Kanta-palveluista tehdyn tietojenhaun valvonta

Omavalvonnan kohteen on kuvattava selkeästi, mitä tietojärjestelmiä organisaation toiminnassa käytetään, mikä versio on nyt käytössä ja mitä tyyppiä seuraavista järjestelmät edustavat:

• Tyyppi A = suoraan Kanta-palveluihin liitettävät järjestelmät
• Tyyppi B = asiakas- tai potilastietojen käsittelyyn käytettävät järjestelmät
• Muut järjestelmät

Organisaation on suunniteltava, kuinka potilaiden informointi Kanta-palveluista ja tietojen käytöstä tapahtuu ja on todennettavissa. Liittyvät käytännöt on koulutettava henkilöstölle.

Organisaation on varmistettava, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai samassa käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna Kanta-palveluihin liittyvien tietojärjestelmien suorituskykyä tai niiden tietoturva- ja tietosuojaominaisuuksia.

Mikäli liityntäpisteen toteuttaa joku muu kuin Kanta-liittyjä (eli käytetään välittäjää) on vaatimuksena, että:

1. Liikenne liittyjän potilastieto- tai apteekkijärjestelmältä ulkoistetulle liityntäpisteelle tulee salata vähintään vastaavan tasoisella menetelmällä kuin TLS siltä osin kuin se kulkee muualla kuin organisaation sisäverkossa (esimerkiksi operaattorin runkoverkko, vaikka käytössä olisi operaattorin suljettu yhteys).
2. Sanomaliikenteen kaikkien osapuolten identiteetti tulee varmentaa. Varmentaminen on pakollista organisaatioiden välisessä tiedonsiirrossa, jossa käytetään muita kuin sisäverkon yhteyksiä. Tapauksissa, joissa potilastietojärjestelmien- tai apteekkijärjestelmien palvelimet sijaitsevat samassa konesaliympäristössä tiedonsiirtoon hyödynnettävien erillisten laitteistojen kanssa (kuormantasaajat, SSL-kiihdyttimet tms.) sekä mahdollisen välityspalvelun kanssa, ei varmennepohjainen tunnistaminen näiden välillä ole pakollista. Tämä kuitenkin edellyttäen että konesalin- ja käyttöympäristön sisäisestä tietoturvasta on huolehdittu auditointikriteereissä esitettyjen vaatimusten mukaisesti.
3. Liityntäpisteen toteuttajan tulee varmistaa, että sanoma on lähetetty oikean tahon nimissä (eli HL7-sanoman controlActProcess / authorOrPerformer / assignedPerson / assignedPerson / representedOrganization / id vastaa edellisen kohdan mukaisesti varmennettua identiteettiä).
4. Välittäjältä vaaditun tietoturvatason toteutuminen tulee varmistaa auditointi-/sertifiointimenettelyllä. KANTA-määrittelyistä (2007) poiketen WS-Security-standardin mukainen sanomatason allekirjoitus ja/tai salaus eivät ole käytössä (VVAR019)

Sähköisen allekirjoituksen osalta noudatetaan Kanta-allekirjoitusmäärityksessä esitettyjä vaatimuksia käytettävien salausalgoritmien ja tiivistefunktioiden osalta.

Lisätiedot

Kanta-allekirjoitusmääräys

Liikenne liityntäpisteen ja Kanta-palvelun välillä salataan ja osapuolet tunnistetaan TLS-tekniikalla (vähintään TLS-versio 1.2) käyttäen VRK:n myöntämiä palvelinvarmenteita (mutual authentication).

Palvelinvarmenteissa on käytettävä Viestintäviraston TLS-salausvahvuussuosituksen mukaisesti vähintään 2048-bittisiä RSA-avaimia.

Työaseman tai tietojärjestelmän on lukituttava, kun käyttäjä ei aktiivisesti käytä laitetta / järjestelmää 30 minuutin kuluessa. Tämän jälkeen käyttäjän on tunnistauduttava uudelleen käyttöliittymän avaamiseksi.

Mikäli aikakatkaisun raja on pidempi kuin 30 minuuttia, organisaation tulee dokumentoida perusteet aikarajan ylitykselle.

Kanta-palveluihin liittyvissä tietojärjestelmissä tulee sallia kirjautuminen sähköiseen reseptiin ja valvakunnalliseen Potilastiedon arkistoon liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksissa vahvaa salasanaa käyttäen.

Salasanalla tunnistautuessa voi käyttää ainoastaan omavalvonnan kohteen omia asiakas- ja potilastietoja.

Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn (kuten luovutushaku tai asiakirjan hakeminen omaan käyttöön) paitsi virhetilanteiden selvityksessä, jolloin on oikeus tarkistaa oman organsiaationsa tietoja potilastiedon arkistosta.

Kanta-oikeudet on rajattava edellä mainituissa selvitystilanteissa ainoastaan omien tietojen hakuun. Kaikkien selvityksessä tehtyjen hakujen tulee näkyä lokeista.

Kanta-palveluihin liittyvissä tietojärjestelmissä ei saa olla yhteiskäyttötunnuksia asiakas- tai potilastietojen muokkaamiseen, katseluun tai sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito- ja muita vastaavia voimakkaita käyttöoikeuksia.

Organisaation on varmistetta, että Kanta-palveluihin arkistoidaan ainoastaan sosiaali- ja terveydenhuollon rekistereihin kuuluvia potilas- ja asiakasasiakirjoja.

Organisaation henkilöstön on oltava tietoisia tietojenhakuun ja käsittelyyn liittyvästä seurannasta sekä väärinkäytösten seuraamuksista.

Organisaation on kuvattava, kuinka Kanta-palveluista haettujen asiakas- tai potilastietojen käyttöä seurataan. Tämä koskee erityisesti ns. hätätilahaun käyttöä, erityissuojattavien tietojen hakua ja käyttöä sekä ilman teknistä hoitosuhteen varmistusta (ns. erityinen syy) tehtyjä hakuja.

Organisaatiolla on oltava kuvaus toimintamallista, jonka mukaisesti se seuraa aktiivisesti Kanta-palveluiden käyttöä.

Osana toimintamallia on kuvattava, miten seurataan asiakirjojen arkistoitumista asianmukaisesti ja Kanta-palvelujen lähettämiä virheilmoituksia.

Kanta-palveluun suoraan tai välillisesti yhteydessä olevien palvelinten aika synkronoidaan Mittatekniikan keskuksen toimittaman Suomen virallisen ajan kanssa. Julkisen NTP-palvelun käyttö on riittävää.

Vastaanottopalveluissa (Kanta -> liittyjä -suuntaisissa yhteysavauksissa) on vaatimuksena, että:

1. Liityntäpisteen toteuttaja tarkistaa Kelan Kanta-liityntäpisteen palvelinvarmenteen (ns. mutual authentication).
2. Kullekin palvelulle (esimerkiksi lääkemääräyksen uudistamispyynnön vastaanotto) on yksi Kanta-palvelulle päin näkyvä organisaatioyksikkökohtainen liityntäpiste. Kanta ei suorita IPfailoveria liittyjän suuntaan

Vaatimuksena on, että palvelinvarmenteen subject/serialNumber-kentän OID-koodi yksilöi liityntäpisteen ja vastaa Kanta-osoitehakemiston tietoja.

Potilastiedon arkistoon liikennöitäessä, Kanta-organisaatiorekisterissä on olemassa määritelty yhteys liittyjäorganisaation ja rekisterinpitäjän välillä (vain Potilastiedon arkiston käyttöä varten, syntyy liittymishakemuksen täyttämisen yhteydessä).

Poikkeuksena ovat erikseen määriteltävät yksityisen terveydenhuollon vuokralaisjärjestelyt.

Kanta-osoitehakemistossa on määriteltynä riittävät käyttöoikeudet kullekin Kanta-palvelua käyttävälle liityntäpisteen ja liittyjäorganisaation yhdistelmälle (syntyy liittymishakemuksen täyttämisen yhteydessä)

Kanta-osoitehakemistossa on olemassa määritelty yhteys (oman tai ulkoistetun) liityntäpisteen ja Kanta-liittyjäorganisaation välillä (syntyy liittymishakemuksen täyttämisen yhteydessä).

Aina varmennepohjaisesti tunnistauduttaessa tai allekirjoituksia tarkistettaessa tarkistetaan varmenteen voimassaolo varmentajan sulkulistaa vasten.