Föreskrift om väsentliga krav på funktionalitet hos informationssystem för socialoch hälsovården

Relevanta dokument
Anvisningen träder i kraft genast och gäller tills vidare

CERTIFIERING AV KANTA-FÖRMEDLINGSSERVICE SAMT KANTA-FÖRMEDLARE

Föreskrift om intyg och utlåtanden som ska utlämnas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster

Anvisning 2/2017 1(5) THL 809/ / Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten (OPER)

Föreskrift om grunderna för specifikation av åtkomsträttigheter till klientuppgifter inom socialvården

Föreskrift om väsentliga krav på funktionalitet hos informationssystem för social- och hälsovården

Hur ansluter man sig till Kanta-tjänsterna. Anvisning för aktörer som inför tjänster

VEM ANSLUTER SIG TILL KANTA-TJÄNSTERNA Vem ansluter sig till Kanta-tjänsterna. Anvisning för aktörer som ansluter sig till Kanta

Avtal om anslutning till och användning av Kanta-tjänsterna

ÄNDRINGAR I DET ELEKTRONISKA RECEPTET OCH PRECISERING AV VERKSAMHETSMODELLEN FR.O.M

Användningsvillkor för Kelain-tjänsten

Tjänsten Patientdataarkivet

Lag. RIKSDAGENS SVAR 195/2010 rd. Regeringens proposition med förslag till lagar

AGERANDE VID STÖRNINGAR I KANTA-TJÄNSTERNA

Anvisningen träder i kraft omedelbart och gäller tills vidare.

Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten (OPER) ; uppdaterad

1. Lag om elektronisk behandling av kunduppgifter inom social- och hälsovården

Kanta-tjänsterna. Medborgarinfo 2018

Elektronisk förmedling av intyg och utlåtanden som upprättats inom hälso-och sjukvården till aktörer utanför hälso- och sjukvården

Föreskrift 2/2010 1/(7)

Allmänna leveransvillkor för Kanta-tjänsterna. FPA, Kanta-tjänsterna

Aktuellt om projektet Kansa och harmonisering av behandlingen av klientuppgifter inom socialvården med åtkomsträttigheter

Datasekretessbeskrivning Receptarkivet

RP 219/2013 rd. I denna proposition förslås ändringar i lagen

ALLMÄNNA LEVERANSVILLKOR FÖR KANTA-TJÄNSTERNA Bilaga 3

Utöver de allmänna leveransvillkoren för Kanta-tjänsterna följs denna tjänstebeskrivning vid leverans och användning av Recept-tjänsten.

Anvisning 1/ (6)

Datasekretessbeskrivning Receptcentret

Datasekretessbeskrivning Informationshanteringstjänsten

/2013 EXPEDIERING AV LÄKEMEDEL MOT ETT EUROPEISKT RECEPT. Föreskrift pp.kk.vvvv Dnro

Kundens valfrihet inom social- och hälsovården ur tjänsteproducenternas och landskapets synvinkel

Föreskrift 4/2010 1/(6)

Huvudsakligt innehåll

Organisationsförändringar inom den privata hälso- och sjukvården Esityksen nimi / Tekijä

FINLANDS FÖRFATTNINGSSAMLING

Föreskrift från Säkerhets- och utvecklingscentret för läkemedelsområdet EXPEDIERING AV LÄKEMEDEL MOT ETT EUROPEISKT RECEPT

ANMÄLAN OM BIVERKNINGAR. Målgrupper Personer med rätt att förskriva eller expediera läkemedel

Föreskrift 1/ (9)

FINLANDS FÖRFATTNINGSSAMLING

Lägesrapport om socialvårdens informationshantering. Verkställighet av lagen om klienthandlingar inom socialvården Regional runda 1-4 / 2016

RP 155/2010 rd. överförs på Befolkningsregistercentralen som dess lagstadgade uppgifter. Befolkningsregistercentralen

ANMÄLAN OM LÄKEMEDELSBIVERKNINGAR. Målgrupper Personer med rätt att förskriva eller expediera läkemedel

RECEPTFÖRSKRIVNING AV LÄKEMEDEL FÖR LÄKEMEDELSBEHANDLINGSTIDEN SKA BASERA SIG PÅ ETT TERAPEUTISKT BEHOV

Datalagret för egna uppgifter

SV lausuntopyyntö VaVa Syksy 2017

Kundens valfrihet ur landskapets och tjänsteproducentens synvinkel

ANMÄLAN OM TANDIMPLANTAT TILL IMPLANTATREGISTRET

5/2013 GOD DISTRIBUTIONSSED FÖR LÄKEMEDEL. Föreskrift Dnr / /2013

1 (6) /62/2014. Referens: Tukes Valvira samarbetsmöte TRYGGHETSTELEFONTJÄNSTER OCH ANDRA MOTSVARANDE TJÄNSTER

Regeringens proposition Kundens valfrihet inom social- och hälsovården

Föreskrift 1/2010 1/(8)

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

TILLSTÅND AV MYNDIGHET ATT UTLÄMNA SEKRE- TESSBELAGDA PERSONUPPGIFTER UR PERSON- REGISTER

Ändringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården

information till medborgare

Förändringssituationer i organisationen. FPA, Kanta-tjänster

TILLVERKARENS ANMÄLAN OM RISKSITUATION I SAMBAND MED PRODUKTER OCH UTRUSTNING FÖR HÄLSO- OCH SJUKVÅRD

Anvisning från Säkerhets- och utvecklingscentret för läkemedelsområdet ANMÄLAN OM LÄKEMEDELSBIVERKNINGAR

Kriterier för pilotförsöken med valfrihet

UPPGIFTER OM SERVICEPRODUCENTEN/SERVICESEDELFÖRETAGAREN. Serviceproducentens namn: Adress: FO-nummer: Kontaktperson: Telefonnummer: E-postadress:

Föreskrift 3/2010 1/(8)

Medicinsk direktör Outi Paloneva Väsentlig lagstiftning som verksamheten grundar sig på: Registrets användningsändamål:

Folkpensionsanstalten

Kundens valfrihet i fråga om social- och hälsotjänster

Patientdata samlas i ett nationellt dataarkiv

Föreskrift från Säkerhets- och utvecklingscentret för läkemedelsområdet SÄKERHETSÖVERVAKNING AV LÄKEMEDEL

ANVISNINGAR OM ANMÄLNINGSPLIKTIG SMÅBARNSPEDAGOGIK OCH IFYLLNADSANVISNING FÖR ANMÄLNINGSBLANKETTEN

Användningsvillkor Datalagret för egna uppgifter på mina Kanta-sidor

Kansa-koulu projektet som sto d fo r socialva rdens serviceanordnare

Ansökan om godkännande som producent av service mot servicesedel inom öppenvårdstjänster för frontveteraner i hemmet; kriterierna för godkännande

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

Hälsa och välfärd genom tillsyn

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

Kundens valfrihet i fråga om social- och hälsotjänster

Gäller från och med: Krav på informationssäkerhet: Målgrupp för kravet: Sätt att verifiera kravet

Anvisning 10/ (5)

Dokumenteringsutbildningen

Läkemedelslagen (395/1987) 2 4 mom., 23 a 3 mom., 25 3 mom., 28 och 30 a sådana de lyder i lag 773/2009.

EU:s allmänna dataskyddsförordning

RP 89/2014 rd. längre ska meddela uppgifter om sina anställda i myndigheternas verksamhet och en

Föreskrift från Säkerhets- och utvecklingscentret för läkemedelsområdet GOD TILLVERKNINGSSED FÖR LÄKEMEDEL. Läkemedelsverkets föreskrift 5/2007.

Elektroniska recept inom långvarig öppen eller sluten vård. Nationella verksamhetsmodeller från Uppdaterad

RP 68/2011 rd. I denna proposition föreslås att det stiftas en lag om statens andel av kostnaderna för

DATASKYDDSBESKRIVNING Personuppgiftslagen (523/99) 10 och 24

Förordning om yrkesutbildade personer inom socialvården

MODELL FÖR INFORMERING AV KLIENTER INOM SOCIALVÅRDEN

Lag. om Enheten för hälso- och sjukvård för fångar. 1 kap. Uppgifter och ledning för Enheten för hälso- och sjukvård för fångar

Utlämnande av en minderårigs uppgifter till vårdnadshavarna inom hälso- och sjukvården

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

om ändring av 98 och 140 i landskapslagen I enlighet med riksdagens beslut ändras i landskapslagen ( / ) 98 2 mom. och mom.

Utkast till regeringens proposition med förslag till lag om kundens valfrihet inom social- och hälsovården, lagförslag,

RP 148/2018 rd. Lagarna avses träda i kraft vid ingången av 2019.

Transportstyrelsens föreskrifter om ansökan om godkännande av fasta installationer för järnväg;

RP 249/2018 rd. Lagen avses träda i kraft den 1 juni 2019.

SV lausuntopyyntö VaVa Syksy 2017

FINLANDS FÖRFATTNINGSSAMLING

FINLANDS FÖRFATTNINGSSAMLING

Så här använder du det elektroniska receptet

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

Lagen om klienthandlingar inom socialvården

Transkript:

FÖRESKRIFT 2/2016 1(13) Föreskrift om väsentliga krav på funktionalitet hos informationssystem för socialoch hälsovården Bemyndigande 19 a - 19 g i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) (nedan klientuppgiftslagen ), sådana de lyder i den lagändring som trädde i kraft 1.4.2014 1. Målgrupper Producenter av informationssystem och informationssystemtjänster för social- och hälsovården Producenter av Kanta-förmedlingstjänster Tillhandahållare av socialvårdstjänster Tillhandahållare av hälso- och sjukvårdstjänster Apotek Folkpensionsanstalten Giltighetstid Föreskriften träder i kraft den 8 juli 2016 och den gäller tills vidare. 1 Lag om elektronisk behandling av klientuppgifter http://www.finlex.fi/sv/laki/ajantasa/2007/20070159

FÖRESKRIFT 2/2016 2(13) Innehåll 1. Föreskriftens syfte... 3 2. Föreskriftens tillämpningsområde... 3 3. Föreskriftens centrala innehåll och avgränsningar... 3 4. Definitioner... 4 5. Förhållande till andra föreskrifter, anvisningar och specifikationer... 6 6. Beskrivning av informationssystems användningsändamål... 6 7. Användning av väsentliga krav på funktionalitet vid certifiering och i anmälningar... 7 8. Uppfyllande av minimikraven... 9 9. Handledning och rådgivning... 11 10. Ikraftträdande... 11 Bilagor... 13

FÖRESKRIFT 2/2016 3(13) 1. Föreskriftens syfte Syftet med denna föreskrift är att stöda och förtydliga uppfyllandet av väsentliga krav på funktionalitet hos informationssystem för social- och hälsovården, utnyttjandet av och den förpliktande naturen hos riksomfattande specifikationer som gäller informationssystemen, sammanställandet och utnyttjandet av ett riksomfattande register över informationssystemen samt den samtestning och auditering av informationssäkerhetskraven som ska utföras i samband med certifieringen av informationssystem. 2. Föreskriftens tillämpningsområde Föreskriften gäller innehållet i väsentliga krav på funktionalitet hos informationssystem som behandlar klient- eller patientuppgifter inom social- och hälsovården samt de förfaranden som ska iakttas vid och innehållet i den utredning som ska lämnas över verifiering av överensstämmelse med kraven (5 a kap. i klientuppgiftslagen Väsentliga krav på informationssystemen och hur kraven verifieras ). Institutet för hälsa och välfärd (nedan THL) har med stöd av 19 a i klientuppgiftslagen bemyndigats att meddela förskrifter om innehållet i de väsentliga kraven och med stöd av 19 d i den lagen bemyndigats att meddela föreskrifter om de förfaranden som ska iakttas vid verifieringen av överensstämmelse med kraven. Denna föreskrift gäller: - system som ska kopplas till Kanta-tjänsterna och Kanta-förmedlingstjänster som på grund av sitt användningsändamål och sina egenskaper hör till klass A enligt klientuppgiftslagen, samt andra informationssystemtjänster som ska kopplas till Kanta-tjänsterna - andra system inom social- och hälsovården, vilkas användningsändamål är att behandla klient- och patientuppgifter, alltså system som hör till klass B enligt klientuppgiftslagen 3. Föreskriftens centrala innehåll och avgränsningar Enligt klientuppgiftslagen ska tillverkaren av informationssystem för hälso- och sjukvården verifiera att systemet eller tjänsten överensstämmer med kraven. Till verifieringen hör en utredning om att systemet uppfyller de väsentliga krav som motsvarar dess användningsändamål. Denna föreskrift jämte bilagor innehåller beskrivningar på överliggande nivå av de väsentliga kraven på funktionalitet hos informationssystem som används för behandlingen av klient- och patientuppgifter inom social- och hälsovården. I denna föreskrift preciseras dessutom de förfaranden som används vid beskrivning och utnyttjande av de väsentliga kraven. De väsentliga kraven på funktionalitet gäller funktioner och datainnehåll som implementeras i informationssystemen. Funktionerna

FÖRESKRIFT 2/2016 4(13) och datainnehållen hänvisar till separata noggrannare specifikationer. I dessa noggrannare specifikationer beskrivs även obligatoriska och frivilliga funktioner och uppgifter mer ingående. De väsentliga kraven på funktionalitet fokuseras i denna föreskrift på de funktioner och uppgifter som är centrala för informationssystem som ska kopplas direkt eller indirekt till Kanta-tjänsterna. Föreskriften gäller också system som inte kopplas direkt till Kanta-tjänsterna. Som bilaga till föreskriften har utarbetats en nationellt enhetlig klassificering av de väsentliga kraven på funktionalitet hos informationssystem för social- och hälsovården. Klassificeringen fokuserar på de ovannämnda kraven som uppstår via Kantatjänsterna. Klassificeringen är avsedd att förtydliga och stöda utvecklingen, certifieringen, testningen, auditeringen och anskaffningen av informationssystem och tjänster samt kommunikationen mellan olika parter. I framtiden är det möjligt att utvidga föreskriften och klassificeringen. I utarbetandet av föreskriften och dess bilagor har deltagit Institutet för hälsa och välfärd, Folkpensionsanstalten (FPA), Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), Social- och hälsovårdsministeriet (SHM) samt experter på utvecklingsprojekt hos dem som tillhandahåller social- och hälsovårdstjänster. Innan denna föreskrift meddelats har Institutet för hälsa och välfärd i enlighet med klientuppgiftslagen hört delegationen för elektronisk informationsadministration inom social- och hälsovården och ordnat en omfattande remissbehandling samt testat utkastet till systemblankett tillsammans med producenter av informationssystemtjänster. Resultaten av samrådet har beaktats i föreskriften och dess bilagor. 4. Definitioner I denna föreskrift avses med Klientuppgiftslagen lagen om elektronisk behandling av klientuppgifter inom socialoch hälsovården. Auditering en del av certifieringsprocessen, där ett godkänt bedömningsorgan för informationssäkerhet går igenom något delområde av kraven (såsom kraven på informationssäkerhet) och producerar en auditeringsrapport och ett auditeringsintyg. Kanta-tjänster och riksomfattande informationssystemtjänster den helhet som består av elektroniska recept, Receptcentret, Läkemedelsdatabasen, Patientdataarkivet och informationshanteringstjänsten, tjänsten Mina Kanta-sidor samt klientdataarkivet för socialvården.

FÖRESKRIFT 2/2016 5(13) Tillhandahållare av tjänster tillhandahållare av tjänster enligt klientuppgiftslagen: - en verksamhetsenhet för hälso- och sjukvård (2 4 mom. i patientlagen 785/1992), - en arbetsgivare (7 2 mom. i lagen om företagshälsovård 1383/2001), - en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare (3, 28.3.2014/250, i klientuppgiftslagen), - en myndighet som ordnar socialvård, en offentlig producent av socialservice (3 2 punkten i klientlagen) samt en tjänsteproducent som avses i lagen om privat socialservice (922/2011), - ett apotek (38 i läkemedelslagen). Profil ett dokument som beskriver de funktioner och datainnehåll som krävs av ett informationssystem som används för ett visst användningsändamål. Certifiering en process för att verifiera överensstämmelse med kraven och som leder till att de krav uppfylls genom vilka ett informationssystem eller en informationssystemtjänst kan få överensstämmelseintyg och antecknas i tillsynsmyndighetens register över informationssystem eller informationssystemtjänster som uppfyller kraven. I certifieringsprocessen krävs av informationssystem eller informationssystemtjänster som hör till klass A en utredning om hur kraven på funktionalitet är uppfyllda, godkänd samtestning av FPA och auditering av att de obligatoriska kraven på informationssäkerhet är uppfyllda. Informationssystem en programvara eller ett system som används för behandling av klient- eller patientuppgifter och med vars hjälp klient- eller patienthandlingar eller uppgifter i dem lagras och underhålls eller som hänför sig till de riksomfattande informationssystemtjänsterna för social- och hälsovården för lagring, underhåll eller utnyttjande av uppgifter i dem. Informationssystemtjänst en tjänst genom vilken den som tillhandahåller tjänster behandlar klient- och patientuppgifter och som hänför sig till den informationssystemhelhet som använts för att tillhandahålla tjänsterna, oberoende av om den programvara som ingår i tjänsten har installerats i en användningsmiljö som helt eller delvis förvaltas av tillhandahållaren av tjänster eller producenten av informationssystemtjänsten. Tillverkare av informationssystem en aktör som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården, oberoende av om denna aktör också producerar en informationssystemtjänst. Producent av informationssystemtjänst en aktör som erbjuder tillhandahållare av tjänster en informationssystemtjänst, där klient- och patientuppgifter behandlas; producenten av informationssystemtjänsten ansvarar för de krav som ställts på informationssystemets tillverkare som tillverkare, för tillverkarens räkning eller på tillverkarens vägnar.

FÖRESKRIFT 2/2016 6(13) Verifiering ett förfarande för att påvisa att ett system uppfyller de krav som ställts på det. Verifieringssätt är bl.a. genomgång av dokumentationen, funktionell testning av programvaran, dokumenterad intervju med tillverkaren av programvaran eller producenten av informationssystemtjänsterna och genomgång av de meddelanden, loggar eller andra produkter som informationssystemet producerar. Funktion eller systemfunktion en funktion eller ett datainnehåll hos informationssystemet som innehållsmässigt motsvarar en systemfunktion eller ett datainnehåll som beskrivs i den klassificering som hänför sig till denna föreskrift. Överensstämmelseintyg ett av ett godkänt auditeringsorgan utfärdat intyg över att informationssystemet eller informationssystemtjänsten har godkänts vid auditeringen av informationssäkerheten och i certifieringen. Förmedlingsservice en informationssystemtjänst som en hälso- och sjukvårdsorganisation eller ett apotek utnyttjar för att ansluta sig till Kanta-tjänsterna och som hör till informationssystemen av klass A enligt klientuppgiftslagen. 5. Förhållande till andra föreskrifter, anvisningar och specifikationer THL har meddelat en separat föreskrift om väsentliga krav på informationssäkerhet hos informationssystem av klass A (THL:s föreskrift 1/2015: Väsentliga krav på informationssäkerhet hos informationssystem av klass A inom social- och hälsovården). Den klassificering av väsentliga krav på funktionalitet som hänför sig till denna föreskrift hänvisar till flera noggrannare specifikationer och anvisningar, som beskriver de detaljerade kraven på funktionalitet och datainnehåll. När föreskriften tillämpas fungerar klassificeringen också som register, via vilken man hittar de viktigaste specifikationerna som beskriver de nationella kraven för att implementera olika funktioner. Informationssystem som används för behandling av klient- och patientuppgifter inom socialvården samt hälso- och sjukvården ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Den gällande lagstiftningen riktar de väsentliga kraven mot tillverkarna av informationssystem, men kraven avspeglar också de förpliktelser som lagstiftningen ålägger dem som tillhandahåller tjänster. 6. Beskrivning av informationssystems användningsändamål Tillverkaren av ett informationssystem eller producenten av en informationssystemtjänst ska beskriva användningsändamålet för ett

FÖRESKRIFT 2/2016 7(13) informationssystem som är avsett för behandling av klient- eller patientuppgifter. När användningsändamålet beskrivs ska man åtminstone: - med en kortfattad fritt formulerad text beskriva informationssystemet huvudsakliga användningsändamål och - använda systemblanketten, i vilken har antecknats de funktioner och datainnehåll som ingår i de väsentliga kraven och som hör till systemets användningsändamål. Dessa uppgifter utgör den utredning om uppfyllande av kraven på funktionalitet som avses i klientuppgiftslagen och minimiinnehållet i den anmälan som ska göras för Valviras register tillsammans med de andra uppgifter som krävs i anmälan. Bland tilläggsuppgifterna på systemblanketten ska det också uppges huruvida någon funktion eller något datainnehåll implementeras endast delvis, huruvida funktionen eller datainnehållet implementeras på vissa villkor (villkoren ska beskrivas), eller huruvida funktionen eller datainnehållet implementeras via något annat informationssystem eller någon annan informationssystemtjänst. 7. Användning av väsentliga krav på funktionalitet vid certifiering och i anmälningar I enlighet med klientuppgiftslagen och de övergångstider som beskrivs där får ett informationssystem av klass A tas i produktionsanvändning och kopplas till Kantatjänsterna när ett bedömningsorgan för informationssäkerhet har utfärdat ett överensstämmelseintyg för systemet. Ett informationssystem av klass B får tas i produktionsanvändning efter att systemets tillverkare har lämnat en sådan skriftlig utredning som avses i lagen och som beskrivs mer ingående i denna föreskrift. Tillverkaren av ett informationssystem eller producenten av en informationssystemtjänst ansvarar för att beskrivningen av informationssystemets användningsändamål och väsentliga krav används vid certifieringen och i anmälningar. Systemblanketten enligt punkt 6 ska användas när - Ett informationssystem av klass A anmäls till samtestning tillsammans med FPAs Kanta-tjänster eller till bedömning av behovet av samtestning på grund av väsentliga ändringar i systemet. Blanketten ska lämnas in till FPA i samband med begäran om att få delta i samtestning. - Ett informationssystem av klass A anmäls till auditering av informationssäkerheten som utförs tillsammans med ett bedömningsorgan för informationssäkerhet eller till bedömning av behovet av förnyad auditering av informationssäkerheten på grund av väsentliga ändringar i systemet. Blanketten ska lämnas in till bedömningsorganet

FÖRESKRIFT 2/2016 8(13) - Angående ett informationssystem av klass A eller B görs anmälan enligt klientuppgiftslagen eller anmälan om uppdaterade uppgifter till Valvira, som för ett register över programvaror eller system för elektronisk behandling av klientuppgifter inom social- och hälsovården. Anmälan ska lämnas in innan systemet tas i produktionsanvändning eller i fråga om system som redan är i användning senast 31.12.2016. Genom anmälan till Valvira och de beskrivningar som hänför sig till den försäkrar tillverkaren eller producenten av en informationssystemtjänst att systemet uppfyller de väsentliga krav som föreskrivs i 19 a i klientuppgiftslagen när det är installerat och underhålls korrekt och används i enlighet med användningsändamålet. Anmälaren ansvarar för att de anmälda funktionerna och datainnehållen motsvarar de som implementerats i systemet. Om systemet är av klass A, ska uppgifterna i blanketten också motsvara resultaten av samtestningen och auditeringen av informationssäkerheten. Systemets tillverkare ska själv testa att kraven på funktionalitet uppfylls i systemet. Vid certifieringen av informationssystem av klass A utgör tillverkarens egen testning en förutsättning för samtestning och auditering av informationssäkerheten. En del av kraven på funktionalitet hänför sig till de krav som verifieras vid samtestningen och auditeringen, men heltäckande extern testning, verifiering eller auditering av kraven på funktionalitet förutsätts tills vidare inte. I certifieringsprocessen för informationssystem av klass A ingår samtestning och extern auditering av informationssäkerheten. Ett informationssystem av klass A eller en informationssystemtjänst som godkänts vid auditeringen får ett överensstämmelseintyg. Tillverkaren av ett informationssystem av klass A, producenten av en informationssystemtjänst eller producenten av förmedlingsservice ska i samband med anmälan till Valvira också lämna in ett överensstämmelseintyg. För anmälan förutsätts inte auditering, om uppgifterna i ett tidigare överensstämmelseintyg fortfarande gäller. Om ett system av klass A anmäls till förnyad bedömning av behovet av samtestning eller till förnyad bedömning av behovet av auditering av informationssäkerheten, ska nya funktioner och datainnehåll och funktioner och datainnehåll som innehåller väsentliga ändringar antecknas tydligt i den nya systemblanketten. Via det register som Valvira för över informationssystem kan uppgifter om ett informationssystem eller en informationssystemtjänst vilka motsvarar den senaste anmälan till registret samt sammandragsuppgifter om samtestningen eller auditeringen av informationssäkerheten göras allmänt tillgängliga.

FÖRESKRIFT 2/2016 9(13) En tillhandahållare av social- och hälsovårdstjänster eller ett apotek ska säkerställa att uppgifter om ett informationssystem som tas i produktionsanvändning i dess verksamhet finns i Valvira register inom föreskriven tid. 8. Uppfyllande av minimikraven Minimikraven på ett informationssystem, en informationssystemtjänst eller en informationssystemhelhet för ett visst användningsändamål kan uttryckas med hjälp av en nationell minimikravprofil (profil). En profil innehåller en delmängd av de funktioner och datainnehåll som beskrivits i klassificeringen av väsentliga krav. Uppfyllande av minimikraven enligt en profil som utgör bilaga till föreskriften är en förutsättning för att ett informationssystem eller en informationssystemhelhet som används för ett visst användningsändamål ska godkännas för produktionsanvändning. Separata föreskrifter får meddelas om nya profiler. Ett syfte med profilerna är också att stöda anskaffningsoch specifikationsprojekt hos dem som tillhandahåller tjänster och de nationella väsentliga krav som ska beaktas i dem. Tillverkaren av ett informationssystem eller producenten av en informationssystemtjänst ska meddela de riksomfattande minimikravprofiler som dess informationssystem eller informationssystemtjänst uppfyller. Anmälan görs med den blankett som beskrivs i punkt 6 då informationssystemet anmäls till Valviras register eller tillverkaren begär att få ett informationssystem av klass A samtestat eller informationssäkerheten auditerad. Systemblanketten enligt denna föreskrift samt den utredning och anmälan som klientuppgiftslagen förutsätter ska lämnas in oberoende av om systemet uppfyller minimikraven enligt någon nationell profil. Ett informationssystem, en informationssystemtjänst eller en informationssystemhelhet kan också uppfylla kraven enligt flera profiler. Med en systemblankett kan man beskriva hur ett informationssystem uppfyller kraven enligt en eller flera minimikravprofiler. Kraven enligt en viss profil kan uppfyllas med ett eller flera informationssystem eller en eller flera informationssystemtjänster. Då ska man i anmälningarna och vid certifieringarna beskriva tillsammans med vilka andra informationssystem eller informationssystemtjänster informationssystemet eller informationssystemtjänsten uppfyller kraven enligt profilen, och vilka andra villkor det finns för att kraven ska uppfyllas. Om det är fråga om ett informationssystem av klass A förutsätter godkännande för Valviras register enligt profilen att de krav på interoperabilitet och informationssäkerhet som hänför sig till funktionerna enligt profilen har verifierats och godkänts vid samtestning och extern auditering av informationssäkerheten och att informationssystemet har fått ett överensstämmelseintyg. I fråga om system av klass A

FÖRESKRIFT 2/2016 10(13) ska överensstämmelse med kraven vid behov verifieras som ett led i certifieringen också när kraven uppfylls via andra informationssystemtjänster. Vid beskrivning av användningsändamålet och i anmälningar till Valvira ska man alltid använda klassificeringen och systemblanketten enligt denna föreskrift även i fråga om system av klass B. I denna föreskriftsversion ställs inga nya minikrav på funktionalitet hos informationssystem av klass B. Genom klassificeringen och profilerna samlas emellertid de krav som redan för närvarande riktas mot även dessa system. Dessa system ska uppfylla kraven på funktionalitet och informationssäkerhet enligt deras användningsändamål, på det sätt som lagstiftningen förpliktar. System av klass B genomgår inte samtestning eller extern auditering av informationssäkerheten, som är en del av certifieringen. I framtiden är det möjligt att rikta nya väsentliga krav på funktionalitet även mot informationssystem av klass B på grund av nationella specifikationer av dessa system. Huruvida ett informationssystem hör till klass A eller B är inte beroende av huruvida åtgärder för samtestning eller auditering av informationssäkerheten hänför sig till en funktion som implementerats i informationssystemet. De kriterier som bestämmer klasserna finns beskrivna i stödmaterialet för certifiering av informationssystem. Ett system som är i produktionsanvändning ska implementera en funktion som hör till profilen i enlighet med de specifikationer som det hänvisas till, om systemet överensstämmer med profilen. Om det ännu inte finns nationella specifikationer tillgängliga av en funktion som implementerats i systemet, kan det antecknas i systemblanketten att funktionen har implementerats. Om en funktion eller ett innehåll enligt funktionens rubrik hör till systemets användningsändamål, men anmälaren inte vet om implementeringen överensstämmer med nationella specifikationer, ska detta uppges i punkten för ytterligare upplysningar på systemblanketten. Om det förutsätts att en implementering ändras eller att en ny anmälan eller certifiering görs i samband med att nya specifikationer eller specifikationsversioner träder i kraft, ska dessa krav nämnas i samband med att specifikationerna publiceras. Om det förutsätts att en implementering ändras eller att en ny anmälan eller ny certifiering görs, ska dessa åtgärder vidtas inom utsatt tid. Om dessa åtgärder inte förutsätts är även implementeringar enligt tidigare specifikationsversioner godkända för produktionsanvändning. De profiler som utgör bilaga till denna föreskrift är bindande. Det kan också meddelas separata föreskrifter om minimikrav på informationssystem som är avsedda för ett visst användningsändamål, och de hänvisar då till de profiler som specificerats med hjälp av klassificeringen.

FÖRESKRIFT 2/2016 11(13) 9. Handledning och rådgivning Mer information om väsentliga krav och certifieringsprocessen finns på webbplatsen Kanta.fi 2. Enheten för operativ styrning av verksamheten vid avdelningen för informationstjänster vid Institutet för hälsa och välfärd handleder och ger på begäran råd om tillämpningen av denna föreskrift. 10. Ikraftträdande Denna föreskrift träder i kraft och gäller tills vidare. Vid anmälningar om system och offentliggörande av Valviras register iakttas tidsfristerna enligt klientuppgiftslagen. Anmälan ska göras innan systemet tas i produktionsanvändning. I fråga om ett system som är i produktion ska anmälan göras senast 31.12.2016, som är klientuppgiftslagens tidsgräns för anmälan om system av klass B. Tidsgränsen gäller också de informationssystem av klass A som tidigare har genomgått godkänd samtestning och auditering av informationssäkerheten före denna föreskrifts ikraftträdande. Om ett systems användningsändamål överensstämmer med den nationella minimikravprofilen, ska ett system som tas i bruk efter dagen för profilens ikraftträdande beskriva hur funktionerna enligt profilen implementeras i enlighet med denna föreskrift. Även av ett system som redan är i användning förutsätts en systemblankett och anmälan enligt föreskriften före de tidsfrister som beskrivs ovan. En systemblankett enligt föreskriften förutsätts efter ikraftträdandet då ett informationssystem av klass A begär att få genomgå FPAs samtestning eller auditering av ett bedömningsorgan för informationssäkerhet. Föreskriften förutsätter inte att ett giltigt överensstämmelseintyg för ett system av klass A förnyas, om inte de övriga villkoren för förnyelse är uppfyllda. Om ett tidigare godkännande eller överensstämmelseintyg för ett informationssystem av klass A blir föråldrat, ska en systemblankett enligt denna föreskrift över systemet lämnas in till FPA för bedömning av behovet av förnyad samtestningen och till bedömningsorganet för informationssäkerhet för bedömning av behovet av förnyad auditering. Föreskrifter som meddelas senare kan ersätta eller komplettera denna föreskrift. Klassificeringen av krav på funktionalitet kan kompletteras utan att föreskriften ändras vid tidpunkter som meddelas separat. För nya användningsändamål kan profiler som 2 Kanta Certifiering http://www.kanta.fi/sv/web/ammattilaisille/sertifiointi

FÖRESKRIFT 2/2016 12(13) baserar sig på föreskriften och klassificeringen publiceras, och de kan göras bindande genom nya föreskrifter. Enhetschef Jarmo Kärki Utvecklingschef Juha Mykkänen Sändlista Tillverkare av klientdatasystem för socialvården Tillverkare av patientdatasystem för hälso- och sjukvården Tillverkare av informationssystem för apoteken Producenter av Kanta-förmedlingstjänster Tillhandahållare av socialvårds- och hälso- och sjukvårdstjänster Apoteken Folkpensionsanstalten Social- och hälsovårdsministeriet Finansministeriet Befolkningsregistercentralen Tillstånds- och tillsynsverket för social- och hälsovården Säkerhets- och utvecklingscentret för läkemedelsområdet Kommunikationsverket Bedömningsorganen för informationssäkerheten Regionförvaltningsverken THL / Avdelningen för informationstjänster THL generaldirektören Finlands Kommunförbund rf Finlands Apotekareförbund rf Universitets apoteket Östra Finlands universitets apotek Finlands Läkarförbund rf Finlands Tandläkarförbund rf Läkarföretagen rf Terveyspalvelualan Liitto ry

FÖRESKRIFT 2/2016 13(13) Fysi ry Dataombudsmannens byrå Bilagor Bilaga 1 Motivering till och tillämpning av föreskriften Bilaga 2 Klassificering av väsentliga krav på funktionalitet Bilaga 3a Profiler: Profiler för elektroniska recept - Patientdatasystem som behandlar recept - Apotekssystem Bilaga 3b Profiler: Minimikravprofiler för system som kopplas till Kanta-arkivet - Program eller tjänst som hämtar uppgifter i Kanta-arkivet - Program som utnyttjar uppgifter som hämtats i Kanta-arkivet - Program eller tjänst som levererar uppgifter till Kanta-arkivet - Program som producerar uppgifter som levereras till Kanta-arkivet Bilaga 3c Profiler: Profiler för Patientdataarkivet - Patientjournalsystem (grundläggande krav) - Mun- och tandvårdens system Bilaga 3d Profiler: Profiler för klientdataarkivet för socialvården - System som kopplas till klientdataarkivet för socialvården i fas I - System som lagrar uppgifter i klientdataarkivet för socialvården i fas I Bilaga 3e Profiler: Profiler för bilddiagnostik - Systemhelhet som kopplas till det riksomfattande Kvarkki-arkivet för bilddiagnostik - Systemhelhet som implementerar det regionala arkivet för bilddiagnostik - System som utnyttjar bildmaterial i Kvarkki-arkivet Bilaga 4 Systemblankett

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss