Ilmoita merkittävästä poikkeamasta
Tietojärjestelmäpalvelun tuottajan on tehtävä Valviralle poikkeamailmoitus, jos se havaitsee tietojärjestelmässään merkittävän poikkeaman olennaisten vaatimusten toteutumisessa. Merkittävä poikkeama voi tarkoittaa esimerkiksi puutetta tietojärjestelmän toiminnallisuudessa tai virhettä yhteentoimivuudessa, tietoturvassa tai tietosuojassa. Mitä ovat merkittävät poikkeamat? -kohdasta löydät tarkempaa tietoa siitä, missä tilanteissa Valviralle on tehtävä poikkeamailmoitus.
Valviran lisäksi tietojärjestelmäpalvelun tuottajan on ilmoitettava merkittävästä poikkeamasta kaikille tietojärjestelmää käyttäville palvelunantajille. Jos järjestelmä kuuluu luokkaan A, tietojärjestelmäpalvelun tuottajan on ilmoitettava merkittävästä poikkeamasta myös Kelan Kanta-palveluille Toiminta häiriötilanteessa -ohjeistuksen mukaisesti (kanta.fi).
Palvelunantajan on ilmoitettava tietojärjestelmäpalvelun tuottajalle, jos se havaitsee, että sen käyttämässä tietojärjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Jos palvelunantajan havaitsema merkittävä poikkeama voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, palvelunantajan on tehtävä Valviralle poikkeamailmoitus.
Jos tietojärjestelmän merkittävä poikkeama vaarantaa asiakas- potilasturvallisuuden tai tietoturvan, poikkeamailmoituksen voi tehdä myös esimerkiksi apteekki, Kansaneläkelaitos tai Terveyden ja hyvinvoinnin laitos. Jos tietojärjestelmän olennaisten vaatimusten täyttymisessä on tietosuojapoikkeamia, on niistä ilmoitettava tietosuojavaltuutetulle.
Voit tehdä myös vapaamuotoisen poikkeamailmoituksen ja toimittaa sen Valviran kirjaamoon osoitteeseen kirjaamo@valvira. Jos lähetät salassa pidettävää tietoa sähköpostilla, käytä suojattua sähköpostiyhteyttä osoitteessa https://turvaviesti.valvira.fi. Voit lähettää poikkeamailmoituksen myös osoitteeseen Valvira/Kirjaamo, PL 43, 00521 Helsinki.
Poikkeamailmoituksen perusteella Valvira voi aloittaa valvonnan, joka voi kohdistua tietojärjestelmäpalvelun tuottajaan tai tietojärjestelmää käyttävään sosiaali- ja terveydenhuollon palvelunantajaan.
Mitä ovat merkittävät poikkeamat?
Merkittävä poikkeama tarkoittaa, että tietojärjestelmä ei täytä sille asiakastietolaissa asetettuja olennaisia vaatimuksia. Poikkeama voi olla toiminnallisissa vaatimuksissa, yhteentoimivuudessa, tietoturvassa tai tietosuojassa.
Merkittäviä poikkeamia ovat esimerkiksi:
-
puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin asiakas- tai potilasturvallisuudelle
-
puutteet tai virheet tietojärjestelmässä, jotka voivat aiheuttaa riskin tietoturvalle tai tietosuojalle
-
puutteet tai virheet tietojärjestelmässä tai käyttöympäristössä, jotka voivat aiheuttaa riskin sosiaali- ja terveyspalvelujen toiminnalle
-
virhe tai käyttökatko Kanta-palveluissa, joka voi aiheuttaa riskin asiakas- tai potilasturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle
-
virheet Kanta-palveluihin tallennettavien asiakas- ja potilastietojen teknisessä oikeellisuudessa tai eheydessä, jotka voivat aiheuttaa laajamittaisia häiriöitä muun muassa yhteentoimivuudelle
-
tietojärjestelmän tietoturvallisuustodistuksen vanheneminen
-
säädökseen perustuvan toiminnon puuttuminen tietojärjestelmästä
Jos järjestelmä toimii selvästi virheellisesti, Valviralla on toimivalta todeta, että järjestelmässä on merkittävä poikkeama olennaisten vaatimusten toteutumisessa. Tämä ei edellytä sitä, että kyseinen virhe olisi määritelty merkittäväksi poikkeamaksi THL:n määräyksissä, toiminnallisissa vaatimuksissa tai muissa määrittelyissä.