Anvisning 9/2015. Överensstämmelse med kraven i övergångsfasen

Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
pp.10.2015
UPPDATERAD ANVISNING:
ÖVERENSSTÄMMELSE MED KRAVEN I ÖVERGÅNGSFASEN FÖR
INFORMATIONSSYSTEM SOM IMPLEMENTERAR DET ELEKTRONISKA RECEPTETS
FUNKTIONER
Målgrupper:
Tillverkare av informationssystem för social- och hälsovården
Tillverkare av informationssystem för apoteken
Tillhandahållare av offentliga social- och hälsovårdstjänster
Tillhandahållare av privata social- och hälsovårdstjänster
Apotek
Bedömningsorgan för informationssäkerhet
FPA/Kanta-tjänster
Giltighet:
Anvisningen träder i kraft genast och gäller till 31.12.2017
Denna anvisning ersätter THL:s anvisning 6/2015 ”Sähköisen
lääkemääräyksen toiminnallisuuksia toteuttavien
tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”.
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
1(6)
Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
2(6)
pp.10.2015
UPPDATERAD ANVISNING: KRAV PÅ ÖVERENSSTÄMMELSE I ÖVERGÅNGSFASEN FÖR
INFORMATIONSSYSTEM SOM IMPLEMENTERAR DET ELEKTRONISKA RECEPTETS
FUNKTIONER
Denna anvisning preciserar certifieringsprocessen i det skede när nya krav införs för
informationssystem som implementerar det elektroniska receptets funktioner.
Anvisningen hänför sig till THL:s anvisning 8/2015 ”Ändringar i det elektroniska receptet
och preciseringar av verksamhetsmodeller fr.o.m 01.11.2015”. Anvisningen ersätter THL:s
anvisning 6/2015 ”Sähköisen lääkemääräyksen toiminnallisuuksia toteuttavien
tietojärjestelmien vaatimustenmukaisuus siirtymävaiheessa”. I anvisningen har punkterna
om tidsfrister och förnyad auditering preciserats utifrån de preciserade
verksamhetsmodellerna, de preciserade krav samt kostnadsfrågor som framkommit under
auditeringen, de korrigeringsbehov som konstaterats hos systemen samt myndigheternas
riktlinjer.
Bakgrund och grunder
Å 2014 företogs ändringar och preciseringar i lagen om elektronisk behandling av
klientuppgifter inom social- och hälsovården (159/2007). Med stöd av lagen ska de
informationssystem som kopplas till Kanta-tjänsterna (t.ex. Receptcentret) höra till klass A.
Av informationssystem som hör till klass A förutsätts ett överensstämmelseintyg som
resultat av certifieringsprocessen innan de tas i produktionsanvändning.
Informationssystem som ska kopplas till Receptcentret är apotekens informationssystem
samt patientdatasystem, där funtioner enligt specifikationerna av det elektroniska receptet
ska implementeras. Många av dessa informationssystem är redan kopplade till Kantatjänsterna och deras datasäkerhet har auditerats med avseende på de tidigare
auditeringskraven. Många informationssystem är också i produktionsanvändning hos en
eller flera tillhandahållare av tjänster eller ett eller flera apotek som ansluter sig till de
nationella Kanta-tjänsterna. Alla informationssystem är dock inte certifierade i enlighet
med kraven i klientdatalagen och föreskriften om väsentliga krav 1/2015. De ändringar som
med stöd av bestämmelserna om väsentliga krav ska företas i informationssystem som
implementerar det elektroniska receptets funktioner är betydande med avseende på såväl
samtestningen som informationsäkerhetsauditeringen. Alla informationssystem som
implementerar det elektroniska receptets funktioner genomgår FPAs samtestning, som hör
till certifieringsprocessen, och extern informationssäkerhetsauditering. Funktionerna enligt
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
3(6)
pp.10.2015
lagändringen har tagits i bruk i Kanta-tjänsterna och Receptcentret i september 2015,
varvid även de informationssystem som är i produktion har fått beredskap att ta i bruk de
nya funktionerna. Vid informationssäkerhetsauditeringarna har det framkommit behov av
korrigeringar i informationssystemen och behov av att förena verifieringen av krav som
hänför sig till det elektroniska receptet med verifieringen av andra väsentliga krav. I
tidtabellerna för samtestning av Kanta-tjänsterna och informationssäkerhetsauditering
måste man i övergångsfasen dessutom beakta antalet informationssystem som ska
certifieras, den tid som behövs för de åtgärder som samtestningen och
informationssäkerhetsauditeringen förutsätter samt giltighetstiden för den tidigare
informationssäkerhetsauditeringen enligt lagens övergångsbestämmelser.
Preciseringar av föreskrift 1/2015
Certifieringen enligt föreskrift 1/2015 preciseras som följer för informationssystem som
implementerar det elektroniska receptets funktioner:
1. Ett informationssystem i produktionsanvändning som implementerar det
elektroniska receptets funktioner ska ha ett överensstämmelseintyg enligt de nya
bestämmelserna senast 31.12.2016. Om giltighetstiden för ett beslut som fattats
utifrån en tidigare informationssäkerhetsauditering går ut före det, ska
överensstämmelseintyget skaffas innan giltigheten går ut. Överensstämmelseintyget
baserar sig på en extern informationssäkerhetsauditering. Det ska gälla åtminstone
uppfyllande av kraven på informationssystem som implementerar det elektroniska
receptets funktioner. Även godkänd samtestning ska ha genomförts före denna
tidsfrist.
2. Informationssystem som implementerar det elektroniska receptets funktioner kan
godkännas för produktionsanvändning tillsammans med Kanta-tjänsterna före
31.12.2016, om informationssystemet uppfyller åtminstone följande villkor:
 Informationssystemet har klarat FPAs samtestning vad gäller det elektroniska
receptets funktioner i enlighet med de specifikationer som används vid testningen
2015 och 2016 eller 2016 och har fått ett godkänt utlåtande över samtesterningen.
Testningen kan gälla testning av de ändringar som lagstiftningen förutsätter eller
vara den första samtestningen av informationssystemet.
 Om informationssystemet ännu inte har klarat informationssäkerhetsauditering
enligt de nya bestämmelserna och fått överensstämmelseintyg enligt dem, ska det
tidigare ha genomgått godkänd informationssäkerhetsauditering enligt de krav som
gällde innan de nya bestämmelserna trädde i kraft.
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
4(6)
pp.10.2015
3. I övergångsfasen är det möjligt att utföra verifieringen av
informationssäkerhetskraven på informationssystem som implementerar det
elektroniska receptets funktioner även som en förnyad
informationssäkerhetsauditering. Producenten av informationssäkerhetstjänsten har
möjlighet att välja, a) genomförs en fullständig auditering av informationssystemet
som omfattar alla relevanta informationssäkerhetskrav, och som innebär att
informationssystemet får ett nytt överensstämmelseintyg med en ny giltighetstid,
eller b) förnyas den tidigare auditeringen av informationssystemet. När man agerar i
enlighet med punkt b:
 Den förnyade auditeringen ger inte något nytt överensstämmelseintyg med ny
giltighetstid. Ett sammandrag av auditeringsresultatet ska tillställas myndigheterna
på samma sätt som ett överensstämmelseintyg över en fullständig auditering.
 Giltigheten för en godkänd förnyad auditering går ut vid samma tidpunkt som det
tidigare beslutet om godkännande.
 Det är inte nödvändigt att upprepa verifieringen av krav som verifierats tidigare, om
informationssystemet enligt tillverkaren uppfyller dem på det sätt som verifierats
tidigare vid samtestning eller extern informationssäkerhetsauditering.
 Vid förnyad auditering ska man dock gå igenom åtminstone de nya och avsevärt
ändrade informationssäkerhetskraven, som är 6G, 7G, 10G, 11G, 12G, 13G, 16G,
17G, 23AP, 31G, 40G, 41G, 42G och 43G. Av de övriga kraven ska sådana relevanta
krav gås igenom som inte tidigare har genomgåtts vid extern auditering.
Producenten av informationssystemtjänsten svarar för identifieringen av andra
relevanta krav.
 Prissättningen av en förnyad auditering av engångsnatur av
informationssäkerhetskraven enligt det tidigare beslutet ska stå i rätt proportion till
förnyandet av överensstämmelseintyget.
 Eftersom uppdateringen av auditeringen av informationssäkerhetskraven är en
engångsåtgärd som inte ändrar det tidigare beslutets giltighetstid och inte
förutsätter samma underhållsåtgärder som överensstämmelseintyget, är det inte
nödvändigt att upprätta ett långvarigt underhållsavtal om
auditeringsuppdateringen mellan bedömningsorganet och producenten av
informationssystemtjänsten.
 Producenten av informationssystemtjänsten svarar för kostnaderna för den
uppdaterade auditeringen av informationssäkerhetskraven, trots att den tidigare
auditeringen (t.ex. en så kallad första auditering) skulle ha finansierats via socialoch hälsovårdsministeriet.
Mer information
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
5(6)
pp.10.2015
Vid samtestningen och auditeringen av informationssäkerhetskraven är det möjligt att
kombinera kraven enligt fas 1 och 2 i det så kallade lagändringspaket som gäller det
elektroniska receptet samt testning och verifiering av de krav som gäller Patientdataarkivet.
Vid verifiering av kraven kan man gå igenom samtliga krav som är relevanta med tanke på
informationssystemets användningsändamål.
Denna anvisning preciserar THL:s föreskrift 1/2015 (föreskrift om väsentliga krav på
informationssäkerhet hos informationssystem av klass A). Anvisningen inverkar inte på
innehållet eller tidsfristerna i föreskrifterna och bestämmelserna annat än på det sätt som
beskrivs ovan.
Vesa Jormanainen
Enhetschef
Juha Mykkänen
Utvecklingschef
Sändlista
Tillverkare av informationssystem för social- och hälsovården
Tillverkare av informationssystem för apoteken
Tillhandahållare av offentliga social- och hälsovårdstjänster
Tillhandahållare av privata social- och hälsovårdstjänster
Apotek
Bedömningsorgan för informationssäkerhet
FPA / Enheten för Kanta-tjänster, Marina Lindgren
För kännedom SHM / registratorskontoret, Teemupekka Virtanen
Valvira / registratorskontoret, Heikki Mattlar, Maijaliisa Aho
Kommunikationsverket / registratorskontoret, Anna von Fieandt-Lehtonen
Fimea / registratorskontoret, Anne Hirvonen
Befolkningsregistercentralen / registratorskontoret, Jukka Santala
Universitets Apoteket
Östra Finlands universitets apotek
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
Anvisning 9/2015
THL xxxx/9.09.01/2015
Avdelningen för informationstjänster
Enheten för styrning av den operativa verksamheten
pp.10.2015
Finlands Kommunförbund rf / registratorskontoret
Finlands Apotekareförbund rf / Vesa Kujala
Terveyden ja hyvinvoinnin laitos • Institutet för hälsa och välfärd • National Institute for Health and Welfare
Mannerheimintie 166, Helsinki, Finland PL/PB/P.O. Box 30, FI-00271 Helsinki, puh/tel +358 29 524 6000
6(6)