Anvisning 9/2015. Överensstämmelse med kraven i övergångsfasen
Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten pp.10.2015 UPPDATERAD ANVISNING: ÖVERENSSTÄMMELSE MED KRAVEN I ÖVERGÅNGSFASEN FÖR INFORMATIONSSYSTEM SOM IMPLEMENTERAR DET ELEKTRONISKA RECEPTETS FUNKTIONER Målgrupper: Tillverkare av informationssystem för social- och hälsovården Tillverkare av informationssystem för apoteken Tillhandahållare av offentliga social- och hälsovårdstjänster Tillhandahållare av privata social- och hälsovårdstjänster Apotek Bedömningsorgan för informationssäkerhet FPA/Kanta-tjänster Giltighet: Anvisningen träder i kraft genast och gäller till 31.12.2017 Denna anvisning ersätter THL:s anvisning 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”. Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 1(6) Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten 2(6) pp.10.2015 UPPDATERAD ANVISNING: KRAV PÅ ÖVERENSSTÄMMELSE I ÖVERGÅNGSFASEN FÖR INFORMATIONSSYSTEM SOM IMPLEMENTERAR DET ELEKTRONISKA RECEPTETS FUNKTIONER Denna anvisning preciserar certifieringsprocessen i det skede när nya krav införs för informationssystem som implementerar det elektroniska receptets funktioner. Anvisningen hänför sig till THL:s anvisning 8/2015 ”Ändringar i det elektroniska receptet och preciseringar av verksamhetsmodeller fr.o.m 01.11.2015”. Anvisningen ersätter THL:s anvisning 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”. I anvisningen har punkterna om tidsfrister och förnyad auditering preciserats utifrån de preciserade verksamhetsmodellerna, de preciserade krav samt kostnadsfrågor som framkommit under auditeringen, de korrigeringsbehov som konstaterats hos systemen samt myndigheternas riktlinjer. Bakgrund och grunder Å 2014 företogs ändringar och preciseringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). Med stöd av lagen ska de informationssystem som kopplas till Kanta-tjänsterna (t.ex. Receptcentret) höra till klass A. Av informationssystem som hör till klass A förutsätts ett överensstämmelseintyg som resultat av certifieringsprocessen innan de tas i produktionsanvändning. Informationssystem som ska kopplas till Receptcentret är apotekens informationssystem samt patientdatasystem, där funtioner enligt specifikationerna av det elektroniska receptet ska implementeras. Många av dessa informationssystem är redan kopplade till Kantatjänsterna och deras datasäkerhet har auditerats med avseende på de tidigare auditeringskraven. Många informationssystem är också i produktionsanvändning hos en eller flera tillhandahållare av tjänster eller ett eller flera apotek som ansluter sig till de nationella Kanta-tjänsterna. Alla informationssystem är dock inte certifierade i enlighet med kraven i klientdatalagen och föreskriften om väsentliga krav 1/2015. De ändringar som med stöd av bestämmelserna om väsentliga krav ska företas i informationssystem som implementerar det elektroniska receptets funktioner är betydande med avseende på såväl samtestningen som informationsäkerhetsauditeringen. Alla informationssystem som implementerar det elektroniska receptets funktioner genomgår FPAs samtestning, som hör till certifieringsprocessen, och extern informationssäkerhetsauditering. Funktionerna enligt Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten 3(6) pp.10.2015 lagändringen har tagits i bruk i Kanta-tjänsterna och Receptcentret i september 2015, varvid även de informationssystem som är i produktion har fått beredskap att ta i bruk de nya funktionerna. Vid informationssäkerhetsauditeringarna har det framkommit behov av korrigeringar i informationssystemen och behov av att förena verifieringen av krav som hänför sig till det elektroniska receptet med verifieringen av andra väsentliga krav. I tidtabellerna för samtestning av Kanta-tjänsterna och informationssäkerhetsauditering måste man i övergångsfasen dessutom beakta antalet informationssystem som ska certifieras, den tid som behövs för de åtgärder som samtestningen och informationssäkerhetsauditeringen förutsätter samt giltighetstiden för den tidigare informationssäkerhetsauditeringen enligt lagens övergångsbestämmelser. Preciseringar av föreskrift 1/2015 Certifieringen enligt föreskrift 1/2015 preciseras som följer för informationssystem som implementerar det elektroniska receptets funktioner: 1. Ett informationssystem i produktionsanvändning som implementerar det elektroniska receptets funktioner ska ha ett överensstämmelseintyg enligt de nya bestämmelserna senast 31.12.2016. Om giltighetstiden för ett beslut som fattats utifrån en tidigare informationssäkerhetsauditering går ut före det, ska överensstämmelseintyget skaffas innan giltigheten går ut. Överensstämmelseintyget baserar sig på en extern informationssäkerhetsauditering. Det ska gälla åtminstone uppfyllande av kraven på informationssystem som implementerar det elektroniska receptets funktioner. Även godkänd samtestning ska ha genomförts före denna tidsfrist. 2. Informationssystem som implementerar det elektroniska receptets funktioner kan godkännas för produktionsanvändning tillsammans med Kanta-tjänsterna före 31.12.2016, om informationssystemet uppfyller åtminstone följande villkor: Informationssystemet har klarat FPAs samtestning vad gäller det elektroniska receptets funktioner i enlighet med de specifikationer som används vid testningen 2015 och 2016 eller 2016 och har fått ett godkänt utlåtande över samtesterningen. Testningen kan gälla testning av de ändringar som lagstiftningen förutsätter eller vara den första samtestningen av informationssystemet. Om informationssystemet ännu inte har klarat informationssäkerhetsauditering enligt de nya bestämmelserna och fått överensstämmelseintyg enligt dem, ska det tidigare ha genomgått godkänd informationssäkerhetsauditering enligt de krav som gällde innan de nya bestämmelserna trädde i kraft. Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten 4(6) pp.10.2015 3. I övergångsfasen är det möjligt att utföra verifieringen av informationssäkerhetskraven på informationssystem som implementerar det elektroniska receptets funktioner även som en förnyad informationssäkerhetsauditering. Producenten av informationssäkerhetstjänsten har möjlighet att välja, a) genomförs en fullständig auditering av informationssystemet som omfattar alla relevanta informationssäkerhetskrav, och som innebär att informationssystemet får ett nytt överensstämmelseintyg med en ny giltighetstid, eller b) förnyas den tidigare auditeringen av informationssystemet. När man agerar i enlighet med punkt b: Den förnyade auditeringen ger inte något nytt överensstämmelseintyg med ny giltighetstid. Ett sammandrag av auditeringsresultatet ska tillställas myndigheterna på samma sätt som ett överensstämmelseintyg över en fullständig auditering. Giltigheten för en godkänd förnyad auditering går ut vid samma tidpunkt som det tidigare beslutet om godkännande. Det är inte nödvändigt att upprepa verifieringen av krav som verifierats tidigare, om informationssystemet enligt tillverkaren uppfyller dem på det sätt som verifierats tidigare vid samtestning eller extern informationssäkerhetsauditering. Vid förnyad auditering ska man dock gå igenom åtminstone de nya och avsevärt ändrade informationssäkerhetskraven, som är 6G, 7G, 10G, 11G, 12G, 13G, 16G, 17G, 23AP, 31G, 40G, 41G, 42G och 43G. Av de övriga kraven ska sådana relevanta krav gås igenom som inte tidigare har genomgåtts vid extern auditering. Producenten av informationssystemtjänsten svarar för identifieringen av andra relevanta krav. Prissättningen av en förnyad auditering av engångsnatur av informationssäkerhetskraven enligt det tidigare beslutet ska stå i rätt proportion till förnyandet av överensstämmelseintyget. Eftersom uppdateringen av auditeringen av informationssäkerhetskraven är en engångsåtgärd som inte ändrar det tidigare beslutets giltighetstid och inte förutsätter samma underhållsåtgärder som överensstämmelseintyget, är det inte nödvändigt att upprätta ett långvarigt underhållsavtal om auditeringsuppdateringen mellan bedömningsorganet och producenten av informationssystemtjänsten. Producenten av informationssystemtjänsten svarar för kostnaderna för den uppdaterade auditeringen av informationssäkerhetskraven, trots att den tidigare auditeringen (t.ex. en så kallad första auditering) skulle ha finansierats via socialoch hälsovårdsministeriet. Mer information Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten 5(6) pp.10.2015 Vid samtestningen och auditeringen av informationssäkerhetskraven är det möjligt att kombinera kraven enligt fas 1 och 2 i det så kallade lagändringspaket som gäller det elektroniska receptet samt testning och verifiering av de krav som gäller Patientdataarkivet. Vid verifiering av kraven kan man gå igenom samtliga krav som är relevanta med tanke på informationssystemets användningsändamål. Denna anvisning preciserar THL:s föreskrift 1/2015 (föreskrift om väsentliga krav på informationssäkerhet hos informationssystem av klass A). Anvisningen inverkar inte på innehållet eller tidsfristerna i föreskrifterna och bestämmelserna annat än på det sätt som beskrivs ovan. Vesa Jormanainen Enhetschef Juha Mykkänen Utvecklingschef Sändlista Tillverkare av informationssystem för social- och hälsovården Tillverkare av informationssystem för apoteken Tillhandahållare av offentliga social- och hälsovårdstjänster Tillhandahållare av privata social- och hälsovårdstjänster Apotek Bedömningsorgan för informationssäkerhet FPA / Enheten för Kanta-tjänster, Marina Lindgren För kännedom SHM / registratorskontoret, Teemupekka Virtanen Valvira / registratorskontoret, Heikki Mattlar, Maijaliisa Aho Kommunikationsverket / registratorskontoret, Anna von Fieandt-Lehtonen Fimea / registratorskontoret, Anne Hirvonen Befolkningsregistercentralen / registratorskontoret, Jukka Santala Universitets Apoteket Östra Finlands universitets apotek Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 Anvisning 9/2015 THL xxxx/9.09.01/2015 Avdelningen för informationstjänster Enheten för styrning av den operativa verksamheten pp.10.2015 Finlands Kommunförbund rf / registratorskontoret Finlands Apotekareförbund rf / Vesa Kujala Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000 6(6)
© Copyright 2024