
Snabblänkar
Informationssystem för social- och hälsovården i enlighet med klientuppgiftslagen
Informationssystem för social- och hälsovården i enlighet med klientuppgiftslagen
Valvira främjar och övervakar att de väsentliga kraven på informationssystemen för behandling av klientuppgifter som registreras inom socialvården och de patientuppgifter som registreras inom hälso- och sjukvården uppfylls. Dessa informationssystem är:
-
apotekssystem
-
Kanta-tjänsten
-
förmedling av klientuppgifter
-
receptsystem
-
informationssystem för klientuppgifter inom socialvården
-
informationssystem för patientuppgifter inom hälso- och sjukvården
Informationssystem för behandling av klient- och patientuppgifter ska uppfylla de väsentliga kraven för användningsändamålet Producenten av informationssystemet ansvarar för att de väsentliga kraven uppfylls över tid. Under Förpliktelser som gäller producenten av informationssystem finns det mera information om de förpliktelser som producenten ska uppfylla enligt klientuppgiftslagen. Klientuppgiftslagen innehåller dessutom förpliktelser för servicegivare inom social- och hälsovården, och mera information om dessa finns under Förpliktelser för servicegivare inom social- och hälsovården.
De väsentliga kraven indelas i tre delområden: krav på funktioner, driftkompatibilitet samt datasäkerhet och dataskydd.
Väsentliga krav i enlighet med klientuppgiftslagen
-
Krav på funktioner avser funktioner och informationsinnehåll i informationssystemet. Kraven som gäller funktioner baserar sig på den substanslagstiftning som reglerar social- och hälsovården, till exempel läkemedelslagen eller lagen om patientens ställning och rättigheter. De funktioner och informationsinnehåll som krävs av informationssystemet beskrivs närmare i THL:s dokument Klassificering av väsentliga krav (excel, thl.fi, endast på finska). Informationssystemets användningsändamål bestämmer vilka funktioner och vilket informationsinnehåll som ska utföras i informationssystemet.
Producenten av informationssystemtjänsten beskriver på systemblanketten de funktioner och informationsinnehåll som har utförts i informationssystemet och som överensstämmer med systemets användningsändamål. Om systemet hör till kategori A ska den som producerar informationssystemet lämna in en systemblankett
- till FPA vid anmälan till samordnad testning
- till bedömningsorganet för informationssäkerhet när de anmäler sig för bedömning av informationssäkerheten
- till Valvira vid anmälan om informationssystemet till Valviras informationssystemregister
om systemet hör till kategori B ska den som producerar informationssystemtjänsten lämna in systemblanketten till Valvira när han eller hon anmäler informationssystemet till Valviras informationssystemregister. Minimikrav på funktioner i informationssystem i kategori B beskrivs i Institutet för hälsa och välfärds profil System för behandling av klient- eller patientuppgifter (excel, thl.fi, endast på finska).
De uppgifter som lämnas på systemblanketten ska vara aktuella, korrekta och motsvara de funktioner och det informationsinnehåll som har utförts i datasystemet.
Se även
-
Med driftkompatibilitet avses att informationssystem med anslutning till Kanta-tjänsten lagrar klient- eller patientuppgifter i Kanta-tjänsten så att informationen kan hämtas och visas också med ett annat informationssystem. Det är möjligt att förmedla klient- och patientuppgifter mellan olika servicegivare inom social- och hälsovården via Kanta-tjänsten endast om de informationssystem som förmedlar uppgifterna är driftkompatibla med varandra. En förutsättning för driftkompatibilitet är att informationssystem med anslutning till Kanta-tjänsten utförs i enlighet med nationella specifikationer.
De väsentliga kraven på driftkompatibilitet verifieras vid samordnad testning som ordnas av FPA och som ska utföras på informationssystem i kategori A2 och A3. Med undantag för detta omfattar kategori A3 Kanta-tjänsten som inte genomgår samordnad testning. Mer information om informationssystemens kategorier och klassificering hittar du på sidan Klassificering av datasystem.
FPA ger producenten av informationssystemtjänsten ett utlåtande och en rapport om en samordnad testning med godkänt resultat. FPA:s samordnade testning är en avgiftsfri tjänst.
Frågor om samordnad testning ska sändas till FPA:s Samordnade testning på adressen yhteistestaus@kanta.fi.
Se även
-
Datasäkerhet innebär att informationssystem som behandlar klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården sa uppfylla de nationella informationssäkerhetskraven för sitt användningsändamål, för att säkerställa sekretessen, integriteten och tillgängligheten vid behandlingen av klient- och patientuppgifter. De säkerhetskrav som krävs för informationssystem och driftmiljöer beskrivs närmare i Institutet för hälsa och välfärds dokument Klassificering av väsentliga krav (pdf, thl.fi).
Sekretess innebär att klient- och patientuppgifter endast är tillgängliga för de personer som har rätt att se dem. I praktiken innebär sekretess i ett patientinformationssystem till exempel att systemet säkerställer att det finns ett vårdförhållande innan man kan titta på patientuppgifter.
Integritet innebär att klient- och patientuppgifter endast kan ändras av personer som har rätt till det, vilket säkerställs till exempel genom en yrkesutbildad persons underskrift. Integritet innebär också att klient- och patientuppgifterna är aktuella och icke-motstridiga, varvid det till exempel inte finns några skillnader mellan de uppgifter som lagras i patientdatasystemet och de uppgifter som lagras i Kanta-tjänsten.
Tillgänglighet innebär att klient- och patientuppgifter är tillgängliga för social- och hälsovården när de behövs. Till exempel patientuppgifter som lagras i Kanta-tjänsten ska alltid kunna sökas av servicegivare inom social- och hälsovården.
En bedömning av informationssäkerheten ska utföras på informationssystem i kategori A, där det kontrolleras att kraven på informationssäkerhet uppfylls. Bedömningen utförs av ett bedömningsorgan för informationssäkerhet som Transport- och kommunikationsverket Traficom godkänt, och som utfärdar ett intyg över informationssäkerhet och en rapport över detta till detta till den som producerar informationssäkerhetstjänsten Datasäkerhetsintyg är i kraft högst tre år och kan förlängas för högst tre år i sänder.
Producenten av informationssystemtjänsten väljer vilket bedömningsorgan som Traficom godkänner för bedömning av informationssäkerheten. En bedömning av informationssäkerheten som utförs av bedömningsorganet för informationssäkerhet är en avgiftsbelagd tjänst.
För informationssystem i kategori B krävs inte en bedömning av informationssäkerheten av bedömningsorganet för informationssäkerhet, utan producenten av informationssystemtjänsten svarar för att informationssystemet uppfyller de väsentliga kraven för sitt ändamål. Producenten av informationssystemtjänsten kan om så önskas beställa en bedömning av bedömningsorganets informationssäkerhet även för informationssystem i kategori B. I samband med registrering av ett informationssystem i kategori B försäkrar producenten av informationssystemtjänsten att informationssystemet uppfyller de väsentliga kraven på informationssäkerhet och dataskydd som ställs på den enligt dess användningsändamål. Säkerhetskraven för informationssystem i kategori B framgår av Institutet för hälsa och välfärds profil Minimikrav på system för behandling av klient- eller patientuppgifter (excel, thl.fi, endast på finska).
Se även
Förpliktelser för en producent av informationssystemtjänst
Förpliktelser för en producent av informationssystemtjänst
I klientuppgiftslagen (784/2021) föreskrivs skyldigheterna för en producent av informationssystemtjänster när det gäller klient- och patientdatasystemets överensstämmelse med kraven, driften av systemet samt påvisande av överensstämmelse med kraven. Producenten av informationssystemtjänster ska tillhandahålla eller utföra ett informationssystem för servicegivare, som behandlar klient- eller patientinformation.
Producenten av informationssystemtjänsten svarar i egenskap av tillverkare av informationssystemet, för tillverkarens räkning eller för en eller flera tillverkares räkning, för att de väsentliga krav som ställs på informationssystemet uppfylls. Den typiska situationen är att producenten av informationssystemet också är tillverkare av informationssystemet.
Förpliktelser för en producent av informationssystemtjänster är bland annat att
-
visa att informationssystemet överensstämmer med kraven, vilket innebär certifiering av informationssystem i kategori A och en redogörelse för att informationssystemet uppfyller de väsentliga kraven för dess användningsändamål
-
övervaka och genomföra de ändringar i informationssystemet som krävs i enlighet med de tidsfrister som anges i rättsakterna. En ändring kan till exempel vara att utföra en ny funktion i informationssystemet
-
förnya certifieringen av ett informationssystem i kategori A så att det tidigare intyget om informationssäkerhet inte hinner föråldras
-
underrätta Valvira om väsentliga ändringar i informationssystemet samt om att användningen av informationssystemet har upphört. Anmälan till Valvira kan göras med en registreringsanmälan på sidan Registrera informationssystem
-
meddela om betydande avvikelser till alla servicegivare som använder systemet
-
anmäla en betydande avvikelse till Valvira. Du kan göra en avvikelseanmälan till Valvira på sidan Anmälan om avvikelse
Förpliktelser för servicegivare inom social- och hälsovården
Förpliktelser för servicegivare inom social- och hälsovården
I klientuppgiftslagen föreskrivs skyldigheterna för servicegivare inom social- och hälsovården när det gäller att ta i drift klient- och patientinformationssystem, använda det samt ansluta det till Kanta-tjänsten. Servicegivare fungerar som en anordnare eller producent av social- och hälsovårdstjänster.
Social- och hälsovårdens servicegivare har bland annat följande förpliktelser:
-
använda ett informationssystem som uppfyller de väsentliga kraven och vars användningsändamål motsvarar servicegivarens verksamhet och som är infört i Valviras informationssystemregister
-
skyldighet att ansluta till Kanta-tjänsten enligt de tidsfrister som anges i författningarna, om servicegivaren förfogar över ett informationssystem för behandling av klient- och patientuppgifter
-
ansvara för att de uppgifter som lagras i Kanta-tjänsten är korrekta
-
införa nya funktioner som krävs enligt lagstiftningen inom de fastställda tidsfristerna
-
samla in registerspecifika logguppgifter om alla använda och utlämnade klient- och patientuppgifter för uppföljning och övervakning
-
informera producenten av informationssystemtjänsten och Valvira, om det finns en betydande avvikelse i uppfyllandet av de väsentliga kraven. Man kan göra en avvikelseanmälan till Valvira på sidan Anmäla en avvikelse
Kontaktpersoner
Överinspektör Jenni Björkman, tfn 0295 209 227 (särskilt Kanta-tjänsten, patientinformationssystem, system för bildåtergivning, recept- och apotekssystem samt förmedling av klientuppgifter)
Överinspektör Marko Elo, tfn 0295 209 393 (särskilt patientinformationssystem, laboratoriets separata system, recept- och apotekssystem samt förmedling av klientuppgifter)
Överinspektör Essi Haglund, tfn 0295 209 372 (särskilt klient- och patientinformationssystem, system för avbildning och laboratorieseparation samt förmedling av klientuppgifter)
Överingenjör Antti Härkönen, tfn 0295 209 530 (särskilt Kanta-tjänsten och patientinformationssystem)
Överingenjör Antti Vikström, tfn 0295 209 437 (särskilt klientuppgiftssystem)