Ohje 9/2015 - Terveyden ja hyvinvoinnin laitos

Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
28.10.2015
PÄIVITETTY OHJE:
SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETOJÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA
Kohderyhmät:
Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat
Apteekkien tietojärjestelmien valmistajat
Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat
Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat
Apteekit
Tietoturvallisuuden arviointilaitokset
Kela/Kanta-palvelut
Voimassaolo:
Ohje tulee voimaan heti ja on voimassa 31.12.2017 asti
Tämä ohje korvaa THL:n ohjeen 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”.
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
1(6)
Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
2(6)
28.10.2015
PÄIVITETTY OHJE: SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETOJÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA
Tämä ohje tarkentaa sertifiointiprosessia uusien vaatimusten käyttöönottovaiheessa sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille.
Ohje liittyy THL:n ohjeeseen 8/2015 ”Sähköisen lääkemääräyksen muutokset ja toimintamallien tarkennukset 01.11.2015 alkaen”. Ohje korvaa THL:n ohjeen 6/2015 ”Sähköisen
lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus
siirtymävaiheessa”. Ohjeessa on tarkennettu määräaika- ja uudelleenauditointikohtia toimintamallitarkennusten, auditoinnissa esiin nousseiden vaatimustarkennusten ja kustannuskysymysten, järjestelmissä todettujen korjaustarpeiden, sekä viranomaislinjausten
pohjalta.
Tausta ja perusteet
Lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) tuli
muutoksia ja tarkennuksia vuonna 2014. Lain perusteella Kanta-palveluihin (kuten Reseptikeskukseen) liittyvät tietojärjestelmät kuuluvat luokkaan A. Luokan A tietojärjestelmiltä
edellytetään sertifiointiprosessin tuloksena saatava vaatimustenmukaisuustodistus ennen
tuotantokäyttöä.
Reseptikeskukseen liittyviä tietojärjestelmiä ovat apteekkien tietojärjestelmät tai potilastietojärjestelmät, joissa toteutetaan sähköisen lääkemääräyksen määrittelyjen mukaisia toiminnallisuuksia. Useat näistä tietojärjestelmistä on jo liitetty Kanta-palveluihin ja niiden
tietoturva on auditoitu suhteessa aiempiin auditointivaatimuksiin. Useat tietojärjestelmät
ovat myös tuotantokäytössä yhdellä tai useammalla valtakunnallisiin Kanta-palveluihin liittyvällä palvelujen antajalla tai apteekilla. Kaikkia tietojärjestelmiä ei kuitenkaan ole sertifioitu asiakastietolain ja olennaisista vaatimuksista annetun määräyksen 1/2015 mukaisten
vaatimusten mukaisesti. Säädösten perusteella tehtävät olennaisten vaatimusten muutokset sähköisen lääkemääräyksen toiminnallisuuksia toteuttaviin tietojärjestelmiin ovat merkittäviä sekä yhteistestauksen että tietoturva-auditoinnim näkökulmista. Kaikki sähköisen
lääkemääräyksen toiminnallisuuksia toteuttavat tietojärjestelmät käyvät läpi sertifiointiprosessiin kuuluvan Kelan yhteistestauksen ja ulkoisen tietoturva-auditoinnin. Kanta-palveluissa ja Reseptikeskuksessa on otettu käyttöön lakimuutosten mukaisia toiminnallisuuksia
syyskuussa 2015, jolloin myös tuotannossa olevissa tietojärjestelmissä on luotu valmiudet
uusien toiminnallisuuksien käyttöönottoon. Tietoturva-auditoinneissa on noussut esiin
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
3(6)
28.10.2015
tietojärjestelmiin kohdistuvia korjaustarpeita ja tarpeita yhdistää lääkemääräykseen liittyvien vaatimusten todentamista muiden olennaisten vaatimusten todentamiseen. Kanta-palvelujen yhteistestauksen ja tietoturva-auditoinnin aikataulutuksissa on siirtymävaiheessa
lisäksi otettava huomioon sertifioitavien tietojärjestelmien lukumäärä, testauksen ja tietoturva-auditoinnin edellyttämiin toimenpiteisiin tarvittava aika sekä lain siirtymäsäännösten
mukainen aiemman tietoturva-auditoinnin voimassaoloaika.
Tarkennukset määräykseen 1/2015
Määräyksen 1/2015 mukaista sertifiointia tarkennetaan seuraavasti sähköisen lääkemääräyksen toiminnallisuuksia toteuttaville tietojärjestelmille:
1. Tuotantokäytössä olevalla sähköisen lääkemääräyksen toiminnallisuuksia toteuttavalla tietojärjestelmällä on oltava uusien säädösten mukainen vaatimustenmukaisuustodistus viimeistään 31.12.2016. Jos aiemman tietoturva-auditoinnin pohjalta
tehdyn päätöksen voimassaolon päättyy ennen tätä, on vaatimustenmukaisuustodistus hankittava ennen voimassaolon päättymisajankohtaa.
Vaatimustenmukaisuustodistus perustuu ulkoiseen tietoturva-auditointiin. Se koskee
vähintään sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimusten täyttämistä. Myös hyväksytty yhteistestaus on oltava suoritettuna
ennen tätä määräaikaa.
2. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien tuotantokäyttö yhdessä Kanta-palvelujen kanssa ennen 31.12.2016 voidaan hyväksyä,
jos tietojärjestelmä täyttää vähintään seuraavat ehdot:
 Tietojärjestelmä on läpäissyt Kelan yhteistestauksen sähköisen lääkemääräyksen
toiminnallisuuksien osalta vuosien 2015 ja 2016 tai vuoden 2016 testauksessa käytettävien määrittelyjen mukaisesti ja saanut yhteistestauksesta hyväksytyn lausunnon. Testaus voi koskea lainsäädännön edellyttämien muutosten testausta tai olla
tietojärjestelmän ensimmäinen yhteistestaus.
 Jos tietojärjestelmä ei ole vielä läpäissyt uusien säädösten mukaista tietoturvaauditointia ja saanut niiden mukaista vaatimustenmukaisuustodistusta, sille on
aiemmin tehty hyväksytty tietoturva-auditointi ennen uusien säädösten voimaantuloa voimassa olleiden vaatimusten perusteella.
3. Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavan tietojärjestelmän tietoturvavaatimusten todentaminen on mahdollista suorittaa siirtymävaiheessa myös
aiemman tietoturva-auditoinnin uudistamisena. Tietojärjestelmäpalvelun tuottajalla
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
4(6)
28.10.2015
on mahdollisuus valita, a) suoritetaanko tietojärjestelmälle täydellinen kaikkien relevanttien tietoturvavaatimusten auditointi, jonka tuloksena tietojärjestelmä saa uuden vaatimustenmukaisuustodistuksen, jolla on uusi voimassaoloaika, vai b) suoritetaanko tietojärjestelmälle aiemman auditoinnin uudistaminen. Kohdan b mukaisesti
toimittaessa:
 Auditoinnin uudistamisen tuloksena ei synny vaatimustenmukaisuustodistusta, jolla
olisi uuden todistuksen mukainen voimassaolo. Auditointituloksen yhteenveto on
toimitettava vastaavalla tavalla viranomaisille kuin täydellisestä auditoinnista saatava vaatimustenmukaisuustodistus.
 Hyväksytyn uudistamisen voimassaolon päättymisaika on sama kuin aiemman hyväksyntäpäätöksen mukainen voimassaolon päättymisaika.
 Ei ole välttämätöntä toistaa aiemmin todennettujen vaatimusten todentamista, jos
tietojärjestelmä valmistajan mukaan toteuttaa ne aiemmin yhteistestauksessa tai
ulkoisessa tietoturva-auditoinnissa todennetulla tavalla.
 Auditoinnin uudistamisessa on kuitenkin läpikäytävä vähintään uudet ja merkittävästi muuttuneet tietoturvavaatimukset, joita ovat 6Y, 7Y, 10Y, 11Y, 12Y, 13Y, 16Y,
17Y, 23AP, 31Y, 40Y, 41Y, 42Y ja 43Y. Muista vaatimuksista on käytävä läpi sellaiset
relevantit vaatimukset, joita ei ole aiemmin käyty läpi ulkoisessa auditoinnissa. Tietojärjestelmäpalvelun tuottaja vastaa muiden relevanttien vaatimusten tunnistamisesta.
 Tietojärjestelmän on oltava läpäissyt Kelan yhteistestaus kohdassa 2 kuvatun
mukaisesti.
 Aiemman päätöksen mukaisten tietoturvavaatimusten auditoinnin kertaluonteisen
uudistamisen hinnoittelun on oltava oikeassa suhteessa vaatimustenmukaisuustodistuksen uudistamiseen.
 Koska tietoturvavaatimusten auditoinnin uudistaminen on kertaluonteinen toimenpide, joka ei muuta aiemman päätöksen mukaista voimassaoloaikaa, auditoinnin
uudistamisesta ei ole tarpeen muodostaa pitkäaikaista ylläpitosopimusta
arviointilai-toksen ja tietojärjestelmäpalvelun tuottajan välillä. Jos auditoinnin
uudistamisen jälkeen tietojärjestelmässä tehdään muutoksia, joilla voi olla
vaikutusta tietoturvalli-suusvaatimusten täyttymiseen, on muutoksesta
ilmoitettava arviointilaitokselle. Auditoinnin uudistaminen voidaan tarvittaessa
toistaa. Jos muutoksen johdosta arvioin-nin kohde ei enää täytä vaatimuksia,
todistus on peruutettava.
 Tietoturvavaatimusten auditoinnin uudistamisen kustannuksista vastaa
tietojärjestelmäpalvelun tuottaja, vaikka aiempi auditointi (esimerkiksi niin kutsuttu
ensiauditointi) olisi rahoitettu sosiaali- ja terveysministeriön kautta.
Lisätietoja
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
5(6)
28.10.2015
Yhteistestauksessa ja tietoturvallisuusvaatimusten auditoinnissa on mahdollista yhdistää
sähköisen lääkemääräyksen niin kutsutun lakimuutospaketin vaiheiden 1 ja 2 mukaisia vaatimuksia sekä myös Potilastiedon arkistoon kohdistuvien vaatimusten testausta ja todentamista. Vaatimusten todentamisessa voidaan käydä läpi kaikki ne vaatimukset, jotka ovat tietojärjestelmän käyttötarkoituksen kannalta relevantteja.
Tämä ohje tarkentaa THL:n määräystä 1/2015 (määräys luokan A tietojärjestelmien olennaisista tietoturvavaatimuksista). Ohje ei vaikuta määräysten ja säädösten mukaisiin sisältöihin tai määräaikoihin muuten kuin yllä kuvatulla tavalla.
Vesa Jormanainen
Yksikön päällikkö
Juha Mykkänen
Kehittämispäällikkö
Jakelu
Sosiaali- ja terveydenhuollon tietojärjestelmien valmistajat
Apteekkien tietojärjestelmien valmistajat
Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat
Yksityisen sosiaali- ja terveydenhuollon palvelujen tarjoajat
Apteekit
Tietoturvallisuuden arviointilaitokset
Kela / Kanta-palvelut-yksikkö, Marina Lindgren
Tiedoksi
STM / kirjaamo, Teemupekka Virtanen
Valvira / kirjaamo, Heikki Mattlar, Maijaliisa Aho
Viestintävirasto / kirjaamo, Anna von Fieandt-Lehtonen
Fimea / kirjaamo, Anne Hirvonen
Väestörekisterikeskus / kirjaamo, Jukka Santala
Yliopiston apteekki
Itä-Suomen yliopiston apteekki
Suomen Kuntaliitto ry / kirjaamo
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Ohje 9/2015
THL 1391/9.09.01/2015
Tietopalvelut-osasto
Operatiivisen toiminnan ohjaus -yksikkö (OPER)
28.10.2015
Suomen Apteekkariliitto ry / Vesa Kujala
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
6(6)