Gäller från och med: Krav på informationssäkerhet: Målgrupp för kravet: Sätt att verifiera kravet

Transkript

1 äller från och med: äller alla informationssystem av klass A av vilka förutsätts auditering och överensstämmelseintyg. Bilaga 1 krav på informationssäkerhet hos system av klass A och på systemets användningsmiljöer Begreppen informationssystemtjänst och informationssystem täcker informationssystemprodukter, informationssystemtjänster som tillhandahålls med olika tjänste- eller programleasingmodeller samt sådana delar av tillämpningar eller informationssystem som uppfyller kriterierna för anslutning till klass A (också när de används av system som inte annars själva uppfyller det aktuella kriteriet direkt) Krav på informationssäkerhet: - Patientdatasystem och apotekssystem och förmedlingsservice som ska kopplas till Kanta (klass A) - Krav som hänför sig till systemens användningsmiljö (om leverantören av informationssystemtjänsten svarar för användningsmiljön, t.ex. SAAS-leverantörer) Målgrupp för kravet: emensamt krav för alla informationssystemtjänster som hör till klass A Krav på en informationssystemtjänst som realiserar apotekssystemets funktioner R Krav på en informationssystemtjänst som realiserar funktioner för behandlingen av elektroniska recept A Krav på en informationssystemtjänst som ska kopplas till Patientdataarkivet FÖ Krav på Kanta-förmedlingsservice Sätt att verifiera kravet: I Intervju D Dokumentation T Funktionell testning V Validering eller teknisk kontroll (t.ex. loggar, meddelandeinstanser, rapporter som systemet producerar) Om det i verifieringen finns flera verifieringssätt som är åtskilda med tecknet /, kan olika förfaranden användas för verifieringen beroende på situation och system. Det förstnämnda sättet är det som rekommenderas i första hand, men även de andra kan godkännas. # Kriterium / kontrollmål Krav/Kontroll Verifiering / certifiering av Elektronisk signatur 1 Av elektroniska recept och rättsmedicinska utlåtanden ska på ett tillförlitligt sätt framgå vem som förskrivit receptet eller undertecknat Elektroniska recept, makuleringar och rättelser av dem samt rättsmedicinska utlåtanden, intyg och motsvarande dokument ska signeras med en yrkesutbildad persons i klientuppgiftslagen avsedda personliga, utvecklade elektroniska signatur. Som T: Det ska certifieras att systemet har en funktion som erbjuder användaren utvecklad elektronisk signering av elektroniska recept och andra dokument som ska signeras personligen. Signeringen kan göras så att signeraren kan elektroniskt signera en och samma patients samtliga recept samtidigt. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 1

2 # Kriterium / kontrollmål Krav/Kontroll Verifiering / certifiering av 2 A utlåtandet Det ska kunna säkerställas att dokumentet hålls oförändrat certifikat ska användas yrkescertifikat för hälso- och sjukvården. Det ska säkerställas med elektronisk signatur att dokumenten hålls oförändrade. Detta ska säkerställas både vid lokal lagring och dataöverföring. Elektroniska journalhandlingar ska signeras med en signatur som görs av organisationen eller en datateknisk enhet och vars tillförlitlighet motsvarar en utvecklad elektronisk signatur, en s.k. systemsignatur. Systemet ska till dokumentet foga beskrivande uppgifter som motsvarar dokumentets datainnehåll. Dokumentet (dess body-del) ska signeras för att garantera att det hålls oförändrat. Dokumentet får inte innehålla element som ändrar dokumentets innehåll. En logganteckning ska göras om dokumentbildningen. Patientjournalen kan sammanställas och behandlas i systemet även i annan form än dokumentform. Det ska garanteras att en sådan patientjournal hålls oförändrad och den ska omvandlas till ett dokument på ett tillförlitligt sätt. T: Systemet ska kräva signatur innan ett recept eller rättsmedicinskt utlåtande eller en ändring eller makulering av det sänds till Kanta-tjänsterna. I/D: Det ska verifieras huruvida det i systemet finns icke-signerade dokument som ska lagras lokalt, och hur det säkerställs att de hålls oförändrade. V/T/D/I: Det ska kontrolleras att innehållet i ett signerat dokument överensstämmer med det som den som gjort anteckningen har sett I/D: Det ska kontrolleras hur versionen av uppgifter i annan form än dokumentform har tillkommit och hur ändringarna har lagrats. V: Det ska kontrolleras att en logganteckning uppkommer om dokumenten. Det kontrolleras mer ingående att det dokument som sänds och det som tas emot motsvarar varandra som ett led i FPAs testning. 3 Signering av läkemedelsexpeditioner Läkemedelsexpeditioner, rättelser och makuleringar av dem samt rättelser och makuleringar av recept ska signeras med en yrkesutbildad persons personliga, T: Systemet har en funktion som erbjuder användaren utvecklad elektronisk signering genom användning av yrkescertifikat för Hänvisning Lag 617/2009 Lagen om stark autentisering och elektroniska signaturer. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 2

3 # Kriterium / kontrollmål Krav/Kontroll Verifiering / certifiering av Identifiering (Spärrlistor, begränsning i yrkesrättigheterna) utvecklade elektronisk signatur enligt klientuppgiftslagen. Som certifikat ska användas yrkescertifikat för hälso- och sjukvården. Läkemedelsexpeditörens rätt att expediera läkemedlet ska ha certifierats före signeringen. En farmaceut och en provisor ska kunna (men är inte tvungen att) elektroniskt signera en och samma patients samtliga läkemedel som expedierats samtidigt. hälso- och sjukvården. T: Systemet ska kräva elektronisk signatur innan expedieringen eller rättelsen godkänns eller makuleras. D/T/I: Rättigheterna ska kontrolleras före signeringen. T: I systemet finns en funktion som gör det möjligt att signera en och samma patients samtliga recept som expedierats samtidigt. Man kan också ha beslutat att en funktion som gör det möjligt att signera flera expedieringar samtidigt inte implementeras i systemet. 4 5 Identifiering av användaren Identifiering i systemen Den som använder informationssystemet ska identifieras och verifieras entydigt. Vid identifieringen ska hälso- och sjukvårdens certifieringstjänst och certifikat användas. I specialfall kan användaridentifikation och starkt lösenord användas. I systemet får inte finnas allmänna underhålls- eller andra motsvarande rättigheter och funktioner med vilkas hjälp det är möjligt att använda systemet utan entydig identifiering av användaren. I produktionsmiljöerna ska inloggning i informationssystemen tillåtas endast med certifikatkort D/T: Beskrivningarna ska kontrolleras och det prövas hur man identifierar sig i systemet. D: Beskrivningarna av principerna för hantering av roller, användaruppgifter och behörigheter och anvisningarna för användarorganisationerna om hur de ska följas ska kontrolleras. T: Identifieringen testas med certifikat. D/I/T: Autentiseringsmekanismerna kontrolleras; antingen stark identifiering Användning av användaridentifikation och starkt lösenord möjlig när man inte söker uppgifter i Kanta. Användning av användaridentifikation och lösenord möjligt när man använder t.ex. måltidsbeställningssystemet, varmed man inte har tillträde till annan information om patientens vård. Lösenordets längd minst 10 tecknen, tecken från minst tre Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 3

4 # Kriterium / kontrollmål Krav/Kontroll Verifiering / certifiering av när uppgifter i anslutning till patientens vård behandlas eller med starkt lösenord. När inloggning sker på annat sätt än med certifikatkort kan man använda endast uppgifter i organisationens eget patientdatasystem. Om de som använder systemet använder lösenord ska de vara starka och bytas regelbundet. odtagbara parametrar för starkt lösenord ska överensstämma med anvisningen Sisäverkko i Vahti-anvisningarna (Vahti 3/2010 eller en nyare anvisning ska iakttas). De krav som gäller föråldrade lösenord gäller inte lösenord i systemets tekniska upprätthållares identifierare. (certifikatkort) eller starkt lösenord. D/I/T: Lösenordsparametrarna i systemet ska kontrolleras. D/I: Det ska säkerställas att systemet inte förmedlar starka lösenord till andra system. kategorier, lösenordets ålder 1-90 dagar, lösenordet får inte vara detsamma som de 5 föregående lösenorden, lösenordet spärras efter t.ex. fem misslyckade försök. Exempel på starkt lösenord Kanta-2015 I apotekssystemen används inloggning med certifikatkort i det skedet när förbindelse till Receptcentret upprättas 6 7 Validering av certifikat Kontroll av yrkesrättigheter och begränsningar i dem Systemet får inte förmedla ett starkt lösenord till andra system. Certifikatens integritet, giltighet och huruvida de finns på en spärrlista ska kontrolleras i BRC:s uppgifter. Valideringen av certifikat gäller alla typer av certifikat som används i systemen: yrkescertifikat, personalcertifikat, aktörscertifikat, servercertifikat och systemsignaturcertifikat. Den spärrlista mot vilken valideringen görs ska hämtas minst en gång per dygn. Valviras uppgifter om rättigheter att förskriva läkemedel och om användare vilkas yrkesrättigheter är begränsade samt om begränsningar i yrkesrättigheterna ska kontrolleras i den meddelandebaserade attributtjänst som Valvira upprätthåller. Om yrkesrättigheterna är begränsade får systemet inte Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 4 D/I/T: Det ska kontrolleras att systemet kontrollerar certifikatens integritet, giltighet och huruvida de finns på en spärrlista i BRC:s uppgifter. D/I/T: Det ska kontrolleras att systemet hämtar uppgifter om spärrlistor minst en gång per dygn (eller i enlighet med BRC:s gällande certifikatpolicy). I/D/T: Det verifieras hur uppgifter om användare som har rätt att föreskriva läkemedel och om användare vilkas yrkesrättigheter är begränsade söks i Valviras attributtjänst minst en gång per dygn. Certifikatets integritet och status ska alltid kontrolleras, inte bara en gång per dygn. Verifiering som sker genom testning underlättas om det har skapats testpersoner med begränsningar för auditeringen.

5 # Kriterium / kontrollmål Krav/Kontroll Verifiering / certifiering av tillåta en inloggad användare utföra sådana åtgärder som omfattas av begränsningarna. Uppgifter om användare med rätt att föreskriva läkemedel och om användare med begränsade yrkesrättigheter ska hämtas minst en gång per dygn. Begränsningar i en yrkesutbildad persons yrkesrättigheter enligt Valviras uppgifter om begränsningar ska alltid kontrolleras när användaren identifieras (vid inloggningen) och de lagras inte permanent i uppgifterna om behörigheter. Om till exempel rätten att förskriva läkemedel har begränsats i fråga om ett visst läkemedelspreparat för en yrkesutbildad person inom hälso- och sjukvården med rätt att förskriva recept, får systemet inte tillåta denna person att förskriva, rätta, lägga till, makulera (eller häva spärrningen av) sådana recept där ett läkemedelspreparat som omfattas av begränsningen föreskrivs. Yrkesrättigheterna och deras giltighet för den person som expedierar ett recept ska kontrolleras i Valviras uppgifter före den elektroniska signeringen. I/D/T: Det ska verifieras hur begränsningar i användarens yrkesrättigheter alltid kontrolleras i samband med att användaren loggar in. D/I/T: Det ska verifieras hur användarens yrkesmässiga begränsningar inverkar på användningen av systemet. D/I/T: Det ska verifieras hur systemet begränsar åtgärderna i anslutning till recept för användare med begränsade yrkesrättigheter. D/I/T: Det ska verifieras hur systemet visar användaren icke-programmässiga uppgifter om begränsningar. D/I/V: Det ska verifieras hur systemet gör en logganteckning om ickeprogrammässiga uppgifter om begränsningar. Icke-programmässiga uppgifter om begränsningar ska visas för användaren och en logganteckning om dem ska bli kvar. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 5

6 Behörighetshantering 8 9 Behörighetshantering Studerandes rättigheter att registrera anteckningar Systemet ska göra det möjligt att tilldela behörigheter för olika funktioner, enligt användargrupp och arbetsroll i enlighet med systemets användningsändamål. Funktioner som hänför sig till Kanta ska begränsas enligt användargrupp och på grundval av användarnas arbetsroll. Endast de personer som har getts behörighet kan använda funktionerna i fråga. Systemet kräver inte omfattande behörigheter för att fungera. I systemet ska finnas funktioner som hanteringen av undantagssituationer förutsätter och med vilka behörigheten tillfälligt kan förbigås (betyder att någon åtgärd kan vidtas med t.ex. huvudanvändarens behörighet fast åtgärden inte hör till huvudanvändarens arbetsuppgifter). Åtgärden och den som vidtagit den ska ändå specificeras och registreras på ett tillförlitligt sätt. Uppgifter om situationer där behörigheterna förbigås ska fås från systemet t.ex. i en separat förteckning, för vars hantering det finns anvisningar om i användarmiljöns informationssäkerhetspolicy. Studerande kan göra anteckningar i patientjournaler. I patientdatasystemet ska det finnas en funktion för att godkänna anteckningar som gjorts av studerande. Studerandes anteckningar kan godkännas som en helhet per dag. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 6 D/I/T: Det ska kontrolleras hur behörigheter skapas i systemet och använder systemet i första hand de gränssnitt som Valvira erbjuder vid kontroll av yrkesrättigheter. Det ska kontrolleras att systemet gör det möjligt att begränsa funktionerna till de nämnda användargrupperna och arbetsrollerna. D/I/T: Det ska kontrolleras i systemet att där kan specificeras olika behörigheter, användargrupper och arbetsroller. T+V: Behörigheterna ska testas i en verklighetsliknande situation. Funktionaliteten i situationer där behörigheterna förbigås samt logganteckningarna ska kontrolleras (V). T/V: Det ska kontrolleras hur uppgifter om situationer där behörigheterna förbigås fås i en separat förteckning. T: Det ska kontrolleras att det finns en funktion för att godkänna studerandes anteckningar. Det ska i själva systemet finnas möjlighet att hantera behörigheterna på det sätt som dessa krav förutsätter, eller så ska kraven uppfyllas med hjälp av ett externt system, t.ex. behörighetshanteringssysteme t IAM. Dessa krav ska uppfyllas på olika sätt i olika typer av system. I föreskriften om krav på informationssäkerhet sägs: Om kravet inte är relevant för den informationssystemtjänst som ska bedömas, ska detta nämnas jämte motivering Enligt 6 i förordningen om journalhandlingar får studerande göra anteckningar i journalhandlingar när de är verksamma i legitimerade yrkesutbildade personers uppgifter. I behörigheterna

7 10 11 Huvudanvändares och tekniska stödpersoners rättigheter till Kanta Förhindrande av standardidentifierare Huvudanvändare har rätt att granska den egna organisationens uppgifter i Kanta i felsituationer. Producenten av en informationssystemtjänst har rätt att i felsituationer granska den organisations uppgifter i Kanta för vars räkning systemexperterna arbetar under utredningen. Behörigheter till informationssystem ska genomföras så att Kanta-rättigheterna begränsas i ovannämnda felsituationsutredning till sökning av endast egna uppgifter. Alla sökningar som gjorts under utredningen ska synas i loggarna. I systemen får inte finnas aktiva standardidentifierare och andra standardinställningar som är dåliga med tanke på informationssäkerheten. Om standardidentifierade till någon del inte kan avlägsnas ur systemet, ska standardidentifierarna eller deras lösenord bytas om möjligt. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 7 D/I/T: Huvudanvändarnas och informationssystemexperternas rättigheter till patientdatasystemet och Kantatjänsterna ska kontrolleras. T/D/V: Det ska säkerställas att de sökningar som gjorts under utredningarna syns i loggarna. D/I: Det ska kontrolleras hur det har säkerställts att aktiva standardidentifierare eller andra dåliga standardinställningar inte finns i systemet eller hur det har getts anvisningar om detta. antecknas då rollen som yrkesutbildad person, och dessa anteckningar behöver inte kontrolleras. Under en arbetspraktikperiod har den studerande rollen som studerande, han eller hon ska ha rollen som studerande i behörigheterna och en yrkesutbildad person inom hälso- och sjukvården ska godkänna anteckningarna separat.

8 Övervakning och loggar Oförändrade logguppgifter Användningslogg Det ska säkerställas att logguppgifterna hålls oförändrade. Kravet gäller användningsloggen och den tekniska loggen. Systemet ska göra det möjligt att säkerställa att logguppgifterna hålls oförändrade antingen på systemnivå eller genom organisationens egna åtgärder. Systemet ska göra det möjligt att utplåna logguppgifter. Informationssystemet upprätthåller en användningslogg med tillräckligt detaljerade uppgifter i fråga om sökning och användning av uppgifter (t.ex. i situationer där systemet söker mera information i receptcentret eller arkivet än vad som visas användaren när bassystemet filtrerar uppgifter). De närmare kraven på användningsloggar beskrivs i dokumentet Potilastietojärjestelmien käyttötapaukset bilaga 5 Vaatimukset käyttölokeille D: Det ska kontrolleras hur systemets loggmiljö har genomförts. D/V: Systemets logginställningar och specifikationsmöjligheter ska kontrolleras och ett utdrag ur logguppgifterna ska gås igenom. Det ska säkerställas att kraven är uppfyllda antingen i den logginformation som systemet producerar eller i dokumentationen. Anvisningar för behandling av logguppgifter Vahti 3/2009. Checklista, bilaga 1. Strävan ska vara att säkerställa att de personer som är föremål för övervakning inte kommer åt att ändra logguppgifterna. Tills vidare krävs inte t.ex. icke-raderbart medium för att spara logguppgifter. Logguppgifterna utplånas när de inte längre behövs för att följa lagenligheten hos användningen och utlämnandet av klientuppgifter. Systemets huvudanvändares och upprätthållares alla åtgärder i anslutning till behandlingen av klient- och patientuppgifter i systemet ska loggföras. Användningsloggen ska sparas minst 12 år. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 8

9 14 Teknisk logg Det ska föras logg över kommunikationen mellan Kanta-tjänsten och kunderna. Logg ska föras i alla system genom vilka patientuppgifter förmedlas till Kanta. D/V: Det ska kontrolleras att logg förs över upprättade förbindelser. Tekniska fel i systemet ska loggföras Uppföljningsverktyg för loggarna Nätkommunikationens telekommunikationsprofil Behandling av uppgifter I informationssystemet ska finnas ett verktyg för uppföljning av logguppgifterna eller så ska systemet möjliggöra anslutning av ett externt uppföljningsverktyg. Det ska gå att hämta loggarna för regelbunden uppföljning och övervakning. Nätkommunikationens normala telekommunikationsprofil (baseline) är känd; det finns ett förfarande för att upptäcka kommunikation som avviker från den normala telekommunikationsprofilen; för systemets del måste man kunna beskriva hurudan nätkommunikation normal användning orsakar. T/D/I: Det ska kontrolleras att i systemet finns ett verktyg för uppföljning av logguppgifterna, eller så ska systemet möjliggöra anslutning av ett externt uppföljningsverktyg. D/I: Det ska kontrolleras hur den normala telekommunikation som systemet producerar har beskrivits och dokumenterats och huruvida det har beskrivits hur det är möjligt att upptäcka kommunikation som avviker från den normala telekommunikationsprofilen. 17 Bruksanvisningar och direktiv Det ska finnas nödvändiga anvisningar för användning av systemet i enlighet med användningsändamålet samt för installation och underhåll av det. Anvisningarna ska motsvara den version som används. Om anvisningarna är avsedda att uppdateras eller kompletteras användningsmiljöspecifikt, ska det finnas klara anvisningar om uppdateringen eller kompletteringen. D: Man ska bekanta sig på bruks-, installations- och underhållsanvisningarna och kontrollera att de överensstämmer med den systemversion som ska auditeras. D/I: Uppdaterings-, kompletterings- och distributionsrutiner ska klarläggas. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 9

10 Lagring av hämtade uppgifter Lagring av expeditionsuppgifter om recept Lagring av sökta uppgifter Uppgifter som hämtats från patientdataarkivet får lagras i ett lokalt system under den tid som patienten har en vårdrelation till den aktuella enheten. Uppgifterna kan sparas som ett dokument eller lösas upp i den form som används i det lokala systemet. När vårdrelationen upphör ska uppgifterna kunna utplånas oberoende av det lokala lagringssättet. Dokument som hänför sig till recept som hämtats i receptcentret (bl.a. läkemedelsexpeditioner osv.) får inte permanent (med undantag för följande särskilt definierade undantag) lagras i informationssystemet för social- och hälsovården. Uppgifter som lagrats tillfälligt ska utplånas helt och hållet omedelbart efter användningen, när de inte längre behövs. Särskilt specificerade undantag: I systemet får dock lagras sådana uppgifter som är nödvändiga för att uppfylla de krav som ställts på loggarna. En läkemedelsexpedition ska ha lagrats på ett lyckat sätt i Receptcentret innan expeditionsuppgiften skrivs ut. Systemet skriver ut den dekal som hänför sig till expeditionen först när det har lagrat expeditionen på ett lyckat sätt. Innan läkemedlet överlämnas till köparen ska man alltid försäkra sig om att läkemedelsexpeditionen har lagrats i receptcentret. Apoteket får inte lagra uppgifter som det sökt i receptcentret i sitt informationssystem för längre tid än vad som behandlingen av expeditionen eller något Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 10 D/T/I: Det ska kontrolleras att systemet har en funktion för utplåning av uppgifter som laddats ner från arkivet. Funktionen ska vara automatisk och hänföra sig till avslutande av servicehändelsen. D/I: Det ska kontrolleras att systemet inte lagrar recept eller receptexpeditioner permanent, med de nämnda undantagen. D/T/I: Det ska kontrolleras att det inte är möjligt att skriva ut expeditionsuppgiften innan expeditionen har lagrats på ett lyckat sätt. T/D/I: Det ska kontrolleras att systemet har en funktion varmed användaren kan försäkra sig om att läkemedelsexpeditionen har lagrats i receptcentralen innan läkemedlet utlämnas. D/I: Det ska kontrolleras att systemet inte lagrar uppgifter som det hämtat (förutom undantagen) annars än för den tid som i Vahtianvisningarnas informationssäkerhetsinställni ng I anslutning till recept omfattar de uppgifter som är nödvändiga för att kraven på loggarna ska uppfyllas identifierare och versionsnummer för elektroniska recept samt nya versioner av recept som skapats med patientjournalsystem och makuleringsuppgifter, om dessa har upprättats med något annat patientjournalsystem eller apotekets informationssystem.

11 21 22 Visning av uppgifter Visning av uppgifter annat lagenligt syfte kräver. Undantag: Uppgifter om identifierare och version för recept, Uppgifter som baserar sig på författningar, så som uppgifter som behövs för direktersättning och receptdagboken. Uppgifter som hämtats från receptcentret ska utplånas i apotekssystemet genast när behandlingen upphört. Inte heller uppgifter om expeditioner i andra apotek får lagras. I första hand visas den nyaste versionen av recept och endast den nyaste versionen kan behandlas /bearbetas. Apotekssystemet ska på ett tydligt visuellt sätt visa uppgifter om olika versioner av receptet (t.ex. gammal, ej giltig version). Systemet ska på ett tydligt visuellt sätt visa användaren statusuppgifter om receptet och expedieringen (makulerat, spärrat, reserverat osv.) samt en utredning som hänför sig till statusen, om det finns en sådan. Om receptet är upptaget för expedition, reserverat, registrerat för dosdispensering eller har spärrats av ett annat apotek, ska systemet visa uppgifter om det apotek som gjort reserveringen/spärrningen. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 11 behandlingen av expeditionen kräver. T/D/I: Det ska kontrolleras att: Systemet i första hand visar den nyaste versionen av de olika versionerna av ett recept som systemet hämtar i receptcentret. Med systemet kan endast den nyaste versionen av receptet behandlas/bearbetas, inga andra versioner. Systemet visar uppgifterna om olika versioner av receptet på ett sätt som är tydligt för användaren. Testfall: Uppgifterna om en persons recept hämtas. Det kontrolleras att de nämnda punkterna sköts på behörigt sätt när svaret visas för användaren. T: Det ska kontrolleras att: Systemet visar statusuppgifter om receptet och expedieringen och en utredning som eventuellt hänför sig till statusen tydligt för användaren. Systemet visar uppgifter om det apotek som gjort reserveringen /dosdispenseringen/spärrningen, om apoteket inte har lagt ut dessa uppgifter självt. Testfall: uppgifter om ett recept och en expedition hämtas, där det finns olika statusuppgifter (makulerat, spärrat, reserverat osv.) och det kontrolleras att

12 systemet visar användaren dessa uppgifter tydligt. Testfall: Det hämtas ett recept som ett annat apotek har registrerat som upptaget för expedition, reserverat, registrerat för dosdispensering eller spärrat och det kontrolleras om systemet visar det andra apotekets uppgifter 23 Teknisk rättelse av recept Andra obligatoriska krav En farmaceut och provisor ska kunna göra tekniska rättelser i receptet så som att flytta iteringen till rätt fält. Tekniska rättelser, så som att iteringen flyttas till rätt fält, ändrar inte receptets innehåll. Tekniska rättelser kan göras utan läkarens godkännande. Farmaceuten och provisorn ska med läkarens samtycke också kunna göra rättelser som ändrar innehållet. I Receptcentret ska det sparas en ny version av receptet, där endast de rättade uppgifterna har ändrats. 10 Dessutom får den provisor och den farmaceut som expedierar läkemedlet på apoteket föra in behövliga tekniska rättelser i samband med expedieringen. Om receptets innehåll är otydligt eller bristfälligt måste läkemedelsförskrivarens muntliga samtycke till rättelsen erhållas. I Receptcentret ska en ny version av receptet sparas, där endast de rättade uppgifterna har ändrats. T: Det ska verifieras att systemet möjliggör tekniska rättelser. V/D/I: Det ska kontrolleras att det rättade receptet har ändrats endast i fråga om de rättade uppgifter och att en ny version av det lagras. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 12

13 24 Avbrytande av sessionen Patientdatasystemet ska möjliggöra spärrning av journalsystemets användargränssnitt efter den tid som kundorganisationen fastställt. T/D/I: Det ska kontrolleras att journalsystemets användargränssnitt kan spärras eller att förbindelsen avbryts efter den tid som kundorganisationen fastställt. Om alla kunder hos patientdatasystemet i fråga ombesörjer spärrning på användargränssnittsnivå, behöver spärrningsmöjligheten inte genomföras i patientdatasystemet. Tidsutlösningen kan vara olika lång för olika användargrupper och/eller i olika användningsmiljöer (t.ex. operationssal vs poliklinik). 25 Kontroll av inmatningen Innan uppgifter söks ska systemet kontrollera att de uppgifter som individualiserar patienten och en eventuell receptidentifierare har rätt form. T: Det ska kontrolleras att systemet har kontroll av inmatningen, som kontrollerar att t.ex. personbeteckningen har rätt form samt att receptets streckkod bildas korrekt. ränsen för tidsutlösningen specificeras i planen för egenkontroll för tillhandahållaren av tjänsten. I fortsättningen kan personbeteckningen vara i annan form än den finska (t.ex. i och med epsos). Det ska testas att sökning inte kan göras med felaktig inmatning. 26 Uppdatering av uppgifter från Läkemedelsdatabasen Systemet ska möjliggöra uppdatering av uppgifter från Läkemedelsdatabasen med det datainnehåll och den intervall som krävs. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 13 T/D: Det ska kontrolleras att systemet möjliggör uppdatering av uppgifter från Läkemedelsdatabasen och att funktionen har beskrivits. I Fimeas anvisningar specificeras det datainnehåll som ska uppdateras från läkemedelsdatabasen och uppdateringsintervallet (t.ex.

14 2*mån. 2013) A 29 R 30 A Uppdatering av uppgifter från THL:s kodtjänst Säkerställande av vårdrelationen Mottagning och lagring av elektroniska recepts patientanvisningar Åtskiljande av registren och förhindrande av att andra än hälso- och sjukvårdens register arkiveras i Kanta Basuppgifter och koder som ska upprätthållas nationellt ska uppdateras från THLs kodtjänst. Patientdatasystemet ska säkerställa användarens vårdrelation till patienten. Normalt produceras säkerställandet automatiskt utifrån de uppgifter (t.ex. tidsbokning) som finns i systemet. Det tekniska säkerställandet förutsätter att minst en person i serviceenheten eller i en begränsad grupp enheter har deltagit i registreringen av patientens uppgifter utöver användaren. Om vårdrelationen inte kan säkerställas tekniskt, ska en särskild orsak till att uppgifterna behandlas anges. Ett elektroniskt recepts patientanvisning kan lagras tillfälligt i patientjournalsystemet (i händelse av att en eventuell utskrift misslyckas), men den ska utplånas inom 12 timmar efter utskriften, varefter den inte längre får skrivas ut. I systemet ska man kunna skilja åt register som uppkommer inom olika tjänster. Andra patientuppgifter än sådana som uppkommer inom hälso- och sjukvården, t.ex. inom socialvården och som hör hemma i socialvårdens register, arkiveras inte tills vidare i Kanta, så dessa register ska kunna åtskiljas från hälso- och sjukvårdens register och det ska förhindras att de lagras i Kanta. T/D: Det ska kontrolleras att systemet möjliggör uppdatering av uppgifter från THL:s kodtjänst och att uppdateringssättet har beskrivits ur systemets synvinkel. T+V: Det ska testas att det tekniska säkerställandet av vårdrelationen realiseras. Användningsloggen ska kontrolleras. D/I: Det ska kontrolleras att ett elektroniskt recepts patientanvisningar inte lagras permanent och att det finns en funktion som utplånar patientanvisningen senast 12 timmar efter utskriften. D/I/V: Det ska kontrolleras hur registren åtskiljs och det förhindras att de lagras i Kanta Uppdateringen behöver inte ske automatiskt. Kraven på det webbaserade system som en privat yrkesutövare använder samt på socialvården preciseras senare. Det förutsätts ingen särskild databas för att skilja åt registren. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 14

15 Beskrivning av synkroniseringen av klockor Avbrytande av förbindelse till receptcentret Kontroll av inmatningen Dokumentation av patientsamtycken Förfrågan om och dokumentation av samtycken Det ska beskrivas hur klockorna i informationssystemtjänster som är kopplade till Kantatjänsterna är synkroniserade med Finlands officiella tid som levereras av Mätteknikcentralen. Apotekssystemet ska se till att förbindelsen till receptcentret avbryts när användaren inte använder systemets funktioner som hänför sig till receptcentret aktivt under 30 minuter (efter detta kan receptcentrets uppgifter inte användas utan ny identifiering). Före en sökning i receptcentret ska systemet kontrollera att de uppgifter för att individualisera patienten och den receptidentifierare som användaren (en farmaceut, provisor eller farmacie studerande) matat in har rätt form. Uppgift om en patients eller dennas lagliga företrädares samtycke (t.ex. sammanställning av patientens elektroniska recept och icke-expedierade recept eller patientanvisning) och typen av samtycke (muntligt eller skriftligt) ska sändas till receptcentret. Apoteket ska på grund av patientens muntliga samtycke (på patientens begäran) lämna uppgifter om patientens recept som finns lagrade i receptcentret och icke-expedierade recept (t.ex. Sammanställning av patientens elektroniska recept). Om sammanställningen hämtas av någon annan än patienten själv eller dennas lagliga företrädare ska den som hämtar sammanställningen ha ett av patienten eller dennas lagliga företrädare undertecknat samtycke. D: Ska verifieras i dokumentationen från producenten av informationssystemtjänsten. T/D/I: Det ska kontrolleras att förbindelsen till receptcentret bryts, om användaren inte använder systemets funktioner som hänför sig till receptcentret aktivt under 30 minuter T/D/I: Det ska kontrolleras att systemet har kontroll av inmatningen, som kontrollerar att t.ex. personbeteckningen har rätt form eller att receptidentifieraren har rätt form. T: Det ska testas att sökning inte kan göras med uppgifter som inte har rätt form T: Det ska kontrolleras att systemet har en egenskap med vars hjälp det är möjligt att dokumentera patientsamtycken. T: Det ska kontrolleras att det är möjligt att skriva ut en sammanställning av patientens elektroniska recept från systemet Kanta-tjänsterna: kraven på informationssäkerhet hos telekommunikationen och meddelandetrafiken. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 15

16 36 37 Uppdatering av uppgifter Kontroll av statusuppgiften för valt recept Uppgifter enligt läkemedelsdatabasen om läkemedel, ersättningsgilla salvbaser, kliniska näringspreparat och preparat med specialtillstånd för viss tid ska uppdateras i expeditionsprogramvaran den 1:s och den 15:e varje månad. När det recept som ska expedieras väljs ska apotekssystemet kontrollera att receptet inte är spärrat, makulerat, helt och hållet expedierat eller att ingen förnyelsebegäran hänför sig till det (receptet har inte förnyats). Om receptet har någon status som nämns ovan, ska systemet meddela användaren att receptet inte kan expedieras och orsaken till detta. Systemet ska även kontrollera att receptet inte är reserverat, upptaget för expedition eller registrerat för dosdispensering i ett annat apotek. D/T: Det ska kontrolleras att systemet möjliggör uppdatering av uppgifter enligt läkemedelsdatabasen. Det ska kontrolleras att uppgifterna uppdateras med erforderligt intervall. Det ska kontrolleras om det finns en automatiserad process för detta eller något annat formbundet sätt som säkerställer att uppdateringarna görs i tid T: Det ska testas att systemet kontrollerar huruvida det valda receptet är spärrat, makulerat, helt och hållet expedierat eller om en godkänd förnyelsebegäran hänför sig till det. Om så är fallet ska systemet meddela att receptet inte kan expedieras och orsaken till detta. Dessutom ska systemet förhindra att receptet expedieras. Ett sådant recept beträffande vilket uppgiften om reserveringsstatus är någon av dem som beskrivs i kravet ska behandlas. 38 Förnyelse av recept Om receptet har någon reserveringsstatus som nämns ovan i ett annat apotek, ska apotekssystemet meddela användaren att receptet i fråga inte kan expedieras, receptets status och uppgifter om det apotek som gett statusen. Systemet ska möjliggöra begäran om förnyelse av ett elektroniskt recept inom 16 månader från det att det ursprungliga receptet förskrevs. Systemet får inte möjliggöra förnyelsebegäran när tidsfristen på 16 månader har gått ut T: Det ska kontrolleras att systemet meddelar användaren att receptet inte kan expedieras och även orsaken till detta. Dessutom ska det kontrolleras att systemet förhindrar att receptet expedieras. D/I+T: I systemdokumentationen eller på något annat sätt ska det kontrolleras att systemet möjliggör förnyelsebegäran inom 16 månader från det att det ursprungliga receptet förskrevs. Förnyelsebegäran ska testas. Enligt den nuvarande tolkningen följer två krav av lagen: - recept måste kunna förnyas under 16 månader det ska inte gå att förnya recept som är äldre än 16 mån. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 16

17 39 Kontroll av uppgifter som hämtats från receptcentret Tillämpningssäkerhet När en läkemedelsexpedition görs får apotekssystemet hämta och visa uppgifter om endast den person som är föremål för expedieringen åt gången. Apotekssystemet får hämta och visa de uppgifter om det elektroniska receptet som behövs vid expedieringen inklusive uppgifter som påverkar rätten till ersättning från sjukförsäkringen. T/I/D: Det ska kontrolleras att systemet inte kan söka uppgifter om andra personer än den person som är föremål för expedieringen i receptcentret. T/D/I: Det ska kontrolleras vilka uppgifter systemet hämtar för läkemedelsexpeditioner. 40 Principer för säker programmering när systemet implementeras Det ska kunna beskrivas: 1. hur informationssäkerhetsmedvetenheten har beaktats under systemets utvecklingsprocess 2. hur informationssäkerhetshoten och riskerna har identifierats och fåtts under kontroll 3. hur gränssnitten har testats med felaktig indata samt stora indatamängder 4. hur användningen av funktioner och gränssnitt som lätt orsakar problem övervakas 5. hur arkitekturen och källprogrammet genomgås 6. hur programkoden kontrolleras genom t.ex. automatisk statisk analys 7. hur versionshanteringen av programkoderna har genomförts, hur man vid behov kommer åt äldre programversioner och hur dokumentationen av ändringar i programkoden har genomförts D: Punkterna 1-2, 4-7 ska verifieras med hjälp av dokumentation från producenten av informationssystemtjänsten. Dokumentationen behöver inte vara systemspecifik. T: Punkt 3 verifieras i testrapporten. Testrapporten kan ha levererats av producenten av informationssystemtjänsten eller så kan den produceras som ett led i auditeringen. Kriterier enligt rekommendationerna i de nationella säkerhetsauditeringskriteriern a är bl.a.: 1) Det har säkerställts att programutvecklarna är tillräckligt informationssäkerhetsmedvet na. 2) En analys av informationssäkerhetshoten har genomförts under programutvecklingen och de uppdagade riskerna har antingen fåtts under kontroll eller uttryckligen godkänts. 3) ränssnitten (åtminstone de externa) har testats med felaktig indata samt stora indatamängder. 4) Beroende på programmeringsmiljön har Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 17

18 41 42 Beredskap för allmänna attackmetoder Nätportar som tillämpningen använder Det ska ha beskrivits i systemet hur man förbereder sig på allmänna attackmetoder så att det konfidentiella läget eller integriteten för de skyddade uppgifter som ska behandlas i tjänsten/tillämpningen inte äventyras. I systemet finns inga onödiga portar öppna och inga icke-säkrade, icke-krypterade protokoll. Endast trafik i nödvändig riktning är tillåten. D/I: enom intervjuer och utifrån dokumentationen ska det gås igenom vilka av de allmänna attackmetoderna som är relevanta för informationssystemet / informationssystemtjänsten och hur man har förberett sig på dem. Förberedelsesättet måste kunna beskrivas i fråga om relevanta attackmetoder. D/I: enom intervjuer samt dokumentation ska det verifieras hur de nätportar som tillämpningen använder är specificerade och skyddade och hur man försäkrar sig om att inga onödiga portar och icke-säkrade protokoll används. det fastställts en policy för användningen av funktioner och gränssnitt som lätt orsakar problem och den övervakas (t.ex. förteckningar över förbjudna funktioner). 5) Arkitekturen och källprogrammet har genomgåtts. 6) Programkoden har kontrollerats genom automatiserad statisk analys. 7) Integriteten hos versionshanteringen av programkoden och utvecklingsverktygen har säkerställts. T.ex. OWASP Top I den inledande fasen förutsätts inte heltäckande extern testning. I den inledande fasen förutsätts inte heltäckande extern testning. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 18

19 43 Iakttagande av avvikande verksamhet Systemet ska ha ett förfarande som gör det möjligt att upptäcka olovlig användning och olovliga användningsförsök. D/I/T: Det ska kontrolleras hur olovlig användning eller olovliga användningsförsök kan upptäckas och rapporteras i systemet. Krav som hänför sig till systemets användningsmiljö, när en producent av en informationssystemtjänst eller Kanta-förmedlingsservice ansvarar för användningsmiljön Konfidentiellt läge och integritet Krypteringen av dataöverföring och telekommunikationens konfidentiella läge samt integritet i Kanta-tjänsterna är säkrad Båda parterna i elektronisk kommunikation ska identifieras Identifiering av förbindelse, parter och enheter Obehöriga får inte fram skyddade uppgifter (även anlitande av hälso- och sjukvårdstjänster är en uppgift som ska hemlighållas). Uppgifterna får inte ändras under dataöverföringen. Överföringen av elektroniska recept, journalhandlingar och konfidentiella uppgifter i anslutning till dem till nationella tjänster eller från dem till andra ställen är krypterad (t.ex. SSL/TLS) och elektroniskt signerad. Journaler och uppgifter kan förmedlas i icke-krypterad form när man använder point-to-point VPNförbindelser. Apotek, tjänsteproducenter och användarorganisationer samt deras servrar för tjänsten i fråga ska identifieras på ett tillförlitligt sätt när förbindelse upprättas till Kanta-tjänsten innan den elektroniska förbindelsen inleds. Identiteten hos parterna i förbindelsen certifieras innan den egentliga förbindelsen upprättas. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 19 D/T: Beskrivningar, inställningar och/eller systemets anvisningar om kryptering, signering och behandling av nycklar/certifikat i systemet och om behandlingen av eventuella VPNförbindelser ska kontrolleras. D/T/I: Det ska kontrolleras hur identifieringen och certifieringen av den andra partens identitet har genomförts. Certifikatnycklarnas bitantal och krypteringsalgoritmens implementering ska kontrolleras. Folkpensionsanstalten meddelar tekniska anvisningar om godtagbar SSL/TSL-krypteringsnivå. Systemen och användarorganisationerna ska förbinda sig att iaktta anvisningarna och företa nödvändiga ändringar. Krypteringsnivån ska tillämpas med tillräckligt stark algoritm och nyckel. Saken testas närmare senast i samband med införandet. Folkpensionsanstalten meddelar tekniska anvisningar om godtagbar krypteringsnivå (certifikatnycklarnas bitantal och krypteringsalgoritm) Kanta-tjänsterna: Krav på

20 informationssäkerheten hos telekommunikationen och meddelandetrafiken. Saken testas närmare senast i samband med införandet. 46 Iakttagande av avvikelser Tillhandahållare av tjänster ska ha en skriftlig samlings-, utlämnings-, larm- och uppföljningspolicy/- anvisning för loggar, vilken har utformats med beaktande av kraven på verksamheten. Systemet ska göra det möjligt att samla loggar och det kan stöda även utlämnings-, larm- och uppföljningsfunktioner. D: Det ska kontrolleras hur samlingen och hanteringen av systemets loggar har genomförts och är tillgänglig och huruvida andra loggövervakningsfunktioner stöds Skydd av nätförbindelsen Hanteringsförbindelser till systemet Den anslutande organisationens system ska vara skyddade med en brandvägg. Det kan vara fråga om antingen en hårdvarubrandvägg eller separata mjukvarubrandväggar. VAHTI 2/2010, bilaga 5, krav 2.5. Åtminstone krav på grundläggande nivå. Om det finns flera förbindelser från organisationen till receptcentret / arkivet, räcker det om de finns bakom samma brandvägg. Systemet ska stöda skyddande av nätförbindelsen med brandvägg och om det kräver särskilda brandväggsinställningar ska de beskrivas. Om det av underhålls- eller andra skäl tillåts fjärranslutningar till systemet, ska förbindelserna till systemet vara krypterade från den ena ändan till den andra (från upprätthållarens maskin till det system som ska upprätthållas) med t.ex. VPN-tunnel. Dessutom ska de som använder fjärranslutningarna identifieras med en tillförlitlig stark identifieringsmetod (inte enbart lösenord och användaridentifikation) Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 20 D: Det ska kontrolleras hur systemet stöder skyddande av nätförbindelsen med brandvägg, innehåller det särskilda brandväggsegenskaper och hur har eventuella brandväggsinställningar som krävs beskrivits. D/I: Det ska klarläggas och beskrivas huruvida det finns fjärranslutningar för underhåll till systemet och hur eventuella fjärranslutningar till systemet har realiserats. D/I: Det ska kontrolleras att eventuella fjärranslutningar har realiserats med VAHTI 2/2010, bilaga 5, krav 2.5

21 Nycklar som används för kryptering stannar endast hos önskade aktörer Till användningsmiljöns sida Härdning av systemet Skydd mot skadegörande program på servrar Hanteringsförbindelserna till systemet ska antingen krypteras starkt eller byggas upp så att man använder ett eget skyddat nät för hanteringsförbindelserna. Kravet gäller även förbindelser i det interna nätet. Organisationens system ska stöda hantering av krypteringsnycklar och certifikat enligt god praxis, vilken ska omfatta a) Skapande (eller överföring till systemet) av nycklar/certifikat b) Förvaring av nycklar/certifikat c) Användning av nycklar/certifikat d) Utplåning/arkivering/makulering av nycklar/certifikat I systemen får inte finnas extra tjänster påkopplade eller onödiga öppna portar. Organisationen ska ha en specificerad enhetssammansättning och systemplattform (t.ex. operativsystem och databaser), enligt vilka systemets informationssäkerhetsinställningar görs. De servrar och arbetsstationer på vilka systemen fungerar ska vara skyddade mot skadegörande program. De rekommenderas att program för att bekämpa skadegörande program uppdateras automatiskt. krypterad förbindelse, t.ex. VPN, SSH, SSL/TLS eller att det finns ett eget skyddat nät för hanteringsförbindelser. D: Dokumentation i anslutning till hanteringen av krypteringsnycklar, det ska kontrolleras att god praxis enligt a-d iakttas. D/I: Det ska kontrolleras hur systemen härdas och testas innan de tas i bruk och att det inte finns några extra tjänster eller onödiga öppna portar, eller vilka anvisningar det finns om detta. D: Det ska kontrolleras hur enhetssammansättningen och systemplattformen samt deras informationssäkerhetsinställningar har beskrivits. D/I: Det ska kontrolleras att sådant skydd mot skadegörande program är i gång på servrarna som kan identifiera virus, spionprogram och andra skadegörande program och att skyddet uppdateras regelbundet och i mån av möjlighet automatiskt. Kravet gäller åtminstone nycklar och certifikat som används vid anslutning till Kanta-tjänsterna. Ett noggrannare verifieringssätt än det angivna kravet är att skanna tjänsterna och kontrollera plattformens konfigureringsinställningar, vilket tills vidare inte krävs på ett heltäckande sätt. Kravet gäller sådana system som vanligtvis är känsliga för virus och för vilka det finns viruskontrollprogram tillgängliga. Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 21

22 Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer 22 Bilaga 1 krav på informationssäkerhet hos system av klass A och på systemets användningsmiljöer