Omavalvontasuunnitelma ja sen laatiminen
-
Upload
thl -
Category
Health & Medicine
-
view
1.594 -
download
5
Transcript of Omavalvontasuunnitelma ja sen laatiminen
1
Omavalvontasuunnitelma ja sen laatiminen
Infotilaisuus
6.10.2015 Helsinki
AVAUS: kehittämispäällikkö Riitta Konttinen
THL / Oper
2
Iltapäivän ohjelma• 13:30 Avaus / pj. Riitta Konttinen• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet / Anna
Kärkkäinen• 14:15 Yleiskuva ja suhde tietojärjestelmien olennaisiin
vaatimuksiin / Juha Mykkänen• 14:35 Tauko• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja
omavalvonnan toteuttaminen / Juha Mykkänen• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan
liittyen / Juha Mykkänen• 15:40 Keskustelu ja kysymykset / pj. Riitta Konttinen• 16:00 Tilaisuuden päätös
Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen: [email protected]
3
Materiaaleja• THL määräykset ja ohjeet: https://
www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet
• Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi • Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://
www.kanta.fi/documents/12105/4063473/Luokittelut+Omavalvonta+Sertifiointi_UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b
• Kanta käyttöönoton käsikirjat: http://www.kanta.fi/web/ammattilaisille/kayttoonoton-kasikirjat – Yksityiset ja itsenäiset ammatinharjoittajat
– http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja
• Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/sosiaali-_ja_terveydenhuollon_tietojarjestelmat
• Valviran ilmoituslomake tietojärjestelmästä tai Kanta-välityspalvelusta: http://www.valvira.fi/documents/14444/37132/ilmoitus_tietojarjestelmasta.pdf
• Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen
Kansalainen Ammattilainen
Kanta-palvelutSähköinen resepti
Potilastiedon arkisto ja TiedonhallintapalveluOmakanta
Kelain
Sote-SADe
Sosiaali- ja terveysalan palvelukokonaisuus
”Kansa”
THL2011
THL
THL
2012
2012- 2015
Sosiaalihuollontiedonhallinta
Valtakunnalliset sosiaali- ja terveydenhuollon tietojärjestelmäpalvelut
Konteksti:
5
Omavalvonnan ja olennaisten vaatimusten säädökset, määräykset
ja ohjeetKehittämispäällikkö Anna Kärkkäinen
THL / Oper
Olennaiset vaatimukset ja omavalvonta: miksi?• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia
sekä sote-palvelujen tuottajille että järjestelmätoimittajille• Varmistettava, että
– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa
tietojärjestelmien OLENNAISET VAATIMUKSET– Organisaatioissa ja palveluntuottajilla on asianmukaiset
tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta
OMAVALVONTA– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen
saatavuudessa, mutta huomioitava kaikessa toiminnassa
6
7
Vastuu tietosuojasta ja tietoturvasta • Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite
varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla• Omavalvonnasta laaditaan suunnitelma • Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla • Vastuu
– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä
– tietoturvapolitiikan laatimisesta ja noudattamisesta– tietosuojavastaavan nimeämisestä ja toimenkuvasta– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta – väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun
liittämistä– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta
• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia
8
Omavalvonnan ja olennaisten vaatimusten säädökset• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä
käsittelystä 159/2007 (päivitetty 2014)
• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)
• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset
• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset
• Lisäksi saatavilla ohjeita ja tukimateriaalia
• Perusperiaate: järjestelmien olennaiset vaatimukset ja sote-palvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä
9
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta• 3 § määritelmät, erityisesti
– Tietojärjestelmä …sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin
– Palvelujen antajien määritelmät / sosiaali- ja terveydenhuolto
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
10
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta• 19 h § Omavalvontasuunnitelma
– Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:1. Käyttäjillä käytön vaatima koulutus ja kokemus2. Järjestelmillä käytön kannalta tarpeelliset käyttöohjeet3. Järjestelmiä käytetään ohjeistuksen mukaisesti4. Järjestelmiä ylläpidetään ja päivitetään ohjeistuksen mukaisesti5. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen ja tietoturvalliseen
käyttöön6. Liitetyt tai muut järjestelmät eivät vaaranna sorituskykyä tai tietoturvaa7. Asennuksessa ja ylläpidossa henkilöt joilla tarvittava asiantuntemus
– Kanta-palvelujen osalta kuvattava tietoturvallisen käytön vaatimusten varmistaminen
– Omavalvontasuunnitelman toteutumista seurattavaLaki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
11
• 19 a § Olennaiset vaatimukset• Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän
tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.
• Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.
• (+ THL:n ja Kelan määräysvaltuudet, velvollisuus kuulla sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa)
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
12
Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta: muut omavalvonnassa olennaiset kohdat• 19 b § Järjestelmien luokat A ja B• 19 c § Tietojärjestelmän valmistajan velvollisuudet• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus,
yhteentoimivuus, tietoturvallisuus)• 19 e § Yhteistestaus• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön
(vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen /
valmistaja• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
Laki sähköisestä lääkemääräyksestä viittaa samoihin vaatimuksiin
13
Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta• 22 a § (28.3.2014/251) Tietojärjestelmien ja ohjelmistojen
hyväksyntä ja käyttöönotto• Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa
käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 3, 19 a–19 g, 20 a–20 h ja 22 §:ssä säädetään.
Laki sähköisestä lääkemääräyksestä – viittaa asiakastietolain ko. kohtiin
14
Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta• 22 b § Omavalvonta• Sähköisiä lääkemääräyksiä laativien toimintayksiköiden,
apteekkien ja itsenäisten ammatinharjoittajien sekä Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi, seurattava toimintaa ja ilmoitettava poikkeamista siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 h ja 19 i §:ssä säädetään.
Laki sähköisestä lääkemääräyksestä
15
Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia• etukäteissuunnittelun vaatimus• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman
potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)
• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.
• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)
• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)
• asiakkaan tarkastusoikeus• virheellisen tiedon korjaamisoikeus
[T. Itälä ja P. Ruotsalainen, Tietoturvallinen kommunikaatioalusta, Luovutusten ja luovutuslokin hallinnan suositukset, OSVE 6/2004]
16
Määräykset• Olennaisten vaatimusten sekä tietoturvan ja tietosuojan
toteutumista tuetaan THL antamilla määräyksillä: – Määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien
olennaisista tietoturvavaatimuksista – Määräyksen Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille
– Määräys (2/2015) omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista
– Määräyksen Liite 1: Omavalvontasuunnitelman mallipohja
• Jatkossa – määräysten / vaatimusten päivityksiä sekä – Uusia määräyksiä mm. sosiaali- ja terveydenhuollon tietojärjestelmien toiminnallisista
vaatimuksista
17
Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista• Voimaan 1.2.2015, voimassa toistaiseksi• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-
tietojärjestelmille• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen
todennetaan– vaatimus täyttyy täysin – vaatimus täyttyy osittain ja täyttymättä jäävä osa kompensoidaan;
kompensointitapa kuvattava– vaatimus ei täyty– mikäli vaatimus ei ole relevantti tai on vain osin relevantti arvioitavan
tietojärjestelmäpalvelun osalta, maininta tästä perusteluineen– todentamistapa auditoinnissa ja kuinka vaatimuksen täyttyminen on todettu
• Hallinnolliset ja soveltuvin osin tekniset todentamistavat
• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille– Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa
18
Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista• Voimaan 1.2.2015, voimassa toistaiseksi• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja
vaatimukset– Soveltamisala– Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn
varmistamisessa– Määritelmät– Suhde muihin ohjaaviin määräyksiin ja ohjeisiin– Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien
olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin– Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset– Ohjaus ja neuvonta
• Liite 1: Omavalvontasuunnitelman mallipohja
19
Sertifiointi ja omavalvonta määräykset: toimijat 1/2 • Asiakasorganisaatio / palvelun antaja: terveydenhuollon toimintayksikkö, sosiaalihuollon
palvelujen antaja (järjestävä viranomainen, julkinen tai yksityinen palvelun tuottaja), työterveydenhuollosta vastaava työnantaja, apteekki, itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilö– vastaa omavalvontasuunnitelmasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan
• Välityspalvelun tuottaja(t): – Välittäjä: Kanta-välityspalvelun palveluntuottaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia
potilas- tai asiakastietoja esimerkiksi ylläpitotoimien yhteydessä, vastaa omasta omavalvontasuunnitelmastaan, usein esim. varmenteiden hankinnasta jne.
– Välityspalvelun toteuttaja: vastaa teknisen Kanta-välityspalvelun sertifiointivaatimusten täyttämisestä, sen tietoturva-auditoinnista sekä välityspalvelulta vaadittavista ilmoituksista
• Järjestelmän valmistaja: taho, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta, riippumatta siitä toimiiko tämä taho myös tietojärjestelmäpalvelun tuottajana– vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä
• Tietojärjestelmäpalvelun tuottaja: taho, joka tarjoaa palvelun antajalle tietojärjestelmäpalvelua, jossa käsitellään asiakas- ja potilastietoja, ja joka vastaa tietojärjestelmän valmistajalle asetettuihin vaatimuksiin valmistajana, valmistajan lukuun tai valmistajan puolesta– vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien
yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista
20
Sertifiointi ja omavalvonta määräykset: toimijat 2/2• Tietoturvallisuuden arviointilaitos: viestintäviraston hyväksymä taho,
joka suorittaa sertifiointiprosessin osana olevan tietoturvallisuuden auditoinnin, tuottaa vaatimustenmukaisuustodistuksen ja ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista
• Kanta-palvelut: Kelan palvelu, jonka vastuulla on Kanta-palveluiden (Sähköinen resepti-, Potilastiedon arkisto- ja Omakanta –palvelut sekä Lääketietokanta) toteuttaminen, ylläpito ja kehittäminen – Kanta-yhteistestaus(vastaava): suunnittelee ja koordinoi yhteistestauksen– Kanta-asiakastuki: tarjoaa tukipalveluja Kanta-palveluiden asiakkaille
• THL/OPER: viranomainen, joka antaa määräykset olennaisista vaatimuksista ja omavalvontasuunnitelmasta
• Valvira: valvontaviranomainen, joka ylläpitää rekisteriä tietojärjestelmistä ja valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta
• Viestintävirasto: valvontaviranomainen, joka hyväksyy tietoturvallisuuden auditointilaitokset ja valvoo niitä
Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennukset• Uusissa säädöksissä Kanta-välityspalvelut kuuluvat A-luokkaan
(sertifioitava / tietoturva-auditointi + ilmoitettava Valviralle)• Sertifiointi koskee välityspalvelussa käytettävää teknistä ratkaisua
– Välityspalvelun sertifioinnissa tietoturva-auditointi vaatimustenmukaisuustodistus
– Sama sertifioitu välityspalvelu voi olla käytössä useissa eri Kanta-liityntäpisteissä
• Välittäjätahoilta EI edellytetä ulkoista tietoturva-auditointia– Välittäjätaho on eri asia kuin Kanta-välityspalvelu– Välittäjätaholla oltava kuitenkin omavalvontasuunnitelma jonka kautta
vaatimusten täyttäminen todennettavissa– Huolehdittava että Kanta-liityntäpisteessä käytössä sertifioitu välityspalvelu tai
järjestelmä• Mutta samaa teknistä välityspalvelua ei tarvitse auditoida ulkoisesti kaikissa
liityntäpisteissä erikseen– Jos välittäjätaho ei ole sote-palveluntuottaja, huolehdittava että välittäjätaho on
myös THL:n välittäjärekisterissä
16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 21
Ohje 3/2015
Sertifiointi – huomioitavaa reseptitoiminnallisuuksien osalta• Sertifiointi koskee Kanta-palveluihin (myös reseptikeskukseen) liittyviä tietojärjestelmiä
(apteekkijärjestelmät ja reseptin PTJ käyttötapauksia toteuttavat)
• Olennaiset vaatimukset ovat muuttuneet reseptitoiminnallisuuksia toteuttavien järjestelmien osalta (sekä yhteistestauksen että tietoturvavaatimusten osalta) siten, että järjestelmiin on tullut merkittäviä muutoksia – Uusi yhteistestaus (nk. lakimuutospaketti) ja uudelleenauditointi tarpeellisia
• ”Lakimuutospaketin” mukaiset versiot järjestelmistä Kelan yhteistestauksessa• Ennen määräysten voimaantuloa tehdyt sertifioinnit päivitettävä tai uusittava vastaamaan nykyvaatimuksia
• Vaatimustenmukaisuustodistuksen tai tietoturva-auditoinnin päivittämisen takaraja ohjeen mukaisesti reseptitoiminnallisuuksia tuotantokäytössä käyttävien järjestelmien osalta 1.11.2015– Siirtymävaiheessa tuotantokatkosten välttäminen, mahdolliset ruuhkat sertifioinnissa
• Myös nyt reseptin yhteistestauksessa olevien järjestelmäversioiden hankittava uusien säädösten ja voimassa olevien vaatimusten mukainen vaatimustenmukaisuustodistus tai päivitettävä tietoturva-auditointi
• Käyttöönotto ennen marraskuuta (esim. 10.9.2015 aikataulu) sallittua, mikäli– Kelalta saatu lausunto yhteistestauksen läpäisemisestä– Aiemmin hyväksytty (aiempien) tietoturva-auditointivaatimusten täyttäminen– Uusi auditointi tulossa määräaikaan mennessä
• Järjestelmän suhteen syytä hakeutua pikaisesti myös tietoturva-auditointiin mikäli asia ei vielä ole kunnossa
16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 22
Ohje 6/2015
• Perusperiaatteena on, että tietoturva-auditointi on voimassa siinä merkityn voimassaoloajan loppuun, tai kunnes järjestelmiin tai olennaisiin vaatimuksiin tulee merkittäviä muutoksia
• Asiakastietolaki:– "Vaatimuksenmukaisuustodistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia
vaatimuksia on muutettu."– "Tietojärjestelmän valmistajan on lisäksi seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tehtävä
tietojärjestelmiin muutosten edellyttämät korjaukset."
• Nykyiset sertifiointivaatimukset eivät ole olleet mukana aiemmissa reseptitoiminnallisuuksia toteuttavien järjestelmien auditoinneissa tai yhteistestauksissa
• Lain kohta "merkittävistä muutoksista" on siis toteutunut ja järjestelmiin on uusien vaatimusten ja muuttuneiden määrittelyjen myötä sähköisen reseptin osalta tullut muutoksia jotka edellyttävät ennen määräysten voimaan tuloa tehdyn auditoinnin uusimista
• THL:n ja STM:n näkemyksen mukaan kyseessä on tietoturvan osalta uudelleenauditointi: – vaatimuksia, jotka on hyväksytysti samansisältöisinä todennettu (aiemman auditoinnin mukaisesti), ei tarvitse todentaa
uudelleen (mikäli valmistajan mukaan ne toimivat samalla tavoin kuin aiemmin todennettaessa)– muuttuneet vaatimukset on mahdollista todentaa "vaatimustenmukaisuustodistus päivittämällä" uusien vaatimusten osalta:
todistuksen tai aiemman päätöksen voimassaoloaika säilyy alkuperäisenä– vaihtoehtoisesti on mahdollista todentaa kattavasti kaikki relevantit vaatimukset (uusi vaatimustenmukaisuustodistus, uusi
voimassaolo)– tarkennuksia tehdään edelleen tarvittaessa, myös arviointilaitosten ja niitä ohjaavan Viestintäviraston kanssa
• Tavoitteena on, että etenkin lakimuutosten ja määräysten mukaiset vaatimustenmukaisuustodistukset voivat olla voimassa määräajan loppuun tai mahdollisimman pitkään etenkin reseptiin liittyvien tietoturvavaatimusten osalta– esimerkiksi lakimuutospaketti 2 ei aiheuta vastaavaa uudelleenauditointitarvetta, kun auditointi on jo uudistettu
16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 23
Sertifiointi – huomioitavaa reseptitoiminnallisuuksien osalta- tarkennuksia ja vastauksia tietoturva-auditoinnin osalta
Ohje 6/2015
24
Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset • Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien
ja itseauditointien toteuttamisesta• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja
omavalvonnan suunnittelussa ja toteuttamisessa• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia
lakikohtien määritelmiin ja toimijoiden vastuisiin• Erityisesti omavalvonnan osalta painotuksena omavalvonnan
toteuttaminen ja seuranta
25
Omavalvonta: yleiskuva ja suhde tietojärjestelmien olennaisiin
vaatimuksiinKehittämispäällikkö Juha Mykkänen
THL / Oper
26
Hippokrateen vala, ote
Hippokrates (n. 460-370 eKr)
”Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena.”
27
Tietoturvallisuuden perusperiaatteet• Eheys
– tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan– luvaton muokkaaminen ei onnistu tai se havaitaan
• Luottamuksellisuus• Saatavuus ja luotettavuus
– tieto on saatavilla, kun sitä tarvitaan– ohjelmistot, laitteet, turvallisuus- ja viestinvälitysmekanismit toimivat
• Autenttisuus– tiedon alkuperä on tiedossa– tiedonvaihdon osapuolet tunnistetaan luotettavasti
• Kiistämättömyys ja velvoittavuus– sopimuksen velvoitteet täytetään– osapuoli ei voi kiistää osallistumistaan tapahtumaan (transaction)
28
Miksi omavalvontasuunnitelma?
• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä
• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä
• Huomioi arkaluonteisen tiedon salassapidon merkityksen• Helpottaa ymmärtämään väärinkäytöksen seuraamukset• Ohjaa ja tukee tietoturvavaatimusten noudattamista• Auttaa seuraamaan toimintaa käytännössä• Auttaa varmistamaan myös muiden palvelun tuottamiseen
osallistuvien tahojen tietoturvallisen toiminnnan• Selkeyttää roolit ja vastuut toteutuksessa
29
OmavalvontasuunnitelmaKeiden on laadittava• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua
tietojärjestelmää käyttävien– Sosiaali- ja terveydenhuollon palvelun antajien,– apteekkien – itsenäisten ammatinharjoittajien
• Kansaneläkelaitoksen • Kanta-välityspalveluiden tuottajienMiksi• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja
kehitetään organisaation tietoturvaa ja tietosuojaaMilloin• 31.3.2015 mennessä
HUOM. Koskee myös muita kuin Kanta-palveluihin liittyviä toimijoita ja järjestelmiä
Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit
30
Omavalvonnan ja olennaisten vaatimusten suhde• Tietoturvallisuuden varmistaminen on jatkumo
– Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta
– Käytettävät tietojärjestelmäratkaisut– Järjestelmien tekninen ja toiminnallinen käyttöympäristö
• Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin
• Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä
• Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset
31
Olennaiset vaatimukset ja niiden todentaminen / sertifiointi• Lakisääteisiä (159/2007 ja 61/2007 muutos 250 ja 251/2014)
– Toiminnalliset vaatimukset• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys JA ilmoitus
Valviraan (ja A-luokassa Kanta-yhteistestaukseen)– Yhteentoimivuusvaatimukset
• Todennetaan Kanta-yhteistestauksen kautta A-luokan järjestelmille– Tietoturva- ja tietosuojavaatimukset
• Todennetaan tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla A-luokan järjestelmille
• Läpäissyt järjestelmä saa vaatimustenmukaisuustodistuksen
• Todentaminen = sertifiointiprosessi (A-luokkaan kuuluville järjestelmille ja teknisille Kanta-välityspalveluille)
• Tiedot järjestelmistä ilmoitettava Valviran ylläpitämään rekisteriin– Sertifioidut A-luokan järjestelmät– Valmistajien / tietojärjestelmäpalvelujen tuottajien ilmoitukset B-luokkaan
kuuluvista järjestelmistä
32
Järjestelmien luokittelu• Järjestelmien luokittelut A- ja B-luokkiin
– A: Kanta-palveluihin liittyvät järjestelmät• Myös Kanta-välityspalvelut
– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät– (on myös järjestelmiä, joita ei tarvitse luokitella)
• Luokiteltujen järjestelmien ilmoittaminen Valviralle– A-luokan järjestelmien
• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi
• laki ja määräys jo voimassa– B-luokan järjestelmien
• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta
• Kirjallinen selvitys ja ilmoitus Valviralle
33
Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet• Osa-alueet / kriteerit
– Sähköinen allekirjoitus– Käyttövaltuushallinta– Tunnistaminen (sis. Sulkulistat,
ammattioikeuden rajoitukset)– Käyttövaltuushallinta– Valvonta ja lokitus– Tietojen käsittely– Muut pakolliset vaatimukset– Sovellusturvallisuus– Käyttöympäristö /
luottamuksellisuus ja eheys
• Kohteet– Y: Yhteinen vaatimus kaikille
luokkaan A kuuluville tietojärjestelmille
– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat
– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat
– A: Arkistoon liittyvät toiminnallisuudet
– (VÄ: Välityspalvelut)
34
Olennaisten vaatimusten todentamistavat• Vaatimusten todentamisen perusvaihtoehdot
– Itseauditointi tai omavalvonta TAI– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)
• Todentamistavat– Haastattelu– Dokumentaatio– Toiminnallinen testaus– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit,
järjestelmän tuottamat raportit)• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset
eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa
35
Kanta-sertifiointi ja omavalvonta – yleiskuva ja prosessit - tukimateriaali• Kuvaa sertifioinnin ja omavalvonnan kokonaisuutta• Sertifioinnin ja omavalvonnan tukimateriaalia• Yleiskuva• Toimijat• Prosessien ylätason kuvaukset
– Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen – yleiskuva
– Välityspalvelun sertifiointi– Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kanta-
yhteistestaus ja tietoturvallisuuden auditointi– Vaatimustenmukaisuustodistuksen uudistaminen
36
Sertifiointiprosessi: ”uusi järjestelmä”
37
Teknisen Kanta-välityspalvelun sertifiointiTi
etot
urva
llisuu
den
arvi
ointi
laito
sVä
litys
palv
elun
tuott
aja
Kant
a-tu
otan
topa
lvel
u
Välityspalvelunvaatimustenmukaisuuden
arvioiminen
1.4
VALV
IRA
Ilmoitus käyttöön otettavasta
välityspalvelusta
Välityspalvelun omavalvonta
Rekisterin ylläpitäminen
Välityspalvelun tietoturvallisuudentarkastusraportti
Ilmoitus käyttöön otettavasta
välityspalvelusta
Välityspalvelun tietoturvallisuuden
tarkastusraportin laatiminen
2.3
2.8
§ 19 K
Välityspalvelun vaatimustenmukaisuus-
todistus
Välityspalvelunvaatimustenmukaisuus-todistuksen laatiminen
2.4
Käyttöön otettavastavälityspalvelusta
Ilmoittaminen
§ 19 F2.6
2.7
Välityspalvelun tietoturvallisuudentarkastusraportti
Auditiointiprosessinkäynnistäminen
2.1
2.2
Ilmoitusvaatimustenmu-
kaisuudesta
§ 19 M
Käyttöönoton edellyttämästätekniikasta sopiminen
Käyttöönoton edellyttämästätekniikasta sopiminen
2.5
2.5
Ilmoitusvaatimustenmu-
kaisuudesta
huom. eri asia kuin Kanta-välittäjäksi hakeutuminen
38
Yhte
istes
taus
vast
aava
3.2
Kant
aas
iaka
stuk
iJä
rjest
elm
ä-va
lmist
aja
1.6
Yhteistestauksentarpeen
arvioiminen
4.5
Ilmoituksenvastaanottaminen
Käsittelypyynnönvälittäminen
Valvi
ra
4.24.1
Tietojärjestelmän vaatimustenmukaisuudenarviointi
Ilmoitus yhteistestaukseen
tarpeettomuudesta
Ilmoitus testaustarpeesta
Tiet
otur
valli
suud
en
arvi
ointi
laito
s
4.8
4.7
Ilmoitus yhteistestaukseen
tarpeettomuudesta
4.6
Ilmoitus tietojärjestelmä-
muutoksesta
Tietoturvan uudelleenarviointitarpeen
arvioiminen
Tiedon toimittaminen Valviran
rekisteriin
4.12
Tietojärjestelmän tai välityspalvelun vaatimustenmukaisuuden arviointi4.3
Järjestelmä eikä
välityspalvelu?
Rekisterin ylläpitäminen
Ilmoitus päivitetystä vaatimusten-
mukaisuudesta
4.4
Kelanyhteistestaus-
lausunto
Vaatimustenmukaisuus-todistuksen päivittäminen
Vaatimusten-mukaisuus-
todistus
4.11
4.10
4.9
3.8
2.1
Ilmoitusvaatimustenmu-
kaisuudesta
Ilmoitusvaatimustenmu-
kaisuudesta
Ilmoitus tietoturva-auditoinnin tarpeesta tai
tarp eett omuudesta
Vaatimustenmukaisuustodistuksen uudistaminen
39
Huomioitavaa / olennaiset vaatimukset• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:
– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle
• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille
• Lisäksi huomioitava yleislainsäädäntö mm. henkilötietolain tietosuojavaatimukset, lääkinnällisten laitteiden säädökset jne.– Myös nämä taustalla, mutta ei suoraa vastaavuutta asiakastietolain mukaisiin
vaatimuksiin– Esim. potilastietojärjestelmän käyttötarkoitus päätöksenteon tukijärjestelmäksi TAI
potilastietojen tallentamiseen ja arkistointiin / Medical Device directive tulkintaohjeet / EU komissio CE-merkki, Laki terveydenhuollon laitteista ja tarvikkeista
• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!
40
Iltapäivän ohjelma• 13:30 Avaus / pj. Riitta Konttinen• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet / Anna
Kärkkäinen• 14:15 Yleiskuva ja suhde tietojärjestelmien olennaisiin
vaatimuksiin / Juha Mykkänen• 14:35 Tauko• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja
omavalvonnan toteuttaminen / Juha Mykkänen• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan
liittyen / Juha Mykkänen• 15:40 Keskustelu ja kysymykset / pj. Riitta Konttinen• 16:00 Tilaisuuden päätös
Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen: [email protected]
41
Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen
Kehittämispäällikkö Juha MykkänenTHL / Oper
42
Omavalvontasuunnitelman minimivaatimukset ja selvitykset
• Omavalvonnan kautta varmistutaan vähintään:1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta2. Asianmukaisten käyttöohjeiden saatavuudesta3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden
mukaan4. Menettelytavoista virhe- ja ongelmatilanteissa5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6. Käyttöympäristön vaatimustenmukaisuudesta7. Tietojärjestelmien vaatimustenmukaisuudesta8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä
Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin kohdistuvista vaatimuksista
Omavalvontasuunnitelman sisältöJaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin
kokonaisuuteen kuuluvat dokumentit:1. Johdanto
2. Suunnitelman kohde:– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna
3. Yleiset tietoturvakäytännöt:– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus,
toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus
4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien
asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt
5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt
6. Kanta-palvelujen käytön tietoturvakäytännöt
7. Tietojärjestelmät:– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B),
muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan
43
Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne
Luku 2 Suunnitelman kohde
• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee– ”kenen omavalvontasuunnitelma on kyseessä”– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia
• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä
• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.
• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä
4444
Luku 3 Yleiset tietoturvakäytännötSisällytettävä kuvaukset tai viittaukset seuraavista asioista:• Tietoturvapolitiikka: tiedot sen tarkastamisen ja
kehittämisen käytännöistä• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista,
seurannasta ja valvonnasta sekä tietosuojavastaavista • Koulutus, ohjeistus, kokemus ja niiden seuranta• Toimintamallien koulutus ja perehdytys• Tietojärjestelmien käyttökoulutus• Riittävä kokemus• Ohjeet ja koulutus potilastietojen käsittelystä
45
Luku 3 Koulutusmalli ja seurantakäytänteetKoulutus, ohjeistus ja käyttökokemus ja niiden seuranta• Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen
ja käyttökokemuksen seurannan suunnitelmiin• Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus
tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin
• Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta
Toimintamallien koulutus ja perehdytys• Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen
liittyvistä toimintatavoista ja koulutussuunnitelmista• Miten koulutusten toteutumista ja oppimista seurataan (esim.
todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan)
46
Luku 3 Tietojärjestelmän koulutusmalli ja seurantakäytänteetTietojärjestelmien käyttökoulutus• Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen
liittyvistä toimintatavoista ja koulutussuunnitelmista• Miten nyt koulutusten toteutumista ja oppimista seurataan (esim.
todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)
Riittävä kokemus• Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas-
ja / tai potilastietojärjestelmien käytön vaatima kokemus• Miten on järjestetty käyttäjien ohjaus
Ohjeet ja koulutus potilastiedon käsittelystä• Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan
henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa
47
Luku 4 Käyttöympäristön tietoturvakäytännöt
Kuvataan, mistä on saatavissa tiedot tai kuvaukset:• Menettelyt virhe- ja ongelmatilanteista• Järjestelmien käyttöohjeiden hallinnoinnista ja
saatavuudesta• Järjestelmien asennuksesta ja ylläpidosta yleisesti• Tilojen, työasemien, tallennusvälineiden ja tulosteiden
turvallisuudesta• Muista käyttöympäristön tietoturvakäytännöistä
48
Luku 4 Menettelyt virhe- ja ongelmatilanteissa• Kuvataan selvittelykäytänteet ja määritellään vastuut
– verkko- tai tietoliikenneongelmien selvittelyssä– järjestelmien käyttöön liittyvien ongelmien yhteydessä– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien
tai ongelmien hallintamallit ja käytäntö• Ohjeistetaan A tai B järjestelmien olennaisten
vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi – Organisaation sisällä– Tietojärjestelmän valmistajalle– Kelalle huomioiden häiriöviestintäohje (mikäli A-luokan
järjestelmä)– Valviralle, jos poikkeama aiheuttaa merkittävän riskin
potilasturvallisuudelle
49
Luku 4 Järjestelmien käyttöohjeiden hallinnointi ja saatavuus
• Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien – käyttöohjeiden hallinnointi ja saatavuus– henkilöstön perehdyttäminen ja sen toteuman todennettavuus– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu
• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten – Hankinta ja saanti– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään
valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti
50
Luku 4 Järjestelmien asennus ja ylläpito yleisesti
Kuvataan yleisellä tasolla:• Mikäli järjestelmäkohtaiset seikat poikkeavat
määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen• Määritellään järjestelmien asennuksen, ylläpidon ja
päivityksen roolit ja vastuut • Tarkennetaan ylläpitotehtävien vaatima koulutus,
ammattitaito ja asiantuntemus • Kuvataan järjestelmien muutoshallinnan, testauksen ja
hyväksymisen menettelytavat
51
Luku 4 Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallintaKuvataan ja luetellaan seuraavat turvallisuustekijät:• Suojattavat fyysiset tilat ja niiden suojauskäytännöt• Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta• Työasemien virus- ja haittaohjelmilta suojautuminen• Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien hallinta,
SIM-korttien hallinta, ohjelmalliset suojaukset• Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille• Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt• Ulkoiset tallennuslaitteet ja tallennusvälineet• Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen
vastuut ja niiden sisällyttäminen sopimuksiin• Etäyhteydet, langattomat verkot ja reitittimet
52
Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt
Laadittava kuvaukset, viittaukset ja toteuma asioista:Käyttäjäryhmät• Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai
potilastietojärjestelmiä. • Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden
käyttöoikeudet ja -aika
Käyttövaltuushallinnan ja käytön seuranta ja välineet• Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen,
tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt
• Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt
• Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa
• Laadittava myös kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi
53
Luku 6 Kanta-palvelujen käytön tietoturvakäytännötVoidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä
Kuvataan Kanta-palvelujen edellyttämien• Tunnistamis- ja todentamisratkaisujen toteuttaminen• Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)• Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin• Kanta-liityntäpisteen tietoturvakäytännöt ja vastuut (esim. mitä toteuttaa
välittäjä, onko käytössä sertifioitu välityspalvelu (=luokan A järjestelmä), jne.)
• Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa
• Kanta-palvelujen pääsynhallinnan toteuttaminen• Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen• Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut • Kansallisten mallien hallinta• Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
54
Luku 7 Tietojärjestelmäluettelo tai viite
Kanta-palveluihin liitettävät järjestelmät (luokka A):• Järjestelmä, versio, toimittaja, yhteystiedot,
vaatimuksenmukaisuustodistus
Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)
• Järjestelmä, versio, toimittaja, yhteystiedot
Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta
• Järjestelmä, versio, toimittaja, yhteystiedot
55
Usein järkevää koota tämän kohdan sisältö ensimmäisten asioiden joukossa
Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmatSoveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen
vastaavissa osioissa: • Esim. A-luokkaan kuuluva:
– Järjestelmä, versio, toimittaja, yhteystiedot– Käyttötarkoitus– Käyttäjäryhmät– Käyttöohjeet– Ohjeiden päivittäminen ja jakelu– Menettelyt virhe- ja ongelmatilanteissa– Järjestelmäkohtaiset tukipalvelut– Asennus- ja ylläpitovastuut ja -vaatimukset– Menettelytavat ja vastuut virhe- ja poikkeustilanteissa– Käyttövaltuushallinta järjestelmässä– Tunnistautuminen järjestelmässä– Lokit– Järjestelmän lukittuminen– Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen– Järjestelmän tiedot Valviran rekisterissä
56
57
Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä
on jo tehty• Omavalvontasuunnitelmassa
– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)
– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.
– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat
HYÖDYNNÄ:TietoturvapolitiikkaKokonaisarkkitehtuurikuvauksetLaatukäsikirjaOmat tietoturvallisuusohjeetTietojärjestelmäpalvelujen tuottajien ohjeetJne.
58
Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä
Omavalvonta-suunnitelman kokoaminen
Projektin hallinnointi
Viestintä
Organisaatioiden
toimintamallit
Henkilöstön koulutus
ja muutukimateriaali
Jatkuvuuden varmistaminen
Varmenteiden hankinta ja
käyttö
Hallinnolliset päätökset
Rekisteritiedot Koodisto-palveluun
Esimerkki: potilastiedon arkiston käyttöönotto
Käyttöönottoa edeltävät tehtäväkokonaisuudet
Teknisen ympäristön
toteutus
Käyttöönotto ja käytön
aloittaminen
Kanta –palvelun liittymissopimus
ja käyttöönotto-koe
Arkiston hallinta
Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi
• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla
• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen
• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa– Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän
materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim.• Säännöllisen omavalvonnan materiaalit 5v• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt
• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua
59
60
HUOM• Omavalvontasuunnitelma on sovellettava OMAAN
TOIMINTAAN• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen
piirteitä• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman /
määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa– Esim. pieni liite perusteluineen
• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta– Nämä oltava myös todennettavissa
61
Yhteenveto• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla
toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta– Yhtenä pohjana omavalvontasuunnitelman mallipohjat– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen
myös sopimusten kautta hallittaviin seikkoihin• Vasta suunnitelman mukaisesti toimiminen parantaa
tietoturvallisuutta!
62
Useimmin kysytyt kysymykset omavalvontasuunnitelmaan
liittyen Kehittämispäällikkö Juha Mykkänen
THL / Oper
Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen:
63
Omavalvontasuunnitelman mallipohjat• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita
paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava
• Lisäksi saatavilla mm.– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston
käyttöönoton käsikirja yksityisille)– Mallipohja apteekeille (Suomen Apteekkariliitto)– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja
kuin minimivaatimukset
• Sovellettava omaa tilannetta vastaavalla tavalla– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä
organisaatioissa ja palveluissa– Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan
huomioitava– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien
palvelujen / oman käyttöympäristön kannalta
64
Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan?• Mitkä järjestelmät on sisällytettävä
omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kanta-palveluihin? Millä perusteilla poimitaan mukaan otettavat? – Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista
organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista sähköisistä tietojärjestelmistä
– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu
kuvausten laatimisesta
65
Suhde Valviran omavalvontasuunnitelmaan• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman
suhde Valviran omavalvontasuunnitelmaan?– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan
kannalta tehtävä– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy
asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan
66
Tietosuojavastaava• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö
valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?– Tietosuojavastaavan tehtävään ei ole erityisiä
soveltuvuuskriteereitä tai koulutusvaatimuksia– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava
– Tietosuojavastaavan tehtäväkuva –mallipohja– Koulutusta tietoturvasta ja tietosuojasta:
• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV,
FCG)• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys)
tietosuojavastaavien jaosto – Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson,
Koivisto, Ylipartanen)
67
Tietoturvapolitiikka• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää
tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun
tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta
68
Kantaan liittyminen ja omavalvontasuunnitelma• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti
Kantaan liittyviä järjestelmiä• Mitä uusia vaatimuksia Kantaan siirtyminen tuo
omavalvontasuunnitelman sisältöön?– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen
kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi
– Kantaan liittyvien järjestelmien erityisiä vaatimuksia– Mm. tunnistamis- ja todentamisratkaisujen toteuttaminen, Varmenneratkaisujen toteuttaminen
(eri tyyppiset varmenteet), Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin– Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden
palvelun tarjoajien luovutustietoa, Kanta-palvelujen pääsynhallinnan toteuttaminen, Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen, Vaatimuksenmukaisuustodistuksen edellyttäminen, Kansallisten mallien hallinta, Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet
69
Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassaMistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman
mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla
• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti
• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)
• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvatta miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa
• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.
70
Omavalvontasuunnitelman julkisuus• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä
esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä? – Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti
nähtävillä– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää
sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta
– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat
71
Mikä on riittävä henkilöstön kokemus?• Miten määritellään henkilöstön riittävä kokemus?
– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä
– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön
72
Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan,
että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen." – Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset
ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.
– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.
– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.
73
Lokivalvonnan toteuttaminen• Onko yksityiskohtaisempia ohjeita lokivalvonnan
toteuttamisesta eri potilastietojärjestelmissä?– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa
Vaatimukset potilastietojärjestelmien käyttölokeille – Lokivalvontaa tehdään
• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)
• Potilaan pyytäessä lokitietoja• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta
– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä
– Lokivalvonnan / käyttölokien valtakunnallisten määrittelyjen tarkentaminen suunnitteilla / ota yhteyttä esim. OPER-yksikköön
74
Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen
tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä
• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”
• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)
75
Yhteenveto, keskustelu ja kysymykset
pj. Kehittämispäällikkö Riitta Konttinen
Kysymyksiä voi lähettää myös osoitteeseen: [email protected]
76
Keskiössä roolit ja vastuut • Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen
toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä
• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi
• Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu Tietoliikenne ja viestinvälitys ulkoistettu Ostopalvelun yhteydessä Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja
ammatinharjoittajien vastuiden määrittelyiden yhteydessä• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen
toiminnan valvonta ja menettelytavat: – toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja
takaisinkytkentä jatkuvaan kehittämiseen
77
Ajankohtaista ja tulevaa• Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa
tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan
• Kesän aikana ilmestynyt tarkennettuja ohjeita– Ohje 3/2015: Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan
tarkennukset– Ohje 6/2015: Sähköisen reseptien toiminnallisuuksia toteuttavien järjestelmien
vaatimustenmukaisuus siirtymävaiheessa (jatkotarkennukset mahdollisia)
• Tulossa mm.– Syksyn 2015 aikana valmistelussa määräys (ja luokittelu) sote-tietojärjestelmien
(sekä A- että B-luokka) olennaisista toiminnallisista vaatimuksista– Valviran rekisteri sote-tietojärjestelmistä– Käynnissä tarkennustarpeiden selvittäminen lokivalvonnan vaatimuksiin
• Jatkossa: päivityksiä määräyksiin ja olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten pohjalta
78
Yhteenveto• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien
hallinnassa ja oikeusturvan toteuttamisessa!• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta
varmistetaan, että – järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen
edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja
tietosuojakäytännöillä palvelujen tuottajien toiminnassa
• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan
toimintatapojen mukaiseksi– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset
pystyttävä todentamaan myös näissä tilanteissa– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja
omavalvontasuunnitelmasta
• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää
79
Kiitos!
Kysymyksiä ja lisätietopyyntöjä voi
lähettää [email protected]
Lisätietoja sertifioinnista ja omavalvonnasta: Tiedon ja vaatimusten yhdenmukaistaminen
https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen
Kanta sertifiointi
http://www.kanta.fi/web/ammattilaisille/sertifiointi Yksityiset ja itsenäiset ammatinharjoittajat
http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja