Terveydenhuolto

Pikalinkit

Asiakastietolain mukaiset sosiaali- ja terveydenhuollon tietojärjestelmät

På svenska ⁄ In English

Asiakastietolain mukaiset sosiaali- ja terveydenhuollon tietojärjestelmät

Valvira edistää ja valvoo sosiaalihuollossa kirjattavien asiakastietojen ja terveydenhuollossa kirjattavien potilastietojen käsittelyyn tarkoitettujen tietojärjestelmien olennaisten vaatimusten toteutumista. Tällaisia tietojärjestelmiä ovat:

apteekkijärjestelmät
Kanta-palvelut
asiakastietojen välityspalvelut
reseptijärjestelmät
sosiaalihuollon asiakastietojärjestelmät
terveydenhuollon potilastietojärjestelmät

Asiakas- ja potilastietojen käsittelyyn tarkoitetun tietojärjestelmän on täytettävä käyttötarkoituksensa mukaiset olennaiset vaatimukset. Olennaisten vaatimusten täyttämisestä ja niiden ylläpidosta on vastuussa tietojärjestelmäpalvelun tuottaja.

Tietojärjestelmäpalvelun tuottajan velvollisuudet -kohdassa kerrotaan tarkemmin niistä velvollisuuksista, jotka tuottajan on täytettävä asiakastietolain perusteella. Asiakastietolaissa säädetään lisäksi velvoitteita sosiaali- ja terveydenhuollon palvelunantajille, ja niistä tarkemmin Sosiaali- ja terveydenhuollon palvelunantajan velvollisuudet -kohdassa.

Olennaiset vaatimukset jakautuvat kolmeen osa-alueeseen: toiminnallisiin vaatimuksiin, yhteentoimivuuteen sekä tietoturvaan ja tietosuojaan.

Asiakastietolain mukaiset olennaiset vaatimukset

Toiminnalliset vaatimukset tarkoittavat tietojärjestelmään toteutettuja toimintoja ja tietosisältöjä. Toiminnalliset vaatimukset pohjautuvat sosiaali- ja terveydenhuoltoa säätelevään substanssilainsäädäntöön kuten esimerkiksi lääkelakiin tai lakiin potilaan asemasta ja oikeuksista. Tarkemmin tietojärjestelmältä vaaditut toiminnot ja tietosisällöt kuvataan Terveyden ja hyvinvoinnin laitoksen Olennaisten vaatimusten luokitus -dokumentissa (excel, thl.fi). Tietojärjestelmän käyttötarkoitus määrittää sen, mitä toimintoja ja tietosisältöjä tietojärjestelmään on toteutettava.

Tietojärjestelmäpalvelun tuottaja kuvaa järjestelmälomakkeessa tietojärjestelmään toteutetut, järjestelmän käyttötarkoituksen mukaiset toiminnallisuudet ja tietosisällöt. Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottaja toimittaa järjestelmälomakkeen
- Kelaan ilmoittautuessaan yhteistestaukseen (luokat A2 ja A3)
- tietoturvallisuuden arviointilaitokselle ilmoittautuessaan tietoturvallisuuden arviointiin (luokat A1, A2 ja A3)
- Valviralle ilmoittaessaan tietojärjestelmän Valviran tietojärjestelmärekisteriin
Jos järjestelmä kuuluu luokkaan B, tietojärjestelmäpalvelun tuottaja toimittaa järjestelmälomakkeen Valviralle ilmoittaessaan tietojärjestelmän Valviran tietojärjestelmärekisteriin. Luokkaan B kuuluvan tietojärjestelmän toiminnalliset vähimmäisvaatimukset on kuvattu Terveyden ja hyvinvoinnin laitoksen Asiakas- tai potilastietojen käsittelyyn tarkoitetun järjestelmän vähimmäisvaatimukset -profiilissa (excel, thl.fi).

Järjestelmälomakkeella annettujen tietojen tulee olla ajantasaisia, oikein ja niiden tulee vastata tietojärjestelmään toteutettuja toiminnallisuuksia ja tietosisältöjä.

Katso myös
Yhteentoimivuudella tarkoitetaan, että Kanta-palveluihin liitettävät tietojärjestelmät tallentavat asiakas- tai potilastietoa Kanta-palveluihin siten, että tieto voidaan hakea ja näyttää myös toisella tietojärjestelmällä. Asiakas- ja potilastietojen välittäminen eri sosiaali- ja terveydenhuollon palvelunantajien välillä Kanta-palvelujen kautta on mahdollista vain, jos tietoja välittävät tietojärjestelmät ovat keskenään yhteentoimivia. Yhteentoimivuuden edellytyksenä on, että Kanta-palveluihin liitettävät tietojärjestelmät toteutetaan kansallisten määrittelyjen mukaisesti.

Olennaisista vaatimuksista yhteentoimivuus todennetaan Kelan järjestämässä yhteistestauksessa, joka on suoritettava luokan A2 ja A3 tietojärjestelmille. Poikkeuksena tästä luokkaan A3 kuuluvat Kanta-palvelut, joita ei erikseen yhteistestata. Tietojärjestelmien luokista ja luokittelusta löydät lisää tietoa Tietojärjestelmien luokittelu -sivulta.

Kela antaa hyväksytysti suoritetusta yhteistestauksesta tietojärjestelmäpalvelun tuottajalle yhteistestauslausunnon ja -raportin. Kelan suorittama yhteistestaus on maksuton palvelu.

Yhteistestausta koskevat kysymykset tulee osoittaa Kelan Yhteistestaukselle osoitteeseen yhteistestaus@kanta.fi.

Katso myös
- Kanta-palvelujen Määrittelyt-sivusto (kanta.fi)
- Kanta-palvelujen Testaus-sivusto (kanta.fi)
Tietoturva tarkoittaa sitä, että sosiaalihuollon asiakastietoja ja terveydenhuollon potilastietoja käsittelevät tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset tietoturvavaatimukset, jotta asiakas- ja potilastietojen käsittelyn luottamuksellisuus, eheys ja saatavuus voidaan varmistaa. Tarkemmin tietojärjestelmiltä ja käyttöympäristöiltä vaaditut tietoturvavaatimukset kuvataan Terveyden ja hyvinvoinnin laitoksen Olennaisten vaatimusten luokitus -dokumentissa (excel, thl.fi).

Luottamuksellisuus tarkoittaa sitä, että asiakas- ja potilastiedot ovat vain niiden henkilöiden saatavilla, joilla on oikeus niitä nähdä. Käytännössä luottamuksellisuus tarkoittaa potilastietojärjestelmässä esimerkiksi sitä, että järjestelmässä varmistetaan hoitosuhteen olemassaolo ennen kuin potilastietoja voi katsella.

Eheys tarkoittaa, että asiakas- ja potilastietoja voi muuttaa vain siihen oikeutetut henkilöt, mikä varmistetaan esimerkiksi ammattihenkilön allekirjoituksella. Eheys tarkoittaa myös sitä, että asiakas- ja potilastieto on ajantasaista ja ristiriidatonta, jolloin esimerkiksi potilastietojärjestelmään tallennettujen tietojen ja Kanta-palveluihin tallennettujen tietojen välillä ei ole eroavaisuuksia.

Käytettävyys tarkoittaa, että asiakas- ja potilastiedot ovat sosiaali- ja terveydenhuollon käytettävissä silloin, kun niitä tarvitaan. Esimerkiksi Kanta-palveluihin tallennettujen potilastietojen on oltava aina sosiaali- ja terveydenhuollon palvelunantajien haettavissa.

Luokkaan A kuuluville tietojärjestelmille on suoritettava tietoturvallisuuden arviointi, jossa todennetaan tietoturvavaatimuksien täyttyminen. Arvioinnin suorittaa Liikenne ja viestintävirasto Traficomin hyväksymä tietoturvallisuuden arviointilaitos, joka antaa suoritetusta tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle tietoturvallisuustodistuksen ja siihen liittyvän raportin. Tietoturvallisuustodistus on voimassa enintään kolme vuotta ja sen voimassaoloa voi jatkaa enintään kolmeksi vuodeksi kerrallaan.

Tietojärjestelmäpalvelun tuottaja valitsee, mitä Traficomin hyväksymää arviointilaitosta se käyttää tietoturvallisuuden arvioinnin suorittamiseen. Tietoturvallisuuden arviointilaitoksen suorittama tietoturvallisuuden arviointi on maksullinen palvelu.

Luokkaan B kuuluvilta tietojärjestelmiltä ei vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia, vaan tietojärjestelmäpalvelun tuottaja vastaa siitä, että tietojärjestelmä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja voi halutessaan tilata arviointilaitoksen suorittaman tietoturvallisuuden arvioinnin myös luokan B tietojärjestelmälle. Luokan B tietojärjestelmän rekisteröinnin yhteydessä tietojärjestelmäpalvelun tuottaja vakuuttaa, että tietojärjestelmä täyttää sille käyttötarkoituksensa mukaan asetetut tietoturvaa- ja tietosuojaa koskevien säädösten mukaiset olennaiset vaatimukset. Luokkaan B kuuluvan tietojärjestelmän tietoturvavaatimuksista kerrotaan Terveyden ja hyvinvoinnin laitoksen Asiakas- tai potilastietojen käsittelyyn tarkoitetun järjestelmän vähimmäisvaatimukset -profiilissa (excel, thl.fi).

Katso myös
- Traficomin hyväksymät tietoturvallisuuden arviointilaitokset (traficom.fi)
- THL:n määräyksen 5/2021 liite 4 Järjestelmälomake (excel, thl.fi)

Tietojärjestelmäpalvelun tuottajan velvollisuudet

Asiakastietolaissa säädetään tietojärjestelmäpalvelun tuottajan velvollisuuksista, jotka koskevat asiakas- ja potilastietojärjestelmän vaatimustenmukaisuutta, sen ylläpitoa sekä vaatimustenmukaisuuden osoittamista. Tietojärjestelmäpalvelun tuottaja tarjoaa tai toteuttaa palvelunantajalle tietojärjestelmää, jossa käsitellään asiakas- tai potilastietoa.

Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetettujen olennaisten vaatimusten täyttämisestä. Tyypillisesti tietojärjestelmän tuottaja on myös tietojärjestelmän valmistaja.

Tietojärjestelmäpalvelun tuottajan velvollisuuksia ovat muun muassa:

luokitella tietojärjestelmä
osoittaa tietojärjestelmän vaatimustenmukaisuus, joka tarkoittaa luokan A tietojärjestelmillä sertifiointia ja luokan B tietojärjestelmillä selvitystä siitä, että tietojärjestelmä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset
ilmoittaa tietojärjestelmä Valviran tietojärjestelmärekisteriin ennen tietojärjestelmän ottamista tuotantokäyttöön
seurata ja toteuttaa tietojärjestelmään säännöksissä kerrottujen määräaikojen mukaisesti vaaditut muutokset. Muutos voi olla esimerkiksi uuden toiminnon toteuttaminen tietojärjestelmään.
uusia luokan A tietojärjestelmän sertifiointi siten, että aiempi tietoturvallisuustodistus ei ehdi vanheta
ilmoittaa Valviralle tietojärjestelmään tehdyistä olennaisista muutoksista sekä tietojärjestelmän käytön päättymisestä. Ilmoituksen Valviralle voi tehdä Rekisteröi tietojärjestelmä -sivulta löytyvällä rekisteri-ilmoituksella
ilmoittaa merkittävästä poikkeamasta kaikkia järjestelmää käyttävä palvelunantajia
Ilmoittaa Valviralle merkittävästä poikkeamasta. Poikkeamailmailmoituksen Valviralle voi tehdä Ilmoita poikkeamasta -sivulla

Sosiaali- ja terveydenhuollon palvelunantajan velvollisuudet

Asiakastietolaissa säädetään sosiaali- ja terveydenhuollon palvelunantajan velvollisuuksista, jotka koskevat asiakas- ja potilastietojärjestelmän käyttöönottoa, sen käyttöä sekä liittymistä Kanta-palveluihin. Palvelunantaja toimii sosiaali- ja terveyspalvelujen järjestäjänä tai niiden tuottajana.

Sosiaali- ja terveydenhuollon palvelunantajan tulee huomioida, että se ei saa ottaa käyttöön tietojärjestelmää, jonka tietoja ei löydy Valviran tietojärjestelmärekisteristä tai jonka tietoturvallisuustodistus on vanhentunut.

Sosiaali- ja terveydenhuollon palvelunantajan velvollisuuksia ovat muun muassa:

käyttää olennaiset vaatimukset täyttävää tietojärjestelmää, joka vastaa käyttötarkoitukseltaan palvelunantajan toimintaa ja jonka tiedot löytyvät Valviran tietojärjestelmärekisteristä
velvollisuus liittyä Kanta-palvelujen käyttäjäksi säännöksissä kerrottujen määräaikojen mukaisesti, jos palvelunantajalla on käytössään asiakas- ja potilastietojen käsittelyyn tarkoitettu tietojärjestelmä
vastattava Kanta-palveluihin tallennettavien tietojen oikeellisuudesta
otettava käyttöön säännösten edellyttämät uudet toiminnot määräaikojen mukaisesti
kerättävä lokitiedot rekisterikohtaisesti kaikesta asiakas- ja potilastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten
laadittava ja ylläpidettävä tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma (pdf, thl.fi)
ilmoitettava tietojärjestelmäpalvelun tuottajalle ja Valviralle, jos olennaisten vaatimusten täyttymisessä on merkittävä poikkeama. Poikkeamailmoituksen Valviralle voi tehdä Ilmoita poikkeamasta -sivulla
ilmoitettava tietosuojavaltuutetulle, jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeama (tietosuoja.fi)

Yhteyshenkilöt

Ylitarkastaja Jenni Björkman, puh. 0295 209 227 (erityisesti Kanta-palvelut, potilastietojärjestelmät, kuvantamisen erillisjärjestelmät, resepti- ja apteekkijärjestelmät sekä asiakastietojen välityspalvelut)

Ylitarkastaja Marko Elo, puh 0295 209 393 (erityisesti potilastietojärjestelmät, laboratorion erillisjärjestelmät, resepti- ja apteekkijärjestelmät sekä asiakastietojen välityspalvelut)

Ylitarkastaja Essi Haglund, puh. 0295 209 372 (erityisesti asiakas- ja potilastietojärjestelmät, kuvantamisen ja laboratorion erillisjärjestelmät sekä asiakastietojen välityspalvelut)

Yli-insinööri Antti Härkönen, puh. 0295 209 530 (erityisesti Kanta-palvelut sekä potilastietojärjestelmät)

Yli-insinööri Antti Vikström, puh. 0295 209 437 (erityisesti asiakastietojärjestelmät)

Säädökset

Tulosta / Takaisin ylös

Bing-hakukenttä

Pikalinkit

Asiakastietolain mukaiset sosiaali- ja terveydenhuollon tietojärjestelmät

Asiakastietolain mukaiset sosiaali- ja terveydenhuollon tietojärjestelmät

Asiakastietolain mukaiset olennaiset vaatimukset

Toiminnalliset vaatimukset .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Katso myös

Yhteentoimivuus .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Katso myös

Tietoturva ja tietosuoja .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Katso myös

Tietojärjestelmäpalvelun tuottajan velvollisuudet

Tietojärjestelmäpalvelun tuottajan velvollisuudet

Tietojärjestelmäpalvelun tuottajan velvollisuuksia ovat muun muassa:

Sosiaali- ja terveydenhuollon palvelunantajan velvollisuudet

Sosiaali- ja terveydenhuollon palvelunantajan velvollisuudet

Sosiaali- ja terveydenhuollon palvelunantajan velvollisuuksia ovat muun muassa:

Yhteyshenkilöt

Säädökset