Olennaiset vaatimukset ja sertifiointi
Olennaiset vaatimukset ovat vähimmäisvaatimuksia, jotka sosiaali- ja terveydenhuollon tietojärjestelmien tulee täyttää.
Vaatimukset liittyvät tietojärjestelmän
- toiminnallisuuteen eli siihen, mitä tietosisältöjä ja toimintoja järjestelmässä on
- yhteentoimivuuteen
- tietoturvallisuuteen.
Olennaisten vaatimusten täyttyminen varmistetaan sertifioinnilla. Sertifiointia ohjaa THL tiiviissä viranomaisyhteistyössä.
Tietojärjestelmäpalvelun tuottajan on annettava järjestelmän sertifioinnin ja rekisteröinnin yhteydessä selvitys olennaisista vaatimuksista. Järjestelmän tulee täyttää ne olennaiset vaatimukset, jotka vastaavat sen käyttötarkoitusta.
Olennaisista vaatimuksista on muodostettu tietojärjestelmäprofiileja, joiden mukaisesti eri käyttötarkoituksiin kehitetyt järjestelmät on toteutettava.
Lisätietoja olennaisista vaatimuksista on THL:n määräyksessä 5/2024 ja sen liite- ja tukimateriaaleissa.
Määräys 5/2024 Määräykset-sivulla
Kanta-palveluihin liittyvät hyvinvointisovellukset kuuluvat luokkaan A. Näiden hyvinvointisovellusten sertifiointi ja niihin kohdistuvat olennaiset vaatimukset kuvataan THL:n määräyksissä 4/2024 ja 5/2024. Määräykset ohjaavat myös asiakas- ja hyvinvointitietoja käsittelevien järjestelmien ja sovellusten sertifiointia.
Tietojärjestelmän luokittelu ja riskitaso
Sosiaali- ja terveydenhuollon tietojärjestelmäpalvelun tuottajan on luokiteltava tietojärjestelmänsä. Luokittelu täytyy tehdä asiakastietolain ja THL:n määräysten mukaisesti. Luokittelua ja riskitason määrittelyä ohjaa erityisesti THL:n määräys 4/2024.
Määräys 4/2024 Määräykset-sivulla
Olennaiset vaatimukset koskevat sekä luokkiin A että B kuuluvia tietojärjestelmiä, jotka on tarkoitettusosiaali- ja terveydenhuollon asiakastietojen käsittelyyn. Luokkiin A ja B kuuluvat järjestelmät on rekisteröitävä Valviran ylläpitämään tietojärjestelmärekisteriin. A-luokka jaetaan edelleen luokkiin A1, A2 ja A3. Tietojärjestelmän luokitteluun vaikuttaa järjestelmän käyttötarkoitus, Kanta-liitettävyys, järjestelmässä käsiteltyjen asiakastietojen luonne ja laajuus sekä järjestelmän riskitaso ja kriittisyys perusteella. Luokittelun lisäksi tietojärjestelmäpalvelun tuottajan on arvioitava tietojärjestelmään ja sen kautta tehtävään asiakastietojen käsittelyyn liittyvät riskit. Palveluntuottajan täytyy myös suunnitella ja mitoittaa järjestelmän tietoturvallisuus riskiarvion mukaisesti.
Sertifiointi
Luokittelu vaikuttaa siihen, millaisia sertifioinnin ja rekisteröinnin toimenpiteitä järjestelmälle on suoritettava.
Tietojärjestelmäpalvelun tuottajan on sertifioitava luokkaan A kuuluva tietojärjestelmä. Tietojärjestelmien sertifioinnin menettelyt kuvataan THL:n määräyksessä 4/2024. Olennaiset vaatimukset muodostavat pohjan myös sertifioinnille. Vain sertifioituja luokkiin A2 tai A3 kuuluvia tietojärjestelmiä saa käyttää Kanta-palveluihin liittymiseen.
Määräys 4/2024 Määräykset-sivulla
Yhteistestaus varmistaa yhteentoimivuuden
Luokan A2 ja A3 tietojärjestelmien sertifiointiin kuuluu yhteistestaus Kelan kanssa. Yhteistestauksessa varmistetaan, että järjestelmä toimii yhdessä Kanta-palvelujen ja muiden niihin liittyneiden järjestelmien kanssa ja täyttää yhteentoimivuusvaatimukset.
Tietoturvallisuuden arviointi
Kaikkien luokkaan A kuuluvien tietojärjestelmien sertifiointiin kuuluu tietoturvallisuusvaatimusten arviointi. Arvioinnin suorittaa tietoturvallisuuden arviointilaitos. Arvioinnissa varmistetaan, että järjestelmä täyttää THL:n määräyksen mukaiset tietoturvallisuuden olennaiset vaatimukset.
Hyväksytystä tietoturvallisuuden arvioinnista myönnetään tietoturvallisuustodistus.
Lisätietoja
sotetiedonhallinta(at)thl.fi