MinduuPron tietoturva

 

MinduuPro on tietoturvallinen järjestelmä, johon voit luottaa. Se on asiakastietolain mukainen A1-luokan sertifioitu järjestelmä, jonka kaikki toiminnallisuudet, kehitysprosessi ja käyttöympäristö ovat ulkopuolisen viranomaisen auditoimia ja hyväksymiä.

 

Potilasmerkinnät ja tietoturva

 

MinduuPro on asiakastietolain mukainen A1-luokan sertifioitu järjestelmä*. MinduuProssa potilasmerkintöjä ei tallenneta Minduun palvelimille lainkaan, vaan merkinnät tallentuvat ainoastaan Kelan ylläpitämään Potilastiedon arkistoon (Kanta) A3-luokan järjestelmän kautta. Valitsemamme toteutustapa on tietoturvan näkökulmasta turvallisin.

MinduuPro on ulkopuolisen viranomaisen auditoima

MinduuProssa Kanta-yhteyden muodostuksessa käytetään ERA -järjestelmää, joka on sertifioitu A3-luokan järjestelmä. Tämä tarkoittaa, että niin MinduuPron kuin ERA:n toiminnallisuudet, kehitysprosessi ja käyttöympäristö ovat ulkopuolisen viranomaisen auditoimia ja hyväksymiä. Sertifioinnit uusitaan säännöllisesti, ja todistuksena läpäistystä sertifioinnista on viranomaisen myöntämä vaatimuksenmukaisuustodistus.

Teetämme säännöllisesti myös erillisiä tietoturva-auditointeja järjestelmälle tietoturvayhtiön toimesta. Auditoinneissa testataan ohjelmiston tietoturvaa laajasti.

Vahva tunnistautuminen

Kirjautuminen tapahtuu vahvalla tunnistautumisella terveydenhuollon ammattikortilla, ja Kanta on teknisesti äärimmäisen hyvin suojattu. Potilasmerkintöjen tallentamiseen tai katsomiseen tarvitaan aina fyysinen sote-ammattikortti, pin-koodi, käyttäjätunnus sekä salasana.

 

Muut asiakas- ja laskutustiedot

 

MinduuPron palvelimelle tallennetut muut asiakas- ja laskutustiedot ovat monin eri teknisin tavoin suojattu. Lisäksi mahdolliset asiakaskohtaiset liitetiedostot tallennetaan erilliseen kryptattuun tietokantaan, jolla on ISO 13485 ja 27001 sertifikaatit.

 

Suojattu etäyhteys

 

Yhteys on salattu ja toimii suoraan terapeutin ja asiakkaan selainten välillä. Videoyhteydessä käytetään WebRTC teknologiaa, joka on vahvasti salattua. Tietoja ei tallenneta palvelimille ja tiedot suojataan ns. päästä-päähän salauksella.

 

* Huomioithan, että ohjelmistostamme on useampia versioita. Ainoastaan MinduuPro on A1-luokan mukainen tietojärjestelmä ja sen käyttöönotto vaatii Kantaan liittymisen. MinduuPro Laskutus -palvelu ei ole asiakastietolain mukainen potilastietojärjestelmä vaan laskutusjärjestelmä. Lisätietoa järjestelmien luokittelusta löydät mm. Valviran sivuilta.

 

 

💡Pieni tietoturvasanasto

 

Mitä on tietoturva?

  • Tietoturva tarkoittaa toimia, joilla pyritään varmistamaan tietojen luottamuksellisuus, eheys ja saatavuus. Tietoturvalla pyritään takaamaan se, että ainoastaan asianmukaiset tahot pääsevät käsiksi tarvitsemiinsa tietoihin.

Mikä on asiakastietolaki ja miten se liittyy sähköisiin järjestelmiin ja Kantaan?

  • Asiakastietolain mukaan pitkäaikaista potilaskertomuksen sähköistä säilytystä saa toteuttaa vain Kantaan kytketyssä A-luokan sertifioidussa tietojärjestelmässä. Eli potilaskertomusta voi säilyttää vain Kantaan kytketyssä järjestelmässä tai paperiarkistona. Muistitikulla säilytettävästä arkistosta ei ole toistaiseksi juridista ennakkotapausta, tulkitaanko se sähköiseksi vai paperiseksi arkistoksi.

Mikä on A-luokan potilastietojärjestelmä?

  • Sähköiset järjestelmät, joissa säilytetään potilaskertomusta, tulee lain mukaan olla rekisteröity A-luokan potilastietojärjestelmiksi ja kytketty Kantaan. A-luokan järjestelmissä toiminnallisuudet, kehitysprosessi ja käyttöympäristö ovat ulkopuolisen viranomaisen auditoimia ja hyväksymiä, ja uudet ominaisuudet on testattu Kelan vaatimalla yhteistestausprosessilla. Tällaisia sertifioituja järjestelmiä ovat esim. kaikki julkisen sektorin ja yksityisten toimijoiden pääasialliset suuret potilastietojärjestelmät.

Mikä on B-luokan potilastietojärjestelmä?

  • Kärjistetysti sanoen, jos terveydenhuollon järjestelmä ei sisällä potilaskertomusta vaan vain muuta potilastietoa, se on todennäköisesti B-luokan järjestelmä. B-luokan järjestelmissä käsitellään esim. päivittäismerkintöjä, ajanvaraustietoja, kuvallista potilastietoa ja mittaustuloksia. Suurella sairaanhoitopiirillä voi olla erilaisia B-luokan järjestelmiä useita. B-luokan järjestelmiltä ei edellytetä samaa sertifiointiprosessia kuin A-luokan järjestelmiltä, mutta tämä ei automaattisesti tarkoita että B-luokan järjestelmä olisi huonommin suojattu. Myös B-luokan järjestelmä tulee suojata asianmukaisesti ja järjestelmiltä vaaditaan korkeaa suojaustasoa.
Haluatko tietää lisää? Ota yhteyttä!