Mitä Kanta-auditointi tarkoittaa?

Asiakas‑ ja potilastietojärjestelmien tietoturvallisuuden arviointi asiakastietolain mukaisesti

Kanta‑auditointi on viranomaisvaatimuksiin perustuva tietoturvallisuuden arviointi, jolla osoitetaan, että asiakas‑ ja potilastietojärjestelmä täyttää asiakastietolain sekä THL:n asettamat olennaiset tietoturva‑ ja toiminnalliset vaatimukset.

Auditointi on pakollinen edellytys A-luokkaan kuuluvan tietojärjestelmän:

tuotantokäyttöön ottamiselle
liittämiselle Kanta‑palveluihin
rekisteröinnille viranomaisrekisteriin

Auditoinnissa arvioidaan muun muassa:

järjestelmän tekninen ja organisatorinen tietoturva
asiakas‑ ja potilastietojen suojaus ja käsittely
käyttöoikeudet, lokitus ja valvonta
tietoturvasuunnitelma ja riskienhallinta
olennaisten vaatimusten täyttyminen järjestelmän profiilin mukaisesti

Auditointi tehdään THL:n määräyksen 4&5/2024 sekä siihen liittyvien määräysten ja liitteiden mukaisesti riippumattomana arviointina.

Kenelle Kanta‑auditointi on tarkoitettu?

Kanta‑auditointi on tarkoitettu organisaatioille, jotka kehittävät, toimittavat tai ylläpitävät sosiaali‑ ja terveydenhuollon asiakas‑ ja potilastietojärjestelmiä.

Tyypillisiä kohderyhmiä ovat:

asiakas‑ ja potilastietojärjestelmien valmistajat
sosiaali‑ ja terveydenhuollon tietojärjestelmäpalvelujen tuottajat
Kanta‑välityspalvelujen tuottajat
hyvinvointisovellusten toimittajat, jotka kuuluvat A‑luokkaan

Auditointi koskee erityisesti A‑luokan tietojärjestelmiä, jotka on tarkoitettu liitettäväksi Kanta‑palveluihin joko suoraan tai välityspalvelun kautta.

Olli Knuuti

Information Security Assessments

KPMG in Finland

mail
call

Kanta-auditoinnin hyödyt

Miksi organisaation kannattaa toteuttaa Kanta-auditointi?

people_outline

Vaatimustenmukaisuuden osoittaminen

Auditointi varmistaa, että tietojärjestelmä täyttää asiakastietolain ja THL:n määräysten mukaiset olennaiset vaatimukset ja voidaan hyväksyä viranomaismenettelyssä.

rule

Mahdollistaa tuotantokäytön ja Kanta‑liitännän

Hyväksytty tietoturvallisuuden arviointi on edellytys sille, että A‑luokan järjestelmä voidaan ottaa käyttöön ja liittää Kanta‑palveluihin.

filter_center_focus

Pienentää sääntely‑ ja liiketoimintariskejä

Auditointi tunnistaa vaatimustenmukaisuuteen ja tietoturvaan liittyvät riskit jo ennen käyttöönottoa ja tukee niiden hallintaa.

network_node

Sujuvoittaa viranomaisprosessia

Hyvin valmisteltu auditointi vähentää lisäselvityspyyntöjä ja tukee sujuvaa rekisteröintiprosessia.

Auditointiprosessi ja sen vaiheet

Miten Kanta‑auditointiprosessi etenee?

Lähtötilanteen ja järjestelmäprofiilin kartoitus

Määritellään järjestelmän luokitus, käyttötarkoitus ja siihen sovellettavat olennaiset vaatimukset.
Dokumentaatio‑ ja vaatimusanalyysi

Arvioidaan tietoturvasuunnitelma, riskienhallinta ja vaatimustenmukaisuuden dokumentaatio.
Varsinainen tietoturvallisuuden arviointi

Tekninen ja organisatorinen arviointi THL:n määräysten mukaisesti.
Havaintojen raportointi ja korjaavat toimenpiteet

Mahdolliset poikkeamat ja kehitystarpeet dokumentoidaan ja korjataan sovitussa aikataulussa.
Arviointitodistus

Virallinen arviointilausunto käyttöympäristön hyväksyntää ja rekisteröintiä varten.

Prosessi on suunniteltu tukemaan asiakkaan liiketoimintaa ja minimoimaan auditointiin liittyvä hallinnollinen kuormitus.

Miksi valita KPMG?

FINAS-akkreditoitu. Traficomin hyväksymä. Riippumaton.

article

Kaikki sertifioinnit yhdeltä toimijalta

Sertifioimme seuraavia standardeja:

ISO/IEC 27001 tietoturvan hallintajärjestelmä
Laajennukset: ISO/IEC 27017 (pilvipalvelujen turvallisuus), ISO/IEC 27018 (henkilötietojen suoja pilvessä)
ISO/IEC 27701 (PIMS), ISO/IEC 22301 (jatkuvuus), ISO/IEC 42001 (tekoälyn hallintajärjestelmä)
Viranomaisvaatimukset: Katakri 2020, Kanta- ja Findata‑auditoinnit
ISO/IEC 9001:2015 -standardiin perustuvat laadunhallintajärjestelmät IT-palvelunhallinnan, IT-palvelutuotannon ja sovelluskehityksen toimialoille

approval

Tapauskohtaisen salausratkaisun arviointipätevyys

KPMG on ensimmäinen Traficomin hyväksymä tietoturvallisuuden arviointilaitos Suomessa, jolle on myönnetty pätevyys tapauskohtaisen salausratkaisun arviointiin. Uusi pätevyys koskee salausratkaisun tapauskohtaista arviointia osana tietojärjestelmän tietoturvallisuuden arviointia.

Tämä vahvistaa asemaamme vaativien ja turvallisuusluokiteltujen tietojärjestelmien arvioijana sekä kansallisen tason asiantuntijana salausratkaisujen arvioinneissa.

gavel

Virallinen arviointilaitos

Toimimme FINAS-akkreditoituna sertifiointielimenä ja Traficomin hyväksymänä tietoturvallisuuden arviointilaitoksena – riippumattomasti ja jatkuvan viranomaisvalvonnan alaisena.

enhanced_encryption

Turvallisuusluokka II

Oma tiedonkäsittelymme on hyväksytty Turvallisuusluokalle II. Asiakastietosi käsitellään vaatimusten mukaisessa ympäristössä koko sertifiointiprosessin ajan.

diversity_3

Laaja kokemus viranomaisauditoinneista

Meillä on pitkä kokemus Kanta‑ ja muista viranomaisauditoinneista sekä syvällinen asiakastietolain ja THL:n määräysten tuntemus, joita sovellamme käytännössä eri A‑luokan järjestelmien ja välityspalvelujen arvioinneissa.

Toimintamme perustuu selkeään ja ennakoitavaan auditointimalliin, joka tukee sujuvaa hyväksyntä‑ ja käyttöönottoprosessia.

Lue lisää osaamisestamme

KPMG auttaa organisaatioita vahvistamaan tietoturvaa, täyttämään NIS2‑vaatimukset ja hallitsemaan kyberriskejä. Tutustu tietoturvapalveluihimme, jotka tukevat liiketoiminnan jatkuvuutta ja suojaavat kriittistä dataa.

Lue lisää