteessa aiempiin auditointivaatimuksiin. Useat tietojärjestelmät ovat myös tuotantokäytössä yhdellä tai useammalla valtakunnallisiin Kanta-palveluihin liittyvällä palvelujen antajalla tai apteekilla. Kaikkia tietojärjestelmiä ei kuitenkaan ole sertifioitu asiakastietolain ja olennaisista vaatimuksista annetun määräyksen 1/2015 mukaisten vaatimusten mukaisesti. Säädösten perusteella tehtävät olennaisten vaatimusten muutokset sähköisen lääkemääräyksen toiminnallisuuksia toteuttaviin tietojärjestelmiin ovat merkittäviä sekä yhteistestauksen että tietoturva-auditoinnim näkökulmista. Kaikki sähköisen lääkemääräyksen toiminnallisuuksia toteuttavat tietojärjestelmät käyvät läpi sertifiointiprosessiin kuuluvan Kelan yhteistestauksen ja ulkoisen tietoturva-auditoinnin. Kanta-palveluissa ja Reseptikeskuksessa on otettu käyttöön lakimuutosten mukaisia toiminnallisuuksia syyskuussa 2015, jolloin myös tuotannossa olevissa tietojärjestelmissä on luotu valmiudet uusien toiminnallisuuksien käyttöönottoon. Tietoturva-auditoinneissa on noussut esiin
Ohje 9/2015 3(6) tietojärjestelmiin kohdistuvia korjaustarpeita ja tarpeita yhdistää lääkemääräykseen liittyvien vaatimusten todentamista muiden olennaisten vaatimusten todentamiseen. Kanta-palvelujen yhteistestauksen ja tietoturva-auditoinnin aikataulutuksissa on siirtymävaiheessa lisäksi otettava huomioon sertifioitavien tietojärjestelmien lukumäärä, testauksen ja tietoturva-auditoinnin edellyttämiin toimenpiteisiin tarvittava aika sekä lain siirtymäsäännösten mukainen aiemman tietoturva-auditoinnin voimassaoloaika. Tarkennukset määräykseen 1/2015 Määräyksen 1/2015 mukaista sertifiointia tarkennetaan seuraavasti sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille: 1. Tuotantokäytössä olevalla sähköisen lääkemääräyksen toiminnallisuuksia toteuttavalla tietojärjestelmällä on oltava uusien säädösten mukainen vaatimustenmukaisuustodistus viimeistään 31.12.2016. Jos aiemman tietoturva-auditoinnin pohjalta tehdyn päätöksen voimassaolon päättyy ennen tätä, on vaatimustenmukaisuustodistus hankittava ennen voimassaolon päättymisajankohtaa. Vaatimustenmukaisuustodistus perustuu ulkoiseen tietoturva-auditointiin. Se koskee vähintään sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimusten täyttämistä. Myös hyväksytty yhteistestaus on oltava suoritettuna ennen tätä määräaikaa. 2. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien tuotantokäyttö yhdessä Kanta-palvelujen kanssa ennen 31.12.2016 voidaan hyväksyä, jos tietojärjestelmä täyttää vähintään seuraavat ehdot: Tietojärjestelmä on läpäissyt Kelan yhteistestauksen sähköisen lääkemääräyksen toiminnallisuuksien osalta vuosien 2015 ja 2016 tai vuoden 2016 testauksessa käytettävien määrittelyjen mukaisesti ja saanut yhteistestauksesta hyväksytyn lausunnon. Testaus voi koskea lainsäädännön edellyttämien muutosten testausta tai olla tietojärjestelmän ensimmäinen yhteistestaus. Jos tietojärjestelmä ei ole vielä läpäissyt uusien säädösten mukaista tietoturvaauditointia ja saanut niiden mukaista vaatimustenmukaisuustodistusta, sille on aiemmin tehty hyväksytty tietoturva-auditointi ennen uusien säädösten voimaantuloa voimassa olleiden vaatimusten perusteella. 3. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavan tietojärjestelmän tietoturvavaatimusten todentaminen on mahdollista suorittaa siirtymävaiheessa myös aiemman tietoturva-auditoinnin uudistamisena. Tietojärjestelmäpalvelun tuottajalla
Ohje 9/2015 4(6) on mahdollisuus valita, a) suoritetaanko tietojärjestelmälle täydellinen kaikkien relevanttien tietoturvavaatimusten auditointi, jonka tuloksena tietojärjestelmä saa uuden vaatimustenmukaisuustodistuksen, jolla on uusi voimassaoloaika, vai b) suoritetaanko tietojärjestelmälle aiemman auditoinnin uudistaminen. Kohdan b mukaisesti toimittaessa: Lisätietoja Auditoinnin uudistamisen tuloksena ei synny vaatimustenmukaisuustodistusta, jolla olisi uuden todistuksen mukainen voimassaolo. Auditointituloksen yhteenveto on toimitettava vastaavalla tavalla viranomaisille kuin täydellisestä auditoinnista saatava vaatimustenmukaisuustodistus. Hyväksytyn uudistamisen voimassaolon päättymisaika on sama kuin aiemman hyväksyntäpäätöksen mukainen voimassaolon päättymisaika. Ei ole välttämätöntä toistaa aiemmin todennettujen vaatimusten todentamista, jos tietojärjestelmä valmistajan mukaan toteuttaa ne aiemmin yhteistestauksessa tai ulkoisessa tietoturva-auditoinnissa todennetulla tavalla. Auditoinnin uudistamisessa on kuitenkin läpikäytävä vähintään uudet ja merkittävästi muuttuneet tietoturvavaatimukset, joita ovat 6Y, 7Y, 10Y, 11Y, 12Y, 13Y, 16Y, 17Y, 23AP, 31Y, 40Y, 41Y, 42Y ja 43Y. Muista vaatimuksista on käytävä läpi sellaiset relevantit vaatimukset, joita ei ole aiemmin käyty läpi ulkoisessa auditoinnissa. Tietojärjestelmäpalvelun tuottaja vastaa muiden relevanttien vaatimusten tunnistamisesta. Tietojärjestelmän on oltava läpäissyt Kelan yhteistestaus kohdassa 2 kuvatun mukaisesti. Aiemman päätöksen mukaisten tietoturvavaatimusten auditoinnin kertaluonteisen uudistamisen hinnoittelun on oltava oikeassa suhteessa vaatimustenmukaisuustodistuksen uudistamiseen. Koska tietoturvavaatimusten auditoinnin uudistaminen on kertaluonteinen toimenpide, joka ei muuta aiemman päätöksen mukaista voimassaoloaikaa, auditoinnin uudistamisesta ei ole tarpeen muodostaa pitkäaikaista ylläpitosopimusta arviointilai-toksen ja tietojärjestelmäpalvelun tuottajan välillä. Jos auditoinnin uudistamisen jälkeen tietojärjestelmässä tehdään muutoksia, joilla voi olla vaikutusta tietoturvalli-suusvaatimusten täyttymiseen, on muutoksesta ilmoitettava arviointilaitokselle. Auditoinnin uudistaminen voidaan tarvittaessa toistaa. Jos muutoksen johdosta arvioin-nin kohde ei enää täytä vaatimuksia, todistus on peruutettava. Tietoturvavaatimusten auditoinnin uudistamisen kustannuksista vastaa tietojärjestelmäpalvelun tuottaja, vaikka aiempi auditointi (esimerkiksi niin kutsuttu ensiauditointi) olisi rahoitettu sosiaali- ja terveysministeriön kautta.
Ohje 9/2015 5(6) Yhteistestauksessa ja tietoturvallisuusvaatimusten auditoinnissa on mahdollista yhdistää sähköisen lääkemääräyksen niin kutsutun lakimuutospaketin vaiheiden 1 ja 2 mukaisia vaatimuksia sekä myös Potilastiedon arkistoon kohdistuvien vaatimusten testausta ja todentamista. Vaatimusten todentamisessa voidaan käydä läpi kaikki ne vaatimukset, jotka ovat tietojärjestelmän käyttötarkoituksen kannalta relevantteja. Tämä ohje tarkentaa THL:n määräystä 1/2015 (määräys luokan A tietojärjestelmien olennaisista tietoturvavaatimuksista). Ohje ei vaikuta määräysten ja säädösten mukaisiin sisältöihin tai määräaikoihin muuten kuin yllä kuvatulla tavalla. Vesa Jormanainen Yksikön päällikkö Juha Mykkänen Kehittämispäällikkö Jakelu Tiedoksi Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien tietojärjestelmien valmistajat Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Apteekit Tietoturvallisuuden arviointilaitokset Kela / Kanta-palvelut-yksikkö, Marina Lindgren STM / kirjaamo, Teemupekka Virtanen Valvira / kirjaamo, Heikki Mattlar, Maijaliisa Aho Viestintävirasto / kirjaamo, Anna von Fieandt-Lehtonen Fimea / kirjaamo, Anne Hirvonen Väestörekisterikeskus / kirjaamo, Jukka Santala Yliopiston apteekki Itä-Suomen yliopiston apteekki Suomen Kuntaliitto ry / kirjaamo
Ohje 9/2015 6(6) Suomen Apteekkariliitto ry / Vesa Kujala