Valviran webinaari sosiaali- ja terveydenhuollon tietojärjestelmien rekisteröinnistä
Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira järjesti 30.10.2025 webinaarin sosiaali- ja terveydenhuollon tietojärjestelmien rekisteröinnistä. Tilaisuudessa käsiteltiin mm. tietojärjestelmiä ja niiden rekisteröintivelvoitetta, rekisteröinnin ulkopuolelle jääviä ohjelmistoja, tietojärjestelmäpalvelun tuottajan roolia ja vastuita sekä rekisteröinnin kulkua viranomaisprosessina.
Mikä on rekisteröintivelvoite?
Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain (703/2023, ”asiakastietolaki”) mukaisella tietojärjestelmällä tarkoitetaan ohjelmistoa, järjestelmää tai osajärjestelmää, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakasasiakirjojen sähköiseen käsittelyyn, niiden tallentamiseen Kanta-palveluihin tai niihin liittämiseen tai jolla ammattihenkilö voi hyödyntää hyvinvointitietoja.
Esimerkkejä tällaisista järjestelmistä ovat potilastietojärjestelmät ja sosiaalihuollon asiakastietojärjestelmät sekä laboratorio- ja kuvantamisjärjestelmissä käytettävät ohjelmistot, joilla käsitellään asiakkaita tai potilaita koskevia tietoja.
Sosiaali- ja terveydenhuollon tietojärjestelmä on asiakastietolain mukaan rekisteröitävä Valviran Astori-rekisteriin ennen sen tuotantokäyttöönottoa. Rekisteröitävät tietojärjestelmät jaetaan A- ja B-luokkiin, jossa A-luokka jakaantuu edelleen A1, A2 ja A3-luokkiin, ja rekisteröinti on maksullista. Järjestelmää ei saa ottaa tuotantokäyttöön, jos se ei ole Astori-rekisterissä, eli rekisteröinnillä on merkittävä oikeusvaikutus.
Mitkä ohjelmistot jäävät rekisteröinnin ulkopuolelle?
Kaikki sote-palvelutuotannossa käytettävät ohjelmistot eivät ole asiakastietolain mukaisia tietojärjestelmiä eikä niitä rekisteröidä. Luokittelemattomia järjestelmiä ovat muun muassa laitteiden toimintaa ohjaavat tietokoneohjelmat, jotka eivät käsittele asiakastietoja, yleiskäyttöiset ohjelmat kuten tekstinkäsittely- tai taulukkolaskentaohjelmat, henkilöstö- tai taloushallinnon ohjelmat sekä ERP-toiminnanohjausjärjestelmät, hallinnolliset tukijärjestelmät, asiakaslaskutusjärjestelmät ja ajanvarausjärjestelmät, joita valmistaja ei ole erityisesti suunnitellut asiakasasiakirjojen tai -tietojen käsittelyyn eikä niissä ole Kanta-liityntää.
Valvira arvioi tapauskohtaisesti rekisteröinnin yhteydessä, täyttääkö ohjelmisto asiakastietolain mukaisen tietojärjestelmän määritelmän, ja tietojärjestelmäpalvelun tuottaja vastaa lähtökohtaisesti järjestelmän luokittelusta. Arvioinnissa huomioidaan erityisesti tietojärjestelmässä tapahtuvan asiakastietojen käsittelyn laajamittaisuus ja riskitaso sekä Kanta-integraatiot.
Tuottajan rooli ja vastuut
Tuottaja vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista. Tuottajan vastuut säilyvät, vaikka organisaatio muuttuisi esimerkiksi yrityskauppatilanteissa.
Tuottajan vastuulle kuuluu muun muassa lainsäädännön järjestelmävaatimusten, muutosten ja määräaikojen seuraaminen ja noudattaminen, tietojärjestelmän käyttötarkoituksen mukaisten olennaisten vaatimusten toteuttaminen ja sertifiointi, tietojärjestelmän rekisteröinti Astoriin ja muutosten ilmoittaminen sekä rekisteritietojen ylläpito ja ajantasaisena pitäminen.
Astori-rekisteri
Valvira ylläpitää asiakastietolain ja toisiolain mukaista Astori-rekisteriä, joka on syksyllä 2024 käyttöönotettu julkinen viranomaisrekisteri, jossa on tietoja Valviralle ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä, joita palvelunantajilla on lupa ottaa käyttöön.
Rekisterissä on tietoja muun muassa tietojärjestelmän nimestä, käyttökontekstista, käyttötarkoituksen kuvauksesta, profiileista, Kanta-integraatioista ja järjestelmän luokasta sekä tiedot suoritetuista tietoturvallisuuden arvioinneista ja yhteentoimivuuden testauksista. Astorista saa tietoja tekemällä maksuttomia hakuja, ja tiedot päivittyvät kerran vuorokaudessa.
Järjestelmän luokittelu
Järjestelmä luokitellaan THL:n luokittelukriteerejä vasten, ja luokkaan vaikuttavat järjestelmän käyttötarkoitus, järjestelmässä käsiteltyjen tietojen luonne ja laajuus sekä järjestelmän riskitaso ja kriittisyys. Luokka määräytyy sen mukaisesti, mikä on korkein luokka, johon kuulumisen kriteerit tietojärjestelmä täyttää, ja jos järjestelmä täyttää korkeampaan luokittelutasoon kuulumisen kriteerejä, se on luokiteltava korkeamman tason mukaisesti.
Järjestelmä voi olla A-luokkaa (A1), vaikka sillä ei ole integraatiota Kanta-palveluihin. Jos järjestelmä on Astori-rekisterissä B-luokassa ja sitä kehitetään ketterästi, luokittelun uudelleenarviointia on tehtävä kehitystyön yhteydessä, ja jos muutokset muuttavat järjestelmän luokan B:stä A1:seksi, järjestelmälle on suoritettava tietoturvallisuuden arviointi ja muutos on rekisteröitävä Astori-rekisteriin ennen kuin muutoksen sisältävän järjestelmän versio otetaan tuotantokäyttöön.
Profiilit ja vaatimukset
Profiili kertoo järjestelmän käyttötarkoituksen tarkalla tasolla, ja profiilin mukaisten pakollisten vaatimusten täyttyminen on edellytys järjestelmän rekisteröinnille Astori-rekisteriin ja rekisterissä olemiselle. Profiilin mukaiset vähimmäisvaatimukset on toteuduttava, jotta järjestelmä voidaan ottaa käyttöön kyseisessä käyttötarkoituksessa.
Jos vaatimukset eivät täyty, Valvira ei rekisteröi järjestelmää Astori-rekisteriin tai voi aloittaa vaatimustenmukaisuuden valvonnan, jossa voidaan määrätä esimerkiksi puuttuvan toiminnon tai tietosisällön tehtäväksi tai poistaa järjestelmä Astori-rekisteristä.
Tuotantokäytön aikaiset vastuut
Tietojärjestelmäpalvelun tuottajan velvoitteet eivät rajoitu vain tietojärjestelmän rekisteröintiin ja käyttöönottoon, vaan nämä ovat voimassa järjestelmän koko elinkaaren ajan, ja tuottaja vastaa siitä, että järjestelmä täyttää olennaiset vaatimukset koko tuotantokäytön ajan.
Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tietojärjestelmän tuotantokäytön aikana saatavia kokemuksia. Muutoksista ilmoitetaan rekisteri-ilmoituksella, ja tietoturvallisuustodistuksen vanheneminen on ennakoitava ajoissa, sillä kun todistus vanhenee, Astorissa näkyy merkittävä poikkeama, joka estää uudet käyttöönotot.
Merkittävät poikkeamat
Asiakastietolaissa on kuvattu poikkeamat ja niistä ilmoittaminen, ja jos poikkeama voi aiheuttaa merkittävän riskin asiakasturvallisuudella tai tietoturvalle, ilmoitetaan tietojärjestelmäpalvelun tuottajalle sekä Valviralle. Merkittävä poikkeama voi olla esimerkiksi poikkeama, joka aiheuttaa riskejä potilas- tai asiakasturvallisuudelle, merkittäviä riskejä tietosuojalle, tietoturvallisuudelle tai sosiaali- ja terveyspalvelujen toiminnalle, tai tietojen oikeellisuudelle, eheydelle tai yhteentoimivuudelle laajamittaisia häiriöitä aiheuttava poikkeama.
Merkittävistä poikkeamista on ilmoitettava asiakastietolain mukaisesti, ja tietojärjestelmän valmistajan, tietojärjestelmäpalvelun tuottajan, välittäjän, palvelunantajan tai hyvinvointisovelluksen valmistajan, jota merkittävä poikkeama koskee, on ryhdyttävä toimenpiteisiin poikkeaman korjaamiseksi.
Viranomaisroolit
Valvira toimii tietojärjestelmien rekisteröinnistä vastaavana viranomaisena, ohjaa, valvoo ja edistää tietojärjestelmien vaatimustenmukaisuutta koko tietojärjestelmän Astori-rekisterissä oloajan sekä ohjaa ja valvoo myös tietojärjestelmiä käyttäviä julkisia ja yksityisiä palvelunantajia. Valviran ja aluehallintovirastojen tehtävät siirtyvät 1.1.2026 alkaen valtakunnalliselle Lupa- ja valvontavirastolle (LVV), ja uuden viraston toiminnan käynnistyminen voi aiheuttaa toiminnan viivästyksiä.
THL ohjaa ja kehittää sote-tiedonhallintaa ja tietotuotantoa, on antanut määräyksiä muun muassa tietojärjestelmien olennaisista vaatimuksista, luokittelusta ja sertifioinnista sekä päättää epäselvissä tilanteissa tietojärjestelmän luokasta. Kansaneläkelaitos järjestää A2- ja A3-luokan tietojärjestelmille sekä A-luokan hyvinvointisovelluksille pakollisen yhteistestauksen Kanta-palveluiden kanssa, jossa varmistetaan, että tietojärjestelmä on toteutettu yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti.
Yhteenveto
Asiakastietoa käsittelyyn tarkoitetut tietojärjestelmät on rekisteröitävä Astoriin, rekisteröinti edellyttää itsenäistä perehtymistä virallismateriaaleihin ja on järjestelmän tuotantokäytön edellytys sekä ennakollista valvontaa, tuottaja vastaa järjestelmän vaatimustenmukaisuudesta, sertifioinnista, rekisteröinnistä ja luokittelusta, ja rekisteröintiin on valmistauduttava huolella.
Tuottaja vastaa koko tietojärjestelmän elinkaaren hallinnasta ja vastuista, mukaan lukien rekisteritietojen ajantasaisuus, olennaisten vaatimusten täyttyminen, järjestelmän riskiarvio ja muutosten ilmoittaminen, ja tuottajan on ilmoitettava merkittävästä poikkeamasta viipymättä Valviralle ja järjestelmän käyttäjille sekä ryhdyttävä korjaaviin toimenpiteisiin.