För vem är anvisningen avsedd?
Anvisningen på denna sida riktar sig i första hand till producenter av informationssystemtjänster och tillverkare av välbefinnandeapplikationer enligt lagen om kunduppgifter.
Läs närmare anvisningar på sidan om hur THL:s föreskrifter ska beaktas under hela systemets livscykel.
Se även aktuella anvisningar och andra aktuella frågor som gäller föreskrifterna och deras innehåll på sidan Aktuellt.
Gå till sidan Aktuellt
Föreskrifter om informationssystem och välbefinnandeapplikationer
Identifiera de föreskrifter som gäller ditt verksamhetsområde. Kom ihåg att föreskrifterna är förpliktande, dvs. att deras innehåll ska följas i systemutvecklingen.
Föreskrifter för tillverkare av klientdatasystem inom socialvården
- Föreskrift 1/2026: Institutet för hälsa och välfärds föreskrift om klienthandlingar inom socialvården
- Följ dessutom alla föreskrifter i förteckningen nedan
Föreskrifter för producenter av informationssystemtjänster och tillverkare av informationssystem för social- och hälsovården
- Föreskrift 4/2024: Föreskrift om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården
- Föreskrift 5/2024: Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården
Om ditt system förmedlar uppgifter utanför hälso- och sjukvården omfattas det dessutom av:
Föreskrift 2/2024: Föreskrift om handlingar som ska förmedlas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster
Föreskrifter för tillverkare av välbefinnandeapplikationer
- Föreskrift 4/2024: Föreskrift om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården
- Föreskrift 5/2024: Föreskrift om väsentliga krav på informationssystem och välbefinnandeapplikationer inom social- och hälsovården
Ansvar för producenten av informationssystemtjänsten eller tillverkaren av en välbefinnandeapplikation
Du ansvarar för att påvisa att ditt system eller din applikation överensstämmer med kraven. Innehållet i påvisandet av överensstämmelse på kraven beror på klassificeringen av ditt system i klass A-B.
Ansvar för påvisande av överensstämmelse med kraven i klasserna A och B
För informationssystemet eller välbefinnandeapplikationen:
- Beskrivning och klassificering av användningsändamålet (A-B)
- Beaktande av väsentliga krav och nationella specifikationer i planeringen, genomförandet och underhållet av lösningen
- Påvisande av att de väsentliga kraven uppfylls genom självständig testning och en ifylld systemblankett
- Registrering i Tillstånds- och tillsynsverkets Astori-register. I klass A krävs certifiering före registrering och produktionsanvändning
- Anvisningar till tjänstetillhandahållaren om hur systemet används
- Anmälan om betydande ändringar och upprätthållande av överensstämmelse med kraven.
Certifiering i klass A
För informationssystemet eller välbefinnandeapplikationen:
- Genomförande av nödvändiga Kanta-samtestningar (klass A2 och A3)
- Bedömning av informationssäkerheten tillsammans med ett bedömningsorgan för informationssäkerhet som godkänts av Traficom (A1-A3)
Läs närmare anvisningar om hur du uppfyller ansvaret på denna sida.
Hur klassificerar man ett system eller en välbefinnandeapplikation?
Klassificeringen definierar hur systemets överensstämmelse med kraven ska påvisas.
Identifiera användningsändamålet och klassen (A-B) för ditt informationssystem eller din välbefinnandeapplikation enligt anvisningarna nedan. Observera att välbefinnandeapplikationer alltid hör till klass A.
Beskriv användningsändamålet och klassen på systemblanketten
- Läs kapitel 5 och 6 i föreskrift 4/2024 om beskrivning av klassificering och beskrivning av användningsändamålet.
- Se anvisningen för bedömning av systemets risknivå och omfattningen av databehandlingen i bilagan: Exempel på klassificering av system och välbefinnandeapplikationer. Utnyttja också exemplen på klasserna A och B samt oklassificerade system och applikationer i bilagan.
- Utnyttja riskbedömningsverktyget för att bedöma risknivån för ditt eget system eller din egen applikation och uppgifternas omfattning. Det gör det lättare att identifiera klassen.
- Beskriv det användningsändamål och den klass du identifierat på systemblanketten. Se anvisningarna för hur du fyller i blanketten på fliken Ifyllningsanvisningar.
Du hittar dokumenten på sidan Allmänt.
I regel ansvarar producenten av informationssystemtjänsten för klassificeringen.
Hur påvisas överensstämmelse med kraven?
Överensstämmelse med kraven påvisas med en ifylld systemblankett (lagen om kunduppgifter). Ifyllandet av systemblanketten är förpliktande i klasserna A och B.
Visa att ditt informationssystem eller din välbefinnandeapplikation överensstämmer med kraven genom att uppfylla de väsentliga kraven enligt anvisningarna och kraven för din klass (A eller B).
Uppfyll de väsentliga kraven
Det är förpliktande att fylla i följande steg i klasserna A och B:
- Identifiera användningsändamålet och klassen för ditt system eller din välbefinnandeapplikation.
Hur klassificerar man ett system eller en välbefinnandeapplikation? - Läs kapitel 7 och 8 om minimikravprofiler och uppfyllande av väsentliga krav i föreskrift 5.
- Identifiera profilen eller profilerna för ditt system genom att granska deras beskrivningar och jämföra om de motsvarar användningsändamålet för ditt system. De profiler vars användningsändamål systemet eller välbefinnandeapplikationen är avsett för ska implementeras i systemet eller välbefinnandeapplikationen.
Se närmare anvisningar på sidan Anvisningar under avsnittet Profiler - Identifiera de obligatoriska väsentliga krav som gäller ditt system eller din applikation med hjälp av klassen (A-B) och profilerna enligt dess användningsändamål. Observera att du ska uppfylla alla krav som gäller användningsändamålet. Identifiera kraven på systemblanketten.
Systemblankett – v 31 – publicerad 17.12.2024 – Föreskrift 5, bilaga 4 (på finska, xlsx, 574 kb) - Beakta de väsentliga kraven på systemblanketten som gäller ditt system eller din applikation och de specifikationer som det hänvisas till i dem under hela dess utveckling.
Specifikationer för Kanta-tjänster (Kanta)
Specifikationer för informationssystemtjänster inom social- och hälsovården - Testa självständigt att de väsentliga kraven uppfylls och anteckna de uppfyllda kraven på systemblanketten. Se närmare anvisningar om innehåll som ska antecknas på systemblanketten i anvisningen om systemblankett i kapitel 6 i föreskrift 4.
- Se följande steg i punkterna för påvisande av överensstämmelse med kraven för klass B och klass A.
Överensstämmelse med kraven för system av klass B
Uppfyll de väsentliga kraven enligt anvisningen ovan.
I klass B omfattar överensstämmelse med kraven dessutom registrering av systemet samt anmälan om ändringar i det och upprätthållande av överensstämmelse med kraven. Båda är förpliktande för system av klass B.
Registrering
Anmäl ditt system i klass B till Tillstånds- och tillsynsverkets Astori-register innan systemet tas i bruk. Skicka in systemblanketten till verket enligt deras anvisningar.
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Observera att det är obligatoriskt att registrera systemet. Produktionsanvändningen får inte inledas förrän uppgifterna om systemet finns i Astori.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Dokumentera ändringar, uppdateringar, riskbedömningar och tester som påverkar de väsentliga kraven på systemblanketten. Dokumentationen ska vara i en sådan form att Tillstånds- och tillsynsverket eller ett bedömningsorgan vid behov kan kontrollera den i efterhand.
Följ regelbundet uppdateringar av lagen om kunduppgifter och eventuella uppdateringar av föreskrifterna (THL 4/2024 och 5/2024). Uppdateringarna kan ändra kraven på ditt system.
Anmäl ändringar och upprätthåll ditt systems överensstämmelse med kraven enligt anvisningarna på denna sida.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Överensstämmelse med kraven för system eller applikationer av klass A
Uppfyll de väsentliga kraven enligt anvisningen ovan.
I klass A omfattar påvisande av överensstämmelse med kraven dessutom certifiering, registrering av systemet samt anmälan om ändringar i det och upprätthållande av överensstämmelse med kraven. Alla dessa är förpliktande för system i klass A.
Certifiering och registrering
Se anvisningar för certifiering och registrering av ditt system eller din applikation under Hur och när genomförs certifieringen.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Anmäl ändringar och upprätthåll ditt systems eller din applikations överensstämmelse med kraven enligt anvisningarna på denna sida.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Myndigheternas roller vid påvisande av överensstämmelse med kraven
THL publicerar och upprätthåller föreskrifter om väsentliga krav och informationssäkerhetsplan. Med tanke på certifieringen av informationssystemet ansvarar THL för:
- innehållet i de väsentliga kraven, inklusive klienthandlingarnas datastruktur och datainnehåll samt uppgifter som lagras i loggregistren
- tidsfristerna för verkställandet av de väsentliga kraven och vilka väsentliga krav som ska uppfyllas i de informationssystem som används för olika tjänster
- grunderna för klassificeringen av informationssystem
- fastställandet av de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och innehållet i den utredning som ska ges om överensstämmelse med kraven.
Kanta-tjänsterna ansvarar för att ordna samtestningen. Se närmare information om parterna i samtestningen och ansvaren på Kanta-tjänsternas webbplats.
Samtestningsprocessen (Kanta)
Tillstånds- och tillsynsverket övervakar att de väsentliga kraven på informationssystem för behandling av klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården uppfylls.
Registreringen av informationssystemet i Astori är en förhandstillsyn som utförs av Tillstånds- och tillsynsverket och vars syfte är att säkerställa att systemet uppfyller de väsentliga kraven för dess användningsändamål. Läs mer om Tillstånds- och tillsynsverkets roll i certifieringen på deras webbplats.
Informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Traficom ansvarar vid certifieringen för godkännande och tillsyn av bedömningsorgan för informationssäkerhet. Traficom säkerställer att de instanser som används för att bedöma informationssäkerhetens överensstämmelse med kraven i informationssystemen och välbefinnandeapplikationerna är kompetenta och agerar enhetligt i enlighet med lagen om bedömningsorgan för informationssäkerhet. Mer information om godkända bedömningsorgan för informationssäkerhet finns på Traficoms webbplats.
Godkända bedömningsorgan för informationssäkerhet (Traficom)
Hur och när genomförs certifieringen?
Med certifiering avses samtestning med Kanta-tjänsterna samt bedömning av informationssäkerheten utförd av ett bedömningsorgan för informationssäkerhet som godkänts av Traficom.
Genomför certifieringen innan ett informationssystem eller en välbefinnandeapplikation i klass A ansluts till Kanta-tjänsterna och produktionsanvändningen inleds. Ansök om certifiering när du självständigt har genomfört och testat de väsentliga kraven enligt de profiler som motsvarar användningsändamålet för ditt system eller din applikation.
Se närmare anvisningar under avsnittet Certifiering och samtestning av ett nytt system eller en ny välbefinnandeapplikation.
Certifiering genomförs också innan informationssäkerhetsintyget löper ut, minst vart tredje år, samt vid behov efter betydande ändringar i informationssystemet eller välbefinnandeapplikationen.
Se närmare anvisningar:
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Certifiering gäller inte informationssystem i klass B. Se anvisningarna för klass B:
Påvisande av överensstämmelse med kraven för system av klass B
Informationssystem eller välbefinnandeapplikation i klass A2 eller A3 som ansluts till Kanta-tjänsterna
Observera att det är obligatoriskt att följa alla punkter nedan för informationssystem och välbefinnandeapplikationer i klasserna A2 och A3.
- Bekanta dig med THL:s föreskrifter och anvisningarna på denna sida om klassificeringen av systemet eller välbefinnandeapplikationen och uppfyllandet av de väsentliga kraven.
- Utveckla ditt system eller din applikation så att det uppfyller de väsentliga krav som ställs på det.
- Rapportera noggrant de väsentliga krav som ditt system uppfyller på systemblanketten innan du ansöker om samtestning.
- Testa funktionaliteterna i ditt informationssystem eller din välbefinnandeapplikation på ett heltäckande sätt under utvecklingen.
- Testa funktionaliteterna i din produkt självständigt mot Kanta-kundtestmiljön före samtestningen.
- Se detaljerade anvisningar på sidan Samtestningsprocessen hos Kanta-tjänsterna.
Samtestningsprocessen (Kanta)
- Delta i Kanta-samtestningen med ett testat, så färdigt och fungerande informationssystem eller en välbefinnandeapplikation som möjligt.
- Fyll i systemblanketten noggrant innan du ansöker om samtestning med Kanta-tjänsterna. Systemblanketten är ditt ställningstagande till hur du har uppfyllt kraven för din produkt under dess utveckling. Samtestningens innehåll och omfattning fastställs utifrån systemblanketten.
- Anmäl dig till samtestningen minst två månader innan den planerade starttidpunkten för testningen.
- Se närmare anvisningar för anmälan till samtestning med Kanta-tjänsterna.
Samtestningsprocessen (Kanta)
- Välj ett bedömningsorgan för informationssäkerhet på Traficoms webbplats.
- Genomför bedömningen av informationssäkerheten tillsammans med bedömningsorganet i enlighet med dess anvisningar. Bedömningen gäller i högst tre år.
- Gör en registeranmälan till Tillstånds- och tillsynsverket (LVV) innan systemet eller applikationen tas i bruk. Du kan ta systemet eller applikationen i bruk först när uppgifterna finns i Astori.
- Fyll i registreringsanmälan i enlighet med Tillstånds- och tillsynsverkets anvisningar.
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
- Dokumentera ändringar i de väsentliga kraven i ditt system på systemblanketten.
- Se till att anmäla betydande ändringar och upprätthålla systemets eller applikationens överensstämmelse med kraven. Se närmare anvisningar:
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Informationssystem i klass A1
Ett system i klass A1 samtestas inte med Kanta-tjänsterna. I övrigt ska du följa anvisningarna ovan.
Anmälan om ändringar och upprätthållande av överensstämmelse med kraven
Producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation ska underrätta FPA:s Kanta-tjänster och ett bedömningsorgan för informationssäkerhet om betydande ändringar i ett informationssystem, en välbefinnandeapplikation eller ett delsystem som hör till klass A.
När och hur anmäls betydande ändringar?
- Anmäl betydande ändringar i de situationer som beskrivs i bilaga 2 till THL:s föreskrift 4/2024.
Anmälan om ändringar i informationssystem och välbefinnandeapplikationer i klass A - Anmäl ändringar till FPA:s Kanta-tjänster och bedömningsorganet för informationssäkerhet i enlighet med Kanta-tjänsternas anvisning om ändringsanmälan.
Kanta-tjänsternas anvisning om ändringsanmälan (FPA)
På basis av anmälan bedömer Kanta-tjänsterna och bedömningsorganet för informationssäkerhet om ändringarna förutsätter ny samtestning eller en ny bedömning av informationssäkerheten, vilket innebär att ett nytt informationssäkerhetsintyg ska utfärdas. Om detta krävs ska du följa anvisningarna från Kanta-tjänsterna och bedömningsorganet för informationssäkerhet.
Anmäl ändringar som gäller Astori-registret till Tillstånds- och tillsynsverket
Informera Tillstånds- och tillsynsverket om ändringar som påverkar uppgifterna i Astori-registret. Se närmare anvisningar om anmälan av ändringar på myndighetens webbplats.
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Skyldigheter att upprätthålla överensstämmelse med kraven efter registrering i klasserna A och B
Dokumentera på systemblanketten ändringar, uppdateringar, riskbedömningar och tester som påverkar de väsentliga kraven. Dokumentationen ska vara i en sådan form att Tillstånds- och tillsynsverket eller, för system i klass A, ett bedömningsorgan för informationssäkerhet vid behov kan kontrollera den i efterhand.
Följ regelbundet uppdateringar av föreskrifterna samt THL:s och Kanta-tjänsternas specifikationer. Uppdateringarna kan ändra kraven på ditt system och medföra behov av ändringar i systemet.
- Specifikationer för informationssystemtjänster inom social- och hälsovården
- Kanta-tjänsternas specifikationer (Kanta)
Verifiering av överensstämmelse med kraven i klass A
Observera att du i enlighet med kapitel 10 i föreskrift 4/2024 ansvarar för att verifiera ditt systems eller din applikations överensstämmelse med kraven på nytt innan giltighetstiden för ditt gällande informationssäkerhetsintyg löper ut.
Kontakta ett bedömningsorgan för informationssäkerhet och FPA:s Kanta-tjänster (i klasserna A2–A3) minst sex månader innan ditt tidigare intyg löper ut.
Se nedan närmare anvisningar om hur överensstämmelsen med kraven upprätthålls.
Upprätthållande av systemets överensstämmelse med kraven i klasserna A och B
Påvisa överensstämmelse med kraven
- Genom att i informationssystemet uppfylla de gällande väsentliga krav som motsvarar dess användningsändamål och implementerade funktioner
- Genom att säkerställa att uppgifterna om informationssystemet i Tillstånds- och tillsynsverkets Astori-register är korrekta och aktuella
När ska överensstämmelsen med kraven förnyas?
1. Förnya överensstämmelsen med kraven genom certifiering när:
- Det tidigare informationssäkerhetsintyget eller intyget om överensstämmelse med kraven upphör att gälla. Giltighetstiden är högst tre år, och förnyandet av överensstämmelsen ska inledas minst sex månader innan intyget löper ut.
- FPA och/eller ett bedömningsorgan för informationssäkerhet förutsätter att överensstämmelsen med kraven förnyas genom certifiering på grund av betydande ändringar i informationssystemet.
- Kraven på informationssystemet förändras avsevärt.
2. Förutse att överensstämmelsen med kraven föråldras
- Uppdatera systemblanketten så att den är aktuell innan du ansöker om certifiering för att förnya överensstämmelsen med kraven. Systemblanketten är ditt ställningstagande till hur du har uppfyllt kraven för din produkt.
Systemblankett – v 31 – publicerad 17.12.2024 – Föreskrift 5, bilaga 4 (på finska, xlsx, 574 kb) - Säkerställ att genomförandet baserar sig på aktuella specifikationer från THL och Kanta-tjänsterna. Beakta specifikationernas giltighetstid vid certifiering och produktion.
Se anvisningar om specifikationernas giltighet Kontakta Kanta-tjänsterna och ett bedömningsorgan för informationssäkerhet minst sex månader innan överensstämmelsen med kraven löper ut.
3. Skicka in en aktuell systemblankett
- till Kanta-tjänsterna
- till ett bedömningsorgan för informationssäkerhet.
Samtestningen med Kanta-tjänsterna avgör systemspecifikt vilka samtestningar som krävs. Anmäl dig separat till samtestningen enligt anvisningarna nedan.
4. Anmäl dig till samtestning med Kanta-tjänsterna
- Se till att funktionaliteterna i ditt system har testats noggrant före samtestningen och att systemblanketten är aktuell samt att testfallstabellerna har fyllts i noggrant.
- Anmäl dig till samtestningen senast två månader före den planerade starttidpunkten i enlighet med Kanta-tjänsternas anvisningar.
Samtestningsprocessen (Kanta)
5. Genomför samtestningen och bedömningen av informationssäkerheten
- Genomför samtestningen med Kanta-tjänsterna och bedömningen av informationssäkerheten tillsammans med ett bedömningsorgan för informationssäkerhet.
- Du får en samtestningsrapport och ett informationssäkerhetsintyg som gäller i högst tre år.
6. Registrera ditt informationssystem eller din välbefinnandeapplikation i Tillstånds- och tillsynsverkets register
Skicka en registeranmälan med bilagor till Tillstånds- och tillsynsverket. Fyll i registreringsanmälan i enlighet med myndighetens anvisningar.
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
7. Upprätthåll systemets överensstämmelse med kraven
Förnya överensstämmelsen med kraven genom certifiering i enlighet med anvisningarna i punkt 1: När ska överensstämmelsen med kraven förnyas?
Informationssystem i klass A1
Anmälningar till FPA:s Kanta-tjänster och samtestning gäller inte klass A1. I övrigt ska du följa anvisningarna ovan.
Vad ska man beakta när systemet tas ur bruk?
När ett informationssystem eller en välbefinnandeapplikation inte längre ska användas i produktionsbruk ska dess uppgifter tas bort från Tillstånds- och tillsynsverkets Astori-register.
Se anvisningarna för anmälan om borttagning på verkets webbplats
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Kontaktinformation
Frågor
Kontakta e-postadressen för informationshanteringen inom social- och hälsovården i frågor som gäller THL:s föreskrifter och klassificeringen av informationssystem.
sotetiedonhallinta(snabel-a)thl.fi
Kontakta kundservice för FPA:s Kanta-tjänster i frågor som gäller systemutveckling och samtestning:
Kanta-tjänsternas kundservice för professionella och systemutvecklare (Kanta)
Kontakta Tillstånds- och tillsynsverket i frågor som gäller registrering av informationssystem inom social- och hälsovården:
Registrering av informationssystem inom social- och hälsovården (Tillstånds- och tillsynsverket)
Respons
Du kan skicka respons om föreskrifterna eller innehållet på denna sida till e-postadressen för THL:s informationshantering inom social- och hälsovården.
Markera din respons med rubriken Utvecklingsrespons för föreskrifterna.
sotetiedonhallinta(snabel-a)thl.fi