Kela
Kela vastaa yhteistestauksen järjestämisestä ja kaikista siihen liittyvistä käytännön toimenpiteistä.
Tietojärjestelmätoimittaja ja digipalvelun valmistaja
Tietojärjestelmäpalvelun tuottaja (järjestelmätoimittaja tai digipalvelun valmistaja) vastaa tietojärjestelmän oikeasta luokittelusta. Tietojärjestelmän luokka määrittelee sen, miten järjestelmälle asetetut olennaiset vaatimukset todennetaan. Tarkempaa tietoa tietojärjestelmän luokituksesta löytyy THL:n määräyksestä 4/2024 ja sen liitteistä (thl.fi).
Tietojärjestelmäpalvelun tuottaja vastaa myös siitä, että sen valmistama tietojärjestelmä täyttää yhteentoimivuutta, tietoturvaa, tietosuojaa ja toiminnallisuutta koskevat olennaiset vaatimukset. Tietojärjestelmän tai hyvinvointisovelluksen Kanta-yhteensopivuus varmistetaan yhteistestauksella.
Tietojärjestelmäpalvelun tuottajan pitää ilmoittaa asiakastietolain mukainen tietojärjestelmä Valviralle tietojärjestelmärekisteriin rekisteröimistä varten. Tietojärjestelmän käyttöönotto edellyttää, että sen tiedot löytyvät Valviran ylläpitämästä sosiaali- ja terveydenhuollon tietojärjestelmärekisteristä.
- Tietojärjestelmien luokittelu (valvira.fi)
- Sosiaali- ja terveydenhuollon tietojärjestelmärekisteri (valvira.fi)
Kanta-palveluihin liitettävällä tietojärjestelmällä, hyvinvointisovelluksella, digitaalisella asiointipalvelulla tai teknisellä Kanta-välityspalvelulla on oltava todistus hyväksytystä tietoturvallisuuden arvioinnista. Tietojärjestelmäpalvelun tuottaja huolehtii tietoturvallisuuden arvioinnin järjestämisestä arviointilaitoksen kanssa.
Jos järjestelmäpalvelun tuottaja tai hyvinvointisovelluksen tai digitaalisen asiointipalvelun valmistaja on muu kuin järjestelmän alkuperäinen valmistaja, tulee osapuolten sopia keskenään siitä, kuka vastaa järjestelmän sertifioinnista.
Järjestelmäkokonaisuuden sertifioinnin osalta voivat osajärjestelmien järjestelmätoimittajat sopia keskenään siitä, kuka vastaa kokonaisuuden sertifioinnista.
Terveyden ja hyvinvoinnin laitos (THL)
THL vastaa sosiaali- ja terveydenhuollon tiedonhallinnan operatiivisesta ohjauksesta ja julkaisee ja ylläpitää olennaisiin vaatimuksiin ja omavalvontaan liittyviä määräyksiä ja ohjeita. Tietojärjestelmän sertifioinnin näkökulmasta THL vastaa muun muassa:
- sosiaali- ja terveydenhuollon palvelunantajien toimintamalleista ja niihin liittyvästä ohjauksesta
- tietojärjestelmien luokkien määräytymisestä
- olennaisten vaatimusten osoittamiseksi noudatettavista menettelyistä
- sosiaali- ja terveydenhuollon toimijoille annettavista määräyksistä.
Lisätietoa tiedonhallinnasta sosiaali- ja terveysalalla (thl.fi).
Tietoturvallisuuden arviointilaitos
Tietoturvallisuuden arviointilaitos arvioi asiakastietolain tietoturvavaatimusten täyttymisen tietojärjestelmässä ja antaa tietoturvatodistuksen enintään 3 vuodeksi kerrallaan.
Traficomin hyväksymät tietoturvallisuuden arviointilaitokset voivat suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Voimassa olevasta tietoturvallisuustodistuksesta huolimatta tietojärjestelmä täyttää sille asetetut olennaiset vaatimukset vasta, kun myös vaaditut yhteistestaukset on suoritettu.
Liikenne- ja viestintävirasto Traficom
Traficom hyväksyy tietoturvallisuuden arviointilaitoksen, joka voi suorittaa asiakastietolain edellyttämän tietoturvallisuuden arvioinnin. Lisäksi Traficom ohjaa ja valvoo tietoturvallisuuden auditointilaitoksia.
Valvira
Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira valvoo ja edistää tietojärjestelmien käyttötarkoituksen mukaista käyttöä ja vaatimustenmukaisuutta.
Valvira ylläpitää julkista rekisteriä sosiaali- ja terveydenhuollon tietojärjestelmistä sekä hyvinvointisovelluksista. Valviralla on myös oikeus tehdä valvontatehtävän edellyttämiä tarkastuksia.
Sosiaali- ja terveydenhuollon palveluja tuottava tai järjestävä organisaatio
Sosiaali- ja terveydenhuollon palveluja tuottava tai järjestävä organisaatio vastaa tietoturvasuunnitelman laatimisesta ja tietoturvallisuuden ja tietosuojan omavalvonnasta. Palvelun tuottajan vastuulla on vaatimusten mukaisten tietojärjestelmien käyttö niiden käyttötarkoituksen ja valmistajan ohjeistuksen mukaisesti.