Föreskrifter och certifiering

Föreskrift om klienthandlingar inom socialvården

Föreskriften om klienthandlingar inom socialvården styr strukturerna och datainnehållet i klienthandlingar inom socialvården samt de kodsystem som används i handlingarna.

Föreskriftens målgrupper:

• Informationssystem som behandlar klientuppgifter inom socialvården
• Tjänstetillhandahållare inom socialvården

Föreskriftstext och motiveringspromemoria:

• Föreskrift 1/2026: Institutet för hälsa och välfärds föreskrift om klienthandlingar inom socialvården
• Motiveringspromemoria Föreskrift 1/2026

Föreskrift om informationsförmedlings- och förfrågningsservice

Syftet med föreskriften om informationsförmedlings- och förfrågningsservice är att närmare ange vilken typ av handlingar som får förmedlas med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna.

Föreskriftens målgrupper:

• Aktörer utanför hälso- och sjukvården som tar i bruk informationsförmedlings- och förfrågningsservicen
• Genomförare av informationssystem för aktörer utanför hälso- och sjukvården som tar i bruk
• informationsförmedlings- och förfrågningsservicen
• Tillverkare av service som producerar intyg/producenter av informationssystemtjänster
• Tillhandahållare av hälso- och sjukvårdstjänster
• FPA:s Kanta-tjänster

Föreskriftstext:
Föreskrift 2/2024: Föreskrift om handlingar som ska förmedlas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster

Föreskrift om informationssäkerhetsplan

Syftet med föreskriften om informationssäkerhetsplan är att precisera en säker behandling av klientuppgifter inom social- och hälsovården genom att precisera kraven på informationssäkerhetsplanen och övervakningen av den i lagen om kunduppgifter

Föreskriftens målgrupper:

• Tjänstetillhandahållare inom social- och hälsovården
• Apotek
• Mellanhänder
• FPA:s Kanta-tjänster

Föreskriftstext:
Föreskrift 3/2024: Föreskrift om redogörelser och krav som ska tas in i informationssäkerhetsplanen

Hur utarbetas informationssäkerhetsplanen?

Se närmare anvisningar om hur man gör upp en informationssäkerhetsplan i avsnittet Informationssäkerhetsplan på sidan Tjänstetillhandahållare.

• Anvisning för informationssäkerhetsplanen
• Mall för informationssäkerhetsplan - Föreskrift 3, Bilaga 1 (22.2.2024, docx, 68 kt)

Föreskrifter om klassificering, certifiering och väsentliga krav gällande informationssystem och välbefinnandeapplikationer 

Syftet med föreskriften om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården är att beskriva klassificeringen av social- och hälsovårdens informationssystem och välbefinnandeapplikationer, verifieringen av väsentliga krav samt certifieringsförfarandena och -ansvaren.

Syftet med föreskriften om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården är att precisera väsentliga krav på informationssystem och välbefinnandeapplikationer avsedda för behandling av klient- och patientuppgifter inom social- och hälsovården.

Föreskrifternas målgrupper:

• Producenter av informationssystemtjänster och tillverkare av informationssystem för social- och hälsovården
• Tillverkare av välbefinnandeapplikationer
• Producenter av Kanta-informationsförmedlingsservice
• Tjänstetillhandahållare inom social- och hälsovården
• Apotek
• FPA:s Kanta-tjänster
• Bedömningsorgan för informationssäkerhet
• Mellanhänder

Föreskriftstexter:

• Föreskrift 4/2024: Föreskrift om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården
• Föreskrift 5/2024: Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården

Väsentliga krav och påvisande av överensstämmelse med kraven genom certifiering

Föreskrifterna 4/2024 och 5/2024 fastställer de väsentliga krav som förpliktar social- och hälsovårdens informationssystem och välbefinnandeapplikationer samt påvisande av överensstämmelse med kraven i klass A och B. 

Certifiering är ett lagstadgat kvalitetssäkringsförfarande för informationssystem och välbefinnandeapplikationer i klass A inom social- och hälsovården, genom vilket överensstämmelse med kraven verifieras.  

Se närmare anvisningar om klassificering och certifiering av system på sidan Systemleverantör samt följande stycken på denna sida.
Sidan Systemleverantör

De väsentliga kraven fastställer de minimikrav som informationssystemet eller välbefinnandeapplikationen ska uppfylla för att den ska kunna användas vid behandlingen av kunduppgifter. Det är förpliktande att uppfylla de väsentliga kraven.
Förteckning över väsentliga krav – 4.12.2025 Föreskrift 5, bilaga 2 – (på finska v 341, xlsx, 526 kb) 

Anvisningen om tillämpningen av väsentliga krav preciserar hur de väsentliga kraven uppfylls. Vi rekommenderar att den används.
Anvisning om tillämpningen av väsentliga krav – Föreskrift 5/bilaga 1

Klassificering av systemet

Exempel på klassificering av system och välbefinnandeapplikationer samlar exempel i fråga om system i klasserna A–B och oklassificerade system. Vi rekommenderar att den används som stöd för klassificeringen.
Exempel på klassificering av system och välbefinnandeapplikationer – Föreskrift 4/bilaga 1

Riskbedömningsverktyg som stöd för klassificeringen

Riskbedömningsverktyget är avsett som stöd för bedömning och klassificering av risknivån i informationssystemet eller välbefinnandeapplikationen (A-B). Vi rekommenderar att den används som stöd för klassificeringen. 
Riskbedömningsverktyg för informationssystem inom social- och hälsovården – Föreskrift 4 stödmaterial (på finska, v09, xlsx 18 kb)

Profiler

Varje profil anger minimikraven för ett informationssystem eller en välbefinnandeapplikation som används för ett visst användningsändamål (delgrupp av väsentliga krav). 

Genom att identifiera profilerna för ditt system eller din applikation vet du vilka väsentliga krav som gäller för det. Observera att ditt system kan beröras av en eller flera profiler.

Observera att profilfilerna endast finns på finska.

Minimikravprofil för informationssystem i klasserna B och A1

Profil 3g1 innehåller minimikraven för informationssystem som behandlar klient- eller patientuppgifter. Om systemets användningsändamål inte förutsätter att andra profiler uppfylls, fastställer 3g1 minimikraven för systemet. Detta är typiskt för klasserna B och A1.

De minimikrav som ingår i profil 3g1 ingår även i andra profiler. Om ditt systems användningsändamål uppfylls genom andra profiler, uppfylls även kraven i 3g1 via dessa. Detta är typiskt för klasserna A2 och A3.

Bilagan innehåller följande profiler:
3g1 System avsett för behandling av klient- eller patientuppgifter (inkl. klass B eller A1)

Profilbilaga:
3g – Minimikrav för system avsett för behandling av klient- eller patientuppgifter v05- publicerad 2.5.2024 - Föreskrift 5 bilaga (på finska, xlsx 389 kb)

Profiler för e-recept 

Bilagan innehåller följande profiler:

• 3a1 Patientdatasystem som behandlar recept (PTJ)
• 3a2 Apotekssystem

Profilbilaga:
3a Profiler för elektroniska recept – 2.5.2024 Föreskrift 5 bilaga (på finska, v05, xlsx 412 kb)

Profiler för Kanta-klientdatalagret

Bilagan innehåller följande profiler:

• 3b1 System eller tjänst som hämtar uppgifter från Kanta-klientdatalagret
• 3b2 System som utnyttjar uppgifter som hämtats från Kanta-klientdatalagret
• 3b3 System eller tjänst som skickar uppgifter till Kanta-klientdatalagret
• 3b4 System som producerar uppgifter som ska skickas till Kanta-klientdatalagret

Profilbilaga:
3b – Kanta-klientdatalagrets profiler v05 – publicerad 2.5.2024 – Föreskrift 5 bilaga (på finska, xlsx 540 kb)

Profiler för Patientdataarkivet

Bilagan innehåller följande profiler:

• 3c1 Patientjournalsystem (grundkrav)
• 3c2 Munhälsovårdens system
• 3c3 Den optiska sektorns system

Profilbilaga:
3c – Patientdataarkivets profiler v05- publicerad 2.5.2024 – Föreskrift 5 bilaga (på finska, xlsx 511 kb)

Profiler för Socialvårdens klientdatalager

Bilagan innehåller följande profiler:

• 3d1 System som behandlar strukturerade klientuppgifter inom socialvården (krav på anslutningsskyldighet)
• 3d2 Applikation som producerar och behandlar strukturerade uppgifter som ska skickas till Socialvårdens klientdatalager
• 3d3 Applikation eller tjänst som skickar uppgifter till Socialvårdens klientdatalager 
• 3d4 Applikation eller tjänst som hämtar uppgifter från Socialvårdens klientdatalager

Profilbilaga:
3d – Profiler för Socialvårdens klientdatalager v08- publicerad 3.2.2025 – Föreskrift 5 bilaga (xlsx 347 kb)

Profiler för bilddiagnostik

Bilagan innehåller följande profiler:

• 3e3 Grundläggande patienthanteringssystem inom bilddiagnostik (HIS)
• 3e4 System för verksamhetsstyrning inom bilddiagnostik (RIS), anslutet till Kanta
• 3e5 System för verksamhetsstyrning inom bilddiagnostik (RIS), INTE anslutet till Kanta
• 3e6 Lagrings- och delningssystem för bilder (PACS)
• 3e7 Visningsprogramvara för bilddiagnostik

Profilbilaga:
3e – Profiler för bilddiagnostik v05 -publicerad 2.5.2024 – Föreskrift 5 bilaga (på finska, xlsx 595 kb)

Profiler för intyg

Bilagan innehåller följande profiler:

• 3f1 System som hämtar enskilda intyg eller utlåtanden från klientdatalagret   
• 3f2 System som hämtar intyg eller utlåtanden riktade till mottagaren från klientdatalagret
• 3f3 System som producerar intyg och utlåtanden till Klientdatalagret

Profilbilaga:
3f – Profiler för intyg v04 – publicerad 4.12.2025 – Föreskrift 5 bilaga (på finska, xlsx, 511 kb) 

Profiler för digitala tjänster och välbefinnandeapplikationer för medborgare 

Bilagan innehåller följande profiler:

• 3h1     Tjänstetillhandahållarens digitala tjänst
• 3h2    Välbefinnandeapplikation som producerar uppgifter till Datalagret för egna uppgifter
• 3h3    Välbefinnandeapplikation som använder uppgifter om välbefinnande i Datalagret för egna uppgifter
• 3h4    Välbefinnandeapplikation som använder patientuppgifter i Kanta-tjänsterna
• 3h5    Yrkesutbildade personers informationssystem som använder uppgifter om välbefinnande i Datalagret för egna uppgifter (publiceras senare)

Profilbilaga:
3h, Profiler för digitala tjänster och välbefinnandeapplikationer för medborgare v03 – publicerad 17.12.2024 - Föreskrift 5 bilaga (på finska, xslx 571 kb)

Sammanställningstabell som sammanställer väsentliga krav och profiler 

Sammanställningstabellen sammanställer de väsentliga kraven och profilerna. Den finns i avsnittet Gamla förordningar, eftersom den publicerades 6.5.2024 och inte har uppdaterats därefter. 

Observera att sammanställningstabellen inte är aktuell om du utnyttjar den i ditt arbete. Du hittar de mest aktuella profiluppgifterna i de officiella bilagorna till föreskrift 5 i profilerna 3a–3h. 

THL kan tyvärr inte upprätthålla en aktuell sammanställningstabell för närvarande. Sammanställningstabellen uppdateras senast när allt innehåll i föreskrift 5 uppdateras i samband med reformen av lagen om kunduppgifter. 

Systemblankett

Systemblanketten är en förpliktande bilaga för producenter av informationssystemtjänster och tillverkare av välbefinnandeapplikationer (85 § i lagen om kunduppgifter). 

Den ifyllda blanketten fungerar som systemleverantörens officiella utredning om att de väsentliga kraven uppfylls, dvs. att de överensstämmer med kraven. 

Blanketten används som en del av certifierings- eller ändringsanmälningsprocessen. Utifrån systemblanketten bedömer Kanta-samtestningen innehållet i och omfattningen av den samtestning som krävs.

Läs bilagan:
Systemblankett – v 31 – publicerad 17.12.2024 – Föreskrift 5, bilaga 4 (på finska, xlsx, 574 kb)

Anvisningar för hur systemblanketten används i alla skeden av systemets livscykel finns på sidan Systemleverantör. 
Sidan Systemleverantör

Anmälan om ändringar

Bilagan till anmälan om ändringar är förpliktande för producenter av informationssystemtjänster och tillverkare av välbefinnandeapplikationer (82 § i lagen om kunduppgifter). 

I den beskrivs vilka systemändringar i ett informationssystem eller en välbefinnandeapplikation som samtestats eller godkänts vid bedömningen av informationssäkerheten som ska anmälas till FPA:s Kanta-tjänster och bedömningsorganet för informationssäkerhet. Det är också viktigt att uppgifterna i Astori-registret uppdateras för Tillstånds- och tillsynsverket. 

Läs bilagan:
Anmälan om ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A – Föreskrift 4, bilaga 2 (på finska)

Se anvisningen för anmälan om ändringar på sidan Systemleverantör.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven