Väsentliga funktionskrav och certifiering

Väsentliga krav är minimikrav, som informationssystem för social- och hälsovården måste uppfylla. 

Kraven är förknippade med informationssystemets 

  • funktionalitet, dvs. vilket informationsinnehåll och vilka funktioner det finns i systemet
  • interoperabilitet 
  • informationssäkerhet.

Genom certifiering säkerställer man att de väsentliga kraven uppfylls. THL styr certifieringen i tätt samarbete med andra myndigheter.

Producenten av en informationssystemtjänst ska i samband med certifieringen och registreringen av systemet ge en utredning över de väsentliga kraven. Systemet ska uppfylla de väsentliga krav som motsvarar dess användningsändamål. 

Utifrån de väsentliga kraven har informationssystemprofiler skapats, och dessa ska iakttas när system som utvecklas för olika användningsändamål verkställs. 

Mer information om väsentliga krav finns i THL:s föreskrift 5/2024 jämte dess bilagor och stödmaterial. 

Föreskrift 5/2024 på sidan Föreskrifter

De välbefinnandeapplikationer som ingår i Kanta-tjänster hör till klass A. Certifieringen av dessa välbefinnandeapplikationer och de väsentliga krav som gäller dem beskrivs i THL:s föreskrifter 4/2024 och 5/2024. Föreskrifter styr också certifieringen av system och applikationer som hanterar kund- och välfärdsdata. 

Föreskrifter

Informationssystemets klassificering och risknivå

Producenten av ett informationssystem för social- och hälsovården ska klassificera sitt informationssystem. Klassificeringen ska göras enligt lagen om kunduppgifter och THL:s föreskrifter. Klassificeringen och fastställandet av risknivån styrs i synnerhet av THL:s föreskrift 4/2024. 

Föreskrift 4/2024 på sidan Föreskrifter

De väsentliga kraven gäller informationssystem som hör till klass A eller B och som är avsedda för behandling av kunduppgifter inom social- och hälsovården. System som hör till klasserna A och B ska registreras i Valviras register över informationssystem. Klass A indelas vidare i klasserna A1, A2 och A3. Systemets användningsändamål, Kanta-anslutningsbarheten, karaktären och omfattningen för de kunduppgifter som behandlas i systemet samt systemets risknivå och kritiska karaktär påverkar klassificeringen av informationssystemet. Utöver klassificeringen ska producenten av informationssystemtjänsten bedöma riskerna i anslutning till informationssystemet och den behandling av kunduppgifter som görs via systemet. Producenten ska också planera och dimensionera systemets informationssäkerhet i enlighet med riskbedömningen.

Certifiering 

Klassificeringen påverkar vilka åtgärder för certifiering och registrering som ska vidtas för systemet. 

Producenten av en informationssystemtjänst ska certifiera informationssystem som hör till klass A. Förfaranden för certifiering av informationssystem beskrivs i THL:s föreskrift 4/2024. De väsentliga kraven utgör grunden även för certifieringen. Endast certifierade informationssystem som hör till klasserna A2 och A3 får användas för anslutning till Kanta-tjänsterna.

Föreskrift 4/2024 på sidan Föreskrifter

Samtestning säkerställer interoperabiliteten

I certifieringen av informationssystem som hör till klasserna A2 och A3 ingår samtestning med FPA. Vid samtestningen säkerställer man att systemet fungerar tillsammans med Kanta-tjänsterna och andra system som är anslutna till dem och uppfyller kraven på interoperabilitet.  

Bedömning av informationssäkerheten 

I certifieringen av alla informationssystem som hör till klass A ingår en bedömning av att informationssäkerhetskraven uppfylls. Bedömningen utförs av bedömningsorganet för informationssäkerhet. Vid bedömningen säkerställer man, att systemet uppfyller de väsentliga kraven på informationssäkerhet i enlighet med THL:s föreskrift. 

Ett informationssäkerhetsintyg utfärdas vid godkända bedömningar av informationssäkerheten.

Mer information 

sotetiedonhallinta(at)thl.fi