Ads 468x60px

perjantai 13. helmikuuta 2015

Legal alert sosiaali- ja terveysalan tietojärjestelmien valmistajille ja Suomessa toimiville edustajille



KPMG osallistui muutama viikko sitten Terveyden- ja hyvinvoinnin laitoksen sekä Viestintäviraston järjestämään info-tilaisuuteen, jossa aiheena oli sosiaali- ja terveydenhuollon järjestelmien auditointi.
Lakiin sosiaali- ja terveydenhuolloin asiakastietojen sähköisestä käsittelystä (159/2007) on lisätty viime vuoden aikana muun muassa uudet 5 a – c luvut tietojärjestelmien olennaisista vaatimuksista ja niiden osoittamisesta, palvelun antajan omavalvonnasta ja tietojärjestelmän vaatimuksenmukaisuuden arvioinnista. Lakimuutosten tarkoituksena on edistää sosiaali- ja terveydenhuollon sähköisessä tietojenkäsittelyssä tietosuojaa ja tietoturvaa sekä tietojärjestelmien yhteen toimivuutta ja toiminnallisuutta säätämällä näitä koskevista vaatimusmäärittelyistä ja valvonnasta.

Lain 19 b §:n perusteella toimialan tietojärjestelmät jaetaan kahteen luokkaan, A ja B.

·       Luokkaan A kuuluvat Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liiettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta (sähköiseen lääkemääräykseen, Reseptikeskukseen, Lääketietokantaan, Potilastiedon arkistoon ja tiedonhallintopalveluun sekä Omakanta-palveluun liittyviä tietojärjestelmiä). Kyseisiä tietojärjestelmiä on viranomaisten mukaan nyt noin 100.
·       Muut tietojärjestelmät kuuluvat luokkaan B.

Laissa ja sen perusteella annetussa Terveyden- ja hyvinvoinnin laitoksen tarkentavassa määräyksessä (THL määräys 2/2015) liitteineen määritellään tarkoin, mitä kumpaankin luokaan kuuluvilta tietojärjestelmiltä edellytetään. Luokan A tietojärjestelmiä ei voida jatkossa ottaa lainkaan käyttöön, ellei siitä, että ne täyttävät mm. tietoturvallisuudelle asetetut lakisääteiset vaatimukset, voida varmistua. Myös kyseisten järjestelmien olennaiset päivitysten vaatimuksenmukaisuus tulee jatkossa tarkastaa.  Lain 19 k §:n perusteella vaatimuksenmukaisuuden voi tarkastaa ainoastaan hyväksytty tietoturvallisuuden arviointilaitos. Toistaiseksi lakisääteinen hyväksyminen on ainoastaan KPMG IT Sertifiointi Oy:llä. Arviointi tehdään tietojärjestelmän valmistajan hakemuksesta eli meillä valmistajan tai sen Suomalaisen edustajan toimeksiannosta. Kyselyt asiasta [sertifiointi at kpmg.fi]

Luokkaan B kuuluvien tietojärjestelmien vaatimuksenmukaisuus osoitetaan tietojärjestelmän valmistajan kirjallisella selvityksellä. Molempia järjestelmätyyppejä koskee myös laissa määritelty omavalvontavelvollisuus. Siksi on syytä muistaa, että molempien luokkien tietojärjestelmien mm. tieturvallisuuden tasoa on myös jatkuvasti ylläpidettävä.

Kerromme mielellämme lisää:

Auditoinnit:                                                                                         Lakiasiat:
Olli Knuuti                                                                                           Vesa Ellonen               
Manager                                                                                               Legal Councel
p. 020 760 3430                                                                                     p. 020 1760 3125
e-mail. olli.knuuti at kpmg.fi                                                                e-mail:vesa.ellonen at kpmg.fi

Ei kommentteja:

Lähetä kommentti