Sote-tietojärjestelmien luokittelu – milloin tarvitaan auditointi ja mitä se sisältää?
Sosiaali- ja terveydenhuollon tietojärjestelmäpalvelun tuottajan on luokiteltava tietojärjestelmänsä asiakastietolain ja THL:n määräysten mukaisesti. Vuonna 2021 voimaan astunut sote-tietojärjestelmien luokitteluun ja sertifiointiin liittyvä THL:n määräys on tuonut aiempaan luokkajakoon muutoksia.
Sosiaali- ja terveydenhuollon tietojärjestelmät luokitellaan A- ja B-luokkiin muun muassa käyttötarkoituksen, Kanta-liitettävyyden ja järjestelmässä käsiteltävien asiakastietojen luonteen mukaan. Vastuu luokituksen valinnasta on järjestelmätoimittajalla.
Sote-tietojärjestelmien luokittelu
Tietojärjestelmän luokittelu vaikuttaa siihen, millaisia sertifioinnin ja rekisteröinnin toimenpiteitä sille on suoritettava. THL:n uuden määräyksen (4/2021) myötä vanha A-luokka on jaettu A1-, A2- ja A3-luokkiin. Samalla B-luokan rajausta on tiukennettu. Määräyksellä on kolmen vuoden siirtymäaika.
A3-luokan tietojärjestelmän on suoritettava hyväksytysti yhteistestaus ja tietoturva-auditointi. Kanta-palveluihin liitetyt terveydenhuollossa käytettävät potilaskertomusjärjestelmät sekä sosiaalihuollossa käytettävät asiakastietojärjestelmät kuuluvat luokkaan A3.
A2-luokkaan kuuluvat yhteistestausta ja tietoturvallisuuden arviointia vaativat, rajattua tietosisältöä tai käyttötarkoitusta palvelevat järjestelmät, joiden vaatimukset ovat kevyemmät kuin A3-luokan järjestelmän vaatimukset. Esimerkiksi hallinnollisia tietoja Kanta-palveluihin tallentavat järjestelmät kuuluvat A2-luokkaan.
Luokkaan A1 kuuluvat ulkoista tietoturvallisuuden arviointia vaativat järjestelmät, joilta ei edellytetä yhteistestausta. A1-luokan tietojärjestelmiä ovat asiakastietojen välityspalvelut sekä järjestelmät tai osajärjestelmät, joiden yhteentoimivuuden vaatimukset on todennettu toisen järjestelmän kautta, mutta joihin kohdistuu todennettavia tietoturvavaatimuksia.
Luokan B tietojärjestelmille ei suoriteta yhteistestausta, eikä niiltä vaadita tietoturva-auditointia. B-luokkaan voivat jäädä vain sellaiset järjestelmät, jotka eivät riskiluokituksensa, toiminnallisuuksiensa tai tietoturvaratkaisujensa perusteella edellytä A1-luokitusta. B-luokan tietojärjestelmä voi esimerkiksi tuottaa yksittäisiä potilastietojen tai sosiaalihuollon asiakastietojen tietoelementtejä, joista rajapintojen kautta muodostetaan potilas- tai asiakasasiakirjoja.
Mitä tietoturva-auditointi sisältää?
Käytännössä uusi voimaan tullut määräys tarkoittaa sitä, että moni järjestelmä siirtyy vanhasta B-luokasta A1-luokkaan, vaikka järjestelmällä ei olisikaan Kanta-yhteyttä. Monelle sote-tietojärjestelmän toimittajalle kyseinen määräys saattaa tietoturva-auditoinnin vuoksi aiheuttaa harmaita hiuksia.
Auditointia ei kuitenkaan kannata pelätä. Se on oiva tapa saada ulkopuolisen näkökulma omaan tuotteeseen ja tekemiseen. Lisäksi sertifikaatti on asiakaskunnassa usein myös myyntivaltti. Sosiaali- ja terveydenhuollon organisaation vastuulla on varmistaa, että käytössä on vaatimukset täyttävä ja käyttötarkoitusta silmällä pitäen oikein luokitellut tietojärjestelmät. Tietojärjestelmän sertifikaatit tukevat tätä prosessia.
A1-auditointi sisältää yksinkertaisimmillaan haastattelun ja sovittujen vaatimusten todentamisen dokumentaation ja demon perusteella. Auditointiin kannattaa varautua lukemalla vaatimukset läpi huolellisesti ja varmistamalla, että vaaditut toiminnallisuudet ja dokumentaatio ovat olemassa ja ajan tasalla.
Auditointi on myös iteratiivinen prosessi. Mikäli auditoinnissa havaitaan ongelmia tai muutostarpeita, auditointilaitos ilmoittaa havainnoista. Tällöin järjestelmätoimittajalla on mahdollisuus tehdä korjauksia ja täydennyksiä. Timanttia ei siis tarvitse hioa loputtomiin etukäteen – riittää, että asiat on toteutettu ja kuvattu riittävän hyvällä tasolla.
Atostek ERA on A3-sertifioitu järjestelmä. ERA huolehtii Kanta-ominaisuuksista, niiden yhteistestaamisesta, ajan tasalla pitämisestä ja ylläpidosta. ERA voi myös huolehtia merkittävästä osasta A1-luokan järjestelmien tietoturvavaatimuksista siten, että auditoinnissa voidaan niiden osalta viitata ERAn sertifikaattiin. Lisäksi tarjoamme Atostekilla auditointikonsultointia, mikäli auditointiin valmistautuminen tai dokumentaatio tuottavat hankaluuksia.
Marjaana Karttunen
ERA-tuotepäällikkö
045 6908 760
marjaana.karttunen@atostek.com