
Tietojärjestelmien luokittelu
Tietojärjestelmien luokittelu
Sosiaali- ja terveydenhuollossa käytettäväksi tarkoitetut asiakas- ja potilastietoa käsittelevät tietojärjestelmät jaetaan luokkiin A ja B. Luokka A jaetaan edelleen luokkiin A1, A2 ja A3. Tietojärjestelmän luokittelusta vastaa tietojärjestelmäpalvelun tuottaja. Tietojärjestelmän luokittelu tehdään Terveyden ja hyvinvoinnin laitoksen määräyksen 4/2021 ja sen liitteen Esimerkkejä järjestelmien luokittelusta kriteerien mukaisesti.
Luokitellessaan tietojärjestelmäänsä tietojärjestelmäpalvelun tuottajan on tehtävä järjestelmästään myös riskiarvio. Riskiarviossa on huomioitava muun muassa tietojärjestelmän käytön laajuus sekä tietojärjestelmässä käsiteltävien tietojen sensitiivisyys. Ohjeistus riskiarvion tekemiseen löytyy THL:n Esimerkkejä järjestelmien luokittelusta -dokumentista (pdf, thl.fi). Riskiarvion tekemisen voi käyttää apuna myös THL:n riskiarviotyökalua.
Epäselvissä tilanteissa THL päättää, kuuluuko järjestelmä luokkaan A vai B. Tietojärjestelmän luokittelua koskevat kysymykset osoitetaan THL:n osoitteeseen sotetiedonhallinta@thl.fi.
Tietojärjestelmän luokka vaikuttaa siihen, miten olennaisten vaatimusten toteutuminen todennetaan ennen kuin sosiaali- ja terveydenhuollon palvelunantaja voi ottaa tietojärjestelmän käyttöönsä. Luokka vaikuttaa myös rekisteröintiprosessiin eli esimerkiksi siihen, mitä asiakirjoja tietojärjestelmältä vaaditaan ennen kuin Valvira voi rekisteröidä tietojärjestelmän.
Lue tästä lisää tietojärjestelmien luokista
-
Luokkaan A kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät, jotka liittyvät suoraan tai asiakastietojen välityspalvelun kautta Kanta-palveluihin tai jotka muodostavat Kanta-palveluihin tallennettavia tietorakenteita tai asiakirjoja. Luokkaan A kuuluvat myös tietojärjestelmät, joissa käsitellään laajamittaisesti asiakas- ja potilastietoja, joiden tietosuojan varmistaminen edellyttää tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia.
Luokka A jakautuu edelleen luokkiin:
-
A1: Järjestelmän on suoritettava tietoturvallisuuden arviointi, josta tietojärjestelmälle myönnetään tietoturvallisuustodistus. Yhteistestausta luokan A1 tietojärjestelmille ei suoriteta. Esimerkiksi asiakastietojen välityspalvelut kuuluvat luokkaan A1.
-
A2: Tietojärjestelmän on suoritettava hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Tietojärjestelmän on suoritettava myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi hallinnollisia tietoja Kanta-palveluihin tallentavat järjestelmät sekä erikoisalan erillisjärjestelmät kuuluvat luokkaan A2.
-
A3: Tietojärjestelmän on suoritettava hyväksytysti yhteistestaus, josta järjestelmälle myönnetään yhteistestauslausunto. Yhteistestausvaatimus ei kuitenkaan koske Kanta-palveluja. Tietojärjestelmän on suoritettava myös tietoturvallisuuden arviointi, josta järjestelmälle myönnetään tietoturvallisuustodistus. Esimerkiksi Kanta-palveluihin liitetyt terveydenhuollossa käytettävät potilaskertomusjärjestelmät sekä sosiaalihuollossa käytettävät asiakastietojärjestelmät kuuluvat luokkaan A3. Myös Kelan Kanta-palvelut kuuluvat luokkaan A3.
-
-
Luokkaan B kuuluu sosiaali- ja terveydenhuollon asiakas- ja potilastietoja käsittelevät tietojärjestelmät,
-
jotka eivät liity suoraa Kanta-palveluihin
-
jotka eivät tuota Kanta-palveluihin tallennettavia asiakirjoja
-
joihin ei kohdistu esimerkiksi tehdyn riskiarvion perusteella luokan A1 mukaista vaatimusta tietoturvallisuuden arvioinnista
Vaikka luokan B järjestelmille ei suoriteta yhteistestausta, eikä niiltä vaadita tietoturvallisuuden arviointilaitoksen suorittamaa tietoturvallisuuden arviointia, on luokkaan B kuuluvien tietojärjestelmien toteutettava ja täytettävä niiden käyttötarkoituksen mukaiset olennaiset vaatimukset. Vaatimuksia kuvataan THL:n Asiakas- ja potilastietojen käsittelyyn tarkoitettujen järjestelmien vähimmäisvaatimukset -profiilissa (excel, thl.fi).
Esimerkkejä luokkaan B kuuluvista tietojärjestelmistä on THL:n Esimerkkejä tietojärjestelmien luokittelusta -dokumentissa (pdf, thl.fi).
-
-
Sosiaali- ja terveydenhuollossa voi olla käytössä myös tietojärjestelmiä, ohjelmistoja tai sovelluksia, jotka eivät ole asiakastietolain mukaisia tietojärjestelmiä, vaikka niissä voidaan käsitellä esimerkiksi terveydenhuollon potilaiden tai sosiaalihuollon asiakkaiden nimi- ja osoitetietoja. Asiakastietolaissa määritellään, millaisia tietojärjestelmiä asiakastietolain velvoitteet koskevat:
Tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen (asiakastietolaki, 3 §:n 6 kohta).
Määritelmässä käytettävällä asiakastiedolla tarkoitetaan sosiaalihuollon asiakasasiakirjaan tallennettavia asiakastietoja sekä terveydenhuollon potilasasiakirjaan tallennettavia potilastietoja.
Esimerkkejä tietojärjestelmistä, jotka ovat luokittelemattomia ohjelmistoja tai sovelluksia:
-
yleiset tekstinkäsittely- tai toimisto-ohjelmistot
-
sosiaali- tai terveydenhuollon palvelunantajalla käytössä olevat hallinnolliset tukijärjestelmät, kuten esimerkiksi ateriantilausjärjestelmät, materiaalihallinnon järjestelmät tai käyttövaltuuksien hallintajärjestelmät
-
sosiaali- ja terveydenhuollon palvelunantajilla käytössä olevat laskutusjärjestelmät
-
yleiset viestintään käytetyt järjestelmät tai sovellukset esimerkiksi erilaiset chat-ohjelmistot
Terveyden ja hyvinvoinnin laitoksen Esimerkkejä järjestelmien luokittelusta -dokumentissa (pdf, thl.fi) kerrotaan tarkemmin, minkälaiset ohjelmistot eivät ole asiakastietolain mukaisia.
Valvira ei rekisteröi eikä valvo tietojärjestelmiä, jotka eivät ole asiakastietolain mukaisia luokkaan A tai B kuuluvia tietojärjestelmiä.
Asiakas- ja potilastietojen käsittelyssä on kaikissa tilanteissa huomioitava yleiset tietoturva- ja tietosuojavaatimukset sekä muut asiakas- ja potilastietojen laatimiseen, käsittelyyn ja säilyttämiseen liittyvät säännökset. Säännökset koskevat palvelunantajia riippumatta siitä, millä tavalla asiakas- ja potilaskirjauksia tehdään ja niitä säilytetään.
-