Tämä on SOTE-tietoturvaa koskevan sarjamme osa 1.

Tietojärjestelmätuottajia askarruttaa usein kuuluuko järjestelmä, asiointipalvelu tai hyvinvointisovellus A- vai B-luokkaan. Luokitus vaikuttaa olennaisesti siihen, mitä vaatimuksia tietojärjestelmän on täytettävä ja tarvitseeko se tietoturvallisuuden arviointia. Soveltavan luokituksen määrittäminen on tietojärjestelmätuottajan lain vaatima velvollisuus, joka vaatii aikaa ja perehtymistä määräyksiin ja lomakkeisiin.
Mitä tietojärjestelmiä laki koskee?
Asiakastietolain mukaiset tietojärjestelmät ja hyvinvointisovellukset on luokiteltava ja rekisteröitävä Valviran ylläpitämään järjestelmäreksiteriin Astoriin. Lain mukaisia tietojärjestelmiä ja hyvinvointisovelluksia ovat:
- Järjestelmät ja osajärjestelmät, joita käytetään asiakas- ja potilastietojen tai asiakirjojen sähköiseen käsittelyyn, tallentamiseen ja/tai ylläpitoon. Järjestelmä voi käsitellä sosiaali- ja terveydenhuollon palvelunantajan paikalliseen rekisteriin tallennettuja tietoja tai se voi viedä ja/tai hakea tietoja keskitetysti Kanta-palveluista.
- Hyvinvointisovellukset, jotka ovat liittyneet omatietovarantoon ja käsittelevät hyvinvointitietoja. Hyvinvointisovellus voi myös olla yhteydessä muihin Kanta-palveluiden arkistoihin, kuten asiakastietovarantoon.
- Palvelunantajan digitaaliset asiointipalvelut, joissa käsitellään palvelunantajan paikalliseen rekisteriin tallennettuja tietoja. Digitaaliset asiointipalvelut voivat olla lain mukaisia tietojärjestelmiä, hyvinvointisovelluksia tai molempia.
- Lääkinnälliset laitteet voivat myös olla asiakastietolain mukaisia tietojärjestelmiä, jolloin ne on luokiteltava.
A-luokkaan kuuluvat järjestelmät
Määräys 4/2024 käsittelee tietojärjestelmien luokittelua ja sisältää esimerkkejä ja tarkennuksia luokittelusta, joihin kehotan tutustumaan tarkemmin. Karkeasti A-luokkaan kuuluvat järjestelmät ja hyvinvointisovellukset, jotka:
- liittyvät suoraan Kanta-palveluihin tai
- liittyvät toisen järjestelmän tai välityspalvelun kautta Kanta-palveluihin tai
- tuottavat kansallisten määrittelyiden mukaisia rakenteisia asiakirjoja tai muita tietorakenteita, jotka välitetään suoraan, toisen järjestelmän tai välityspalvelun toimesta Kanta-palveluihin
- käyttävät Kanta-palveluista haettuja tietoja
- käsittelevät tai säilyttävät potilas- ja asiakastietoja laajamittaisesti, vaikka ne eivät liittyisi suoraan tai välillisesti Kanta-palveluihin – Järjestelmä käyttää suuria määriä paikallisesti tallennettuja potilas- tai asiakastietoja.
- B-luokan korkean riskitason järjestelmät
Käyttötarkoituksen profiilit
Tietojärjestelmätuottajan on järjestelmän luokituksen lisäksi tunnistettava sen käyttötarkoitusta vastaavat profiilit. Luokitus ja profiilit määräävät, mitä olennaisia vaatimuksia järjestelmän on täytettävä. Osa profiileista on varattu tietyn luokan järjestelmille ja osa soveltuu kaikille. Profiilit on jaettu kahdeksaan kokonaisuuteen käyttötarkoituksen mukaan:
- 3a1-2: Sähköisen reseptin profiilit
- 3b1-4: Kanta-asiakastietovarantoon liittyvien järjestelmien profiilit
- 3c1-3: Potilastiedon arkiston profiilit
- 3d1-4: Sosiaalihuollon asiakastiedon arkiston profiilit
- 3e3-7: Kuvantamisen profiilit
- 3f1-3: Todistusten profiilit
- 3g1: Asiakas- tai potilastietojen käsittelyyn tarkoitetun järjestelmän vähimmäisvaatimukset
- 3h1-5: Kansalaisen digipalvelujen ja hyvinvointisovellusten profiilit
3g1-profiili kokoaa lain ja muun regulaation asettamia vaatimuksia A1- ja B-luokan tietojärjestelmille ja hyvinvointisovelluksille. Jos järjestelmä hyödyntää Kanta-palveluista haettuja tietoja tai asiakirjoja, tunnistetaan 3g1-profiilin rinnalle 3b2-profiili. Jos järjestelmä tuottaa Kanta-palveluihin toimitettavia tietoja tai asiakirjoja tunnistetaan 3b4-profiili.
3h-profiili sisältää sekä digitaalisen asiointipalvelun profiilin (3h1) että hyvinvointisovellusten profiileja (3h2-5) ja niiden on täytettävä sekä tietoturva- että digitaalisten palveluiden -vaatimukset. 3h1-profiili tunnistetaan, jos tietojärjestelmässä on kansalaiselle kehitettyjä digitaalisen asioinnin mahdollistavia ratkaisuja, kuten esitieto, ajanvaraus ja/tai etäasiointitoimintoja. Järjestelmä voi sisältää myös käyttöliittymiä ammattilaisille. Profiili soveltuu vain palvelunantajan paikalliseen rekisteriin tallennettujen tietojen käsittelyn. Jos järjestelmä sisältää toimintoja luovutuksella saatavien asiakastietojen hakemiseen, on tunnistettava muita käyttötarkoituksen mukaisia profiileja, kuten 3a1, 3b2, 3b4 ja 3g1.
Luokittelun käytännön toteutus
1. Luokittele järjestelmä ja tunnista sen käyttötarkoitusta koskevat profiilit
THL:n määräyksessä 4/2024 ja sen liitteessä 1 käsitellään tietojärjestelmien luokittelua ja esimerkkejä. Profiiliien kuvaukset löydät määräyksen 5/2024 tukimateriaaliliitteen koontitaulukosta, joka sisältää olennaiset vaatimukset ja profiilit. Aloita tunnistamalla täyttääkö tietojärjestelmä A-luokkaan kuulumisen kuvauksia ja käy läpi määräyksen esimerkit ja tarkennukset A-luokasta. Jos tunnistat järjestelmän kuuluvan A-luokkaan, määrittele tarkemmin kuuluuko tietojärjestelmä A1-, A2- tai A3-luokkaan. Jos tunnistat, että järjestelmäsi ei kuulu A-luokkaan, lue määräyksen esimerkit ja tarkennuksen B-luokan ja luokittelemattomien järjestelmistä.
2. Täytä järjestelmälomake
Löydät järjestelmälomakkeen määräyksen 5/2024 liitteestä 4. Käy lomake läpi ja täytä se parhaasi mukaan. Järjestelmälomaketta käytetään tietoturvallisuuden arviointiin ja yhteistestaukseen hakeuduttaessa sekä Valviran rekisteröinti-ilmoituksessa. – Muista käyttää järjestelmälomakkeen uusinta versiota.
3. Tee riskiarvio
Löydät riskiarviointityökalun määräyksen 4/2024 tukimateriaaliitteestä. Vertaa järjestelmälomaketta ja riskiarviotyökalua toisiinsa, esimerkiksi järjestelmän käyttämien tai tuottamien tietosisältöjen määrällä on vaikutusta riskiarvioon. Työkalun avulla määrität järjestelmän riskitason: perus-, korkea- tai kriittinen. Riskitasolla on vaikutusta järjestelmää velvoittaviin vaatimuksiin ja sillä voi olla vaikutusta järjestelmän luokitukseen – korkean riskitason B-luokan järjestelmä kuuluu A-luokkaan.
4. Hakeudu tietoturvallisuuden arviointiin, yhteistestaukseen ja tee rekisteröinti-ilmoitus
A- ja B-luokan järjestelmät rekisteröidään Valviran ylläpitämään Astori-rekisteriin ennen tuotantokäyttöä. A-luokan järjestelmien on käytävä läpi arviointilaitoksen toteuttama tietoturvallisuuden arviointi hyväksytysti ennen järjestelmän rekisteröintiä. B-luokan järjestelmien ei tarvitse hakeutua tietoturvallisuuden arviointiin, jolloin pelkkä rekisteröinti-ilmoitus riittää. A2- ja A3-järjestelmien on lisäksi hakeuduttava Kelan yhteistestaukseen tietoturvallisuuden arvioinnin lisäksi. Tietojärjestelmien rekisteröinti-ilmoituksen yhteydessä tietojärjestelmätuottaja ilmoittaa Valviralle, mitä olennaisia vaatimuksia järjestelmä täyttää. Tietojärjestelmien rekisteröinti on Valviran toteuttamaa ennakollista valvontaa. – vaatimusten täyttäminen on aina tietojärjestelmätuottajan vastuulla.
Muista myös nämä
Tietojärjestelmien ja hyvinvointisovellusten luokittelu ja käyttötarkoituksen mukaisten profiilien tunnistaminen tapahtuu tietojärjestelmätuottajan toimesta. Tietojärjestelmätuottajan vastuulla on huolehtia, että järjestelmä täyttää sen käyttötarkoitusta vastaavat olennaiset vaatimukset. – Parhaiten tämä onnistuu, perehtymällä määräyksiin ja tarkastamalla järjestelmän luokittelu, profiilit, riskiarvio ja järjestelmälomake säännöllisesti sekä järjestelmämuutoksien yhteydessä.
Järjestelmä voi kuulua vain yhteen luokkaan ja luokitus määräytyy aina korkeimman luokan mukaisesti. Profiileita voi puolestaan olla useampia, sillä tietojärjestelmissä on usein eri toimintoja joihin soveltuvat eri käyttötarkoituksen mukaiset profiilit. – Profiilien määrä ei ole suoraan verrannollinen sitä velvoittavien olennaisten vaatimusten määrään. Lue aina profiilien kuvausten lisätiedot, sillä osa profiileista soveltuu vain tietyn luokan profiileille.
Tietoturvallisuuden arviointien aikana usein keskustellaan järjestelmän luokituksesta tai profiileista. Arviointilaitoksena pyrimme selkeyttämään, mitä eri luokitukset ja profiilit tarkoittavat ja miten tyypillisesti muut tietojärjestelmätuottajat ovat luokitelleet järjestelmänsä. Arviointilaitokset eivät kuitenkaan luokittele järjestelmiä. Tietojärjestelmätuottajat voivat tarvittaessa pyytää virallista luokittelupyyntöä Terveyden ja hyvinvoinninlaitokselta (THL).
Herättääkö regulaatio kysymyksiä tai epävarmuutta? Olen Heidi Saikkonen ja erikoistunut sote-järjestelmien regulaatioon ja arviointeihin. Tavoitteeni on tehdä regulaatiosta ymmärrettävää – otathan yhteyttä, mikäli kaipaat apua luokittelun tai vaatimusten ymmärtämisessä.