KPMG osallistui muutama viikko sitten Terveyden- ja
hyvinvoinnin laitoksen sekä Viestintäviraston järjestämään info-tilaisuuteen,
jossa aiheena oli sosiaali- ja terveydenhuollon järjestelmien auditointi.
Lakiin sosiaali- ja terveydenhuolloin asiakastietojen
sähköisestä käsittelystä (159/2007) on lisätty viime vuoden aikana muun muassa
uudet 5 a – c luvut tietojärjestelmien
olennaisista vaatimuksista ja niiden osoittamisesta, palvelun antajan
omavalvonnasta ja tietojärjestelmän vaatimuksenmukaisuuden arvioinnista.
Lakimuutosten tarkoituksena on edistää sosiaali- ja terveydenhuollon
sähköisessä tietojenkäsittelyssä tietosuojaa ja tietoturvaa sekä
tietojärjestelmien yhteen toimivuutta ja toiminnallisuutta säätämällä näitä
koskevista vaatimusmäärittelyistä ja
valvonnasta.
Lain 19 b §:n perusteella toimialan tietojärjestelmät
jaetaan kahteen luokkaan, A ja B.
· Luokkaan A kuuluvat Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä
tietojärjestelmät, jotka on tarkoitettu liiettäväksi Kanta-palveluihin joko
suoraan tai teknisen välityspalvelun kautta (sähköiseen lääkemääräykseen, Reseptikeskukseen,
Lääketietokantaan, Potilastiedon arkistoon ja tiedonhallintopalveluun sekä
Omakanta-palveluun liittyviä tietojärjestelmiä). Kyseisiä tietojärjestelmiä on
viranomaisten mukaan nyt noin 100.
· Muut tietojärjestelmät kuuluvat luokkaan B.
Laissa ja sen perusteella annetussa Terveyden- ja hyvinvoinnin laitoksen tarkentavassa määräyksessä (THL
määräys 2/2015) liitteineen määritellään tarkoin, mitä kumpaankin luokaan
kuuluvilta tietojärjestelmiltä edellytetään. Luokan A tietojärjestelmiä ei voida jatkossa ottaa lainkaan käyttöön,
ellei siitä, että ne täyttävät mm. tietoturvallisuudelle
asetetut lakisääteiset vaatimukset, voida varmistua. Myös kyseisten järjestelmien olennaiset päivitysten vaatimuksenmukaisuus tulee jatkossa
tarkastaa. Lain 19 k §:n perusteella vaatimuksenmukaisuuden voi tarkastaa ainoastaan hyväksytty
tietoturvallisuuden arviointilaitos. Toistaiseksi lakisääteinen
hyväksyminen on ainoastaan KPMG IT Sertifiointi Oy:llä. Arviointi tehdään tietojärjestelmän valmistajan hakemuksesta eli meillä
valmistajan tai sen Suomalaisen edustajan toimeksiannosta. Kyselyt asiasta [sertifiointi
at kpmg.fi]
Luokkaan B kuuluvien tietojärjestelmien vaatimuksenmukaisuus
osoitetaan tietojärjestelmän valmistajan kirjallisella selvityksellä. Molempia
järjestelmätyyppejä koskee myös laissa määritelty omavalvontavelvollisuus. Siksi
on syytä muistaa, että molempien luokkien tietojärjestelmien mm.
tieturvallisuuden tasoa on myös jatkuvasti ylläpidettävä.
Kerromme mielellämme lisää:
Auditoinnit: Lakiasiat:
Olli
Knuuti Vesa
Ellonen
Manager Legal
Councel
p.
020 760 3430 p. 020 1760 3125
e-mail.
olli.knuuti at kpmg.fi e-mail:vesa.ellonen
at kpmg.fi
Tekstit
Ei kommentteja:
Lähetä kommentti