Olennaiset vaatimukset ja sertifiointi

Olennaiset vaatimukset ovat vähimmäisvaatimuksia, jotka sosiaali- ja terveydenhuollon tietojärjestelmien tulee täyttää.

Vaatimukset liittyvät tietojärjestelmän

toiminnallisuuteen eli siihen, mitä tietosisältöjä ja toimintoja järjestelmässä on
yhteentoimivuuteen
tietoturvallisuuteen.

Olennaisten vaatimusten täyttyminen varmistetaan sertifioinnilla. Sertifiointia ohjaa THL tiiviissä viranomaisyhteistyössä.

Tietojärjestelmäpalvelun tuottajan on annettava järjestelmän sertifioinnin ja rekisteröinnin yhteydessä selvitys olennaisista vaatimuksista. Järjestelmän tulee täyttää ne olennaiset vaatimukset, jotka vastaavat sen käyttötarkoitusta.

Olennaisista vaatimuksista on muodostettu tietojärjestelmäprofiileja, joiden mukaisesti eri käyttötarkoituksiin kehitetyt järjestelmät on toteutettava.

Lisätietoja olennaisista vaatimuksista on THL:n määräyksessä 5/2021 ja sen liite- ja tukimateriaaleissa.

Määräys 5/2021 Määräykset-sivulla

Omatietovaranto-palveluun liittyvät hyvinvointisovellukset kuuluvat luokkaan A. Näiden hyvinvointisovellusten sertifiointi ja niihin kohdistuvat olennaiset vaatimukset kuvataan THL:n määräyksessä 6/2021.

Määräys 6/2021 Määräykset-sivulla

Tietojärjestelmän luokittelu ja riskitaso

Sosiaali- ja terveydenhuollon tietojärjestelmäpalvelun tuottajan on luokiteltava tietojärjestelmänsä. Luokittelu täytyy tehdä asiakastietolain ja THL:n määräysten mukaisesti. Luokittelua ja riskitason määrittelyä ohjaa erityisesti THL:n määräys 4/2021.

Määräys 4/2021 Määräykset-sivulla

Olennaiset vaatimukset koskevat sekä luokkiin A että B kuuluvia tietojärjestelmiä, jotka on tarkoitettusosiaali- ja terveydenhuollon asiakastietojen käsittelyyn. Luokkiin A ja B kuuluvat järjestelmät on rekisteröitävä Valviran ylläpitämään tietojärjestelmärekisteriin. A-luokka jaetaan edelleen luokkiin A1, A2 ja A3. Tietojärjestelmän luokitteluun vaikuttaa järjestelmän käyttötarkoitus, Kanta-liitettävyys, järjestelmässä käsiteltyjen asiakastietojen luonne ja laajuus sekä järjestelmän riskitaso ja kriittisyys perusteella.Luokittelun lisäksi tietojärjestelmäpalvelun tuottajan on arvioitava tietojärjestelmään ja sen kautta tehtävään asiakastietojen käsittelyyn liittyvät riskit. Palveluntuottajan täytyy myös suunnitella ja mitoittaa järjestelmän tietoturvallisuus riskiarvion mukaisesti.

Tietojärjestelmien sertifiointi

Luokittelu vaikuttaa siihen, millaisia sertifioinnin ja rekisteröinnin toimenpiteitä järjestelmälle on suoritettava.

Tietojärjestelmäpalvelun tuottajan on sertifioitava luokkaan A kuuluva tietojärjestelmä. Tietojärjestelmien sertifioinnin menettelyt kuvataan THL:n määräyksessä 4/2021. Olennaiset vaatimukset muodostavat pohjan myös sertifioinnille. Vain sertifioituja luokkiin A2 tai A3 kuuluvia tietojärjestelmiä saa käyttää Kanta-palveluihin liittymiseen.

Määräys 4/2021 Määräykset-sivulla

Yhteistestaus varmistaa yhteentoimivuuden

Luokan A2 ja A3 tietojärjestelmien sertifiointiin kuuluu yhteistestaus Kelan kanssa. Yhteistestauksessa varmistetaan, että järjestelmä toimii yhdessä Kanta-palvelujen ja muiden niihin liittyneiden järjestelmien kanssa ja täyttää yhteentoimivuusvaatimukset.

Tietoturvallisuuden arviointi

Kaikkien luokkaan A kuuluvien tietojärjestelmien sertifiointiin kuuluu tietoturvallisuusvaatimusten arviointi. Arvioinnin suorittaa tietoturvallisuuden arviointilaitos. Arvioinnissa varmistetaan, että järjestelmä täyttää THL:n määräyksen mukaiset tietoturvallisuuden olennaiset vaatimukset.
Hyväksytystä tietoturvallisuuden arvioinnista myönnetään tietoturvallisuustodistus.

Lisätietoja

sotetiedonhallinta(at)thl.fi

Päivitetty: Tue Dec 05 15:44:24 EET 2023

Muualla verkossa

Kanta.fi: Sertifiointi, olennaiset vaatimukset ja omavalvonta

Valvira: Sosiaali- ja terveydenhuollon tietojärjestelmät