Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 28.10.2015 PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETOJÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA Kohderyhmät: Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien tietojärjestelmien valmistajat Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Apteekit Tietoturvallisuuden arviointilaitokset Kela/Kanta-palvelut Voimassaolo: Ohje tulee voimaan heti ja on voimassa 31.12.2017 asti Tämä ohje korvaa THL:n ohjeen 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”. Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 1(6) Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 2(6) 28.10.2015 PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETOJÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA Tämä ohje tarkentaa sertifiointiprosessia uusien vaatimusten käyttöönottovaiheessa sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille. Ohje liittyy THL:n ohjeeseen 8/2015 ”Sähköisen lääkemääräyksen muutokset ja toimintamallien tarkennukset 01.11.2015 alkaen”. Ohje korvaa THL:n ohjeen 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”. Ohjeessa on tarkennettu määräaika- ja uudelleenauditointikohtia toimintamallitarkennusten, auditoinnissa esiin nousseiden vaatimustarkennusten ja kustannuskysymysten, järjestelmissä todettujen korjaustarpeiden, sekä viranomaislinjausten pohjalta. Tausta ja perusteet Lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) tuli muutoksia ja tarkennuksia vuonna 2014. Lain perusteella Kanta-palveluihin (kuten Reseptikeskukseen) liittyvät tietojärjestelmät kuuluvat luokkaan A. Luokan A tietojärjestelmiltä edellytetään sertifiointiprosessin tuloksena saatava vaatimustenmukaisuustodistus ennen tuotantokäyttöä. Reseptikeskukseen liittyviä tietojärjestelmiä ovat apteekkien tietojärjestelmät tai potilastietojärjestelmät, joissa toteutetaan sähköisen lääkemääräyksen määrittelyjen mukaisia toiminnallisuuksia. Useat näistä tietojärjestelmistä on jo liitetty Kanta-palveluihin ja niiden tietoturva on auditoitu suhteessa aiempiin auditointivaatimuksiin. Useat tietojärjestelmät ovat myös tuotantokäytössä yhdellä tai useammalla valtakunnallisiin Kanta-palveluihin liittyvällä palvelujen antajalla tai apteekilla. Kaikkia tietojärjestelmiä ei kuitenkaan ole sertifioitu asiakastietolain ja olennaisista vaatimuksista annetun määräyksen 1/2015 mukaisten vaatimusten mukaisesti. Säädösten perusteella tehtävät olennaisten vaatimusten muutokset sähköisen lääkemääräyksen toiminnallisuuksia toteuttaviin tietojärjestelmiin ovat merkittäviä sekä yhteistestauksen että tietoturva-auditoinnim näkökulmista. Kaikki sähköisen lääkemääräyksen toiminnallisuuksia toteuttavat tietojärjestelmät käyvät läpi sertifiointiprosessiin kuuluvan Kelan yhteistestauksen ja ulkoisen tietoturva-auditoinnin. Kanta-palveluissa ja Reseptikeskuksessa on otettu käyttöön lakimuutosten mukaisia toiminnallisuuksia syyskuussa 2015, jolloin myös tuotannossa olevissa tietojärjestelmissä on luotu valmiudet uusien toiminnallisuuksien käyttöönottoon. Tietoturva-auditoinneissa on noussut esiin Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 3(6) 28.10.2015 tietojärjestelmiin kohdistuvia korjaustarpeita ja tarpeita yhdistää lääkemääräykseen liittyvien vaatimusten todentamista muiden olennaisten vaatimusten todentamiseen. Kanta-palvelujen yhteistestauksen ja tietoturva-auditoinnin aikataulutuksissa on siirtymävaiheessa lisäksi otettava huomioon sertifioitavien tietojärjestelmien lukumäärä, testauksen ja tietoturva-auditoinnin edellyttämiin toimenpiteisiin tarvittava aika sekä lain siirtymäsäännösten mukainen aiemman tietoturva-auditoinnin voimassaoloaika. Tarkennukset määräykseen 1/2015 Määräyksen 1/2015 mukaista sertifiointia tarkennetaan seuraavasti sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille: 1. Tuotantokäytössä olevalla sähköisen lääkemääräyksen toiminnallisuuksia toteuttavalla tietojärjestelmällä on oltava uusien säädösten mukainen vaatimustenmukaisuustodistus viimeistään 31.12.2016. Jos aiemman tietoturva-auditoinnin pohjalta tehdyn päätöksen voimassaolon päättyy ennen tätä, on vaatimustenmukaisuustodistus hankittava ennen voimassaolon päättymisajankohtaa. Vaatimustenmukaisuustodistus perustuu ulkoiseen tietoturva-auditointiin. Se koskee vähintään sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimusten täyttämistä. Myös hyväksytty yhteistestaus on oltava suoritettuna ennen tätä määräaikaa. 2. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien tuotantokäyttö yhdessä Kanta-palvelujen kanssa ennen 31.12.2016 voidaan hyväksyä, jos tietojärjestelmä täyttää vähintään seuraavat ehdot:  Tietojärjestelmä on läpäissyt Kelan yhteistestauksen sähköisen lääkemääräyksen toiminnallisuuksien osalta vuosien 2015 ja 2016 tai vuoden 2016 testauksessa käytettävien määrittelyjen mukaisesti ja saanut yhteistestauksesta hyväksytyn lausunnon. Testaus voi koskea lainsäädännön edellyttämien muutosten testausta tai olla tietojärjestelmän ensimmäinen yhteistestaus.  Jos tietojärjestelmä ei ole vielä läpäissyt uusien säädösten mukaista tietoturvaauditointia ja saanut niiden mukaista vaatimustenmukaisuustodistusta, sille on aiemmin tehty hyväksytty tietoturva-auditointi ennen uusien säädösten voimaantuloa voimassa olleiden vaatimusten perusteella. 3. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavan tietojärjestelmän tietoturvavaatimusten todentaminen on mahdollista suorittaa siirtymävaiheessa myös aiemman tietoturva-auditoinnin uudistamisena. Tietojärjestelmäpalvelun tuottajalla Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 4(6) 28.10.2015 on mahdollisuus valita, a) suoritetaanko tietojärjestelmälle täydellinen kaikkien relevanttien tietoturvavaatimusten auditointi, jonka tuloksena tietojärjestelmä saa uuden vaatimustenmukaisuustodistuksen, jolla on uusi voimassaoloaika, vai b) suoritetaanko tietojärjestelmälle aiemman auditoinnin uudistaminen. Kohdan b mukaisesti toimittaessa:  Auditoinnin uudistamisen tuloksena ei synny vaatimustenmukaisuustodistusta, jolla olisi uuden todistuksen mukainen voimassaolo. Auditointituloksen yhteenveto on toimitettava vastaavalla tavalla viranomaisille kuin täydellisestä auditoinnista saatava vaatimustenmukaisuustodistus.  Hyväksytyn uudistamisen voimassaolon päättymisaika on sama kuin aiemman hyväksyntäpäätöksen mukainen voimassaolon päättymisaika.  Ei ole välttämätöntä toistaa aiemmin todennettujen vaatimusten todentamista, jos tietojärjestelmä valmistajan mukaan toteuttaa ne aiemmin yhteistestauksessa tai ulkoisessa tietoturva-auditoinnissa todennetulla tavalla.  Auditoinnin uudistamisessa on kuitenkin läpikäytävä vähintään uudet ja merkittävästi muuttuneet tietoturvavaatimukset, joita ovat 6Y, 7Y, 10Y, 11Y, 12Y, 13Y, 16Y, 17Y, 23AP, 31Y, 40Y, 41Y, 42Y ja 43Y. Muista vaatimuksista on käytävä läpi sellaiset relevantit vaatimukset, joita ei ole aiemmin käyty läpi ulkoisessa auditoinnissa. Tietojärjestelmäpalvelun tuottaja vastaa muiden relevanttien vaatimusten tunnistamisesta.  Tietojärjestelmän on oltava läpäissyt Kelan yhteistestaus kohdassa 2 kuvatun mukaisesti.  Aiemman päätöksen mukaisten tietoturvavaatimusten auditoinnin kertaluonteisen uudistamisen hinnoittelun on oltava oikeassa suhteessa vaatimustenmukaisuustodistuksen uudistamiseen.  Koska tietoturvavaatimusten auditoinnin uudistaminen on kertaluonteinen toimenpide, joka ei muuta aiemman päätöksen mukaista voimassaoloaikaa, auditoinnin uudistamisesta ei ole tarpeen muodostaa pitkäaikaista ylläpitosopimusta arviointilai-toksen ja tietojärjestelmäpalvelun tuottajan välillä. Jos auditoinnin uudistamisen jälkeen tietojärjestelmässä tehdään muutoksia, joilla voi olla vaikutusta tietoturvalli-suusvaatimusten täyttymiseen, on muutoksesta ilmoitettava arviointilaitokselle. Auditoinnin uudistaminen voidaan tarvittaessa toistaa. Jos muutoksen johdosta arvioin-nin kohde ei enää täytä vaatimuksia, todistus on peruutettava.  Tietoturvavaatimusten auditoinnin uudistamisen kustannuksista vastaa tietojärjestelmäpalvelun tuottaja, vaikka aiempi auditointi (esimerkiksi niin kutsuttu ensiauditointi) olisi rahoitettu sosiaali- ja terveysministeriön kautta. Lisätietoja Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 5(6) 28.10.2015 Yhteistestauksessa ja tietoturvallisuusvaatimusten auditoinnissa on mahdollista yhdistää sähköisen lääkemääräyksen niin kutsutun lakimuutospaketin vaiheiden 1 ja 2 mukaisia vaatimuksia sekä myös Potilastiedon arkistoon kohdistuvien vaatimusten testausta ja todentamista. Vaatimusten todentamisessa voidaan käydä läpi kaikki ne vaatimukset, jotka ovat tietojärjestelmän käyttötarkoituksen kannalta relevantteja. Tämä ohje tarkentaa THL:n määräystä 1/2015 (määräys luokan A tietojärjestelmien olennaisista tietoturvavaatimuksista). Ohje ei vaikuta määräysten ja säädösten mukaisiin sisältöihin tai määräaikoihin muuten kuin yllä kuvatulla tavalla. Vesa Jormanainen Yksikön päällikkö Juha Mykkänen Kehittämispäällikkö Jakelu Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat Apteekkien tietojärjestelmien valmistajat Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Apteekit Tietoturvallisuuden arviointilaitokset Kela / Kanta-palvelut-yksikkö, Marina Lindgren Tiedoksi STM / kirjaamo, Teemupekka Virtanen Valvira / kirjaamo, Heikki Mattlar, Maijaliisa Aho Viestintävirasto / kirjaamo, Anna von Fieandt-Lehtonen Fimea / kirjaamo, Anne Hirvonen Väestörekisterikeskus / kirjaamo, Jukka Santala Yliopiston apteekki Itä-Suomen yliopiston apteekki Suomen Kuntaliitto ry / kirjaamo Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Ohje 9/2015 THL 1391/9.09.01/2015 Tietopalvelut-osasto Operatiivisen toiminnan ohjaus -yksikkö (OPER) 28.10.2015 Suomen Apteekkariliitto ry / Vesa Kujala Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 6(6)