Matka sertifioiduksi järjestelmäksi – viisi kysymystä ja vastausta tietojärjestelmien sertifiointiprosessista
Kelan Kanta-palveluja käytetään sosiaali- ja terveydenhuollossa sekä apteekeissa erilaisilla tietojärjestelmillä. Jotta olennaiset vaatimukset täyttyvät, kaikkien Kantaan liittyneiden järjestelmien tulee olla sertifioituja.
Kun terveydenhuollossa käytetään Potilastiedon arkistoa, sosiaalihuollossa Sosiaalihuollon asiakastiedon arkistoa tai apteekeissa Resepti-palvelua, asiakkaan tietojen täytyy kulkea turvallisesti. Tästä syystä Kanta-palveluihin liittyvien tietojärjestelmien tulee olla sertifioituja. Sillä varmistetaan, että tietojärjestelmä täyttää olennaiset vaatimukset: siitä löytyvät tarvittavat toiminnallisuudet, se toimii yhteen Kanta-palvelujen kanssa ja järjestelmän tietoturva- ja tietosuoja-asiat ovat kunnossa.
Tällä hetkellä Kanta-palveluihin on liittynyt yli 70 sertifioitua tietojärjestelmää. Uusien liittyjien lisäksi jo liittyneiden järjestelmien sertifiointi tulee uusia viiden vuoden välein. Kaisa Penttilä Kelan Kanta-palveluista vastaa kysymyksiin sertifiointiprosessista.
Miten sertifiointiprosessi etenee?
Tietojärjestelmän sertifiointi on monivaiheinen prosessi, jonka osana suoritetaan yhteistestaus Kanta-palvelujen kanssa ja tietoturva-auditointi Viestintäviraston hyväksymän arviointilaitoksen kanssa. Prosessissa on lisäksi mukana myös muita viranomaisia kuten Terveyden ja hyvinvoinnin laitos (THL), Valvira ja Traficom. Oheinen kaavio kuvaa prosessia tietojärjestelmätoimittajan näkökulmasta:
Klikkaa kuva suuremmaksi
Kuinka kauan sertifiointiprosessi kestää?
Sertifiointiprosessin pituus on tapauskohtainen. Kesto riippuu muun muassa siitä, kuinka hyvin tietojärjestelmätoimittaja on valmistautunut yhteistestaukseen ja kuinka laaja yhteistestaus tietojärjestelmälle tulee suorittaa. Yhteistestattavien sisältöjen välillä on huomattavaa variaatiota testitapausten määrän ja suoritettavien testausvaiheiden suhteen. Myös eri Kanta-palvelujen yhteistestaukset eroavat jonkin verran toisistaan. On siis hyvin tärkeää, että yhteistestaukseen valmistaudutaan hyvin.
Miten Kanta-palvelut tukevat prosessia?
Kanta-palvelut tarjoavat Kanta-asiakastestipalvelun, jossa testaavan organisaation on mahdollista hyödyntää myös Omakanta-testipalvelua sekä validointipalvelua. Lisäksi Kanta-palvelut voi pyynnöstä toimittaa testaukseen testimateriaalia. Validointipalvelu toimii työkaluna asiakirjojen tietorakenteiden tarkistamisessa, ja sen käyttö on maksutonta.
Mitä pitää tehdä, jos järjestelmään tulee muutoksia?
Muutoksista tulee ilmoittaa Kelalle ja tietoturvallisuuden arviointilaitokselle. Kelalle muutoksista ilmoitetaan muutosilmoituslomakkeella. Lisäksi on hyvä huomioida, että sertifioitujen tietojärjestelmien saama vaatimustenmukaisuustodistus on voimassa maksimissaan viisi vuotta. Tietojärjestelmätoimittajan tulee olla ajoissa yhteydessä Kelaan ennen kuin vaatimustenmukaisuustodistus vanhenee, mielellään kuusi kuukautta aikaisemmin.
Mitä sertifiointi maksaa?
Kelan Kanta-palvelut eivät veloita yhteistestauksesta. Tietoturvallisuuden auditointi on suoritettava Traficomin hyväksymän tietoturvallisuuden arviointilaitoksen toimesta, ja se on maksullista. Tietojärjestelmätoimittaja vastaa kuluista itse.
Lue lisää:
- Sertifiointi, olennaiset vaatimukset ja omavalvonta
- Miten varmistetaan Kanta-palvelujen tietoturvallinen käyttö?
- Kanta-asiakastestipalvelulla varmistetaan terveydenhuollon toimiva tietojärjestelmä