1

Omavalvontasuunnitelma ja sen laatiminen

Infotilaisuus

6.10.2015 Helsinki

AVAUS: kehittämispäällikkö Riitta Konttinen

THL / Oper

2

Iltapäivän ohjelma• 13:30 Avaus / pj. Riitta Konttinen• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet / Anna

Kärkkäinen• 14:15 Yleiskuva ja suhde tietojärjestelmien olennaisiin

vaatimuksiin / Juha Mykkänen• 14:35 Tauko• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja

omavalvonnan toteuttaminen / Juha Mykkänen• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan

liittyen / Juha Mykkänen• 15:40 Keskustelu ja kysymykset / pj. Riitta Konttinen• 16:00 Tilaisuuden päätös

Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen: kantapalvelut@thl.fi

3

Materiaaleja• THL määräykset ja ohjeet: https://

www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen/maaraykset-ja-ohjeet

• Kanta sertifiointi http://www.kanta.fi/web/ammattilaisille/sertifiointi • Olennaiset vaatimukset ja omavalvonta: usein kysytyt kysymykset: http://

www.kanta.fi/documents/12105/4063473/Luokittelut+Omavalvonta+Sertifiointi_UKK_09072015/caaf98c4-daec-48c2-b926-77cb49268d6b

• Kanta käyttöönoton käsikirjat: http://www.kanta.fi/web/ammattilaisille/kayttoonoton-kasikirjat – Yksityiset ja itsenäiset ammatinharjoittajat

– http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja

• Sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten valvonta / Valvira: http://www.valvira.fi/terveydenhuolto/terveysteknologia/sosiaali-_ja_terveydenhuollon_tietojarjestelmat

• Valviran ilmoituslomake tietojärjestelmästä tai Kanta-välityspalvelusta: http://www.valvira.fi/documents/14444/37132/ilmoitus_tietojarjestelmasta.pdf

• Tiedon ja vaatimusten yhdenmukaistaminen / THL: https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen

Kansalainen Ammattilainen

Kanta-palvelutSähköinen resepti

Potilastiedon arkisto ja TiedonhallintapalveluOmakanta

Kelain

Sote-SADe

Sosiaali- ja terveysalan palvelukokonaisuus

”Kansa”

THL2011

THL

THL

2012

2012- 2015

Sosiaalihuollontiedonhallinta

Valtakunnalliset sosiaali- ja terveydenhuollon tietojärjestelmäpalvelut

Konteksti:

5

Omavalvonnan ja olennaisten vaatimusten säädökset, määräykset

ja ohjeetKehittämispäällikkö Anna Kärkkäinen

THL / Oper

Olennaiset vaatimukset ja omavalvonta: miksi?• Lainsäädäntöön tehtiin vuonna 2014 merkittäviä muutoksia

sekä sote-palvelujen tuottajille että järjestelmätoimittajille• Varmistettava, että

– Järjestelmissä on käyttötarkoituksen kannalta oikeat toiminnallisuudet, riittävät tietoturvaominaisuudet ja että ne pystyvät liittymään osaksi Kanta-palvelujen kautta tapahtuvaa tietojen vaihtoa

tietojärjestelmien OLENNAISET VAATIMUKSET– Organisaatioissa ja palveluntuottajilla on asianmukaiset

tietoturvakäytännöt, toiminnassa huomioidaan tietoturvallisuuteen liittyvät vaatimukset, ja järjestelmien käyttöympäristössä huolehditaan asianmukaisesta tietoturvasta

OMAVALVONTA– Erityishuomio Kanta-palvelujen kautta laajenevassa tietojen

saatavuudessa, mutta huomioitava kaikessa toiminnassa

6

7

Vastuu tietosuojasta ja tietoturvasta • Sosiaali- ja terveydenhuollon toimintayksikölle ja apteekeille lainsäädännöllinen velvoite

varmistaa tietojen luotettava ja turvallinen käsittely kaikissa olosuhteissa• Tietosuojan ja tietoturvan toteutumista seurataan omavalvonnalla• Omavalvonnasta laaditaan suunnitelma • Suunnitelman noudattamisen vastuu on toimintayksikön vastaavalla johtajalla • Vastuu

– henkilökunnan ohjeistuksesta ja osaamisesta asiakas- ja potilastietojen käsittelyssä

– tietoturvapolitiikan laatimisesta ja noudattamisesta– tietosuojavastaavan nimeämisestä ja toimenkuvasta– asiakas- ja potilastietojen käsittelyn seurannasta ja valvonnasta – väärinkäytösten selvittämisestä ja seuraamuksista ja näiden tiedottamisesta henkilöstölle– sertifioidun tietojärjestelmän hankinnasta, ennen valtakunnalliseen tietojärjestelmäpalveluun

liittämistä– toimintayksikön asiakas- ja potilastietojärjestelmien käyttäjä- ja käyttöoikeushallinnasta

• Valvontaviranomaisella (kuten Valvira) on oikeus tehdä tarkastuksia

8

Omavalvonnan ja olennaisten vaatimusten säädökset• Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

käsittelystä 159/2007 (päivitetty 2014)

• Laki sähköisestä lääkemääräyksestä 61/2007 (päivitetty 2014)

• THL:n Määräys 1/2015: A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaiset tietoturvavaatimukset

• THL:n Määräys 2/2015: Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset

• Lisäksi saatavilla ohjeita ja tukimateriaalia

• Perusperiaate: järjestelmien olennaiset vaatimukset ja sote-palvelutuottajien omavalvonta muodostavat jatkumon teknisistä järjestelmäratkaisuista turvallisiin käytäntöihin ja toimintatapoihin päivittäisessä työssä

9

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta• 3 § määritelmät, erityisesti

– Tietojärjestelmä …sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin

– Palvelujen antajien määritelmät / sosiaali- ja terveydenhuolto

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

10

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta• 19 h § Omavalvontasuunnitelma

– Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:1. Käyttäjillä käytön vaatima koulutus ja kokemus2. Järjestelmillä käytön kannalta tarpeelliset käyttöohjeet3. Järjestelmiä käytetään ohjeistuksen mukaisesti4. Järjestelmiä ylläpidetään ja päivitetään ohjeistuksen mukaisesti5. Käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen ja tietoturvalliseen

käyttöön6. Liitetyt tai muut järjestelmät eivät vaaranna sorituskykyä tai tietoturvaa7. Asennuksessa ja ylläpidossa henkilöt joilla tarvittava asiantuntemus

– Kanta-palvelujen osalta kuvattava tietoturvallisen käytön vaatimusten varmistaminen

– Omavalvontasuunnitelman toteutumista seurattavaLaki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

11

• 19 a § Olennaiset vaatimukset• Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän

tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.

• Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.

• (+ THL:n ja Kelan määräysvaltuudet, velvollisuus kuulla sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa)

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

12

Keskeisimmät asiakastietolain kohdat omavalvonnan ja olennaisten vaatimusten osalta: muut omavalvonnassa olennaiset kohdat• 19 b § Järjestelmien luokat A ja B• 19 c § Tietojärjestelmän valmistajan velvollisuudet• 19 d § Vaatimustenmukaisuuden osoittaminen (toiminnallisuus,

yhteentoimivuus, tietoturvallisuus)• 19 e § Yhteistestaus• 19 f § Tietojärjestelmän ottaminen tuotantokäyttöön

(vaatimustenmukaisuustodistuksen edellytys, ilmoittaminen Valviralle)• 19 g § Käyttöönoton jälkeinen seuranta, poikkeamista ilmoittaminen /

valmistaja• 19 i § Poikkeamista ilmoittaminen (palvelujen antaja)• 22 a § Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Laki sähköisestä lääkemääräyksestä viittaa samoihin vaatimuksiin

13

Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta• 22 a § (28.3.2014/251) Tietojärjestelmien ja ohjelmistojen

hyväksyntä ja käyttöönotto• Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa

käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 3, 19 a–19 g, 20 a–20 h ja 22 §:ssä säädetään.

Laki sähköisestä lääkemääräyksestä – viittaa asiakastietolain ko. kohtiin

14

Keskeisimmät ”reseptilain” kohdat omavalvonnan ja olennaisten vaatimusten osalta• 22 b § Omavalvonta• Sähköisiä lääkemääräyksiä laativien toimintayksiköiden,

apteekkien ja itsenäisten ammatinharjoittajien sekä Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi, seurattava toimintaa ja ilmoitettava poikkeamista siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 h ja 19 i §:ssä säädetään.

Laki sähköisestä lääkemääräyksestä

15

Myös muut lainsäädännön vaatimukset huomioitava: esimerkki: henkilötietolaista johdettavia tietojenkäsittelyn vaatimuksia• etukäteissuunnittelun vaatimus• huolellisuus ja virheettömyys-, eheys ja luotettavuusvaatimus• käyttötarkoitussidonnaisuus (tietoa ei saa käyttää ilman

potilaan suostumusta tai laista johtuvaa perustetta luovuttaa toiseen tarkoitukseen kuin mihin se on kerätty)

• tarpeellisuusvaatimus. Asiakkaan tule esittää hyväksyttävä syy ja käyttötarkoitus tietojen luovutukseen.

• yhteysvaatimus (tiedon käytön edellytys on hoitosuhde tai muu laista johtuva peruste)

• informointivelvoite (suojaamisvelvoite (tietoa ei saa luovuttaa sivulliselle henkilölle tai informaatioprosessille)

• asiakkaan tarkastusoikeus• virheellisen tiedon korjaamisoikeus

[T. Itälä ja P. Ruotsalainen, Tietoturvallinen kommunikaatioalusta, Luovutusten ja luovutuslokin hallinnan suositukset, OSVE 6/2004]

16

Määräykset• Olennaisten vaatimusten sekä tietoturvan ja tietosuojan

toteutumista tuetaan THL antamilla määräyksillä: – Määräys (1/2015) A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien

olennaisista tietoturvavaatimuksista – Määräyksen Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille

– Määräys (2/2015) omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista

– Määräyksen Liite 1: Omavalvontasuunnitelman mallipohja

• Jatkossa – määräysten / vaatimusten päivityksiä sekä – Uusia määräyksiä mm. sosiaali- ja terveydenhuollon tietojärjestelmien toiminnallisista

vaatimuksista

17

Määräys 1/2015 A-luokkaan kuuluvien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista tietoturvavaatimuksista• Voimaan 1.2.2015, voimassa toistaiseksi• Sisältää liitteineen tietoturvavaatimukset Kanta-palveluihin liittyville sote-

tietojärjestelmille• Kuvaa, kuinka tietojärjestelmien tietoturvallisuusvaatimusten täyttyminen

todennetaan– vaatimus täyttyy täysin – vaatimus täyttyy osittain ja täyttymättä jäävä osa kompensoidaan;

kompensointitapa kuvattava– vaatimus ei täyty– mikäli vaatimus ei ole relevantti tai on vain osin relevantti arvioitavan

tietojärjestelmäpalvelun osalta, maininta tästä perusteluineen– todentamistapa auditoinnissa ja kuinka vaatimuksen täyttyminen on todettu

• Hallinnolliset ja soveltuvin osin tekniset todentamistavat

• Liite 1: Tietoturvavaatimukset A-luokkaan kuuluville järjestelmille ja järjestelmien käyttöympäristöille– Huom. erityisesti käyttöympäristövaatimukset olennaisia myös omavalvonnassa

18

Määräys 2/2015 omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista• Voimaan 1.2.2015, voimassa toistaiseksi• Kuvaa omavalvontasuunnitelmaan vähintään sisällytettävät selvitykset ja

vaatimukset– Soveltamisala– Vastuut tietoturvan sekä asiakas- ja potilastietojen asianmukaisen käsittelyn

varmistamisessa– Määritelmät– Suhde muihin ohjaaviin määräyksiin ja ohjeisiin– Yleistä: muut omavalvontasäädökset, todentaminen, suhde tietojärjestelmien

olennaisiin vaatimuksiin, sertifiointiin ja Valviran rekisteriin– Omavalvontasuunnitelmaan sisällytettävät selvitykset ja vaatimukset– Ohjaus ja neuvonta

• Liite 1: Omavalvontasuunnitelman mallipohja

19

Sertifiointi ja omavalvonta määräykset: toimijat 1/2 • Asiakasorganisaatio / palvelun antaja: terveydenhuollon toimintayksikkö, sosiaalihuollon

palvelujen antaja (järjestävä viranomainen, julkinen tai yksityinen palvelun tuottaja), työterveydenhuollosta vastaava työnantaja, apteekki, itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilö– vastaa omavalvontasuunnitelmasta ja asiakas- ja potilastietojen käsittelystä toiminnassaan

• Välityspalvelun tuottaja(t): – Välittäjä: Kanta-välityspalvelun palveluntuottaja, jolla on tässä roolissa mahdollisuus nähdä salaamattomia

potilas- tai asiakastietoja esimerkiksi ylläpitotoimien yhteydessä, vastaa omasta omavalvontasuunnitelmastaan, usein esim. varmenteiden hankinnasta jne.

– Välityspalvelun toteuttaja: vastaa teknisen Kanta-välityspalvelun sertifiointivaatimusten täyttämisestä, sen tietoturva-auditoinnista sekä välityspalvelulta vaadittavista ilmoituksista

• Järjestelmän valmistaja: taho, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta, riippumatta siitä toimiiko tämä taho myös tietojärjestelmäpalvelun tuottajana– vastaa järjestelmään kohdistuvien vaatimusten toteuttamisesta järjestelmässä

• Tietojärjestelmäpalvelun tuottaja: taho, joka tarjoaa palvelun antajalle tietojärjestelmäpalvelua, jossa käsitellään asiakas- ja potilastietoja, ja joka vastaa tietojärjestelmän valmistajalle asetettuihin vaatimuksiin valmistajana, valmistajan lukuun tai valmistajan puolesta– vastaa järjestelmään kohdistuvien vaatimusten todentamisesta sekä sertifioinnista (mukaan lukien

yhteistestaus ja tietoturvallisuuden auditointi), tietojärjestelmäpalvelun tuottamisesta palvelun antajille sekä tietojärjestelmiin liittyvistä ilmoituksista

20

Sertifiointi ja omavalvonta määräykset: toimijat 2/2• Tietoturvallisuuden arviointilaitos: viestintäviraston hyväksymä taho,

joka suorittaa sertifiointiprosessin osana olevan tietoturvallisuuden auditoinnin, tuottaa vaatimustenmukaisuustodistuksen ja ottaa vastaan ilmoituksia järjestelmiin tehtävistä muutoksista

• Kanta-palvelut: Kelan palvelu, jonka vastuulla on Kanta-palveluiden (Sähköinen resepti-, Potilastiedon arkisto- ja Omakanta –palvelut sekä Lääketietokanta) toteuttaminen, ylläpito ja kehittäminen – Kanta-yhteistestaus(vastaava): suunnittelee ja koordinoi yhteistestauksen– Kanta-asiakastuki: tarjoaa tukipalveluja Kanta-palveluiden asiakkaille

• THL/OPER: viranomainen, joka antaa määräykset olennaisista vaatimuksista ja omavalvontasuunnitelmasta

• Valvira: valvontaviranomainen, joka ylläpitää rekisteriä tietojärjestelmistä ja valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta

• Viestintävirasto: valvontaviranomainen, joka hyväksyy tietoturvallisuuden auditointilaitokset ja valvoo niitä

Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan tarkennukset• Uusissa säädöksissä Kanta-välityspalvelut kuuluvat A-luokkaan

(sertifioitava / tietoturva-auditointi + ilmoitettava Valviralle)• Sertifiointi koskee välityspalvelussa käytettävää teknistä ratkaisua

– Välityspalvelun sertifioinnissa tietoturva-auditointi vaatimustenmukaisuustodistus

– Sama sertifioitu välityspalvelu voi olla käytössä useissa eri Kanta-liityntäpisteissä

• Välittäjätahoilta EI edellytetä ulkoista tietoturva-auditointia– Välittäjätaho on eri asia kuin Kanta-välityspalvelu– Välittäjätaholla oltava kuitenkin omavalvontasuunnitelma jonka kautta

vaatimusten täyttäminen todennettavissa– Huolehdittava että Kanta-liityntäpisteessä käytössä sertifioitu välityspalvelu tai

järjestelmä• Mutta samaa teknistä välityspalvelua ei tarvitse auditoida ulkoisesti kaikissa

liityntäpisteissä erikseen– Jos välittäjätaho ei ole sote-palveluntuottaja, huolehdittava että välittäjätaho on

myös THL:n välittäjärekisterissä

16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 21

Ohje 3/2015

Sertifiointi – huomioitavaa reseptitoiminnallisuuksien osalta• Sertifiointi koskee Kanta-palveluihin (myös reseptikeskukseen) liittyviä tietojärjestelmiä

(apteekkijärjestelmät ja reseptin PTJ käyttötapauksia toteuttavat)

• Olennaiset vaatimukset ovat muuttuneet reseptitoiminnallisuuksia toteuttavien järjestelmien osalta (sekä yhteistestauksen että tietoturvavaatimusten osalta) siten, että järjestelmiin on tullut merkittäviä muutoksia – Uusi yhteistestaus (nk. lakimuutospaketti) ja uudelleenauditointi tarpeellisia

• ”Lakimuutospaketin” mukaiset versiot järjestelmistä Kelan yhteistestauksessa• Ennen määräysten voimaantuloa tehdyt sertifioinnit päivitettävä tai uusittava vastaamaan nykyvaatimuksia

• Vaatimustenmukaisuustodistuksen tai tietoturva-auditoinnin päivittämisen takaraja ohjeen mukaisesti reseptitoiminnallisuuksia tuotantokäytössä käyttävien järjestelmien osalta 1.11.2015– Siirtymävaiheessa tuotantokatkosten välttäminen, mahdolliset ruuhkat sertifioinnissa

• Myös nyt reseptin yhteistestauksessa olevien järjestelmäversioiden hankittava uusien säädösten ja voimassa olevien vaatimusten mukainen vaatimustenmukaisuustodistus tai päivitettävä tietoturva-auditointi

• Käyttöönotto ennen marraskuuta (esim. 10.9.2015 aikataulu) sallittua, mikäli– Kelalta saatu lausunto yhteistestauksen läpäisemisestä– Aiemmin hyväksytty (aiempien) tietoturva-auditointivaatimusten täyttäminen– Uusi auditointi tulossa määräaikaan mennessä

• Järjestelmän suhteen syytä hakeutua pikaisesti myös tietoturva-auditointiin mikäli asia ei vielä ole kunnossa

16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 22

Ohje 6/2015

• Perusperiaatteena on, että tietoturva-auditointi on voimassa siinä merkityn voimassaoloajan loppuun, tai kunnes järjestelmiin tai olennaisiin vaatimuksiin tulee merkittäviä muutoksia

• Asiakastietolaki:– "Vaatimuksenmukaisuustodistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia

vaatimuksia on muutettu."– "Tietojärjestelmän valmistajan on lisäksi seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tehtävä

tietojärjestelmiin muutosten edellyttämät korjaukset."

• Nykyiset sertifiointivaatimukset eivät ole olleet mukana aiemmissa reseptitoiminnallisuuksia toteuttavien järjestelmien auditoinneissa tai yhteistestauksissa

• Lain kohta "merkittävistä muutoksista" on siis toteutunut ja järjestelmiin on uusien vaatimusten ja muuttuneiden määrittelyjen myötä sähköisen reseptin osalta tullut muutoksia jotka edellyttävät ennen määräysten voimaan tuloa tehdyn auditoinnin uusimista

• THL:n ja STM:n näkemyksen mukaan kyseessä on tietoturvan osalta uudelleenauditointi: – vaatimuksia, jotka on hyväksytysti samansisältöisinä todennettu (aiemman auditoinnin mukaisesti), ei tarvitse todentaa

uudelleen (mikäli valmistajan mukaan ne toimivat samalla tavoin kuin aiemmin todennettaessa)– muuttuneet vaatimukset on mahdollista todentaa "vaatimustenmukaisuustodistus päivittämällä" uusien vaatimusten osalta:

todistuksen tai aiemman päätöksen voimassaoloaika säilyy alkuperäisenä– vaihtoehtoisesti on mahdollista todentaa kattavasti kaikki relevantit vaatimukset (uusi vaatimustenmukaisuustodistus, uusi

voimassaolo)– tarkennuksia tehdään edelleen tarvittaessa, myös arviointilaitosten ja niitä ohjaavan Viestintäviraston kanssa

• Tavoitteena on, että etenkin lakimuutosten ja määräysten mukaiset vaatimustenmukaisuustodistukset voivat olla voimassa määräajan loppuun tai mahdollisimman pitkään etenkin reseptiin liittyvien tietoturvavaatimusten osalta– esimerkiksi lakimuutospaketti 2 ei aiheuta vastaavaa uudelleenauditointitarvetta, kun auditointi on jo uudistettu

16.05.2014 Kelan toimittajayhteistyötapaaminen THL/OPER 23

Sertifiointi – huomioitavaa reseptitoiminnallisuuksien osalta- tarkennuksia ja vastauksia tietoturva-auditoinnin osalta

Ohje 6/2015

24

Yhteenveto / olennaisten vaatimusten ja omavalvonnan säädökset • Nojautuvat aiempiin käytäntöihin mm. tietoturva-auditointien

ja itseauditointien toteuttamisesta• Selkeyttävät toimijoiden vastuita olennaisten vaatimusten ja

omavalvonnan suunnittelussa ja toteuttamisessa• Määräyksillä ja ohjeilla tehty edelleen tarkennuksia

lakikohtien määritelmiin ja toimijoiden vastuisiin• Erityisesti omavalvonnan osalta painotuksena omavalvonnan

toteuttaminen ja seuranta

25

Omavalvonta: yleiskuva ja suhde tietojärjestelmien olennaisiin

vaatimuksiinKehittämispäällikkö Juha Mykkänen

THL / Oper

26

Hippokrateen vala, ote

Hippokrates (n. 460-370 eKr)

”Mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena.”

27

Tietoturvallisuuden perusperiaatteet• Eheys

– tarkkuus ja yhdenmukaisuus säilyvät tiedon elinkaaren ajan– luvaton muokkaaminen ei onnistu tai se havaitaan

• Luottamuksellisuus• Saatavuus ja luotettavuus

– tieto on saatavilla, kun sitä tarvitaan– ohjelmistot, laitteet, turvallisuus- ja viestinvälitysmekanismit toimivat

• Autenttisuus– tiedon alkuperä on tiedossa– tiedonvaihdon osapuolet tunnistetaan luotettavasti

• Kiistämättömyys ja velvoittavuus– sopimuksen velvoitteet täytetään– osapuoli ei voi kiistää osallistumistaan tapahtumaan (transaction)

28

Miksi omavalvontasuunnitelma?

• Parantaa ja yhdenmukaistaa sosiaali- ja terveydenhuollon tietosuoja- ja tietoturvakäytäntöjä arkityössä

• Varmistaa, että henkilöstö tietää tietosuojaan ja tietoturvaan liityvät menettelyt ja noudattaa niitä asiakas- ja potilastietojen käsittelyssä

• Huomioi arkaluonteisen tiedon salassapidon merkityksen• Helpottaa ymmärtämään väärinkäytöksen seuraamukset• Ohjaa ja tukee tietoturvavaatimusten noudattamista• Auttaa seuraamaan toimintaa käytännössä• Auttaa varmistamaan myös muiden palvelun tuottamiseen

osallistuvien tahojen tietoturvallisen toiminnnan• Selkeyttää roolit ja vastuut toteutuksessa

29

OmavalvontasuunnitelmaKeiden on laadittava• Sähköistä asiakas- ja potilastietojen käsittelyyn tarkoitettua

tietojärjestelmää käyttävien– Sosiaali- ja terveydenhuollon palvelun antajien,– apteekkien – itsenäisten ammatinharjoittajien

• Kansaneläkelaitoksen • Kanta-välityspalveluiden tuottajienMiksi• Suunnitelmassa selvitettyjen toimenpiteiden avulla ylläpidetään ja

kehitetään organisaation tietoturvaa ja tietosuojaaMilloin• 31.3.2015 mennessä

HUOM. Koskee myös muita kuin Kanta-palveluihin liittyviä toimijoita ja järjestelmiä

Asiakastietolain mukainen omavalvonta korvaa myös Kanta-palveluiden käyttöönoton yhteydessä tehdyt itseauditoinnit

30

Omavalvonnan ja olennaisten vaatimusten suhde• Tietoturvallisuuden varmistaminen on jatkumo

– Päivittäisen palvelutuotannon käytännöt ja toimintatavat ja niihin liittyvä ohjeistus sekä seuranta

– Käytettävät tietojärjestelmäratkaisut– Järjestelmien tekninen ja toiminnallinen käyttöympäristö

• Osa vaatimuksista voi kohdistua eri tilanteissa ja organisaatioissa järjestelmien käyttöympäristöön, tietojärjestelmätuotteeseen tai paikallisiin toimintatapoihin

• Myös osa tietojärjestelmien tietoturvavaatimuksista voidaan toteuttaa tai kompensoida käyttöympäristön toimenpiteillä

• Tärkeää ymmärtää omavalvonnassa myös järjestelmiin ja niiden käyttöympäristöön kohdistuvat olennaiset vaatimukset

31

Olennaiset vaatimukset ja niiden todentaminen / sertifiointi• Lakisääteisiä (159/2007 ja 61/2007 muutos 250 ja 251/2014)

– Toiminnalliset vaatimukset• Valmistajan / tietojärjestelmäpalvelun tuottajan oma selvitys JA ilmoitus

Valviraan (ja A-luokassa Kanta-yhteistestaukseen)– Yhteentoimivuusvaatimukset

• Todennetaan Kanta-yhteistestauksen kautta A-luokan järjestelmille– Tietoturva- ja tietosuojavaatimukset

• Todennetaan tietoturvallisuuden arviointilaitoksen suorittamalla tietoturva-auditoinnilla A-luokan järjestelmille

• Läpäissyt järjestelmä saa vaatimustenmukaisuustodistuksen

• Todentaminen = sertifiointiprosessi (A-luokkaan kuuluville järjestelmille ja teknisille Kanta-välityspalveluille)

• Tiedot järjestelmistä ilmoitettava Valviran ylläpitämään rekisteriin– Sertifioidut A-luokan järjestelmät– Valmistajien / tietojärjestelmäpalvelujen tuottajien ilmoitukset B-luokkaan

kuuluvista järjestelmistä

32

Järjestelmien luokittelu• Järjestelmien luokittelut A- ja B-luokkiin

– A: Kanta-palveluihin liittyvät järjestelmät• Myös Kanta-välityspalvelut

– B: Muut asiakas- tai potilastietoja käsittelevät järjestelmät– (on myös järjestelmiä, joita ei tarvitse luokitella)

• Luokiteltujen järjestelmien ilmoittaminen Valviralle– A-luokan järjestelmien

• vaatimustenmukaisuustodistuksen edellytyksenä hyväksytty Kelan yhteistestaus ja ulkoinen tietoturva-auditointi

• laki ja määräys jo voimassa– B-luokan järjestelmien

• täytettävä olennaiset vaatimukset 1.1.2017 käyttöönotettavien järjestelmien (tai olennaisia muutoksia sisältävien päivitysten) osalta

• Kirjallinen selvitys ja ilmoitus Valviralle

33

Luokan A tietojärjestelmien olennaisten tietoturvavaatimusten osa-alueet ja kohteet• Osa-alueet / kriteerit

– Sähköinen allekirjoitus– Käyttövaltuushallinta– Tunnistaminen (sis. Sulkulistat,

ammattioikeuden rajoitukset)– Käyttövaltuushallinta– Valvonta ja lokitus– Tietojen käsittely– Muut pakolliset vaatimukset– Sovellusturvallisuus– Käyttöympäristö /

luottamuksellisuus ja eheys

• Kohteet– Y: Yhteinen vaatimus kaikille

luokkaan A kuuluville tietojärjestelmille

– AP: Apteekkijärjestelmän toiminnallisuuksia toteuttavat

– R: Sähköisen lääkemääräyksen käsittelyn toiminnallisuuksia toteuttavat

– A: Arkistoon liittyvät toiminnallisuudet

– (VÄ: Välityspalvelut)

34

Olennaisten vaatimusten todentamistavat• Vaatimusten todentamisen perusvaihtoehdot

– Itseauditointi tai omavalvonta TAI– Ulkoinen auditointi / sertifiointi (viranomainen tai valtuutettu taho)

• Todentamistavat– Haastattelu– Dokumentaatio– Toiminnallinen testaus– Validointi tai tekninen tarkastus (esim. lokit, sanomainstanssit,

järjestelmän tuottamat raportit)• Ensimmäisissä määräyksissä todentamistavat ja vaatimukset

eivät erityisen tiukkoja; tulevaisuudessa mahdollista kiristää todentamistapojen vaatimuksia tarvittaessa

35

Kanta-sertifiointi ja omavalvonta – yleiskuva ja prosessit - tukimateriaali• Kuvaa sertifioinnin ja omavalvonnan kokonaisuutta• Sertifioinnin ja omavalvonnan tukimateriaalia• Yleiskuva• Toimijat• Prosessien ylätason kuvaukset

– Asiakasorganisaation omavalvonta, välittäjän valinta ja Kantaan liittyminen – yleiskuva

– Välityspalvelun sertifiointi– Tietojärjestelmän olennaisten vaatimusten sertifiointi: Kanta-

yhteistestaus ja tietoturvallisuuden auditointi– Vaatimustenmukaisuustodistuksen uudistaminen

36

Sertifiointiprosessi: ”uusi järjestelmä”

37

Teknisen Kanta-välityspalvelun sertifiointiTi

etot

urva

llisuu

den

arvi

ointi

laito

sVä

litys

palv

elun

tuott

aja

Kant

a-tu

otan

topa

lvel

u

Välityspalvelunvaatimustenmukaisuuden

arvioiminen

1.4

VALV

IRA

Ilmoitus käyttöön otettavasta

välityspalvelusta

Välityspalvelun omavalvonta

Rekisterin ylläpitäminen

Välityspalvelun tietoturvallisuudentarkastusraportti

Ilmoitus käyttöön otettavasta

välityspalvelusta

Välityspalvelun tietoturvallisuuden

tarkastusraportin laatiminen

2.3

2.8

§ 19 K

Välityspalvelun vaatimustenmukaisuus-

todistus

Välityspalvelunvaatimustenmukaisuus-todistuksen laatiminen

2.4

Käyttöön otettavastavälityspalvelusta

Ilmoittaminen

§ 19 F2.6

2.7

Välityspalvelun tietoturvallisuudentarkastusraportti

Auditiointiprosessinkäynnistäminen

2.1

2.2

Ilmoitusvaatimustenmu-

kaisuudesta

§ 19 M

Käyttöönoton edellyttämästätekniikasta sopiminen

Käyttöönoton edellyttämästätekniikasta sopiminen

2.5

2.5

Ilmoitusvaatimustenmu-

kaisuudesta

huom. eri asia kuin Kanta-välittäjäksi hakeutuminen

38

Yhte

istes

taus

vast

aava

3.2

Kant

aas

iaka

stuk

iJä

rjest

elm

ä-va

lmist

aja

1.6

Yhteistestauksentarpeen

arvioiminen

4.5

Ilmoituksenvastaanottaminen

Käsittelypyynnönvälittäminen

Valvi

ra

4.24.1

Tietojärjestelmän vaatimustenmukaisuudenarviointi

Ilmoitus yhteistestaukseen

tarpeettomuudesta

Ilmoitus testaustarpeesta

Tiet

otur

valli

suud

en

arvi

ointi

laito

s

4.8

4.7

Ilmoitus yhteistestaukseen

tarpeettomuudesta

4.6

Ilmoitus tietojärjestelmä-

muutoksesta

Tietoturvan uudelleenarviointitarpeen

arvioiminen

Tiedon toimittaminen Valviran

rekisteriin

4.12

Tietojärjestelmän tai välityspalvelun vaatimustenmukaisuuden arviointi4.3

Järjestelmä eikä

välityspalvelu?

Rekisterin ylläpitäminen

Ilmoitus päivitetystä vaatimusten-

mukaisuudesta

4.4

Kelanyhteistestaus-

lausunto

Vaatimustenmukaisuus-todistuksen päivittäminen

Vaatimusten-mukaisuus-

todistus

4.11

4.10

4.9

3.8

2.1

Ilmoitusvaatimustenmu-

kaisuudesta

Ilmoitusvaatimustenmu-

kaisuudesta

Ilmoitus tietoturva-auditoinnin tarpeesta tai

tarp eett omuudesta

Vaatimustenmukaisuustodistuksen uudistaminen

39

Huomioitavaa / olennaiset vaatimukset• Valtakunnallisten määräysten mukaiset vaatimukset ovat minimivaatimuksia• Vaatimusten avain on tietojärjestelmän käyttötarkoitus:

– määrittelee, mitä tarkempia vaatimuksia on toteutettava ja mille tasolle

• Kanta-palvelujen kautta tapahtuva tietojen yhteiskäyttö asettaa vaatimuksia kaikille liittyville tahoille ja järjestelmille

• Lisäksi huomioitava yleislainsäädäntö mm. henkilötietolain tietosuojavaatimukset, lääkinnällisten laitteiden säädökset jne.– Myös nämä taustalla, mutta ei suoraa vastaavuutta asiakastietolain mukaisiin

vaatimuksiin– Esim. potilastietojärjestelmän käyttötarkoitus päätöksenteon tukijärjestelmäksi TAI

potilastietojen tallentamiseen ja arkistointiin / Medical Device directive tulkintaohjeet / EU komissio CE-merkki, Laki terveydenhuollon laitteista ja tarvikkeista

• Jatkumo tietojärjestelmien olennaisista vaatimuksista omavalvontaan: omavalvonnassa syytä ymmärtää myös järjestelmiin kohdistuvat olennaiset vaatimukset!

40

Iltapäivän ohjelma• 13:30 Avaus / pj. Riitta Konttinen• 13:40 Omavalvonta: säädökset, määräykset ja ohjeet / Anna

Kärkkäinen• 14:15 Yleiskuva ja suhde tietojärjestelmien olennaisiin

vaatimuksiin / Juha Mykkänen• 14:35 Tauko• 14:50 Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja

omavalvonnan toteuttaminen / Juha Mykkänen• 15:20 Useimmin kysytyt kysymykset omavalvontasuunnitelmaan

liittyen / Juha Mykkänen• 15:40 Keskustelu ja kysymykset / pj. Riitta Konttinen• 16:00 Tilaisuuden päätös

Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen: kantapalvelut@thl.fi

41

Omavalvontasuunnitelman sisältö, suunnitelman laatiminen ja omavalvonnan toteuttaminen

Kehittämispäällikkö Juha MykkänenTHL / Oper

42

Omavalvontasuunnitelman minimivaatimukset ja selvitykset

• Omavalvonnan kautta varmistutaan vähintään:1. Henkilöstön riittävästä koulutuksesta ja kokemuksesta2. Asianmukaisten käyttöohjeiden saatavuudesta3. Asianmukaisesta käytöstä järjestelmän valmistajan ohjeiden

mukaan4. Menettelytavoista virhe- ja ongelmatilanteissa5. Toimintamallista asennus-, ylläpito- ja päivitystilanteissa 6. Käyttöympäristön vaatimustenmukaisuudesta7. Tietojärjestelmien vaatimustenmukaisuudesta8. Liittymisestä valtakunnallisiin tietojärjestelmäpalveluihin9. Riittävistä käytön seuranta- ja valvontatoimenpiteistä

Tavoitteena varmistaa, että kaikki asiakas- ja potilastietojen käsittelyyn osallistuvat osaavat toimia oikein, ja että huolehditaan näihin seikkoihin kohdistuvista vaatimuksista

Omavalvontasuunnitelman sisältöJaettu kokonaisuuksiin, joihin kootaan esim. linkkeinä kuhunkin

kokonaisuuteen kuuluvat dokumentit:1. Johdanto

2. Suunnitelman kohde:– Ketkä kuuluvat suunnitelman piiriin: palvelunantajat, järjestelmät, käyttäjät kuvattuna

3. Yleiset tietoturvakäytännöt:– Kuvaukset tietoturvapolitiikasta, tietosuojaan ja valvontaan liittyvistä vastuista, koulutus, ohjeistus,

toimintamalleihin perehdytys, tietojärjestelmien ja potilastietojen käsittelyyn ohjeistus ja koulutus

4. Käyttöympäristön ja useiden järjestelmien yhteiset tietoturvakäytännöt:– Menettelyt virhe- ja ongelmatilanteissa, järjestelmien käyttöohjeiden hallinnointi ja saatavuus, järjestelmien

asennus ja ylläpito, tilojen työasemien, tallennusvälineiden ja tulosteiden turvallisuus, muut käyttöympäristön käytännöt

5. Käyttövaltuuksien, pääsynhallinnan ja käytön seurannan yleiset käytännöt:– Käyttäjäryhmät, käyttövaltuushallinnan ja käytön seuraamisen käytännöt

6. Kanta-palvelujen käytön tietoturvakäytännöt

7. Tietojärjestelmät:– Kanta-palveluihin liittyvät tietojärjestelmät (A), muut asiakas- tai potilastietoja käsittelevät järjestelmät (B),

muut tietojärjestelmät jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

8. Tietojärjestelmäkohtaiset ohjeet ja suunnitelmat:– Järjestelmien osalta joilla on vaikutusta asiakas- tai potilastietojen käsittelyyn, tietoturvaan tai tietosuojaan

43

Esimerkkinä omavalvontasuunnitelman mallipohjan rakenne

Luku 2 Suunnitelman kohde

• Selvitetään ne tahot, jota tämä Omavalvontasuunnitelma koskee– ”kenen omavalvontasuunnitelma on kyseessä”– tässä kohdassa siis ei vielä esim. järjestelmien luettelointia

• Laaditaan kuvaus suunnitelman hyödyntämisestä tietojärjestelmien käytössä, käytön valvonnassa, hankinnoissa ja kehitystyössä sekä tähän mahdollisesti liittyvissä päätöksissä

• Kuvataan myös, miten omavalvontasuunnitelman toteutumisen seurannan menettelytavat on suunniteltu.

• Menettelytapojen on oltava todennettavissa tarkastusten yhteydessä

4444

Luku 3 Yleiset tietoturvakäytännötSisällytettävä kuvaukset tai viittaukset seuraavista asioista:• Tietoturvapolitiikka: tiedot sen tarkastamisen ja

kehittämisen käytännöistä• Yleistiedot: tietoturvan vastuutuksesta, organisoinnista,

seurannasta ja valvonnasta sekä tietosuojavastaavista • Koulutus, ohjeistus, kokemus ja niiden seuranta• Toimintamallien koulutus ja perehdytys• Tietojärjestelmien käyttökoulutus• Riittävä kokemus• Ohjeet ja koulutus potilastietojen käsittelystä

45

Luku 3 Koulutusmalli ja seurantakäytänteetKoulutus, ohjeistus ja käyttökokemus ja niiden seuranta• Sisällytetään mahdolliset viittaukset erillisiin koulutus- ja/tai osaamisen

ja käyttökokemuksen seurannan suunnitelmiin• Kuvataan miten varmistetaan, että henkilöstölle on annettu koulutus

tietojärjestelmien käyttöön, potilas- ja asiakastietojen käsittelyyn sekä tietosuoja- ja tietoturva-asioihin

• Miten seurataan ja ylläpidetään henkilöstön osaamista ja kokemusta

Toimintamallien koulutus ja perehdytys• Miten huolehditaan toimintamallien perehdytykseen ja koulutukseen

liittyvistä toimintatavoista ja koulutussuunnitelmista• Miten koulutusten toteutumista ja oppimista seurataan (esim.

todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista arkistoidaan)

46

Luku 3 Tietojärjestelmän koulutusmalli ja seurantakäytänteetTietojärjestelmien käyttökoulutus• Miten nyt huolehditaan tietojärjestelmien käyttökoulutukseen

liittyvistä toimintatavoista ja koulutussuunnitelmista• Miten nyt koulutusten toteutumista ja oppimista seurataan (esim.

todistukset tai ylläpidettävät tiedot koulutuksiin osallistumisista)

Riittävä kokemus• Miten nyt varmistetaan ja todennetaan käytössä olevien asiakas-

ja / tai potilastietojärjestelmien käytön vaatima kokemus• Miten on järjestetty käyttäjien ohjaus

Ohjeet ja koulutus potilastiedon käsittelystä• Miten ohjeet potilastietojen käsittelystä ja palvelujen antajan

henkilöstön koulutuksesta potilastietojen käsittelyyn sekä henkilöstön tietämyksen ylläpito on dokumentoitu ja todennettavissa

47

Luku 4 Käyttöympäristön tietoturvakäytännöt

Kuvataan, mistä on saatavissa tiedot tai kuvaukset:• Menettelyt virhe- ja ongelmatilanteista• Järjestelmien käyttöohjeiden hallinnoinnista ja

saatavuudesta• Järjestelmien asennuksesta ja ylläpidosta yleisesti• Tilojen, työasemien, tallennusvälineiden ja tulosteiden

turvallisuudesta• Muista käyttöympäristön tietoturvakäytännöistä

48

Luku 4 Menettelyt virhe- ja ongelmatilanteissa• Kuvataan selvittelykäytänteet ja määritellään vastuut

– verkko- tai tietoliikenneongelmien selvittelyssä– järjestelmien käyttöön liittyvien ongelmien yhteydessä– havaittujen tai toteutuneiden tietoturva- tai tietosuoja-uhkien

tai ongelmien hallintamallit ja käytäntö• Ohjeistetaan A tai B järjestelmien olennaisten

vaatimusten täyttymisessä havaittujen merkittävien poikkeamien ilmoittamisprosessi – Organisaation sisällä– Tietojärjestelmän valmistajalle– Kelalle huomioiden häiriöviestintäohje (mikäli A-luokan

järjestelmä)– Valviralle, jos poikkeama aiheuttaa merkittävän riskin

potilasturvallisuudelle

49

Luku 4 Järjestelmien käyttöohjeiden hallinnointi ja saatavuus

• Kuvataan ja dokumentoidaan asiakas- ja / tai potilastietojärjestelmien – käyttöohjeiden hallinnointi ja saatavuus– henkilöstön perehdyttäminen ja sen toteuman todennettavuus– Valmistajien ohjeiden hallintakäytännöt, päivittäminen ja jakelu

• Kuvataan tietojärjestelmäpalvelun tuottajan ajantasaisten ja riittävien käyttöohjeitten – Hankinta ja saanti– Päivittäminen ja jakelu ohjelmiston ja versiopäivitysten muutoksessa– Varmistus- ja todentamiskäytäntö: tietojärjestelmiä käytetään

valmistajan antamien ohjeiden mukaisesti tai niitä sovelletaan tarkoituksenmukaisesti

50

Luku 4 Järjestelmien asennus ja ylläpito yleisesti

Kuvataan yleisellä tasolla:• Mikäli järjestelmäkohtaiset seikat poikkeavat

määritellyistä seikoista, ne voi kuvata lukuun 8, erikseen• Määritellään järjestelmien asennuksen, ylläpidon ja

päivityksen roolit ja vastuut • Tarkennetaan ylläpitotehtävien vaatima koulutus,

ammattitaito ja asiantuntemus • Kuvataan järjestelmien muutoshallinnan, testauksen ja

hyväksymisen menettelytavat

51

Luku 4 Tilojen, työasemien, tallennusvälineiden ja tulosteiden sekä muun ympäristön turvallisuuden hallintaKuvataan ja luetellaan seuraavat turvallisuustekijät:• Suojattavat fyysiset tilat ja niiden suojauskäytännöt• Työasemien sijoittuminen, lukittuminen ja suojaus sivullisilta• Työasemien virus- ja haittaohjelmilta suojautuminen• Mobiililaitteiden ja –ympäristöjen suojauskäytännöt, PIN-koodien hallinta,

SIM-korttien hallinta, ohjelmalliset suojaukset• Oheisohjelmistojen asentaminen työasemille, palvelimille ja mobiililaitteille• Tulosteiden turvallisuus ja tulosteiden turvallisen käsittelyn käytännöt• Ulkoiset tallennuslaitteet ja tallennusvälineet• Yleiset käyttöympäristön tukipalvelut, Operaattoreitten ja tietoliikenteen

vastuut ja niiden sisällyttäminen sopimuksiin• Etäyhteydet, langattomat verkot ja reitittimet

52

Luku 5 Käyttövaltuuksien, pääsynhallinnan ja käytönseurannan säännöt

Laadittava kuvaukset, viittaukset ja toteuma asioista:Käyttäjäryhmät• Mistä on saatavissa dokumentaatio niistä käyttäjäryhmistä, jotka käyttävät asiakas- ja/tai

potilastietojärjestelmiä. • Kanta-palveluihin osalta tulee olla dokumentoituna käyttäjäryhmien Kanta-palveluiden

käyttöoikeudet ja -aika

Käyttövaltuushallinnan ja käytön seuranta ja välineet• Käyttövaltuuksien hakemisen, myöntämisen, seurannan, muuttamisen,

tarkistamisen/varmistamisen ja poistamisen käytännöt ja missä niitä hallinnoidaan ja kuka hyväksyy pyynnöt

• Käyttäjien tunnistamisen ja todentamisen käytännöt, lokien hallinta ja käytön seurannan käytännöt

• Toimintamalli ja toteuma havaittaessa lainvastaista asiakas- tai potilastietojen käsittelyä pitää olla todennettavissa

• Laadittava myös kuvas Kelan lokitietojen saanti- ja hankintaprosessista seurannan ja valvonnan toteuttamiseksi

53

Luku 6 Kanta-palvelujen käytön tietoturvakäytännötVoidaan kuvata myös aiempien lukujen vastaavien kohtien yhteydessä

Kuvataan Kanta-palvelujen edellyttämien• Tunnistamis- ja todentamisratkaisujen toteuttaminen• Varmenneratkaisujen toteuttaminen (eri tyyppiset varmenteet)• Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin• Kanta-liityntäpisteen tietoturvakäytännöt ja vastuut (esim. mitä toteuttaa

välittäjä, onko käytössä sertifioitu välityspalvelu (=luokan A järjestelmä), jne.)

• Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden palvelun tarjoajien luovutustietoa

• Kanta-palvelujen pääsynhallinnan toteuttaminen• Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen• Vaatimuksenmukaisuustodistuksen edellyttäminen ja vastuut • Kansallisten mallien hallinta• Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet

54

Luku 7 Tietojärjestelmäluettelo tai viite

Kanta-palveluihin liitettävät järjestelmät (luokka A):• Järjestelmä, versio, toimittaja, yhteystiedot,

vaatimuksenmukaisuustodistus

Muut asiakas- tai potilastietoja käsittelevät järjestelmät (luokka B)

• Järjestelmä, versio, toimittaja, yhteystiedot

Muut tietojärjestelmät, jotka otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

• Järjestelmä, versio, toimittaja, yhteystiedot

55

Usein järkevää koota tämän kohdan sisältö ensimmäisten asioiden joukossa

Luku 8 Tietojärjestelmäkohtaiset ohjeet ja suunnitelmatSoveltuvin osin samantyyppiset kuvaukset kuin aiempien lukujen

vastaavissa osioissa: • Esim. A-luokkaan kuuluva:

– Järjestelmä, versio, toimittaja, yhteystiedot– Käyttötarkoitus– Käyttäjäryhmät– Käyttöohjeet– Ohjeiden päivittäminen ja jakelu– Menettelyt virhe- ja ongelmatilanteissa– Järjestelmäkohtaiset tukipalvelut– Asennus- ja ylläpitovastuut ja -vaatimukset– Menettelytavat ja vastuut virhe- ja poikkeustilanteissa– Käyttövaltuushallinta järjestelmässä– Tunnistautuminen järjestelmässä– Lokit– Järjestelmän lukittuminen– Kantaan liittyvän järjestelmän vaatimustenmukaisuustodistuksen tietojen varmistaminen– Järjestelmän tiedot Valviran rekisterissä

56

57

Omavalvontasuunnitelman laatiminen on sitä yksinkertaisempaa, mitä enemmän pohjatyötä

on jo tehty• Omavalvontasuunnitelmassa

– Viitataan aina kuin mahdollista, olemassa oleviin, erikseen ylläpidettäviin ohjeisiin ja dokumentteihin (esimerkiksi linkkien avulla)

– Olennaista on, että suunnitelmasta selviää, mistä tiedot / dokumentaatio on löydettävissä tai miten vaatimuksen täyttyminen on todennettavissa.

– Mikäli valmista dokumentaatiota ei ole, omavalvontasuunnitelmaan kuvataan vaadittavat asiakokonaisuudet ja toimintatavat

HYÖDYNNÄ:TietoturvapolitiikkaKokonaisarkkitehtuurikuvauksetLaatukäsikirjaOmat tietoturvallisuusohjeetTietojärjestelmäpalvelujen tuottajien ohjeetJne.

58

Perustiedot Potilastiedon arkiston kansallisesta toimintaympäristöstä

Omavalvonta-suunnitelman kokoaminen

Projektin hallinnointi

Viestintä

Organisaatioiden

toimintamallit

Henkilöstön koulutus

ja muutukimateriaali

Jatkuvuuden varmistaminen

Varmenteiden hankinta ja

käyttö

Hallinnolliset päätökset

Rekisteritiedot Koodisto-palveluun

Esimerkki: potilastiedon arkiston käyttöönotto

Käyttöönottoa edeltävät tehtäväkokonaisuudet

Teknisen ympäristön

toteutus

Käyttöönotto ja käytön

aloittaminen

Kanta –palvelun liittymissopimus

ja käyttöönotto-koe

Arkiston hallinta

Hyväksymis- ja tarkistusmenettelyt ja omavalvonnan toteuttamisen dokumentointi

• Omavalvontasuunnitelman laadinnan ja noudattamisen vastuu on toimintayksikön vastaavalla johtajalla

• Omavalvontasuunnitelma ja siihen kirjatut menettelytavat edellyttävät organisaation omien hyväksymiskäytänteiden mukaisen hyväksymisen

• Omavalvonnan toteuttaminen on dokumentoitava ja oltava todennettavissa– Ei yksityiskohtaista ohjetta esim. omavalvonnan toteuttamiseen liittyvän

materiaalin säilyttämisestä, mutta hyviä käytäntöjä esim.• Säännöllisen omavalvonnan materiaalit 5v• Väärinkäytösepäilyjen ja ulkoisten tarkastusten materiaalit 12v• Esim. omassa laatukäsikirjassa kuvattavat säilytys- ja hallintakäytännöt

• Suunnitelman mukaisen toiminnan toteutumisen tarkistuksiin, esim. valvontaviranomaisen taholta, on hyvä varautua

59

60

HUOM• Omavalvontasuunnitelma on sovellettava OMAAN

TOIMINTAAN• Mukana paljon eri tyyppisten toiminta- ja käyttöympäristöjen

piirteitä• Merkittävissä suunnitelmaan, mikäli jotkin suunnitelman /

määräyksen vaatimuksista eivät ole relevantteja omassa toiminnassa– Esim. pieni liite perusteluineen

• Merkittävä suunnitelmaan, mikäli joistakin suunnitelman asioista vastataan esim. sopimusten tai hankintojen kautta– Nämä oltava myös todennettavissa

61

Yhteenveto• Kun kokoat omavalvontasuunnitelmaa, pystyt samalla

toteamaan, miten hyvin keskeisiä tietosuoja- ja tietoturva-asioita omassa organisaatiossasi on jo hoidettu ja missä vielä tarvitaan parannusta– Yhtenä pohjana omavalvontasuunnitelman mallipohjat– Ensin liikkeelle ”omasta toiminnasta”, tarkennukset vähitellen

myös sopimusten kautta hallittaviin seikkoihin• Vasta suunnitelman mukaisesti toimiminen parantaa

tietoturvallisuutta!

62

Useimmin kysytyt kysymykset omavalvontasuunnitelmaan

liittyen Kehittämispäällikkö Juha Mykkänen

THL / Oper

Kysymyksiä tapahtuman aikana voi lähettää myös osoitteeseen:

kantapalvelut@thl.fi

63

Omavalvontasuunnitelman mallipohjat• Määräyksen liitteenä yleinen pohja, jossa malleja ja ”valmiita

paikkoja” asioille, joihin omavalvonnassa (ja suunnitelmassa) on vastattava

• Lisäksi saatavilla mm.– Mallipohja yrityksille/itsenäisille ammatinharjoittajille (Potilastiedon arkiston

käyttöönoton käsikirja yksityisille)– Mallipohja apteekeille (Suomen Apteekkariliitto)– Eri yritysten tarjoamia pohjia, joissa voi olla myös muita arvioitavia seikkoja

kuin minimivaatimukset

• Sovellettava omaa tilannetta vastaavalla tavalla– Vaatimusten toteuttaminen eri tavoin mahdollista eri tyyppisissä

organisaatioissa ja palveluissa– Erilaisten sopimusjärjestelyjen vaikutukset omavalvontaan

huomioitava– Perusteltavissa, mikäli jokin vaatimus tai kohta ei ole relevantti omien

palvelujen / oman käyttöympäristön kannalta

64

Mitkä järjestelmät sisällytetään omavalvontasuunnitelmaan?• Mitkä järjestelmät on sisällytettävä

omavalvontasuunnitelmaan? Järjestelmät, jotka liitetty Kanta-palveluihin? Millä perusteilla poimitaan mukaan otettavat? – Omavalvontasuunnitelmaan kirjataan/linkitetään luettelo kaikista

organisaation käyttämistä asiakas- ja potilastietojen käsittelyyn tarkoitetuista sähköisistä tietojärjestelmistä

– Samoin viite/kuvaus/linkki järjestelmäkohtaisiin kuvauksiin– Jos kuvauksia ei ole tehty, tehdään suunnitelma ja aikataulu

kuvausten laatimisesta

65

Suhde Valviran omavalvontasuunnitelmaan• Mikä on Asiakastietolain mukaisen omavalvontasuunitelman

suhde Valviran omavalvontasuunnitelmaan?– Valviraan tehtävä omavalvontasuunnitelma laajemmin toiminnan

kannalta tehtävä– Asiakastietolain mukainen omavalvontasuunnitelma keskittyy

asiakas- ja potilastietojen käsittelyyn, tiedonhallintaan, tietojärjestelmien hallintaan sekä tietoturvaan ja tietosuojaan

66

Tietosuojavastaava• Tietosuojavastaavan valinta -kuka sopii tehtävään, pitääkö

valittu henkilö kouluttaa siihen, onko ylipäätään koulutusta tarjolla ja mitä se maksaa?– Tietosuojavastaavan tehtävään ei ole erityisiä

soveltuvuuskriteereitä tai koulutusvaatimuksia– Yleinen kuvaus tehtävästä http://www.kanta.fi/tietosuojavastaava

 – Tietosuojavastaavan tehtäväkuva –mallipohja– Koulutusta tietoturvasta ja tietosuojasta:

• Tietoturva ja tietosuoja –verkkokoulu kanta.fi -sivustolla• Vuosittainen soten tietosuojaseminaari (järj. mm. Kuntaliitto, TSV,

FCG)• STTY:n (Sosiaali- ja terveydenhuollon tietojenkäsittely-yhdistys)

tietosuojavastaavien jaosto – Materiaalia: Tietosuojavastaavan käsikirjat 1 ja 2 (Andreasson,

Koivisto, Ylipartanen)

67

Tietoturvapolitiikka• Kuinka tarkka esitys omavalvontasuunnitelman liitteeksi pitää

tietoturvapolitiikasta yrityksissä tehdä? Järjestömme on tuottanut jäsenistölle Tietoturvapolitiikan mallin. Riittääkö se, että yrittäjä liittää sen osaksi omavalvontasuunnitelmaa edellyttäen tietenkin, että on sisäistänyt sen sisältämän sanoman?– Mallipohjia voi hyvin käyttää. Keskeistä on se, että palvelun

tuottaja sisäistää asian, ja täydentää mallipohjaan oman organisaationsa näkökulmasta

68

Kantaan liittyminen ja omavalvontasuunnitelma• Mitkä velvollisuudet koskevat kaikkia ja mitkä erityisesti

Kantaan liittyviä järjestelmiä• Mitä uusia vaatimuksia Kantaan siirtyminen tuo

omavalvontasuunnitelman sisältöön?– Omavalvontasuunnitelmassa ja mallipohjassa on erikseen

kappale, jossa määritellään Kantaan liittyvien erityisvaatimuksien huomiointi

– Kantaan liittyvien järjestelmien erityisiä vaatimuksia– Mm. tunnistamis- ja todentamisratkaisujen toteuttaminen, Varmenneratkaisujen toteuttaminen

(eri tyyppiset varmenteet), Käyttövaltuuksien hallinta ja kytkentä työntekijöiden työrooleihin– Kantapalvelujen käytön seuranta ja valvonta erityisen huolella, koska saatavilla muiden

palvelun tarjoajien luovutustietoa, Kanta-palvelujen pääsynhallinnan toteuttaminen, Sosiaali- ja terveydenhuollon dokumenttien ja rekisterien erottaminen, Vaatimuksenmukaisuustodistuksen edellyttäminen, Kansallisten mallien hallinta, Häiriötoimenpiteet huomioiden kansallinen häiriö- ja muutosohjeet

69

Vastuut järjestelmätoimittajan ja yrityksen välillä omavalvonnassaMistä tiedän, mitkä asiat omavalvonnassa kuuluvat sosiaali- ja terveydenhuollon palveluntuottajan/ ammatinharjoittajan vastuulle ja mitkä tietojärjestelmätoimittajan vastuulle?• Kokonaisvastuu omavalvontasuunnitelman laatimisesta, suunnitelman

mukaisesta toiminnasta ja toteutumisen seurannasta on sosiaali- ja terveydenhuollon organisaatiolla

• Järjestelmätoimittajan rooli voi vaihdella järjestelmän hankinta- ja ylläpitomallin mukaisesti

• Myös välittäjällä ja välityspalvelun toteuttajalla voi olla sopimuksin sovittuja vastuita (ja myös omavalvontasuunnitelmia)

• Vastuut kirjattava sopimuksiin ja omavalvontasuunnitelmaan kuvatta miten asiasta on sovittu järjestelmätoimittajan / välityspalvelun tuottajan kanssa

• Esim. hankittaessa järjestelmä palveluna järjestelmätoimittaja vastaa järjestelmän teknisestä ylläpidosta, versioiden asennuksista, tietoliikenteestä, voi toimia valtuutettuna välittäjänä, huolehtia Kanta-liityntäpisteestä ym.

70

Omavalvontasuunnitelman julkisuus• Tuleeko omavalvontasuunnitelman olla julkisesti nähtävillä

esimerkiksi internetissä, vai riittääkö, että suunnitelma on henkilöstön nähtävillä? – Omavalvontasuunnitelman ei tarvitse / pidäkään olla julkisesti

nähtävillä– Monissa tilanteissa ja organisaatioissa suunnitelma sisältää

sellaista tietoturvallisuustietoa, joka on syytä pitää ulkopuolisten saavuttamattomissa tai poissa julkisesta jakelusta

– Henkilöstön tulee olla tietoinen omavalvontasuunnitelmasta tai ainakin niistä sen asioista jotka heitä suoraan koskevat

71

Mikä on riittävä henkilöstön kokemus?• Miten määritellään henkilöstön riittävä kokemus?

– Henkilöstön kokemus järjestelmän käyttöön kasvaa järjestelmien käytön ja koulutusten myötä

– Keskeistä on, että uusille työntekijöille järjestetään riittävä koulutus ja perehdytys järjestelmän käyttöön

72

Tietojärjestelmän käyttäminen valmistajan ohjeiden mukaisesti• Omavalvontasuunnitelman kysymys: "Miten varmistetaan ja todennetaan,

että tietojärjestelmiä käytetään valmistajan antamien ohjeistusten mukaisesti tai niitä tarkoituksenmukaisesti soveltaen tai täydentäen." – Kun koulutus, ohjeistus ja seuranta on toteutettu siten, että ajantasaiset

ohjeistukset ovat saatavilla ja käyttäjät tuntevat ohjeet, ja käyttöön liittyville käyttäjien kysymyksille (myös ohjeisiin liittyen) on määritelty selkeä ja tiedossa oleva toimintatapa, ei pidemmälle menevää todentamista voida nykyisellään edellyttää.

– Luokan A tietojärjestelmien olennaisissa tietoturvavaatimuksissa edellytetään käyttötarkoituksen mukaista käyttöä, asennusta ja ylläpitoa varten tarpeellisten ohjeiden saatavuutta. Ohjeiden on vastattava käytössä olevaa versiota. Mikäli ohjeet on tarkoitettu päivitettäväksi tai täydennettäväksi käyttöympäristökohtaisesti, on päivityksestä tai täydennyksestä oltava saatavilla selkeä ohjeistus.

– Useissa eri ympäristöissä käytettävissä tietojärjestelmätuotteissa voi myös olla yleinen käyttöohjeistus, jonka tueksi tarvitaan paikallisesti tarkennettuja ohjeita tai menettelytapoja. Sopimuksista riippuu, kuka tällaiset ohjeet tuottaa.

73

Lokivalvonnan toteuttaminen• Onko yksityiskohtaisempia ohjeita lokivalvonnan

toteuttamisesta eri potilastietojärjestelmissä?– Järjestelmien käyttölokivaatimukset on kuvattu dokumentissa

Vaatimukset potilastietojärjestelmien käyttölokeille – Lokivalvontaa tehdään

• Suunnitelmallisesti, eli organisaatio suunnittelee etukäteen lokitietojen seurannan ja tarkastukset (toistuvuus, laajuus)

• Potilaan pyytäessä lokitietoja• Kun organisaatiossa herää epäily tietojen käytön asianmukaisuudesta

– Käsikirjan tukimateriaaleissa taulukko, johon voi koota ”kirjanpitoa” tehdystä lokivalvonnasta, havainnoista ja jatkotoimenpiteistä

– Lokivalvonnan / käyttölokien valtakunnallisten määrittelyjen tarkentaminen suunnitteilla / ota yhteyttä esim. OPER-yksikköön

74

Sosiaali- ja terveyspalvelujen omavalvonta: yhdessä vai erikseen?• Sosiaali- ja terveyspalveluihin yleensä järkevää tehdä yhteinen

tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma, jos omavalvonnan kohteen toimintaan kuuluu molempia– Eriyttäminen perusteltua ja sallittua, jos myös toiminta eriytettyä

• Sosiaalipalvelujen osalta tietoturvallisuuden ja tietosuojan omavalvontasuunnitelma yleensä järkevää erottaa sosiaalihuollon palvelujen omavalvontasuunnitelmasta– ks. kohta ”Suhde Valviran omavalvontasuunnitelmaan”

• Omavalvontasuunnitelman sisällön ei ole välttämätöntä olla yhdessä dokumentissa myöskään siitä näkökulmasta, että eri henkilöstöryhmille voi olla omia tiivistelmiään / osioitaan (esim. järjestelmien ylläpitoyksityiskohdat eivät tarpeellisia kaikille ”peruskäyttäjille”)

75

Yhteenveto, keskustelu ja kysymykset

pj. Kehittämispäällikkö Riitta Konttinen

Kysymyksiä voi lähettää myös osoitteeseen: kantapalvelut@thl.fi

76

Keskiössä roolit ja vastuut • Palvelun antaja varmistaa omavalvontaan kuuluvien toimintojen

toteutumisen ja resurssit kaikissa palveluyksiköissään sekä palvelujen tuottamiseen osallistuvien muiden tahojen kanssa, päivittäisessä työssä

• Määritellään vastuut toiminnan, tietoturvallisuuden ja yhteistoiminnan varmistamiseksi

• Kirjataan vastuut tarvittaviin sopimuksiin, esimerkiksi kun Käyttöympäristö tai tietotekniikkapalvelu ulkoistettu Tietoliikenne ja viestinvälitys ulkoistettu Ostopalvelun yhteydessä Asiakas- ja potilastietojärjestelmiä käyttävien toimintayksiköiden ja

ammatinharjoittajien vastuiden määrittelyiden yhteydessä• Omavalvonnan toteutukseen kuuluu suunniteltu ja säännöllinen

toiminnan valvonta ja menettelytavat: – toimenpiteet rikkomustilanteissa, toteuman laadun arvointi, riskien hallinta ja

takaisinkytkentä jatkuvaan kehittämiseen

77

Ajankohtaista ja tulevaa• Sote-tieto hyötykäyttöön 2020 -strategian toimeenpanossa

tietoturvallisuuden alueellinen ja kansallinen varmistaminen nojautuvat omavalvonnan ja olennaisten vaatimusten kautta tapahtuvaan toimintaan

• Kesän aikana ilmestynyt tarkennettuja ohjeita– Ohje 3/2015: Kanta-välityspalveluiden ja välittäjien sertifioinnin ja omavalvonnan

tarkennukset– Ohje 6/2015: Sähköisen reseptien toiminnallisuuksia toteuttavien järjestelmien

vaatimustenmukaisuus siirtymävaiheessa (jatkotarkennukset mahdollisia)

• Tulossa mm.– Syksyn 2015 aikana valmistelussa määräys (ja luokittelu) sote-tietojärjestelmien

(sekä A- että B-luokka) olennaisista toiminnallisista vaatimuksista– Valviran rekisteri sote-tietojärjestelmistä– Käynnissä tarkennustarpeiden selvittäminen lokivalvonnan vaatimuksiin

• Jatkossa: päivityksiä määräyksiin ja olennaisiin vaatimuksiin sertifiointi- ja omavalvontakokemusten pohjalta

78

Yhteenveto• Omavalvonta ja olennaiset vaatimukset ovat keskeisiä keinoja riskien

hallinnassa ja oikeusturvan toteuttamisessa!• Tietojärjestelmien olennaisten vaatimusten ja omavalvonnan kautta

varmistetaan, että – järjestelmien toteutuksessa on riittävällä tavalla huomioitu käyttötarkoituksen

edellyttämät yhteentoimivuus-, tietoturva- ja tietosuoja-asiat– asiakas- ja potilastiedot suojataan asianmukaisilla tietoturva- ja

tietosuojakäytännöillä palvelujen tuottajien toiminnassa

• Olennaiset vaatimukset nojautuvat kansallisiin määrittelyihin• Omavalvontasuunnitelman soveltaminen sovitettava palvelun tuottajan

toimintatapojen mukaiseksi– Esim. osa asioista mahdollista hoitaa sopimusten kautta, mutta vaatimukset

pystyttävä todentamaan myös näissä tilanteissa– Mm. yksityisille pienille toimijoille saatavilla erillinen mallipohja

omavalvontasuunnitelmasta

• Määräyksiä ja vaatimuksia päivitetään jatkossa, kun kansallisia palveluita ja sisältöjä tulee lisää

79

Kiitos!

Kysymyksiä ja lisätietopyyntöjä voi

lähettää kantapalvelut@thl.fi

Lisätietoja sertifioinnista ja omavalvonnasta: Tiedon ja vaatimusten yhdenmukaistaminen

https://www.thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/tiedon-ja-vaatimusten-yhdenmukaistaminen

Kanta sertifiointi

http://www.kanta.fi/web/ammattilaisille/sertifiointi Yksityiset ja itsenäiset ammatinharjoittajat

http://www.kanta.fi/web/ammattilaisille/potilastiedon-arkiston-kayttoonoton-kasikirja