B-luokan potilastietojärjestelmien siirtymä A-luokkaan päättyy marraskuussa

Sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain muutos marraskuussa 2021 saattoi osan B-luokkaan määritellyistä potilas- ja asiakastietojärjestelmistä tietoturvallisuuden arvioinnin piiriin. Viranomaiset antoivat kolmen vuoden siirtymäajan, jonka aikana A-luokkaan siirtyvien B-luokan järjestelmien tulee suorittaa tietoturvallisuuden arviointi. Siirtymäaika päättyy marraskuussa 2024.

Vastaamon tietomurron seurauksena noin 30 000 ihmisen terveystiedot vuotivat julkisuuteen aiheuttaen merkittävän kohun ja keskustelun potilas- ja asiakastietojärjestelmien turvallisuudesta.Pian ilmeni, että Vastaamon asiakastietojärjestelmä ei ollut tietoturvallisuuden arvioinnin piirissä, koska laissa ei ollut velvoitetta suorittaa tietoturvallisuuden arviointia Vastaamon kaltaisille, Kanta-palveluihin liittymättömälle järjestelmille.

Tapauksen seurauksena lainsäädäntöä haluttiin kehittää siten, että useammat potilas- ja asiakastietojärjestelmät saataisiin tietoturvallisuuden arvioinnin piiriin. Lisäksi niiden valvontaa haluttiin kehittää. Päivitetty laki (asiakastietolaki 784/2021) astui voimaan 1.11.2021, jonka määräyksissä THL antoi B-luokasta A-luokkaan siirtyville järjestelmille kolmen vuoden siirtymäajan tietoturvallisuuden arvioinnin suorittamiseksi. THL on antanut ohjeet järjestelmien luokituksesta määräyksessään 4/2021.

Uuden lain myötä lainsäädännössä määritettiin uusia A-luokkia, jotka ovat A1, A2 ja A3. Näistä luokista A1 on luotu erityisesti niille potilas- ja asiakastietojärjestelmille, joissa käsitellään potilas- ja asiakastietoa, mutta eivät liity itsenäisesti tai ollenkaan Kanta-palveluihin. Tämän lisäksi laki toi myös riskiluokituksen, joka tarkoittaa teknisen tietoturvatestauksen tuomista tietoturvallisuuden arviointiin korkean riskitason järjestelmille.

B-luokasta A-luokkaan siirtyvien järjestelmien tuottajien tulee arvioida järjestelmänsä luokka ja sen riskitaso. Arviointiin saa apua THL:n määräyksistä 4/2021 ja sen liitteistä. Järjestelmän luokitus ja sen tiedot kirjataan niin kutsutulle järjestelmälomakkeelle, jossa myös määritetään järjestelmää koskevat tietoturvavaatimukset. Näitä kaikkia tietoja tarvitaan järjestelmän rekisteröinnissä Valviralle ja tietoturvallisuuden arvioinnin suunnittelussa. 

Tietoturvallisuuden arvioinnissa voi ilmetä yllättäviäkin korjaustarpeita, joten arviointiin kannattaa alkaa valmistautua heti alkuvuodesta, jotta se saadaan suoritettua yrityksellesi sopivassa aikataulussa.

Tämän tekstin julkaisun ajankohtana vielä odotetaan uuden asiakastietolain (703/2023) mukaisten määräysten voimaanastumista 16.1.2024. Alustavien luonnosten perusteella uudet määräykset eivät vaikuta edellisiin siirtymäaikoihin. Asiantuntijamme auttavat mielellään aiheeseen liittyvissä kysymyksissä.

Olemme  tehneet tietoturvallisuuden arviointeja potilastietojärjestelmille jo vuodesta 2015 lähtien, joten pitkän kokemuksen ansioista kaikki arviointiprosessit suoritetaan sujuvasti ja selkeästi – kohtuullisessa ajassa. Meillä on myös laaja kokemus tietojärjestelmien arvionnista, jotka täyttävät osaa vaatimuksista toisen järjestelmän kautta esimerkiksivälittäjäpalvelun avulla.

Asiantuntijamme keskustelevat mielellään siitä, miten yrityksesi tietoturvallisuuden arviointi saadaan suoritettua parhaalla mahdollisella tavalla.