[MODELLUNDERLAG FÖR PLAN FÖR EGENKONTROLL FÖR FÖRETAGARE INOM SOCIAL- OCH HÄLSOVÅRDEN]

[MODELLUNDERLAG FÖR PLAN FÖR EGENKONTROLL FÖR FÖRETAGARE INOM SOCIAL- OCH HÄLSOVÅRDEN]

[ERSÄTT UPPGIFTERNA INOM HAKPARENTES MED FÖRETAGETS UPPGIFTER ELLER RADERA VID BEHOV]

[se anvisning till den som använder modellunderlaget före kapitlet Inledning]

[Ange namnet på företaget/objektet för egenkontroll här]

PLAN FÖR EGENKONTROLL AV DATA- SKYDD OCH DATASÄKERHET

Uppdaterad: [Datum och uppgifter om eventuella versioner]

Upprättad av: [Vem som utarbetat planen]

Godkänd: [Eventuella anteckningar om godkännande, datum]

Föråldrad

och-specifikationer/foreskrifter

Innehåll

1 Inledning ... 3

2 Föremålet för planen ... 4

3 Allmänna informationssäkerhetsrutiner ... 5

4 Gemensamma informationssäkerhetsrutiner för användarmiljön och flera system ... 7

5 Allmänna rutiner för uppföljning av behörigheter, behörighetshantering och användning ... 10

6 Datasäkerhetsrutiner för användning av Kanta-tjänsterna ... 12

7 Datasystem ... 14

8 Datasystemspecifika anvisningar och planer ... 15 [UPPDATERA INNEHÅLLSFÖRTECKNINGEN NÄR DOKUMENTET ÄR FÄRDIGT]

Föråldrad

[

[Det här är ett dokumentunderlag som är avsett som stöd för att göra upp en plan för egenkontroll. Den här modellunderlagsversionen är särskilt avsedd för att göra upp en plan för egenkontroll av verksamhet som idkas av en liten, privat producent av social- och hälsovårdstjänster. Dokumentmallens uppbyggnad och dess detaljerade innehåll är inte bindande. I dokumentunderlaget har dock samlats sådana omständigheter och rubriker som måste beskrivas enligt bestämmelserna om egenkontroll av datasäkerhet och inform- ationshantering. I den egentliga planen ska alla sådana omständigheter som nämns i THL:s föreskrift 2/2015 och som är relevanta för objektet för egenkontroll beskrivas. Före- skriften innehåller utförligare krav och beskrivningar för flera punkter i dokumentunderla- get. Den svarta texten i dokumentunderlaget kan direkt användas som botten för det slut- liga dokumentet. Den röda texten är avsedd att redigeras eller raderas.

Planens slutliga uppbyggnad och innehåll ska utformas på ett sätt som är ändamålsenligt för dem som använder planen och till exempel de omständigheter i föreskriften som inte kan tillämpas i egenkontrollobjektets verksamhet kan nämnas i en bilaga till planen. Det är också möjligt att komplettera planen med andra omständigheter som är väsentliga för ob- jektet.

Det ska utifrån innehållet i planen eller de övriga dokument planen hänvisar till vid behov vara möjligt att verifiera att en plan har utarbetats, att den innehåller de faktorer som krävs och hur genomförandet av planen följs.]

1 Inledning

Tillhandahållare av social- och hälsovårdstjänster, apotek och självständiga yrkesutövare, Folkpensionsanstalten samt producenter av Kanta-förmedlingsservice ska utarbeta en plan för egenkontroll. (Föreskrift 2/2015,THL/1305/4.09.00/2014). Tillhandahållare av soci- al- och hälsovårdstjänster som använder datasystem ska ha en plan. Med hjälp av planen upprätthålls och utvecklas organisationens datasäkerhet och dataskydd samt säkerställs att ansvaren i anslutning till dataskydd och datasäkerhet är tillräckligt tydliga. Syftet med planen för egenkontroll är att säkerställa att tjänstetillhandahållaren och tjänstetillhanda- hållarens personal

• behärskar användningen av de datasystem som de har tillgång till

• beaktar kraven på sekretess och datasäkerhet vid behandling av klient- och pati- entuppgifter

• förstår följderna av missbruk

• [vid behov kan man själv komplettera listan]

[I planen för egenkontroll hänvisas alltid när det är möjligt till befintliga anvisningar och do- kument som ska upprätthållas separat. Det väsentliga är att det med hjälp av länkar eller uppgifter i planen framgår var man kan hitta dokumentationen eller verifiera att kraven uppfylls. Om det inte finns eller går att få annan färdig dokumentation, kan man beskriva de helheter och tillvägagångssätt som krävs direkt i planen för egenkontroll.]

Föråldrad

[Verksamhetsenhetens ansvariga chef (tillhandahållaren av social- och hälsovårdstjänster) ansvarar för att en plan för egenkontroll upprättas och följs].

2 Föremålet för planen

[Börja göra upp eller uppdatera planen vid den här punkten!]

Denna plan för egenkontroll omfattar:

[I detta stycke redogörs för den aktör eller de aktörer som berörs av denna plan för egen- kontroll. Här antecknas basuppgifter om det eller de företag eller privata näringsidkare el- ler självständiga yrkesutövare som omfattas av planen:]

• Namn: [tjänstetillhandahållarens/verksamhetsenhetens namn]

• FO-nummer: [FO-nummer]

• Ansvarsperson/chef: [namn på tjänstetillhandahållarens/verksamhetsenhetens chef]

• Verksamhetsställen/serviceenheter: [alla serviceenheter och/eller verksamhetsstäl- len som berörs av planen]

• Underleverantörer och avtalsparter som omfattas av planen: [tjänsteproducenter som är verksamma inom ramen för den här planen (till exempel genom uppdrags- eller underleverantörsavtal) och som berörs av planen]

Vid genomförandet och uppdateringen av planen iakttas följande praxis:

• Person som ansvarar för planen och uppdateringen av den: [namn]

• Personer som ansvarar för genomförandet av planen: [personer som ansvarar för dataskydds- och datasäkerhetsåtgärder i praktiken]

• Gransknings- och uppdateringspraxis: [beskrivning av hur ofta planen granskas och vid behov uppdateras, inklusive i vilka situationer planen granskas och uppdateras (till exempel organisationsförändringar)]

• Uppföljning av planen och dokumentering av uppföljningen: [beskrivning av på vilket sätt genomförandet av planen regelbundet följs och hur uppföljningen dokumente- ras]

• Användning av planen vid anskaffning och uppdatering av datasystem: [beskrivning av hur de åtgärder som beskrivs i planen beaktas då man skaffar eller uppdaterar datasystemen]

• Beslut om godkännande och ibruktagande av planen: [vem som beslutat att god- känna och ta i bruk planen och när beslutet fattats, hur man beslutar om att god- känna och ta i bruk nya versioner av planen]

Föråldrad

3 Allmänna informationssäkerhetsrutiner

Vid företaget iakttas följande allmänna informationssäkerhetsrutiner:

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

Dataskyddsansvarig: [Den dataskyddsansvariges namn¹]

Datasystemen används och dataskyddet och datasäkerheten genomförs i enlighet med följande dokument:

[Hänvisningar till andra dokument som används i genomförandet av dataskydd och data- säkerhet, till exempel

• register över behandling av personuppgifter²

• eventuell kvalitetshandbok

• anvisningar av producenter av informationssystemtjänster

• egna datasäkerhetsanvisningar

• datasäkerhetspolicy, om en sådan utarbetats

• avtal i vilka de omständigheter som omfattas av planen fastställs förteckning över övriga anvisningar och beskrivningar som ska iakttas]

Vid behandling av information och genomförande av dataskydd och datasäkerhet följs och iakttas följande myndighetsanvisningar och -föreskrifter:

[Förteckning över anvisningar som anknyter till bland annat egenkontroll, användarrättig- heter och uppföljning av användningen med mera som ska användas och iakttas, exem- pelvis THL:s anvisningar och föreskrifter³. Beskrivning av hur ofta anvisningarna och före- skrifterna granskas och hur nya anvisningar tas i bruk och hur utbildning eller introduktion vid behov ordnas.]

Utbildning, anvisningar och användarerfarenhet samt uppföljning av dessa Behandling av klientuppgifter, användning av datasystem samt säkerställande av data- skydd och datasäkerhet i utbildningar, anvisningar och uppföljning:

[Beskrivning av

• hur utbildning i dataskydd och datasäkerhet genomförs och vid behov hänvisning till en separat utbildningsplan

• beskrivning av hur det säkerställs att personalen har fått utbildning och introduktion i tillvägagångsmodeller och -sätt gällande behandling av patient- och klientuppgifter

1Om en dataskyddsansvarig har utsetts. Dataskyddsgruppens anvisning om dataskyddsansvariga WP243, punkt 2.1.3 (på finska)

2 Dataombudsmannens byrå: Register över behandling

3https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/maaraykset-ja-maarittelyt/maaraykset https://thl.fi/fi/web/tiedonhallinta-sosiaali-ja-terveysalalla/ohjeet-ja-soveltaminen/ohjeet

Föråldrad

(till exempel information till kunder, besvarande av begäranden om information osv.)

• beskrivning av hur utbildningen och introduktionen i användningen av datasystemen och de nya versionerna av dem ombesörjs

• beskrivning av hur fullföljandet av utbildningen och inlärningen följs (till exempel in- tyg eller uppgifter som ska upprätthållas om deltagande i utbildning)

• vid behov beskrivning av vem som ansvarar för kostnaderna för utbildningarna, vid behov hänvisning till ett avtal om detta

• vid behov beskrivning av hur man följer och beskriver hur lång erfarenhet och vilken erfarenhet personalen har av att använda de klient- eller patientdatasystem som används och hur man stödjer (introduktion, handledning) de anställda som inte har så mycket erfarenhet]

Föråldrad

4 Gemensamma informationssäkerhetsrutiner för användarmil- jön och flera system

[Beskrivning av var följande uppgifter finns att få, eller beskrivningar som en del av pla- nen:]

Förfaranden i fel- och problemsituationer

Vid fel- och problemsituationer iakttas följande tillvägsgångssätt:

[Beskrivning av hur man går till väga för att utreda fel- och problemsituationer, ansvar i fel- och problemsituationer, vid behov olika fel- och problemsituationer skilt för sig:

• problem med nätet eller telekommunikationerna (förfaranden och kontaktuppgifter till tillverkarna av nättjänsterna, eventuella anvisningar av tillverkarna)

• problem i anslutning till användningen av systemen (förfaranden om systemet inte fungerar, startar eller inte fungerar korrekt, olika systemleverantörers kontaktuppgif- ter och stödtjänster)

• hantering av iakttagna eller realiserade datasäkerhets- eller dataskyddshot eller problem

o åtgärder om klientuppgifter eller andra uppgifter som ska skyddas har läckt ut till utomstående

o åtgärder om ett virusprogram eller skadligt program upptäcks

o åtgärder om en anställds användarkoder har läckt ut till utomstående o åtgärder om nätfiske upptäcks

• åtgärder om datasystem som behandlar klient- eller patientuppgifter tydligt fungerar på fel sätt i förhållande till de nationella krav som fastställts, hur saken meddelas tillverkaren av datasystemet

o det vill säga anmälan om betydande avvikelser som iakttagits i fråga om upp- fyllandet av väsentliga krav på system av klass A eller klass B till tillverkaren av informationssystemet

• åtgärder om ett datasystem som behandlar klient- eller patientuppgifter medför en risk för patientsäkerheten

o det vill säga anmälan om betydande avvikelse i system av klass A eller klass B till Valvira, om avvikelsen medför betydande risk för patientsäkerheten o till exempel i situationer där patient- och/eller klientuppgifter och/eller recept-

uppgifter har gått till fel klient/patient på grund av ett systemfel]

Hantering av och tillgång till bruksanvisningar för systemen

Vad gäller hantering och utnyttjande av bruksanvisningar för systemen iakttas följande tillvägagångssätt:

[Beskrivning av följande omständigheter och på vems ansvar de ligger:

• var bruksanvisningarna för datasystemet finns och vem som ansvarar för dem

• hur den som behöver bruksanvisningar för datasystemet eller -systemen får dessa och var de finns

Föråldrad

• hur uppdaterade och tillräckliga bruksanvisningar fås eller skaffas från tillverkaren av datasystemet/datasystemtjänsten

o även hur uppdatering och distribution av bruksanvisningar sker i samband med program och versionsuppdateringar samt andra ändringar

• hur, när och av vem uppdateras bruksanvisningarna, också om det görs egna kom- pletterande anvisningar

• hur introduceras personalen i användningen av datasystemet och hur har uppfölj- ningen ordnats (här kan man hänvisa till ett introduktionsprogram)

• hur säkerställer man att datasystemen används enligt tillverkarens anvisningar eller så att anvisningarna tillämpas eller kompletteras på ändamålsenligt sätt

• hur dokumenteras de punkter som beskrivits ovan, till exempel vid avvikelser/brister i fråga om tillgången till anvisningar eller användning enligt anvisningarna.]

Allmänt om installation och underhåll av systemen

Vid installation och underhåll av systemen iakttas allmänt följande tillvägsgångssätt:

[I kapitel 8 finns en plats för systemspecifika omständigheter, om flera system används och de avviker från de rutiner som specificeras här]

[Följande faktorer beskrivs:

• vilka personer och aktörer som får utföra installationsåtgärder i systemen

• hur man förhindrar att övriga personer inte kan utföra installationer i systemen eller programvarorna

• kunskaper eller utbildning som krävs av dem som utför installations- och uppdate- ringsåtgärder

• tillvägsgångssätt om det system som används uppdateras

• beskrivning av vad som åtminstone måste testas och säkerställas innan ett system eller en ny programversion börjar användas för produktion

• hur ibruktagandet av ett nytt system eller en ny systemversion godkänns

• vid behov hänvisningar till avtal eller andra dokument där dessa faktorer beskrivs]

Säkerhet hos lokaler, arbetsstationer, lagringsmedier och utskrifter

Säkerheten hos lokaler, arbetsstationer, lagringsmedier och utskrifter ombesörjs på föl- jande sätt:

[Beskrivningar av

a) hur man sörjer för att verksamhetslokalerna låses för utomstående och för till ex- empel passerkontroll, om sådan används

b) placeringen av och rutiner för att skydda bildskärmsterminaler så att utomstående inte kan se uppgifter på dem, till exempel placering av terminaler, insynsskydd, lås- ningstid och lösenord för en terminal som inte används

c) hur det säkerställts att virusskyddet fungerar och uppdateras d) hur funktionen hos nätverkets brandvägg har ordnats

e) hur rutiner för att skydda mobila enheter (pekdatorer och smarttelefoner, eventuella bärbara arbetsstationer) har ordnats, till exempel användarkoder, lösenord, PIN- koder, hantering av SIM-kort och virusskyddsprogram för apparaterna, fjärrlåsning och/eller tömning av borttappade mobila apparater

Föråldrad

f) vem som har rätt att installera program och applikationer på företagets apparater, hur man ser till att endast dessa personer kan utföra installationer

g) var printrar har placerats och hur man förhindrar att utomstående har tillträde till h) hur pappersutskrifter innehållande klient- eller patientuppgifter förvaras inlåsta och dem

på ett brandsäkert sätt och skyddas från utomstående samt hur de förstörs så att utomstående inte får tillgång till uppgifterna

i) huruvida utomstående hårddiskar och minnesstickor tillåts och skyddsrutiner kring dessa, till exempel tillåts endast verktyg som företaget själv skaffat, skydd genom lösenord, hur man ser till att utomstående inte kan använda lagringsverktyg på ar- betsstationer eller det interna nätverket (bland annat skydd mot skadliga program) Andra rutiner i användningsmiljön

Övriga rutiner i anslutning till hanteringen av information och säkerställandet av datasä- kerheten:

[Hur man ordnar allmänna stödtjänster i användningsmiljön: till exempel uppdateringar av operativsystemet och systemprogram såsom Office]

[Hur man avtalat om ansvar vad gäller telekommunikationsoperatörer och datasäkerheten hos telekommunikationerna, huruvida avtalen inbegriper faktorer såsom datasäkerhet och tjänstens tillgänglighet, inklusive kontakt och förfaranden i störningssituationer]

[Distansförbindelser och deras dataskydd:

• vilka tjänster eller system får användas på distans, hur ser man till att distansan- vändning av övriga tjänster förhindras/förbjuds

• vilka eller hurdana internettjänster får och får inte användas på arbetsstationerna

• via vilka förbindelser kan och får tjänster som används på distans användas (till ex- empel VPN-förbindelser)]

[Adaptrar, trådlösa nät och routrar och datasäkerheten hos dem:

• krav på lösenord i trådlösa nätverk, rutiner för byte av lösenord, skydd av företagets eget trådlösa nätverk mot utomstående användare

• om klienter erbjuds ett trådlöst nätverk, hur det separeras från det egna nätverket

• ansvar för uppdateringar och skydd av routrar och andra nätverksenheter och even- tuella avtal i anslutning till detta

• uppdateringar av apparater och fasta programvaror i routrar och andra nätverksen- heter]

Föråldrad

5 Allmänna rutiner för uppföljning av behörigheter, behörig- hetshantering och användning

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

[I kapitel 8 finns en plats för systemspecifika omständigheter, om de avviker från de rutiner som specificeras här]

Användare och användargrupper

De personer och grupper som använder datasystemen och apparaterna administreras på följande sätt:

[Beskrivning: var finns

• en uppdaterad förteckning över de användare och vid behov användargrupper som använder klient- och/eller patientdatasystemen

• en uppdaterad förteckning över de användare och vid behov användargrupper som använder företagets apparater (arbetsstationer, mobila enheter, övriga apparater)

• en uppdaterad förteckning över åtkomsträttigheter till Kanta-tjänsterna

• en uppdaterad förteckning över åtkomsträttigheter till andra elektroniska system]

Rutiner för uppföljning av behörighetshantering och användning

I fråga om uppföljning av åtkomsträttigheter, behörigheter och användning följs följande tillvägagångssätt:

[Rutiner för ansökan om, beviljande, uppföljning, ändring, översyn/säkerställande och från- tagande av behörigheter, till exempel hur en ny anställd eller vikarie får användarkoder och åtkomsträttigheter, hur vikariernas identitet verifieras innan de beviljas åtkomsträttig- heter, hur och när före detta anställda fråntas sina användarkoder och åtkomsträttigheter]

[Rutiner för identifiering och verifiering av användare: plan för hantering av aktivkort och lösenord samt övriga inloggnings- och identifieringsverktyg; åtminstone vad gäller passer- kontroll, inloggning på arbetsstationer och i system, samt inloggnings- och identifieringsru- tiner för mobila enheter]

[Förteckning över loggar för uppföljning av användningen av system och klientuppgifter (loggfiler, loggsystem). Rutiner för uppföljning av hanteringen och användningen av loggar, till exempel vem som besvarar klienternas begäranden om uppgifter, vem som samman- ställer loggrapporter och hur ofta, vem som följer loggrapporter eller logguppgifter och hur ofta, beskrivning av vilka åtgärder som vidtas om det upptäcks fellägen i logguppgifterna

Föråldrad

eller misstankar om förseelser eller obehörig användning. Se även kapitel 6 om Kanta- utlämningslogg och användningslogg.]

[Erhållande och anskaffande av Fpa:s logguppgifter för genomförande av uppföljningen och tillsynen. Fpa har rätt att överlåta uppgifterna i överlåtelseloggen till den personupp- giftsansvarige för registret ifråga.]

[Handlingsmodell när lagstridig behandling av klient- eller patientuppgifter misstänks eller upptäcks].

[Vid behov hänvisningar till separata egna eller utomstående anvisningar/beskrivningar]

Föråldrad

6 Datasäkerhetsrutiner för användning av Kanta-tjänsterna

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

[Det är också möjligt att beskriva dessa omständigheter i samband med motsvarande punkter i tidigare kapitel eller systemspecifikt (kapitel 8)]

[Beskrivning av hur användarna får utbildning eller introduktion i Kanta-tjänsterna och i hur dessa används på ett datasäkert sätt, till exempel introduktionsmaterial, webbutbild-

ning/enkäter osv. och hur man säkerställer att introduktionen har genomförts]

[Genomförande av de identifierings- och verifieringslösningar som Kanta-tjänsterna förut- sätter: inloggningsrutiner för system som använder Kanta-tjänsterna,

[Granskning av uppgifter i organisationsregistret för social- och hälsovården eller IAH- kodsystemet: tillståndsuppgifter om privata tjänstetillhandahållare förmedlas till kodtjänsten ur Valveri-registret (registret över privata tillhandahållare av social- och hälsovårdstjäns- ter). Organisationen granskar uppgifterna i kodtjänstens organisationsregister för social- och hälsovården. Självständiga yrkesutövare granskar uppgifterna i IAH-kodsystemet. Kor- rigeringar av felaktiga uppgifter och tillägg meddelas alltid till det egna regionförvaltnings- verket eller Valvira. Även uppdateringar som görs i förändringssituationer ska beaktas.]

[Genomförande av de certifikatlösningar som Kanta-tjänsterna förutsätter (olika typer av aktivkort för personalen och servercertifikat för datatekniska tjänster som beställs från BRC)]

[Hantering av de åtkomsträttigheter/behörigheter som Kanta-tjänsterna förutsätter och koppling av dem till arbetstagarnas arbetsroller – vid behov även huvudanvändare, arkiva- rie, rättigheter och uppgifter i anslutning till den dataskyddsansvariges uppgifter]

[Uppföljning av användningen av Kanta-tjänsterna och system i anslutning till dessa, inklu- sive uppföljning av loggen över användning och utlämnande av klientuppgifter: vem följer, på vilket sätt, hur ofta. Se även kapitel 5/Förteckning över loggar för uppföljning av an- vändningen av system och klientuppgifter].

[Genomförande av hanteringen av åtkomst till Kanta-tjänsterna i de datasystem som an- vänds]

[Beskrivning av hur åtskiljandet av socialvårdens och hälso- och sjukvårdens dokument och olika register har genomförts]

Föråldrad

[Beskrivning av på vilket sätt och hur ofta det säkerställs att de datasystem och förmed- lingstjänster som kopplas till Kanta-tjänsterna har ett gällande intyg över överensstäm- melse, och uppgifter i Valviras register över datasystem (system i klass A)]

[Beskrivning av på vilket sätt och hur ofta det säkerställs att övriga datasystem avsedda för behandling av klient- eller patientuppgifter har meddelats Valvira och att deras uppgifter är uppdaterade i Valviras register över datasystem (system i klass B)]

[Beskrivning av hur det säkerställs att det system som skaffas eller uppdateras uppfyller gällande myndighetskrav (hur ärendet beskrivs i avtal, vad som granskas i till exempel THL:s föreskrifter, systemprofiler och det överensstämmelseintyg som system förutsätts ha, Valviras register över datasystem och resultaten av Fpa:s samtestning)]

[Åtgärder och ansvar i en situation där överensstämmelseintyget för ett system som är i användning återkallas för viss tid eller helt, i en situation där överensstämmelseintyget be- gränsas eller i en situation där användningen av informationssystemet förbjuds, beskriv- ning av hur ärendet beaktas i avtal]

Föråldrad

7 Datasystem

[Det lönar sig ofta att börja med att sammanställa innehållet i den här punkten.]

[Till exempel hänvisning till en uppdaterad förteckning över datasystem eller datasystems- portfölj som ska underhållas, eller en förteckning över system som ska användas. Görs vid behov i samarbete med leverantören av datasystemet eller -lösningen.]

[Alla system som påverkar behandlingen av klient- eller patientuppgifter, datasäkerheten och dataskyddet inkluderas]

Datasystem som ska kopplas till Kanta-tjänsterna (klass A)

[förteckning över varje systems namn, version, leverantör, kontaktuppgifter, uppgifter om överensstämmelseintyg och hur dessa motsvarar uppgifterna i Valviras register över data- system, vid behov andra uppgifter]

Andra system som behandlar klient- eller patientuppgifter (klass B)

[förteckning över varje systems namn, version, leverantör, kontaktuppgifter, hur dessa motsvarar uppgifterna i Valviras register över datasystem, vid behov andra uppgifter]

Andra datasystem som ska beaktas med tanke på skydd av känsliga klient- och pa- tientuppgifter

[förteckning över varje systems namn, version, leverantör, kontaktuppgifter, vid behov andra uppgifter]

[Dessutom vid behov uppgifter enligt kapitel 3–6 om de viktigaste systemen eller alla sy- stem i kapitel 8, om systemspecifika skillnader förekommer]

Föråldrad

8 Datasystemspecifika anvisningar och planer

[Hänvisningar till systemspecifika beskrivningar eller systemspecifika underavsnitt i detta kapitel. I de olika punkterna kan i tillämpliga delar användas liknande beskrivningar som i motsvarande avsnitt i tidigare kapitel. I underlagen nedan finns en modell för beskrivning av system i klass A (som ansluts till Kanta-tjänsterna), klass B (andra system avsedda för behandling av klient- eller patientuppgifter) och övriga system (som vid behov kan tas med i planen för egenkontroll).]

[8.1 System X (hör till klass A)]

-system, version, leverantör, kontaktuppgifter: [finns delvis även i Valviras register, klass A] -användningsändamål: [beskrivningen finns även i Valviras register, klass A]

-användargrupper:

[till behövliga och tillämpliga delar, såvida de avviker från de allmänna rutiner som beskrivs i kapitel 3–6]

-bruksanvisningar:

-uppdatering och distribution av anvisningarna:

-förfaranden i fel- och problemsituationer:

-systemspecifika stödtjänster:

-ansvar för och krav på installation och underhåll:

-tillvägagångssätt och ansvar i fel- och undantagssituationer:

-behörighetshantering i systemet:

-identifiering i systemet:

-loggar:

-låsning av systemet:

-säkerställande av uppgifterna i överensstämmelseintyg för system som ska kopplas till Kanta (klass A):

-uppgifter om systemet på sidan för Fpa:s testningsresultat (klass A):

-uppgifter om systemet i Valviras register (klass A och B):

[8.2 System Y (hör till klass B)]

-system, version, leverantör, kontaktuppgifter: [finns delvis även i Valviras register, klass B]

Föråldrad

-användningsändamål: [beskrivningen finns även i Valviras register, klass B]

-användargrupper:

[till behövliga och tillämpliga delar, såvida de avviker från de allmänna rutiner som beskrivs i kapitel 3–6]

-bruksanvisningar:

-uppdatering och distribution av anvisningarna:

-förfaranden i fel- och problemsituationer:

-systemspecifika stödtjänster:

-ansvar för och krav på installation och underhåll:

-tillvägagångssätt och ansvar i fel- och undantagssituationer:

-behörighetshantering i systemet:

-identifiering i systemet:

-loggar:

-låsning av systemet:

-uppgifter om systemet i Valviras register:

[8.3 System Z (annat system)]

-system, version, leverantör, kontaktuppgifter:

-användningsändamål:

-användargrupper:

[till behövliga och tillämpliga delar, såvida de avviker från de allmänna rutiner som beskrivs i kapitel 3–6]

-bruksanvisningar

-uppdatering och distribution av anvisningarna -förfaranden i fel- och problemsituationer -systemspecifika stödtjänster

-ansvar för och krav på installation och underhåll

-tillvägagångssätt och ansvar i fel- och undantagssituationer -behörighetshantering i systemet

-identifiering i systemet -loggar

-låsning av systemet

Föråldrad