Vägen mot ett certifierat system – fem frågor och svar om certifieringsprocessen för informationssystem
FPA:s Kanta-tjänster används inom social- och hälsovården samt på apoteken med informationssystem av olika slag. För att de väsentliga kraven ska uppfyllas måste alla system som är anslutna till Kanta vara certifierade.
När man inom hälso- och sjukvården använder Patientdataarkivet, inom socialvården Klientdataarkivet för socialvården eller på apoteken Recepttjänsten, måste uppgifterna om kunden överföras på ett säkert sätt. Av denna orsak ska informationssystem som ansluts till Kanta-tjänsterna vara certifierade. På så sätt säkerställer man att informationssystemet uppfyller de väsentliga kraven: att de har de nödvändiga funktionerna, fungerar tillsammans med Kanta-tjänsterna och att informationssäkerheten och dataskyddet i samband med systemet är i skick.
För närvarande är över 70 certifierade informationssystem anslutna till Kanta-tjänsterna. Förutom certifiering vid nyanslutning ska även certifieringen av redan anslutna system förnyas med fem års intervaller. Kaisa Penttilä på FPA, Kanta-tjänster svarar på frågor om certifieringsprocessen.
Vilka är faserna i certifieringsprocessen?
Certifiering av informationssystem är en process med flera faser, och som ett led i certifieringen utförs samtestning med Kanta-tjänsterna och auditering av informationssäkerheten tillsammans med ett bedömningsorgan som godkänts av Kommunikationsverket. I processen medverkar också andra myndigheter så som Institutet för hälsa och välfärd (THL), Valvira och Traficom.
Hur lång tid tar certifieringsprocessen?
Certifieringsprocessens längd varierar från fall till fall. Längden beror bland annat på hur väl förberedd systemleverantören är för samtestningen och hur omfattande samtestning av informationssystemet som krävs. Det finns betydande variationer mellan innehållen som ska samtestas, både i fråga om antalet testfall och de testfaser som ska utföras. Samtestningarna varierar också i viss mån beroende på vilka Kanta-tjänster det är fråga om. Det är alltså mycket viktigt att förbereda sig omsorgsfullt inför samtestningen.
Hur stöder Kanta-tjänsterna processen?
Kanta-tjänsterna tillhandahåller en Kanta-kundtesttjänst, där den testande organisationen också har möjlighet att utnyttja testtjänsten för Mina Kanta-sidor samt valideringstjänsten. På begäran kan Kanta-tjänsterna också leverera testmaterial för testningen. Valideringstjänsten fungerar som verktyg för kontroll av handlingars informationsstrukturer och får användas utan kostnad.
Vad bör man göra om det görs ändringar i systemet?
Ändringar ska anmälas till FPA och till bedömningsorganet för informationssäkerhet. Till FPA anmäls ändringar med blanketten för ändringsmeddelande. Det är också bra att observera att det överensstämmelseintyg som beviljas certifierade informationssystem är i kraft maximalt fem år. Systemleverantören ska ta kontakt med FPA i god tid innan överensstämmelseintyget går ut, gärna sex månader i förväg.
Vad kostar certifieringen?
FPA:s Kanta-tjänster debiterar ingenting för samtestningen. Auditering av informationssäkerheten ska utföras av ett bedömningsorgan för informationssäkerhet, och det är avgiftsbelagt. Systemleverantören står själv för kostnaderna.