Anvisningen träder i kraft genast och gäller tills vidare

Relevanta dokument
Föreskrift om väsentliga krav på funktionalitet hos informationssystem för socialoch hälsovården

CERTIFIERING AV KANTA-FÖRMEDLINGSSERVICE SAMT KANTA-FÖRMEDLARE

Föreskrift om intyg och utlåtanden som ska utlämnas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster

Anvisning 2/2017 1(5) THL 809/ / Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten (OPER)

Avtal om anslutning till och användning av Kanta-tjänsterna

Hur ansluter man sig till Kanta-tjänsterna. Anvisning för aktörer som inför tjänster

VEM ANSLUTER SIG TILL KANTA-TJÄNSTERNA Vem ansluter sig till Kanta-tjänsterna. Anvisning för aktörer som ansluter sig till Kanta

Föreskrift om väsentliga krav på funktionalitet hos informationssystem för social- och hälsovården

AGERANDE VID STÖRNINGAR I KANTA-TJÄNSTERNA

ÄNDRINGAR I DET ELEKTRONISKA RECEPTET OCH PRECISERING AV VERKSAMHETSMODELLEN FR.O.M

Föreskrift om grunderna för specifikation av åtkomsträttigheter till klientuppgifter inom socialvården

Användningsvillkor för Kelain-tjänsten

Elektronisk förmedling av intyg och utlåtanden som upprättats inom hälso-och sjukvården till aktörer utanför hälso- och sjukvården

Allmänna leveransvillkor för Kanta-tjänsterna. FPA, Kanta-tjänsterna

Tjänsten Patientdataarkivet

RP 219/2013 rd. I denna proposition förslås ändringar i lagen

1. Lag om elektronisk behandling av kunduppgifter inom social- och hälsovården

Kanta-tjänsterna. Medborgarinfo 2018

Förändringssituationer i organisationen. FPA, Kanta-tjänster

Organisationsförändringar inom den privata hälso- och sjukvården Esityksen nimi / Tekijä

Utöver de allmänna leveransvillkoren för Kanta-tjänsterna följs denna tjänstebeskrivning vid leverans och användning av Recept-tjänsten.

Aktuellt om projektet Kansa och harmonisering av behandlingen av klientuppgifter inom socialvården med åtkomsträttigheter

ALLMÄNNA LEVERANSVILLKOR FÖR KANTA-TJÄNSTERNA Bilaga 3

Anvisning 10/ (5)

Ansökan om godkännande som producent av service mot servicesedel inom öppenvårdstjänster för frontveteraner i hemmet; kriterierna för godkännande

Föreskrift 2/2010 1/(7)

Lag. RIKSDAGENS SVAR 195/2010 rd. Regeringens proposition med förslag till lagar

Ändringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården

UPPGIFTER OM SERVICEPRODUCENTEN/SERVICESEDELFÖRETAGAREN. Serviceproducentens namn: Adress: FO-nummer: Kontaktperson: Telefonnummer: E-postadress:

Lägesrapport om socialvårdens informationshantering. Verkställighet av lagen om klienthandlingar inom socialvården Regional runda 1-4 / 2016

Kundens valfrihet inom social- och hälsovården ur tjänsteproducenternas och landskapets synvinkel

Anvisningen träder i kraft omedelbart och gäller tills vidare.

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

Huvudsakligt innehåll

Datasekretessbeskrivning Informationshanteringstjänsten

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

Anvisning 1/ (6)

Datasekretessbeskrivning Receptarkivet

Föreskrift 1/ (9)

information till medborgare

Dokumenteringsutbildningen

Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten (OPER) ; uppdaterad

Datalagret för egna uppgifter

Ansökan om godkännande som producent av service mot servicesedel inom öppen rehabilitering för frontveteraner; kriterierna för godkännande

1 (6) /62/2014. Referens: Tukes Valvira samarbetsmöte TRYGGHETSTELEFONTJÄNSTER OCH ANDRA MOTSVARANDE TJÄNSTER

Användningsvillkor Datalagret för egna uppgifter på mina Kanta-sidor

Kansa-koulu projektet som sto d fo r socialva rdens serviceanordnare

Recept Patientdataarkivet. Kanta-tjänster för stora och små, gamla och unga

Gäller från och med: Krav på informationssäkerhet: Målgrupp för kravet: Sätt att verifiera kravet

Lovisa stad 1 (5) Uppgifter om serviceproducenten

Kriterier för pilotförsöken med valfrihet

OP Tjänsten för förmedling av identifiering

Föreskrift 4/2010 1/(6)

RAMAVTAL OM BETALNING AV SJUKVÅRDSERSÄTTNING TILL SERVICEPRODUCENTEN GENOM DIREKTERSÄTTNINGSFÖRFARANDE

Medicinsk direktör Outi Paloneva Väsentlig lagstiftning som verksamheten grundar sig på: Registrets användningsändamål:

FINLANDS FÖRFATTNINGSSAMLING

SV lausuntopyyntö VaVa Syksy 2017

Kanta. Tekniska anslutningsmodeller till Kanta-tjänsterna

Regeringens proposition Kundens valfrihet inom social- och hälsovården

Elektroniska recept inom långvarig öppen eller sluten vård. Nationella verksamhetsmodeller från Uppdaterad

Dataskyddsförfrågan 2017

Kontaktperson: Servicechefen för slutenvård och serviceboende Social- och hälsovårdsväsendet PB 43, KARLEBY (växel)

VAASAN SEUTU PALVELUSETELI 1

Kundens valfrihet i fråga om social- och hälsotjänster

ANVISNING FÖR IFYLLANDE AV BLANKETT FÖR ANSÖKAN OM TILLSTÅND

Utlämnande av en minderårigs uppgifter till vårdnadshavarna inom hälso- och sjukvården

ANVISNINGAR OM ANMÄLNINGSPLIKTIG SMÅBARNSPEDAGOGIK OCH IFYLLNADSANVISNING FÖR ANMÄLNINGSBLANKETTEN

Kelain webbrecepttjänst för läkare och tandläkare. Verksamhetsmodeller för det elektroniska receptet

Patientdata samlas i ett nationellt dataarkiv

Ansökan om godkännande som producent av service mot servicesedel; kriterierna för godkännande

Blanketter inom företagshälsovården tydligare innehåll och utseende

Såhär fyller du i ansökan om anslutning och uppdaterar du dina kunduppgifter

[OPER Verksamhetsplan 2017] versio 1.0. OPER Verksamhetsplan 2017

Dataskyddsförfrågan 2017

Till läkare, tandläkare och privata producenter av hälso- och sjukvårdstjänster

Dataskyddsbeskrivning för registret över serviceproducenter. 4 Syftet med och grunden för behandlingen av personuppgifter

RP 68/2011 rd. I denna proposition föreslås att det stiftas en lag om statens andel av kostnaderna för

Föreskrift 1/2010 1/(8)

Kundens valfrihet i fråga om social- och hälsotjänster

Sjundeå kommun, småbarnspedagogiska tjänster Parkstigen 1, Sjundeå

EU:s allmänna dataskyddsförordning

Intressentgruppstestning av inkomstregistret

Ansökan om tillstånd att tillhandahålla privat socialservice dygnet runt

Postadress: PB 18, Helsingfors Huvudsakligt verksamhetsställe: Bryggerigatan 2 A, Helsingfors Kundtjänst: Brädgårdsgatan 10, Helsingfors

URVALSPROCESSEN OCH DET CENTRALISERADE BESLUTSFATTANDET FÖR FPA:S KIILA-KURSER. Från

RAMAVTAL OM BETALNING AV TANDVÅRDSERSÄTTNING TILL SERVICEPRODUCENTEN GENOM DIREKTERSÄTTNINGSFÖRFARANDE

FINLANDS FÖRFATTNINGSSAMLING

Nationella auditeringskrav för organisationer inom hälso- och sjukvården (berör elektroniska recepts funktionalitet)

RP 155/2010 rd. överförs på Befolkningsregistercentralen som dess lagstadgade uppgifter. Befolkningsregistercentralen

RECEPTFÖRSKRIVNING AV LÄKEMEDEL FÖR LÄKEMEDELSBEHANDLINGSTIDEN SKA BASERA SIG PÅ ETT TERAPEUTISKT BEHOV

ANMÄLAN OM BIVERKNINGAR. Målgrupper Personer med rätt att förskriva eller expediera läkemedel

Ansökan om att bli godkänd som handikappservicens servicesedelproducent för personlig assistans, samt kriterierna för godkännande

Kundens valfrihet ur landskapets och tjänsteproducentens synvinkel

Kanta Anvisning om anslutning till Kanta-kundtesttjänsten

Mina Kanta-sidor och Patientdataarkivet

Såhär fyller du i ansökan om anslutning och uppdaterar du dina kunduppgifter

Lag. om ändring av lagen om utkomststöd

Föreskrift 2/ (14)

Dataskyddsbeskrivning över Työplus Oy:s klientuppgifter

Lagen om klienthandlingar inom socialvården

Transkript:

Anvisning 2/2018 1(7) ANVISNINGAR FÖR ANMÄLAN AV ÄNDRINGAR I INFORMATIONSSYSTEM AV KLASS A INOM SOCIAL- OCH HÄLSOVÅRDEN Målgrupper Tillverkare av informationssystem för social- och hälsovården Tillverkare av informationssystem för apoteken Tekniska producenter av Kanta-förmedlingsservice FPA, enheten för Kanta-tjänster Bedömningsorgan för informationssäkerhet Giltighetstid Anvisningen träder i kraft genast och gäller tills vidare

Anvisning 2/2018 2(7) ANVISNINGAR FÖR ANMÄLAN AV ÄNDRINGAR I INFORMATIONSSYSTEM AV KLASS A INOM SOCIAL- OCH HÄLSOVÅRDEN I den här anvisningen redogörs för ändringar i informationssystemet som redan tidigare samtestats och auditerats avseende informationssäkerheten, vilka ska anmälas till FPA och till bedömningsorganet för informationssäkerhet. Anvisningen sammanställer och preciserar förfarandena i förordningar och andra bestämmelser om certifiering vid ändringar i informationssystemen. Bakgrund och motiveringar I lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 159/2007 (klientuppgiftslagen) föreskrivs att de informationssystem och förmedlingstjänster som är avsedda för behandlingen av klient- och patientuppgifter inom social- och hälsovården ska certifieras innan de tas i produktion. Certifieringen omfattar samtestning som ordnas av FPA och en auditering av informationssäkerheten tillsammans med ett bedömningsinstitut för informationssäkerhet. Tillverkaren av informationssystemet eller producenten av informationssystemtjänsten ansvarar för överenstämmelsekraven på informationssystemet inom social- och hälsovården och för därtill hörande krav på samtestning, auditering och anmälningar enligt klientuppgiftslagen 1. I klientuppgiftslagen föreskrivs att bedömningsorganet för informationssäkerhet ska underrättas om ändringar i informationssystem som hör till klass A. Överensstämmelseintyget ska förnyas om det görs betydande ändringar i informationssystemet eller om de väsentliga kraven på systemet ändras. Interoperabiliteten av de uppgifter som lagras i klient- och patientdatasystemen i Kanta-tjänsterna med andra klient- och patientdatasystem ska visas vid en samtestning som utförs av Folkpensionsanstalten. Överenstämmelsekravet gäller även situationer, där det görs betydande ändringar i systemen. Av den anledningen ska även FPA underrättas om ändringarna. En förutsättning för samtestning är också tillverkarens redogörelse för på vilket sätt kraven på informationssystemets funktionalitet har genomförts och testats. Enligt klientuppgiftslagen ansvarar Institutet för hälsa och välfärd (THL) för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården samt för användningen och realiseringen av de riksomfattande informationssystemtjänsterna. Institutet kan också utfärda noggrannare föreskrifter om de förfaranden som ska iakttas för att visa att de riksomfattande informationssystemen 1 Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården 19 e, f, k

Anvisning 2/2018 3(7) uppfyller kraven. Den här anvisningen har beretts genom myndighetssamarbete (THL, Kela, Valvira, Kommunikationsverket, SHM, bedömningsorganen för informationssäkerhet) utgående från de frågor som inkommit till dessa institutioner samt från erfarenheterna av certifieringsprocessen. De termer som används i anvisningen, t.ex. tillverkare och producenten av en informationssystemtjänst motsvarar de termer som används i THL:s föreskrift 1/2015 2. Anvisningar som preciserar förfarandena En tillverkare av informationssystem eller producent av en informationssystemtjänst ska underrätta FPA och bedömningsinstitutet för informationssäkerhet om betydande ändringar i system som hör till klass A i enlighet med denna anvisning. Då giltigheten för ett överensstämmelseintyg för ett system håller på att gå ut, ska producenten av informationssystemtjänsten kontakta FPA och bedömningsinstitutet för informationssäkerhet så att behovet av samtestning och förnyad auditering av informationssäkerheten kan bedömas. Vid behov ska systemet samtestas och auditeras på nytt så att det får ett giltigt överensstämmelseintyg. FPA och bedömningsinstitutet för informationssäkerhet ska kontaktas senast 6 månader innan överensstämmelseintyget går ut. Även annan aktör än informationssystemets ursprungliga tillverkare kan fungera som producent av en informationssystemtjänst åt en tillhandahållare av social- och hälsovårdstjänster 3. Kraven som gäller systemet ska dokumenteras och ifyllas även i detta fall. Om producenten av en informationssystemtjänst som ansvarar för kraven är någon annan än tillverkaren, ska tillverkaren och producenten av informationssystemtjänsten gemensamt komma överens om vem som ansvarar för certifierings- och testningsförfarandena i anslutning till systemändringar och för anmälan om ändringar i systemet. Avtalsparterna ska också beakta anvisningarna i anslutning till samtestningen, t.ex. att det informationssystem som samtestas i tillräcklig grad motsvarar den helhet som kommer att tas i produktion. Då producenten av informationssystemtjänsten byts bör man se till att kraven på systemet och uppdateringarna av det fortfarande uppfylls, och att uppfyllandet av kraven dokumenteras. 2 THL Föreskrift 1/2015: Föreskrift om väsentliga krav på informationssäkerhet hos informationssystem av klass A inom social- och hälsovården https://thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/maaraykset-ja-maarittelyt/maaraykset 3 Kanta-certifiering och egenkontroll överblick och processer https://www.kanta.fi/documents/20143/91501/luokittelut+omavalvonta+sertifiointi+- +Usein+kysytyt+kysymykset.pdf/e18b288f-d3be-df68-ed26-d4c3a21b9777

Anvisning 2/2018 4(7) I samband med ansökan om ny samtestning eller då systemet anmäls till bedömningsinstitutet för informationssäkerhet för bedömning ska en systemblankett enligt THL Föreskrift 2/2016 4 inlämnas. På blanketten antecknas funktioner och information som innehåller nya och betydande ändringar så att de klart skiljer sig från andra funktioner och innehåll som genomförts i systemet. Enligt klientuppgiftslagen ska alla informationssystem som hör till klass A och B anmälas till Valviras register 5. Den här anvisningen gäller endast system som hör till klass A. I samband med anmälningar enligt denna anvisning ska uppgifter som gäller informationssystemet vid behov även uppdateras i Valviras register, såvida tidigare anmälda uppgifter ändras eller kompletteras. Om det är oklart för tillverkaren av informationssystemet eller producenten av informationssystemtjänsten om det behövs förnyad samtestning eller certifiering, kan det göras en förfrågan hos THL, bedömningsinstitutet för informationssäkerhet eller via FPA:s Kanta-tjänster. Väsentliga ändringar Väsentliga ändringar som görs i informationssystemen ska anmälas till FPA och bedömningsinstitutet för informationssäkerhet. Utifrån anmälan bedömer FPA om informationssystemet kräver ny samtestning och bedömningsinstitutet för informationssäkerhet bedömer om det finns ett behov av förnyad auditering av informationssäkerheten. De nedan beskriva ändringarna är exempelvis sådana som förutsätter anmälan till FPA:s Kanta-tjänster för bedömning av behovet av samtestning samt anmälan till bedömningsinstitutet för informationssäkerhet för bedömning av behovet av förnyad auditering. 1. Det genomförs funktionaliteter i systemet utifrån de nationella specifikationerna, och i dessa specifikationer eller i publiceringsplanen i anslutning till dem nämns att införandet av specifikationen förutsätter förnyad samtestning eller auditering. 2. Systemets användargrupp eller anslutningsmodell ändras väsentligt i samband med den nya versionen, t.ex. systemet börjar förutom av yrkesutbildade inom socialoch hälsovården också användas av klienter och patienter inom social- och 4 THL Föreskrift 2/2016: Föreskrift om väsentliga krav på funktionalitet hos informationssystem för socialoch hälsovården 5 Valvira register över informationssystem inom social- och hälsovården http://www.valvira.fi/terveydenhuolto/terveysteknologia/tuotteen_markkinoille_saattaminen/tietojarjestelmat

Anvisning 2/2018 5(7) hälsovården, eller så börjar systemet förutom av privata serviceproducenter även användas av offentliga serviceproducenter eller tvärtom. 3. Systemet ansluts till en Kanta-tjänst som det inte tidigare varit ansluten till t.ex. förutom till Receptcentret även till Patientdataarkivet, förutom till Patientdataarkivet även till Klientdataarkivet för socialvården eller till Datalagret för egna uppgifter på Mina Kanta-sidorna, eller utöver till Klientdataarkivet för socialvården även till Patientdataarkivet. 4. Systemets operativsystem eller funktion förnyas i betydande grad eller det görs väsentliga ändringar i dem. Sådana ändringar ska anmälas, om ändringarna också kan inverka på de uppgifter som skickas eller hämtas från Kanta-tjänsterna eller på handlingarnas riktighet, Kanta-gränssnittens eller meddelandestrukturernas funktion eller på hur informationssäkerhetskraven uppfylls. 5. Systemet ansluts direkt till Kanta-tjänsterna, då det tidigare varit anslutet till Kantatjänsterna via ett förmedlande system. 6. Tillsynsmyndigheten, t.ex. Valvira, förutsätter förnyad samtestning av systemet eller en ny version av det eller att behovet av förnyad auditering ombedöms. 7. Det görs betydande ändringar i dokumentationsarrangemangen i anslutning till auditeringskraven eller i organiseringen av systemets utvecklingsarbete (t.ex. en betydande ändring i affärsverksamheten, såsom fusion eller företagsköp, det utvecklingsteam som producerat systemet byts). 8. De väsentliga kraven på system 1 har testats eller auditerats med godkänt resultat via system eller produkt 2, och system 2 ändras så att ändringen kan inverka på uppfyllelsen av de väsentliga kraven i system 1. 9. Det finns väsentliga brister eller fel i anslutning till patientsäkerheten i systemet. Väsentliga fel ska även anmälas till tillsynsmyndigheten (Valvira) samt till systemanvändarna. Väsentliga ändringar som förutsätter en anmälan till Kanta-tjänsterna för bedömning av behovet av samtestning, men som inte förutsätter en anmälan till bedömningsinstitutet för informationssäkerhet för en bedömning av behovet av förnyad auditering är t.ex. följande typ av ändringar: 10. I systemet görs ändringar som inverkar på Kanta-gränssnittet, de servicebegäran som systemet använder eller de meddelandestrukturer som använts i dem. Väsentliga ändringar som förutsätter en anmälan till bedömningsinstitutet för informationssäkerhet för bedömning av behovet av förnyad auditering, men som inte förutsätter en anmälan till FPA:s Kanta-tjänster för bedömning av behovet av samtestning är t.ex. följande typ av ändringar:

Anvisning 2/2018 6(7) 11. Det görs sådana väsentliga ändringar i systemets drifts- eller prestationsmiljö som producenten av informationssystemtjänsten ansvarar för, vilka inverkar på uppfyllelsen av de väsentliga kraven på driftsmiljöns informationssäkerhet 6. Ändringen kan t.ex. vara att systemet eller en betydande delkomponent av den överflyttas från social- och hälsovårdstjänsteproducentens miljö till en molntjänst eller SaaS-mall. Anmälningsbehovet gäller inte installering av ett godkänt och auditerat system i en ny klientmiljö, där kraven fylls på motsvarande nivå och med motsvarande förfaranden som i tidigare driftsmiljöer. 12. Det finns väsentliga brister eller fel i systemets informationssäkerhet, och korrigeringen av dem ska säkerställas med en auditering av informationssäkerheten. Väsentliga fel ska även anmälas till tillsynsmyndigheten (Valvira) samt till systemanvändarna. I följande situationer behöver systemet inte anmälas för bedömning av behovet av förnyad certifiering eller testning: Även i dessa fall bör det emellertid säkerställas att det i Valviras register samt i FPA:s Kanta-tjänster och hos bedömningsinstitutet för informationssäkerhet finns uppdaterade uppgifter om produktnamnen på alla system som används i produktionen och vem som tillverkat dem: 13. Det införs nytt innehåll eller en ny funktion i ett tidigare testat eller auditerat system, som inte inverkar på Kanta-gränssnitten eller på auditeringskraven på informationssäkerheten, t.ex. det införs en statusvy vad gäller antalet bäddplatser på vårdavdelningen i ett sjukhussystem eller det införs en ny funktion för påminnelser i ett klientdatasystem för socialvården. 14. Systemets försäljningsnamn eller produktnamn ändras, men det görs inga ändringar i systemets Kanta-gränssnitt, informationssäkerhetskrav eller väsentliga ändringar i systemets funktion. Det är tillåtet att uppdatera överensstämmelseintyget med systemets nya produktnamn så att systemets namn på alla produktionsversioner finns med på intyget. 15. Företagets namn eller FO-nummer ändras, men ändringen inverkar inte på de produkter eller informationssystem som företaget producerar. 16. Kontaktpersonen hos tillverkaren av informationssystemet eller producenten av informationssystemtjänsten eller kontaktuppgifterna för auditeringen av informationssäkerheten eller samtestningen ändras. 6 THL föreskrift 1/2015 kraven 44 51

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss