Sosiaalihuollon tietojärjestelmien A- ja B-luokat

Eri medioissa on käyty paljon keskustelua sosiaalihuollon B-luokan järjestelmistä ja niiden valvonnan puutteesta verrattuna A-luokan järjestelmiin.

Sote-tietojärjestelmien luokituksen A ja B alkuperäinen tarkoitus on määrittää tietojärjestelmän tapa liittyä sekä terveyden- että sosiaalihuollon kansallisiin arkistoihin. Valviran verkkosivuilla luokat on määritelty seuraavasti:

  • Luokka A: Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta. Luokkaan A kuuluu myös välityspalvelu.
  • Luokka B: Muut tietojärjestelmät kuuluvat luokkaan B.

Mediassa olleiden tietojen pohjalta luokitusten tilanne saattaa siis näyttäytyä hieman yksioikoisesti ja virheellisesti. Ehkä räikein tästä kuulemani esimerkki on, että mainitun järjestelmäluokituksen perusteella sosiaalihuollon palveluntarjoajat voitaisiin jakaa A- ja B-luokan toimijoiksi, joita koskevat eri lait ja määräykset. Tämä ei luonnollisesti pidä paikkaansa.

A- ja B-luokan järjestelmiä velvoittaa sama lainsäädäntö

Riippumatta siitä kuuluuko tietojärjestelmä A- vai B-luokkaan, valmistajaa ja ylläpitäjää velvoittava lainsäädäntö on sama. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä määrittää olennaiset vaatimukset tietojärjestelmille, mukaan lukien niiden tietoturvallisuuteen liittyvät vaatimukset. Lakitekstissä ei ole tarkoituksenmukaista mennä kovin yksityiskohtaiselle tasolle esimerkiksi tietoturvaan liittyvistä vaatimuksista. Tämän vuoksi lain 5 a lukuun on kirjattu; “Terveyden- ja hyvinvoinnin laitos (THL) voi tarvittaessa antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä.” Nämä tarkemmat määräykset koskettavat lähtökohtaisesti sekä A- että B-luokan järjestelmiä.

Velvoittavan lainsäädännön osalta keskeisin ero A- ja B-luokan järjestelmissä on vaatimuksenmukaisuuden osoittamisessa. Tästä säädetään lain 5 a luvussa. Molempien luokkien osalta järjestelmän valmistajan tulee antaa selvitys siitä, että järjestelmä täyttää lain ja mahdollisten tarkempien määritysten mukaiset olennaiset vaatimukset. A-luokan järjestelmä tulee tämän lisäksi läpäistä nk. yhteistestaus kansalliseen arkistoon liittyvän tiedonsiirron toimivuudesta sekä hankkia tietoturvallisuuden arviointilaitoksen myöntämä vaatimuksenmukaisuustodistus, johon viime päivien mediakeskusteluissa viitataan järjestelmän julkisena valvontana.

Fastroin Nappula- ja Hilkka järjestelmien luokitukset

Vastaan Fastroilla Nappula-asiakastietojärjestelmän liiketoiminnasta. Olen työskennellyt tiiviisti Nappulan kehityksessä käytännössä järjestelmän julkaisusta saakka. Valviran rekisterissä Nappula on B-luokan järjestelmä. Myös B-luokan järjestelmillä kuten Nappula-järjestelmällä on mahdollista liittyä sosiaalihuollon Kanta-palveluihin vuoden 2021 aikana.Tietoturva on aina ollut meille keskeisin osa kehitystyössä, kaiken tulee tapahtua sen ehdoilla. Olemme erittäin tietoisia Nappulaan liittyvän lainsäädännön ja tarkempien määritysten vaatimuksista ja huolehdimme että ne täyttyvät jatkossakin. Meille yhtä itsestään selvää on, että valvonnan puute tai sen vähäisyys, ei millään muotoa oikeuta poikkeamaan näistä vaatimuksista, tai estä käyttämästä vaatimuksia tiukempiakin keinoja tietoturvan takaamiseksi.

Teemme määrätietoisesti töitä Hilkka-  ja Nappula-järjestelmiemme tietoturvan eteen sekä tietoteknisessä, että henkilöstön osaamisen kehittämisessä. Viime vuoden näkyvin ilmentymä tekemästämme työstä on Fastroin saavuttama kansainvälinen ISO 27001 -tietoturvasertifikaatti. Voit lukea lisää miten huomioimme tietoturvan Fastroilla ja palveluissamme blogistamme

Toinen Fastroin ylläpitämä järjestelmä, Hilkka, on luokiteltu A-luokan järjestelmäksi Kanta-välitys- ja eResepti -palvelujen osalta. A-luokan ominaisuuksien vuoksi Fastroille on tehty KMPG:n toimesta Tietoturva-auditointi määräajoin.

Ehdotus B-luokan järjestelmien vaatimustenmukaisuustodistukselle

Ehdottaisin, että myös kaikki B-luokan järjestelmät velvoitettaisiin jatkossa hankkimaan arviointilaitoksen myöntämä vaatimuksenmukaisuustodistus. Tämä olisi yksi keino poistaa hieman virheellisen luokittelun aiheuttamaa huolta sekä asiakkailtamme, mutta erityisesti asiakkaidemme asiakkailta. Heidän huolensa on erittäin ymmärrettävä.