Hälso- och sjukvård

Klassificering av informationssystem

Suomeksi ⁄ In English

Klassificering av datasystem

Informationssystem för behandling av klient- och patientuppgifter inom social- och hälsovården indelas i kategorierna A och B. Kategori A indelas ytterligare i kategorierna A1, A2 och A3. Producenten av informationssystemtjänsten svarar för klassificeringen av informationssystemet. Klassificeringen av informationssystemet görs i enlighet med kriterierna i föreskrift 4/2021 av Institutet för hälsa och välfärd och dess bilaga Exempel på klassificering av system.

Vid klassificeringen ska den som producerar informationssystemtjänsten också göra en riskbedömning av sitt system. Riskbedömningen ska bland annat ta hänsyn till omfattningen av användningen av informationssystemet samt sensivitetsgraden hos de uppgifter som behandlas i informationssystemet. Instruktioner för riskbedömning finns i THL:s dokument Exempel på klassificering av system (pdf, thl.fi). Man kan också använda THL:s verktyg för riskbedömning.

I oklara fall avgör THL om systemet hör till kategori A eller B. Frågor om klassificering av informationssystemet ska sändas till THL på sotetiedonhallinta@thl.fi.

Informationssystemets kategori påverkar hur de väsentliga kraven ska verifieras innan en servicegivare inom social- och hälsovården kan ta i drift informationssystemet. Kategorin påverkar också registreringsprocessen, det vill säga till exempel vilka handlingar som krävs för informationssystemet innan Valvira kan registrera informationssystemet.

Tietojärjestelmien luokat (SV)

Kategori A omfattar informationssystem som behandlar klient- och patientuppgifter inom social- och hälsovården och som direkt eller via förmedlingstjänsten för klientuppgifter ansluter sig till Kanta-tjänsten eller utgör informationsstrukturer eller handlingar som lagras i Kanta-tjänsten. Till kategori A hör också informationssystem som i stor utsträckning behandlar klient- och patientuppgifter, vilkas dataskydd förutsätter en bedömning av datasäkerheten som utförs av bedömningsorganet för informationssäkerhet.

Kategori A indelas i följande underkategorier:
- A1: Systemet ska utföra en bedömning av informationssäkerheten, för vilken informationssystemet beviljas ett intyg om informationssäkerhet. Samordnad testning av informationssystem i kategori A1 utförs inte. Förmedlingstjänster för klientuppgifter hör till exempel till kategori A1.
- A2: Ett informationssystem ska med godkänt resultat genomgå samordnad testning och ett intyg över samordnad testning utfärdas. Informationssystemet ska också genomgå en bedömning av datasäkerheten, för vilken systemet beviljas ett intyg över datasäkerheten. Till exempel de system som lagrar administrativa uppgifter i Kanta-tjänsten och de särskilda systemen inom ett specialområde hör till kategori A2.
- A3: Ett informationssystem ska med godkänt resultat genomgå samordnad testning för vilket ett intyg över samordnad testning utfärdas. Kravet på samordnad testning gäller dock inte Kanta-tjänsten. Informationssystemet ska också genomgå en bedömning av datasäkerheten, för vilken systemet beviljas ett intyg över datasäkerheten. Till exempel patientjournalsystem som används inom hälso- och sjukvården och anslutits till Kanta-tjänsten och klientuppgiftssystem som används inom socialvården hör till kategori A3. Också FPA:s Kanta-tjänst hör till kategori A3.
Kategori B omfattar informationssystem som behandlar klient- och patientuppgifter inom social- och hälsovården och som
- inte är anslutna till Kanta-tjänsten
- inte producerar dokument som lagras i Kanta-tjänsten
- inte omfattas till exempel av kravet på riskbedömning av informationssäkerheten enligt kategori A1
Även om system i kategori B inte genomgår samordnad testning och det inte krävs någon bedömning av informationssäkerheten av bedömningsorganet för informationssäkerhet, ska informationssystem i kategori B uppfylla de väsentliga kraven för användningsändamålet. Kraven beskrivs i THL:s minimiprofil som gäller system för behandling av klient- och patientuppgifter (excel, thl.fi, endast på finska).

Exempel på informationssystem i kategori B finns i THL:s dokument Exempel på klassificering av informationssystem (pdf, thl.fi).
Inom social- och hälsovården kan det också finnas informationssystem, program eller applikationer som inte är informationssystem i enlighet med klientuppgiftslagen, även om de kan behandla namn- och adressuppgifter till exempel för patienter inom hälso- och sjukvården eller för klienter inom socialvården. I avsnitt 3 punkt 6 i lagen om klientuppgifter anges vilka system som omfattas av skyldigheterna i klientuppgiftslagen:

Medinformationssystem avses ett helhetsarrangemang som består av informationsbehandlingsutrustning, programvara och andra informationsbehandlingsarrangemang och som i enlighet med egenskaper som designats av tillverkaren är avsett att användas för elektronisk behandling av klientuppgifter, lagring och underhåll av klienthandlingar eller för anslutning till riksomfattande informationssystemtjänster.

Med klientuppgifter avses i definitionen klientuppgifter som registreras i klienthandlingarna inom socialvården samt patientuppgifter som registreras i journalhandlingarna inom hälso- och sjukvården.

Exempel på informationssystem som är okategoriserade program eller applikationer:
- Vanlig textbehandlings- eller kontorsprogramvara
- Administrativa stödsystem som används av en servicegivare inom social- eller hälso- och sjukvård, till exempel måltidsbeställningssystem, system för materialförvaltning eller system för kontroll av behörigheter
- Faktureringssystem som används av servicegivare inom social- och hälsovården
- Allmänna system eller program som används för kommunikation, till exempel olika chattprogram
Institutet för hälsa och välfärd har dokumentet Exempel på klassificering av system (pdf, thl.fi), och i dokumentet beskrivs närmare hurdan programvara som inte överensstämmer med klientuppgiftslagen.

Valvira registrerar eller övervakar inte informationssystem som inte är informationssystem i kategori A eller B i enlighet med klientuppgiftslagen.

Vid behandling av klient- och patientuppgifter ska de allmänna kraven på datasäkerhet och dataskydd samt andra bestämmelser som hänför sig till utarbetande, behandling och förvaring av klient- och patientuppgifter beaktas i alla situationer. Lagarna gäller servicegivare, oberoende av hur kund- och patientjournaler upprättas och förvaras.

Se även

Skriv ut / Tillbaka till början

SearchBar

Klassificering av informationssystem

Klassificering av datasystem

Tietojärjestelmien luokat (SV)

Kategori A .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Kategori B .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Okategoriserad programvara och applikationer .st0{fill:#FFFFFF;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;} .st1{fill:none;stroke:#0060A6;stroke-width:30;stroke-miterlimit:10;}

Se även

Se även