Regulatory Digital Service Requirements¶
Sovelluksen valmistajan on testattava toiminnot ja tietosisällöt loppukäyttäjän näkökulmasta Kanta Omatietovarannon sandbox-ympäristöä ja/tai Kanta-asiakastestiympäristöä vasten ennen yhteistestaukseen ilmoittautumista. Testauksessa ei käytetä todellista “tuotantodataa”. |
Sovelluksessa ei saa olla sen tallentamaan tai käyttämään henkilökohtaiseen hyvinvointi- tai asiakastietoon perustuvaa kolmansien osapuolten mainontaa, ja näitä sovelluksen kautta käsiteltyjä tietoja ei saa hyödyntää kolmansien osapuolten mainostuksessa. Kolmansien osapuolten mainonta ei saa perustua kansalaisen hyvinvointi- asiakastietojen henkilökohtaiseen sisältöön. Mainontaa ei ole esimerkiksi sovellus, jonka käyttötarkoituksena käyttäjälle ilmaistaan esimerkiksi erilaisten kolmansien osapuolien hyvinvointipalvelujen suosittelu. |
Sovelluksessa kerrotaan sen rahoittajista tai sponsorilähteistä, sekä mahdollisista eturistiriidoista, jotka voivat vaikuttaa sovelluksen sisältöön tai toimintaan. |
Regulatory requirement: [PV07] Kanta-palveluista tietoja hakeva ja tietoja eteenpäin välittävä hyvinvointisovellus REGREQ_PV07
|
Hyvinvointitietoja tai asiakastietoja käyttävän sovelluksen valmistajan tulee ilmoittaa välittääkö sovellus Kanta-palveluista haettuja tietoja eteenpäin.Tietojen välitys edellyttää kansalaisen hyväksyntää / suostumusta. Sovelluksen valmistajan tulee selkeästi informoida kansalaiselle minne tiedot välitetään ja tietojen käyttötarkoitus. Informoinnissa on korostettava asiakkaan vastuuta palvelun käytössä ja edelleen luovutettujen tietojen käsittelyn vastuun siirtymistä kolmannelle osapuolelle. Riskit on arvioitava ja kuvattava vaatimuksen PV08 mukaisesti . Kuvaukset on tuotettava suhteessa niihin palveluihin, joihin tietoa toimitetaan suoraan. Sekä käyttäjälle että tietoturvallisuuden arviointia varten on kuvattava tietojen vastaanottamiseen liittyvät vastuutahot ja käyttäjälle hyväksyttäväksi tulevat ehdot. Kuvaukset ja vastuut on toteutettava viitattujen Kanta-toimitusehtojen ja määritysten mukaisesti. |
Regulatory requirement: [PV08(2024)] Tietoja eteenpäin välittävän sovelluksen riskiarvio REGREQ_PV08_2024
|
Jos kyseessä on vaatimuksen PV07 mukainen tietojen eteenpäin välittävä hyvinvointisovellus, valmistajan on kuvattava, kuinka on arvioinut eteenpäin välityksen kohteiden tietosuoja- ja tietoturvallisuusriskit, erityisesti suhteessa tietosuojaa ja tietoturvallisuutta koskeviin olennaisiin vaatimuksiin ja valmistajan arvio siitä, että nämä vaatimukset toteutuvat tietojen vastaanottavassa alustassa tai palvelussa riittävällä tasolla. Sovelluksen valmistajan on tehtävä riskiarvio sen suhteen, onko tietosuojan ja tietoturvallisuuden taso olennaisia vaatimuksia heikompi palveluissa, joihin tietoja välitetään. Jos taso on heikompi tai siitä ei ole tietoa, tietoa ei tule välittää palveluun tai on kuvattava, kuinka nämä riskit hallitaan esim. sopimusten, lisenssiehtojen ja/tai muiden suojatoimenpiteiden kautta. Kuvaukset on tuotettava suhteessa niihin palveluihin, joihin tietoa toimitetaan suoraan. Jos tiedot välitetään palveluun, johon liittyy myös muita sovelluksia tai palveluita (esim. yleiskäyttöinen alusta), on myös kuvattava millaiset vaatimukset ko. alusta tai palvelu asettaa muille siihen liitetyille palveluille. Kuvaukset ja vastuut on toteutettava viitattujen Kanta-toimitusehtojen mukaisesti. |
Hyvinvointisovellus hakee asiakastietoja Kanta asiakastietovarannosta, reseptikeskuksesta ja/tai tiedonhallintapalvelusta. |
Regulatory requirement: [PV10(2024)] Auktorisointi / hyvinvointisovelluksen oikeus saada asiakastietoja Kanta-palveluista. REGREQ_PV10_2024
|
Hyvinvointisovelluksessa tarkistetaan sen oikeus saada tietyn kansalaisen asiakastietoja Kanta asiakastietovarannosta, reseptikeskuksesta ja tiedonhallintapalvelusta, kun kansalainen on antanut tähän käyttöoikeudet ja käyttöoikeus on voimassa. Hyvinvointisovellus ohjaa kansalaisen tarvittaessa Kelan auktorisointipalveluun, jossa tarkistetaan sovelluksen oikeus saada tietyn kansalaisen asiakastietoja Kanta asiakastietovarannosta, reseptikeskuksesta ja tiedonhallintapalvelusta. |
Regulatory requirement: [PV11(2024)] Hyvinvointisovellukseen haetun asiakastiedon näyttäminen muille kuin kansalaiselle itselleen REGREQ_PV11_2024
|
Merkitään, jos hyvinvointisovellus näyttää tai välittää asiakastietoja muille toimijoille / luonnollisille henkilöille kuin asiakkaalle, lisäksi järjestelmälomakkeeseen merkitään erikseen jos kyseessä on palvelunantaja tai palvelunantajan palveluksessa oleva sote-ammattilainen. Hyvinvointisovelluksessa voi olla toimintoja, joilla asiakas välittää saamiaan asiakastietoja eteenpäin eri toimijoille, kuten erilaisten palvelujen tarjoajille ja ammattihenkilöille tai palvelunantajalle. Hyvinvointisovellus saa näyttää tai välittää sote-ammattilaiselle asiakkaan käyttämään hyvinvointisovellukseen haettuja asiakastietoja vain määrityksissä kuvatuilla edellytyksillä. Asiakas päättää sovellukseen saamiensa tietojen edelleen välittämisestä tai näyttämisestä. |
Regulatory requirement: [PV12(2024)] Terveyden ja hyvinvoinnin edistämisen käyttötarkoitus REGREQ_PV12_2024
|
Hyvinvointisovelluksen tulee täyttää terveyden ja hyvinvoinnin edistämisen käyttötarkoitus. Tällä tarkoitetaan, että sovellus on suunniteltu muuttamaan aiottua käyttäjien käyttäytymistä liittyen esim. terveellisten elämäntapojen toteuttamiseen, liikuntaan, ravintoon tai fysiologisten mittaustulosten tallennuksen kautta, tai että se auttaa ihmistä muulla tavoin edistämään omaa terveyttään ja hyvinvointiaan. Tapa jolla sovellus tätä tarkoitusta tukee, on kuvattava selkeästi. |
Mikäli sovelluksen uusi versio alkaa käsitellä uusia tietosisältöjä aiempaan versioon verrattuna, on sovellus luvitettava uudelleen ja asiasta ilmoitettava kansalaiselle vaatimuksen KK12 mukaisesti. |
Regulatory requirement: [YT02] Auktorisointi /sovelluksen oikeus käsitellä hyvinvointitietoja REGREQ_YT02
|
Hyvinvointitietoja käsittelevän hyvinvointislvelluksen tulee noudattaa kansalaisen sovellukselle antamia eri hyvinvointitietoihin kohdistuvia käyttöoikeuksia ja niiden voimassaoloa, kun se käsittelee Omatietovarannossa olevia kansalaisen hyvinvointitietoja. |
Hyvinvointisovellus tukee yhden tai useammanlaisen hyvinvointitiedon tallentamista Omatietovarantoon kansalaisen käyttäessä sovellusta. Merkitään sovelluksiin, jotka tallentavat tietoa Omatietovarantoon. |
Hyvinvointisovellus voi tuoda Omatietovarantoon kansalaisen hyvinvointitietoja, jotka ovat tallentuneet sovellukseen tai syntyneet ennen kuin sovellus on integroitu Omatietovarantoon. Aiemmin syntyneet tiedot ja tallennustapa tai -sykli kuvataan sovelluksen käyttötarkoitusta vastaavalla tasolla. |
Hyvinvointisovellus tukee yhden tai useammanlaisen hyvinvointitiedon päivittämistä (aiemmin tallennetun tiedon muuttamista) Omatietovarantoon kansalaisen käyttäessä sovellusta. Merkitään sovelluksiin, jotka päivittävät aiemmin talletettuja tietoja Omatietovarantoon. |
Hyvinvointisovellus tukee yhden tai useammanlaisen hyvinvointitiedon poistamista Omatietovarannosta kansalaisen toimenpiteillä. Merkitään sovelluksiin, jotka poistavat tietoa Omatietovarannosta. |
Sovellus ei saa poistaa tietoa Omatietovarannosta muuten kuin kansalaisen aloitteesta. Sovellukset eivät saa estää samoja rakenteita ja tietoja käyttävien muiden sovellusten oikeellista toimintaa. Sovellus ei poista Omatietovarannon tietoja muuten kuin esimerkiksi kansalaisen halutessa poistaa virheellisiä tietoja. Jos sovelluksen kautta pystytään poistamaan tietoja Omatietovarannosta, toiminto on käyttäjän erikseen käynnistettävä ja käyttäjälle tehdään selväksi että poistaminen voi vaikuttaa muiden hyvinvointisovellusten toimintaan. |
Kansalainen voi hyvinvointisovelluksella hakea tarkasteltavakseen yksittäisen, tietyn hyvinvointitietonsa Omatietovarannosta. |
Kansalainen voi hyvinvointisovelluksella hakea tarkasteltavakseen joukon omia hyvinvointitietojaan. |
Regulatory requirement: [YT17] Ammattilaiskäyttäjän tai organisaation auktorisointi ja luvitus hakemaan hyvinvointitietoja REGREQ_YT17
|
Sote-organisaation käyttämä tietojärjestelmä kykenee hakemaan hyvinvointitietoja omatietovarannosta. Ammattihenkilön käyttämään järjestelmään tietojen saanti edellyttää ammattilaiskäyttäjän järjestelmän ja organisaation liittymistä hakemaan omatietovarannon hyvinvointitietoja sekä hyvinvointitietojen hakemisen oikeuksien tarkistamista tarkempien määritysten mukaisesti. |
Regulatory requirement: [YT13(2024)] Yksittäisen hyvinvointitiedon hakeminen ammattilais-käyttöön Omatietovarannosta REGREQ_YT13_2024
|
Ammattihenkilön käyttämä järjestelmä kuten asiakas- tai potilastietojärjestelmä hakee tietyn asiakkaan yksittäisen hyvinvointitiedon Omatietovarannosta. |
Regulatory requirement: [YT14(2024)] Hyvinvointitietojen haku ammattilaiskäyttöön Omatietovarannosta REGREQ_YT14_2024
|
Ammattihenkilön käyttämä järjestelmä hakee joukon tietyn asiakkaan hyvinvointitietoja Omatietovarannosta. |
Regulatory requirement: [YT16] Muiden hyvinvointiin liittyvien tietojen tuottaminen tai käyttäminen REGREQ_YT16
|
Ilmaistaan järjestelmälomakkeessa hyvinvointisovelluksesta, jos se tuottaa tai käyttää myös muita kansalaisen hyvinvointiin suoraan tai välillisesti liittyviä tietoja kuin Omatietovarantoon liittyvät tiedot. Tieto tällaisista tiedoista on tarpeellista lisätietoa sovelluksen arvioimiseksi koko sen käyttötarkoitus huomioiden. |
Digipalvelu mahdollistaa sen, että kansalaiskäyttäjä tuottaa itseään tai puolesta asioinnin kohdetta koskevia tietoja palvelunantajan vastuulla olevaan tietojärjestelmään / henkilörekisteriin palvelujen järjestämistä, tuottamista tai toteuttamista varten. |
Digipalvelu mahdollistaa sen, että kansalaiskäyttäjä hakee tai näkee itseään tai puolesta asioinnin kohteen tietoja palvelunantajan vastuulla olevasta tietojärjestelmästä / henkilörekisteristä. Kyseessä voivat olla asiakastiedot tai muut henklökohtaiset tiedot. |
Digipalvelussa tehdään asiakkaalle oirearvioita. |
Digipalvelussa on etävastaanotto-toiminnallisuus tai muu välittömän yhteydenpidon kanava ammattilaisen ja asiakkaan välille. |
Digipalvelussa on tunnistautuneen henkilön chat-asiointikanava. |
Digipalvelussa on tunnistautuneen henkilön turvallinen viestikanava (turvallinen sähköposti tai vastaava) ammattihenkilöiden kanssa |
Digipalvelu tukee sitä, että asiakas tai puolesta-asioija pystyy tekemään ajanvaraustoimenpiteen: yhden tai useamman ajan varaaminen sosiaali- tai terveyspalveluun, ajan / aikojen siirtäminen tai peruminen. |
Digipalvelussa kootaan yksilöidyltä asiakkaalta asiakaspalautetta tai arvioita saaduista palveluista. |
Digipalvelussa asiakas saa näkymän henkilökohtaiseen palvelu-, asiakas- tai digihoitopolkuun. |
Digipalvelussa asiakas voi vastata terveyttä tai hyvinvointia koskeviin kyselyihin |
Digipalvelun kautta asiakas voi saada muistutus- tai vahvistusviestejä. |
Käyttöehdot on kuvattava tiiviissä ja ymmärrettävässä muodossa. Halutessaan kansalainen voi hakea pitkän version, jos tiivis muoto ei kata kaikkia käyttöehtoja. Tällainen kaksitasoinen menettely kuvataan esimerkiksi Code of Conductissa. On suositeltavaa, että niiden ajantasainen versio löytyy verkon kautta. Käyttöehdoissa kuvataan myös, kuinka sovelluksessa käsiteltävät kansalaisen tiedot suojataan. Kts Lisätiedot |
Regulatory requirement: [KK02] Käyttötarkoituksen kuvaus ja rajoitukset viestiminen kansalaiselle REGREQ_KK02
|
Digipalvelun käyttötarkoitus tai käyttötarkoitukset ja hyödyt tulee kuvata tiiviisti. Kuvauksessa tulee pyrkiä siihen, että käyttötarkoitus on kuvattu selkeästi ja kansalaisen ymmärtämässä muodossa ja saatavilla. Kansalaiselle tulee kuvata millaisiin käyttötarkoituksiin sovellusta tai laitetta ei ole sallittua käyttää, jos käyttötarkoitusta on rajattu (esim. “sovellusta ei ole sallittua käyttää sairauden hoitoon ja diagnosointiin, sillä laitteella ei ole CE-merkintää”). Kts lisätiedot. |
Digipalvelu informoi kansalaista siitä, mitä tietoja se kerää ja mitä tarkoitusta varten. Kerrotaan myös datan mahdollisista kaupallisista käyttökohteista. Jos tietoja tallennetaan sovelluksen omaan tietovarantoon, myös näiden tietojen käyttötarkoitus on kerrottava. Todentamisessa tarkistetaan, että sovellus informoi kansalaista siitä, mitä tietoja se kerää ja mitä tarkoitusta varten. |
Kansalaiselle tulee tarjota käyttöohjeet ja ohjeistukset sovelluksen käyttöön. Tarkistetaan, että kansalaiselle tarjotaan käyttöohjeet ja ohjeistukset sovelluksen käyttöön. |
Jos digipalveluun liittyy mainoksia, niistä tulee kertoa ennen sovelluksen asennusta. Kansalainen voi päättää olla ottamatta sovellusta käyttöön tämän tiedon perusteella. |
Digipalvelun valmistajan tulee toimittaa yksityiskohtaiset tiedot kaikista digipalvelun sisäisistä ostoista, palveluista tai muista tuotteista, joita palvelusta koituu tai joita tarvitaan käytöllä tavoitellun terveyshyödyn saavuttamiseksi. On ilmoitettava mahdollisista toistuvista tilaus- tai päivityskustannuksista ja sopimuksen irtisanomisesta. Jos digipalvelu sisältää sovelluksen sisäisiä maksuja, perustoiminnot ilman maksua, lisämaksua vaativat toiminnot ja niiden edut on tehtävä selväksi tavalla, jonka avulla käyttäjä voi tehdä tietoisen päätöksen sovelluksen sisäisen maksun tekemisestä tai hylkäämisestä. Jos digipalvelun sisäisiä maksuja on olemassa, maksuista ei saa paljastua terveydenhuoltoon liittyviä tietoja maksuorganisaatioille. |
Regulatory requirement: [KK07] Sovelluksen tuottamien tietojen luotettavuusrajoitusten ilmaiseminen REGREQ_KK07
|
Kansalaiselle tulee kuvata, mikäli digipalvelun tuottamiin tietoihin kohdistuu luotettavuusrajoitteita (esim. sovelluksen tuottamia tietoja ei ole suositeltavaa käyttää sairauden hoitoon ja diagnosointiin, sillä laitteella ei ole CE-merkintää). Luotettavuusrajoitukset voivat johtua esimerkiksi tiedon epätarkkuuksista. Tarkistetaan, että sovelluksen luotettavuusrajoitukset on kuvattu tiiviisti ja ne ovat kansalaisen saatavilla. |
Regulatory requirement: [KK09] Integraatiopalvelu ja siihen liittyneiden sovellusten Omatietovarantoon tuottamat tiedot REGREQ_KK09
|
Sovelluksen valmistajan pitää varmistaa, että kansalaiselle kerrotaan selkeästi ja ymmärrettävästi, mitä tietoja mistäkin integraatiopalveluna toimivaan sovellukseen liittyneestä muusta sovelluksesta Omatietovarantoon tallentuu. Asia on kuvattava kansalaiselle ymmärrettävästi. |
Hyvinvointisovelluksen tulee informoida kansalaiskäyttäjää ja pyytää lupa, mikäli sovellus alkaa tallentaa tai hyödyntää Omatietovarannosta tai muista Kanta-palveluista uudenlaista tietosisältöä. Tämä koskee myös tilanteita, joissa sisältö kuuluu sellaisen käyttöoikeuden piiriin, jonka kansalainen on sovellukselle jo aiemmin antanut (esim. verensokeritietojen lisäksi sovellus alkaa tallentaa myös verenpainetietoja). Tietojen käsittelyssä ja kuvauksissa on noudatettava toimitusehtoja. |
Jos digipalvelu antaa terveyteen ja hyvinvointiin liittyviä suosituksia, on kuvattava, mihin näyttöön tai lähteisiin suositukset perustuvat. Suositusten lähteiden on näyttävä myös kansalaiselle siten, että lähteiden luotettavuutta on mahdollista arvioida. Myös erillisten luotettavuusarviointien käyttö on sallittua. |
Jos digipalvelu tallentaa henkilö- tai käyttäjätietoa muualle kuin Omatietovarantoon, on kuvattava näiden henkilötietojen rekisterinpitovastuut ja kuinka on varmistettu rekisterinpitäjältä edellytettävien vastuiden ja kuvausten täyttäminen. Tietojärjestelmissä digipalvelua kansalaisille tarjoavan palvelunantajan vastuut, hyvinvointisovelluksissa esim. valmistajan tai sovellusta tarjoavan organisaation vastuut. |
Jos digipalvelu on lääkinnällinen laite, tähän liittyvät tiedot on pystyttävä tarkistamaan osana sertifiointia. HUOM. tämän määräyksen mukaiseen arviointiin ei sisälly arviointi suhteessa lääkinnällisten laitteiden säädöksiin. |
Regulatory requirement: [TS01] Henkilötietojen käsittelyn vastuuhenkilö ja tietosuojavastaava REGREQ_TS01
|
Vaatimus on täytettävä, jos hyvinvointisovelluksen valmistaja toimii rekisterinpitäjänä tai sillä on tai voi olla pääsy hyvinvointi- tai asiakastietoihin (toimimme!). Jos hyvinvointisovelluksen valmistaja toimii rekisterinpitäjänä tai sillä on tai voi olla pääsy hyvinvointi- tai asiakastietoihin, hyvinvointisovelluksen valmistajan on nimettävä organisaation johtoon kuuluva henkilö, joka vastaa siitä, että valmistaja toteuttaa, ylläpitää ja valvoo henkilötietojen käsittelyn asianmukaisuutta ja henkilötietojen yksityisyyden suojaa sekä säädösten mukaisuutta. Lisäksi valmistajan on tarvittaessa (vähintään tietosuoja-asetuksen edellytysten täyttyessä) nimettävä erikseen tietosuojavastaava, joka on riippumaton ja raportoi suoraan organisaation asianmukaiselle johtotasolle tietosuojariskien tehokkaan hallinnan varmistamiseksi, osallistuu henkilötietojen käsittelyyn liittyvien ongelmien hallintaan, toimii asiantuntijana ja valvontaviranomaisten yhteyspisteenä sekä tukee johtoa ja työntekijöitä henkilötietojen käsittelyyn liittyvissä velvoitteissa tai vaikutusarvioinneissa. (mukautettu ISO/IEC 27701: 2019, 6.3.1.1 ). Vastuuhenkilön ja sijaisuuksien menettelyt on kuvattava. |
Regulatory requirement: [TS02] Kuvaus terveyteen liittyvien henkilötietojen suojauksesta REGREQ_TS02
|
Vaatimus on täytettävä samoilla ehdoilla kuin vaatimus TS01. Hyvinvointisovelluksessa on huomioitava terveyteen liittyvien henkilötietojen käytön suojaus. Terveystietoihin kuuluvien henkilötietojen luokittelu ja suojausvaatimukset voivat vaihdella lainkäyttöalueelta toiseen, joten hyvinvointisovelluksen valmistajan on erityisesti huomioitava mm. erityisten henkilötietoryhmien suojaaminen, jota voidaan myös valvoa tiukemmin. Kuvataan sopimuksessa |
Prosessit ja järjestelmät on suunniteltava siten, että tietojen keräys ja käsittely (mukaan lukien säilyttäminen, siirto ja hävittäminen) rajoittuvat siihen, mikä on tarpeen tietojen käsittelyn tarkoituksen kannalta. Jos henkilötietojen keräämisessä ja käsittelyssä on valinnaisuuta sen suhteen, mitä tietoja kerätään, jokainen vaihtoehto on oletusarvoisesti poistettava käytöstä ja otettava käyttöön vain rekisteröidyn nimenomaisella valinnalla. Tietojen minimointiin kuuluu sen varmistaminen, että: - tietoja ei käsitellä tarkemmalla tasolla kuin tarpeen; - ei välitetä tarpeetonta käyttäjän identiteetin paljastavaa tietoa eri laitteiden tai palvelujen välillä; - käyttöä ja mahdollista tilin luomista ja varten kerätään vähimmäismäärä käyttäjän henkilötietoja - käytetään vain niitä alustan tai laitteiden toimintoja ja tietolähteitä, jotka ovat välttämättömiä, oletusarvoisesti ei esim. laitteen sijainti-, kamera-, mikrofoni-, kiihtyvyysanturi- ja muut anturit, yhteystietoluettelo- tai kalenteriominaisuuksia; - käytön aikana lähetetty laitteen numero tai IP- tai muita verkko-osoitteita tallennetaan vain tarvittavissa määrin digipalvelun tarkoituksen täyttämiseksi - tietoja joiden välittäminen tunnisteellisena ei ole välttämätöntä ei välitetä tai anonymisoidaan mahdollisuuksien mukaan. Me voimme perustella tarpeen keräykselle, eli tätä ei tarvitse murehtia. |
Hyvinvointisovelluksen valmistajalla on oltava käytäntö sovelluksen käytön lopettamiseen ja siihen liittyvien tietojen poistamiseen. Hyvinvointisovelluksen tai Omatietovarannon käytön lopettamisen yhteydessä käyttäjän sovellus ja tiedot on pystyttävä poistamaan turvallisesti. Jos käyttäjä lopettaa vain Omatietovarantoon liittyvän sovelluksen käytön, on informoitava tietojen säilymisestä Omatietovarannossa ja mahdollisuudesta poistaa tiedot sieltä. Passiivisten käyttäjien kohdalla on oltava määriteltynä muiden kuin Omatietovarannossa sijaitsevien henkilötietojen säilyttämiskäytäntö. Valmistajan on määriteltävä säilyttämisajat huomioiden vaatimus säilyttää henkilötietoja vain niin kauan kuin se on tarpeen. Säilyttämiseen liittyen on tarvittaessa tehtävä dokumentoitu riskiarvio. Menettelyjen, joilla tietoja säilytetään ja käytetään edelleen sovelluksen käytön lopettamisen jälkeen, on oltava selkeitä ja ymmärrettävää ja niiden on annettava käyttäjälle mahdollisuus saada kopio tiedoistaan. Valmistajan on huomioitava sekä Omatietovarannossa säilytettävät että vaatimuksen SO02 mukaisesti kerättävät tiedot. |
Regulatory requirement: [TS05] Henkilötietojen käsittelyn kuvausten saatavuus käyttäjälle REGREQ_TS05
|
Digipalvelun valmistajan on täytettävä lakisääteiset vaatimukset siitä, mitä tietoja henkilötietojen käsittelystä annetaan käyttäjille esimerkiksi ennen digipalvelun käyttöönottoa ja tietopyyntöjen yhteydessä. (Toteutuu palvelusopimuksemmessa). Tiedot voivat ainakin osin perustua selosteeseen henkilötietojen käsittelytoimista. Esimerkkejä tiedoista, joita informointiin voi kuulua (esimerkki kohdistettu hyvinvointisovelluksiin): a) henkilötietojen käsittelyn tarkoitus sekä Omatietovarantoon ja muihin Kanta-palveluihin liittyvien että muiden kerättävien tietojen osalta; b) hyvinvointisovelluksen valmistajan tai sen edustajan yhteystiedot; c) käsittelyn laillinen perusta, d) mistä henkilötiedot on saatu, ellei niitä ole saatu suoraan henkilötietojen kohteelta; d) onko henkilötietojen antaminen lakisääteinen tai sopimusperusteinen vaatimus, ja tarvittaessa mahdolliset seuraukset henkilötietojen toimittamatta jättämisestä; e) asiakkaan oikeudet ja velvoitteet, erityisesti pääsy tietoihin, tietojen muuttamisen, oikaiseminen, pyytäminen, poistaminen ja käsittelyn vastustaminen; f) miten asiakas voi peruuttaa suostumuksensa; g) henkilötietojen mahdolliset siirrot; h) henkilötietojen vastaanottajat tai vastaanottajaryhmät; i) henkilötietojen säilytysaika; j)mahdollisen henkilötietoihin perustuvan automaattisen päätöksenteon käyttö; k) asiakkaan tietopyyntöihin vastaaminen; l) asiakkaan informointitapa ja -käytäntö, jos henkilötietojen käsittelyn tarkoituksia muutetaan tai laajennetaan; m) asiakkaan informointitapa ja -käytäntö sekä asiakkaan luvan pyytäminen, jos henkilötietoja käsittelevien toimijoiden tai alihankkijoiden joukko laajenee tai muuttuu; n) mekanismit, joilla käyttäjä voi muuttaa tai peruuttaa suostumuksiaan; o) kuvaus siitä, kuinka käyttäjältä pyydetään lupa liittyen kuhunkin I) hyvinvointisovellukseen liittyvään tietolähteeseen; II) mahdollisiin ominaisuuksiin, joihin liittyy käyttäjän seurantaa III) käyttäjän laitteella suojattavan ominaisuuden tai resurssin, kuten kameran, mikrofonin, yhteystietojen, kalenterin tai puhelujen, käyttöön |
Enintään 150 sanan yleiskatsaukseen on sisällyttävä kuvaus käsitellyistä henkilötiedoista, tarkoituksesta ja säilyttämiskäytännöstä. Sovelluksen valmistajan on toimitettava keskeisimmät henkilötietojen käsittelyä koskevat tiedot käyttäjälle yksinkertaisesti, ytimekkäästi, läpinäkyvästi sekä ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tiivistelmässä on käytettävä selkeää ja pelkistettyä kieltä kohdeyleisölle soveltuvalla tavalla. Tavoitteena on mahdollistaa riittävä ymmärryksen taso (tietosuojalukutaito) sekä tietoon perustuvat päätökset sovelluksen käyttäjille ja potentiaalisille käyttäjille. Esimerkiksi sosiaalisen median sovellusten tietosuojakäytäntöjen lukukäyttäytymistä koskevat tutkimukset viittaavat siihen, että kolme neljästä käyttäjästä ei lue tietosuojakäytäntöä, ja lukijoiden keskimääräinen lukuaika on 73 sekuntia. |
Regulatory requirement: [TS07] Henkilötietojen suojaustason ja yksityisyyden suojaustason säilyminen REGREQ_TS07
|
Sovelluksen valmistajan on kuvattava, kuinka hyvinvointisovelluksen ja siihen liittyvien palveluiden osalta on varmistettu tietosuojan ja yksityisyyden suojan säilyminen tasolla, joka käyttäjälle ja kansalaiselle informoidaan ja johon tämä on antanut suostumuksen. Jos henkilötietoja käsitteleviä tahoja kuin hyvinvointisovelluksen valmistaja, näiden tahojen kanssa on lähtökohtaisesti tehtävä sopimus tai kuvattava järjestely tietosuojan, tietoturvavallisuuden valvonnan ja yksityisyyden suojan tason varmistamiseksi tasolla, jolla ne on ilmoitettu käyttäjälle. Sopimuksen on oltava kirjallinen ja valmistajan on varmistettava, että sopimus tai sovittu käytäntö sisältää asianmukaisten kontrollien implementoinnin ottaen huomioon tietoturva- ja tietosuojariskien arvioinnin ja henkilötietojen käsittelijän suorittaman henkilötietojen käsittelyn laajuuden, sisältäen esimerkiksi: a) henkilötietojen jakamisen tarkoitus; b) valmistajan ja henkilötietojen muun käsittelijän välisen valvonnan järjestäminen; c) valvonnan piiriin kuuluvien organisaatioiden ja toimijoiden yksilöinti ja yhteystiedot; d) sopimuksen mukaisesti jaettavat ja/tai siirrettävät ja käsiteltävät henkilötiedot, minimointiperiaate huomioiden; e) yleiskatsaus käsittelytoimista (esim. siirto, käyttö); f) kuvaus tehtävien rooleista ja vastuista; g) vastuu teknisten ja organisatoristen turvatoimien toteuttamisesta henkilötietojen suojaamiseksi; h) vastuun määrittely henkilötietojen käyttöön kohdistuvan rikkomuksen sattuessa (esim. ilmoitukset asiakkaille, sopimuksen osapuolille ja viranomaisille); i) henkilötietojen säilyttämisen ja/tai hävittämisen ehdot; j) vastuut sopimuksen noudattamatta jättämisestä; k) seurantakäytäntö; l) asiakkaiden informointi tietojen käsittelystä ja sopimuksesta; m) asiakkaiden tiedonsaanti- ja muiden oikeuksien toteuttaminen; n) asiakkaan luvan pyytäminen ja asiakkaalle ilmoittaminen kaikista henkilötietojen siirroista muille toimijoille, muille osapuolille, muihin maihin tai kansainvälisille organisaatioille. |
Valmistajalla ei ole asiakastietolakiin perustuvaa oikeutta käsitellä Omatietovarantoon tallennettua Kelan rekisterinpitoon kuuluvaa tietoa. Kelalla on oikeus antaa tietoja Omatietovarannosta hyvinvointisovellukseen kansalaiselle itselleen. Asiakastietolain mukaan kansalainen voi tallentaa tai katsoa omia tietojaan hyvinvointisovelluksia käyttäen. Asiakastietolain perusteella Kelalla ei ole oikeutta luovuttaa Kelan rekisterinpitoon kuuluvia, Omatietovarantoon tallennettuja tietoja hyvinvointisovelluksen valmistajalle. Kansalainen antaa Omatietovarannon tarjoamassa käyttöliittymässä vahvasti tunnistautuneena sovellukselle käyttöoikeudet tallentaa hänen omia hyvinvointitietojaan Omatietovarantoon ja käsitellä siellä olevia hyvinvointitietoja. Jos hyvinvointisovelluksen valmistaja aikoo käsitellä kansalaisen Omatietovarannosta hyvinvointisovellukseen hakemaa tietoa, tulee sovelluksen valmistajan pyytää siihen kansalaiselta suostumus ja informoida kansalaista henkilötietojen käsittelystä. Hyvinvointisovelluksessa valmistajan henkilötietojen tietosuoja-asetuksen mukainen laillinen käsittelyperuste on nimenomainen suostumus. |
Ominaisuuksissa, joissa nojaudutaan tietosuoja-asetuksen mukaisiin suostumuksiin, on perustuttava selkeään informointiin ja vapaaehtoiseen ja yksilöityyn menettelyyn, jossa kansalainen nimenomaisesti suostuu suostumuksen kohteena olevaan käytäntöön. Suostumuksen tulee olla vapaasti annettu, yksilöity tiedon käsittelyn syyn mukaan sekä yksiselitteinen ja selkeä. Esimerkiksi ennen hyvinvointitietojen viemistä muualle kuin Omatietovarantoon tai valmistajan vastuulla olevaan ympäristöön käyttäjältä on pyydettävä suostumus siirtää tiedot, annettava ymmärrettävä selvitys lähetettävistä tiedoista ja niiden vastaanottajista, siirron tarkoituksista ja jatkokäytöstä. Suostumus on pyydettävä ennen kuin suostumuksen kohteena oleva toimenpide toteutetaan. Sekä luvituksiin että suostumuksiin liittyen suostumusta on pyydettävä uudelleen ennen ensimmäistä tiedonsiirtoa, jolla aiemman suostumuksen datasisällön lisäksi halutaan lähettää enemmän dataa, kun suostumusta oli aiemmin pyydetty pienemmälle joukolle tietoja. Suostumusta ei pyydetä jokaisessa lähetyksessä, jos vietyjen tietojen laajuus pysyy muuttumattomana. Suostumuskäytännöt koskevat myös mahdollisia evästeitä ja muita seurantatekniikoita, jos niiden kautta välittyy tietoa kolmansille osapuolille, sekä tietojen jakamista sosiaalisten verkostojen kanssa. Sopimuksemme ratkaisee tämän |
Sovelluksen valmistajalla on oltava tietosuoja- ja tietoturvallisuuspoikkeamissa käytettävä menettely, jonka tulee sisältää vähintään a) ilmoitukset henkilötietopoikkeamista tai -rikkomuksista käyttäjille tai asiakkaille; b) ilmoitukset henkilötietopoikkeamista tai -rikkomuksista viranomaisille; c) vastuut ja menettelyt henkilötietoihin liittyvien poikkeamien tunnistamisesta ja kirjaamisesta, ml. kuvaus tapahtumasta, ajanjakso, seuraukset, ilmoittaneen tiedot, ilmoituksen saajan / saajien tiedot, toimenpiteet tapahtuman ratkaisemiseksi, toimenpiteiden vastuuhenkilöt, mahdollinen palautettu data, tapahtumasta johtuneet henkilötietojen häviämiset / paljastumiset / saatavuushäiriöt / muuttumiset tai eheyden vaarantumiset; kuvaus vaarantuneesta tiedosta; c) informointitoimenpiteet; d) muut poikkeamissa sovellettavat toimenpiteet ja vaatimukset. Menettelyt on dokumentoitava. |
Regulatory requirement: [TS10] Rekisterinpitäjän tietojen saanti- tai siirtopyyntöihin vastaaminen REGREQ_TS10
|
Rekisteröidyllä on oikeus saada rekisterinpitäjältä tiedot käsitteleekö tämä häntä koskevia henkilötietoja sekä vaatimuksen TS05 mukaiset tiedot henkilötietojen käsittelystä. Kun käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on myös oikeus saada itseään koskevat tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle (siirrettävyys / portability), jos tiedot ovat henkilön itsensä toimittamia ja koskevat häntä itseään, kun tiedot ovat automaattisesti käsiteltäviä ja kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin. Rekisterinpitäjällä on valmistajalla oltava dokumentoitu käytäntö rekisteröidyn pyyntöihin vastaamiseksi. Tiedot tulee antaa sopivassa tavanomaisessa vaihdettavassa muodossa. Mahdollinen tilanne on esimerkiksi hyvinvointisovelluksen korvautuminen toisella. Pyyntöihin on voitava vastata asianmukaisesti, vaikka hyvinvointisovelluksen valmistaja ei itse toimisi rekisterinpitäjänä. |
Hyvinvointisovelluksen valmistajan tulee selvittää, koskeeko vaatimus tehdä EU:n yleisen tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi valmistajan toteuttamasta henkilötietojen käsittelystä. Hyvinvointisovelluksen valmistajan tulee tehdä vaikutustenarviointi, mikäli se tietosuoja-asetuksen mukaan koskee sovellusta. Tehty |
Digipalvelun valmistajan tulee tunnistaa ja kontrolloida hyvinvointisovellukseen kohdistuvat tietoturvauhat ja -riskit. Riskien tunnistamiseen tulee sisällyttää vähintään tähän määräykseen liittyvien olennaisten vaatimusten tietoturva- ja tietosuoja-aiheisiin liittyvät riskit. Uhkien ja riskien tunnistaminen, kontrollointi ja riskiarvio ja sen johdosta tehtävät toimenpiteet on dokumentoitava sekä palvelun suunnittelun että muutostenhallinnan näkökulmasta. |
Hyvinvointisovelluksen relevantit tietoturvariskit on arvioitava. Tietoturvariskien arvioinnissa tulee: a) huomioida sisäiset ja ulkoiset sovelluksen käyttötarkoituksen, oikeudellisten, sääntely- ja sopimusvaatimusten sekä rajapintojen ja sovellusten valmistajien ja muiden organisaatioiden välisten riippuvuuksien kysymykset; b) tunnistaa riskit ja mahdolliset seuraukset, jotka liittyvät tietojen luottamuksellisuuden, loukkaamattomuuden ja saatavuuden menettämiseen sekä riskien todennäköisyyteen; c) arvioida valvontatavoitteiden ja valvonnan sovellettavuutta sekä tietoturvaan liittyvien riskien että henkilötietojen käsittelyyn liittyvien riskien yhteydessä, erityisesti riskit henkilölle jota tiedot koskevat; d) määriteltävä, mihin riskiin on puututtava ohjelmistokoodauksella, laitteistomuutoksilla tai muilla tietoturvallisuuskäytännöillä; e) varmistettava ja dokumentoitava, sisältyykö riskeihin vastaamiseen varmuuskopiointi- ja palautusmenettelyitä; f) dokumentoitava, minkä jäännösriskin sovelluksen valmistaja hyväksyy. Valmistajan on suoritettava arviointi tarkoituksenmukaisessa laajuudessa, kehikkona on mahdollista käyttää useita erilaisia tietoturvallisuuden arviointiin soveltuvia standardeja. |
Regulatory requirement: [TV03] Tietoturvariskien arvio / hyvinvointisovelluksen hyödyntämät alustat ja liittyvät sovellukset REGREQ_TV03
|
Hyvinvointisovelluksen käyttämistä alustoista ja hyvinvointisovellukseen liittyvistä muista sovelluksista on pyrittävä varmistamaan riittävien tietoturvallisuuskäytäntöjen täyttyminen ja riskien arviointi. Esimerkiksi voidaan kuvata, onko hyvinvointisovelluksen valmistaja ja kaikki siihen liittyviä palveluja tarjoavat organisaatiot toteuttaneet ISO/IEC 27001 -standardin tai sitä vastaavan. Liittyviä palveluja ja alustoja voivat olla muut mobiili- tai web-sovellukset, pilvipalvelut, tallennuspalvelut, kolmannen osapuolen API-rajapinnat, ja muut ratkaisut joita voidaan käyttää hyvinvointisovelluksen toteuttamiseen tai sen toimintojen tarjoamiseen. Liittyvien sovellusten ja alustojen tietoturvariskien arviossa on a) kuvattava keskeiset alustat ja liittyvät sovellukset, joihin hyvinvointisovellus nojautuu tai joihin se liittyy; b) nostettava esiin erityisesti, mikäli joidenkin tietosuojaan tai tietoturvallisuuteen liittyvien olennaisten vaatimusten täyttymisestä tietyn alustan tai liittyvän sovelluksen osalta ei voida varmistua. |
Sovelluksen valmistajalla on oltava käytäntö, jolla seurataan, arvioidaan ja kirjataan hyvinvointisovellusta tai sen alustaa tai liittyviä palveluja koskevia tietoturvahaavoittuvuuksia sekä menettelyt haavoittuvuuksien ratkaisemiseen. Tietoturvahaavoittuvuuksia koskevia tietolähteitä voivat olla julkisesti saatavilla olevat raportit viranomaisilta sekä julkaisut toimittajilta kuten esimerkiksi käyttöjärjestelmätoimittajilta ja kolmansien osapuolten ohjelmistoilta. Seurantaprosessiin on sisällyttävä vähintään: a) sovelluksen käyttäjien ja asiakkaiden tiedottaminen tietoturvahaavoittuvuuksista, joista valmistaja on tullut tietoiseksi; b) sovelluksen käyttäjien ja asiakkaiden tiedottaminen lainsäädäntöjohdannaisista riskeistä, jotka vaikuttavat sovelluksen käyttöön; c) haavoittuvuusilmoitusten ja -raporttien koordinoidun seurannan ja ilmoittamisen käytännöt; d) ilmoituskäytännöt käyttäjille, viranomaisille ja muille sidosryhmille haavoittuvuuksista ja niiden aiheuttamista poikkeamista; e)ohjelmistokirjastojen ja ohjelmistokomponenttien päivitysten seuranta ja niiden käytön suunnittelu; f) haavoittuvuuksien seuranta sovellukseen liittyvissä palveluissa, esim. haavoittuvuudet pilvipohjaisten todentamis- ja tallennuspalvelujen tarjoajien palveluissa. |
Sovelluksen valmistajalla on oltava käytössä organisatoriset toimenpiteet sen varmistamiseksi, että henkilötietojen käsittely (ks. myös Tietosuojavaatimukset) suoritetaan säädösten mukaisella ja tietojen sekä hyvinvointisovelluksen käyttötarkoituksen mukaisella tavalla. Toimenpiteisiin voi kuulua tietoturvan hallintajärjestelmän vaatimusten integrointi valmistajan prosesseihin ja sopimuksiin, tietoturvan hallintaan tarvittavien resurssien varmistaminen, sisäinen ja ulkoinen tiedottaminen tietoturva- ja tietosuojavaatimuksista ja niiden merkityksestä, käytännön toimenpiteet tietoturvan hallintajärjestelmän tavoitteista ja tuloksista, henkilöiden ohjaus ja tukeminen ja jatkuvat kehittämistoimenpiteet. Tämäkin prosessi on sellainen. Meilä on myös tietoturva ja tietosuojaohjeet jotka kuuluvat kaikille osana perehdytystä |
Sovelletaan ASTUR01 vaatimuksia (Tietoturvavaatimukset-välilehti) |
Sovelletaan ASTUR01 vaatimuksia (Tietoturvavaatimukset-välilehti) |
Regulatory requirement: [TV08] Kolmannen osapuolen kirjastojen ja komponenttien luotettavuus ja ylläpito REGREQ_TV08
|
Sovelletaan ASTUR01 vaatimuksia (Tietoturvavaatimukset-välilehti) |
Digipalvelun valmistajan on dokumentoitava toimenpiteet, joilla estetään digipalvelun lähdekoodin luvaton käyttö ja muutokset. Prosessiin voi sisältyä esimerkiksi seuraavia toimenpiteitä erityisesti mobiilisovelluksissa (joista kaikkien täyttäminen ei ole ehdoton vaatimus kaikissa eri tyyppisissä digipalveluissa): a) tarkista sovelluksen eheys ja sovelluksen ja sen resurssien muuttumattomuus; b)alustapalvelujen ja sovelluskauppojen varmistusten käyttö mobiilisovellusten varmentamiseen; c) muistin sisäisten koodin eheystarkastusten käyttö koodin muuttumiselta tai ohjelmistokutsuihin kohdistuvilta hyökkäyksiltä suojautumiseksi;d) käänteisen suunnittelun vaikeuttaminen ja koodin hämärtäminen (obfuskointi); e) merkkijonojen salaaminen sovelluslogiikan hämärtämiseksi; f) kehittäjien ominaisuuksien käytöstä poistaminen; g) virheenkorjauksen poistaminen käytöstä sovellusasetuksissa ja kehittäjätilan käytön tarkistaminen. Digipalvelun lähdekoodi on suojattava suunnittelun, kehityksen ja käyttöönoton aikana, jos lähdekoodi sisältyy jaettavaan digipalveluun. |
Digipalvelun valmistajan on dokumentoitava toimenpiteet, joilla digipalvelun ja siihen liittyvien palveluiden turvallisuus testataan säännöllisesti ja suurten muutosten yhteydessä. Testauksessa on arvioitava teknisten ja organisatoristen toimenpiteiden tehokkuutta luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi. Testauksen sisällön ja laajuuden tulisi määräytyä riskiarvion pohjalta. Testaukseen voi sisältyä automaattisia staattisen koodin haavoittuvuuden skannausratkaisuja, tunkeutumistestausta tai muita testauskäytäntöjä haavoittuvuuksien löytämiseksi. |
Yksittäisen henkilön tietoja käsittelevän hyvinvointisovelluksen tai digipalvelun on tuettava kansalaiskäyttäjän tunnistautumista tai sisäänkirjautumista. Muu kuin vahva tunnistautuminen ja todentaminen kansalaiskäytössä on hyväksyttävissä: a) digipalvelua käyttöönotettaessa tehdyn vahvan tunnistamisen jälkeen samalla henkilökohtaisella laitteella tapahtuvassa digipalvelun käytössä ; b) asiakkaan yksisuuntaiseen viestin lähettämiseen tai yhteydenottoon käytettävissä ratkaisuissa (jolloin esim. ilman lähettäjän todentamista lähetettävästä vastauksesta ei saa paljastua asiakastietoja). Suppeasti yhden henkilön tietoja käsittelevissä natiivisovelluksissa ei edellytetä toistuvaa kirjautumista, mutta on kuvattava, millainen tietojen suojaus on ja kuinka kansalainen voi suojata tietoja (esim. laitteen lukitusasetusten ja muiden suojausten kautta). Kohdan a mukainen toteutus on esimerkiksi sovellusta käyttöönotettaessa luotava tunnus, PIN-koodi tai salasana, jota kirjautumiseen voi käyttää käyttöönoton jälkeen. |
Digipalvelu tukee kansalaiskäyttäjän tunnistamista ja todentamista kaksivaiheisella tunnistautumisella (2FA). Vaatimus voi olla tuettuna sekä asiakkaalle joka käsittelee omia tietojaan että puolesta asioijalle. Luotettavaa tunnistamista edellytetään vähintään sovelluksen tai digipalvelun käyttöönoton yhteydessä, jos käyttäjä pääsee hakemaan ja näkemään asiakastietoja. Luotettava tunnistaminen on tehtävä istuntokohtaisesti, jos muut luotettavan tunnistamisen vaatimukset täyttyvät ja palvelun käyttökanava on monen käyttäjän yhteinen (esim. pääsy työasemaselaimella web-portaaliin). Lakisääteisiä tehtäviä hoitavat organisaatiot ovat velvoitettuja ainakin Suomi.fi Tunnistus -palvelun käyttöön. |
Digipalveluissa, joissa edellytetään sisäänkirjautumista tai tunnistautumista, on huolehdittava kansalaisen istunnon katkaisemisesta tai käyttöliittymän lukkiutumisesta ja/tai henkilötiedon piilottamisesta aikarajan jälkeen. |
Regulatory requirement: [TV13] Kansalaiskäyttäjän tunnistautumisen ja todentautumisen toteutuskuvaukset REGREQ_TV13
|
Digipalvelun valmistajan on kuvattava, millä toimenpiteillä: a) käyttäjän henkilöllisyys todennetaan ennen pääsyä henkilötietojen käyttöön; b) todennustapa ilmoitetaan käyttäjälle ennen sovelluksen käyttöönottoa; c) vähintään käyttäjän mahdolliset toimenpiteet, joilla digipalvelu on vuorovaikutuksessa sote-palvelujen tuottajiin tai joilla on taloudellisia vaikutuksia edellyttävät henkilön tunnistamista ja todentamista; d) mahdollisia salasanoja ei jätetä näkyviin pelkkänä tekstinä; e) jos pääsy digipalveluun paljastaa henkilötietoja, käyttäjä saa mahdollisuuden asettaa vahvan todennuksen menetelmiä (esim. monivaiheinen todennus ja/tai biometriikka) salasanojen lisäksi. Todennuksen tulisi koskea myös mahdollisten liitettyjen palvelujen käyttöä taustajärjestelmiä. |
Palvelinsovelluksista on kuvattava, kuinka ne on suojattu tietoliikenteen, palvelinsovellusten, alustan sekä rajapintojen osalta. Hyvinvointisovellusten palvelinsovelluksille on suoritettava tietoturvatestaus. Sovelluksen käyttämän palvelinympäristön ja siinä toimivan hyvinvointisovellukseen liittyvän ohjelmiston suojaus on suunniteltava, toteutettava, dokumentoitava ja testattava. |
Regulatory requirement: [TV16] Hyvinvointi-, asiakas- ja kirjautumistietojen salaaminen tallennuksessa REGREQ_TV16
|
Digipalvelu ei saa säilyttää kansalaisen laitteella salaamattomana kansalaisen hyvinvointitietoja, asiakastietoja tai salasana- tai kirjautumistietoja. On kuvattava, kuinka tämäntyyppiset tiedot on suojattu, kun niitä käsitellään tai säilytetään sovelluksessa tai laitteessa, jossa sovellus toimii, ja testattava, että tietoihin ei pääse esim. yleiskäyttöisillä välineillä. Lisätietoja: käyttäjän tekemillä toimenpiteillä sovelluksesta tietojen kopiointi, tulostaminen tai paikallinen tallentaminen ovat sallittuja toimintoja, ja näin saaduista tiedoista vastaa käyttäjä itse. |
Sovelluksessa on pyrittävä estämään kansalaisen sovelluksen käyttöön liittyvän salaamattoman henkilötiedon (sisältäen arkaluonteisen terveys- tai hyvinvointidatan) tallentuminen selaimen välimuistiin. Todentamisessa on kuvattava, kuinka tämä on toteutettu ja testattu, tai testattava, että tietoihin ei pääse esim. yleiskäyttöisillä välineillä. Valmistaja ei voi kuitenkaan vastata esim. yleiskäyttöisten selainten oikeellisesta toiminnasta. |
Regulatory requirement: [TV19] Hyvinvointisovelluksen ja hyvinvointitietojen käytön lokitiedot REGREQ_TV19
|
Hyvinvointisovelluksessa tapahtuvassa hyvinvointitietojen käsittelyssä tulee syntyä lokimerkintöjä vähintään tietojen lähettämisestä, tiedon poistamisesta, tiedon muokkaamisesta ja tietojen käyttämisestä. Hyvinvointisovelluksessa tapahtuvassa asiakastietojen käsittelyssä tulee syntyä merkintöjä vähintään tietojen hakemisesta, käyttämisestä ja mahdollisista jatkokäsittelytoimenpiteistä. Käyttäjien suorittamista toimenpiteistä tulee lokitietojen perusteella nähdä, kuka käyttäjä on toimenpiteen suorittanut. Lokeihin ei saa tallentaa mitään erityisiin henkilötietoryhmiin kuuluvia tietoja eli arkaluonteisia tietoja (esim. terveys- tai hyvinvointitietoja mukaan lukien Omatietovarannosta haetut hyvinvointitiedot). Tämä koskee sekä teknisiä että mahdollisia henkilötietojen käyttöön ja käytön seurantaan liittyviä lokeja. Omatietovarannosta sovellukselle palautuvia hyvinvointitietoja tai Kanta-palveluista saatavia asiakastietoja ei saa tallentaa lokeihin. Myös palvelunantajan toiminnassa hyvinvointitietojen käsittelystä on synnyttävä käyttölokimerkinnät. |
Sovelluksessa tulee noudattaa kaikkia sovelluksen käyttötarkoituksen kannalta relevantteja HL7 FHIR Safety käytäntöjä rajapintojen käytön varmistamiseksi ja turvaamiseksi. Käytännöt nojautuvat siihen FHIR-standardin versioon, jota tuetaan Omatietovarannon rajapinnassa. |
Kansalainen antaa Omatietovarannon tarjoamassa käyttöliittymässä vahvasti tunnistautuneena sovellukselle käyttöoikeudet tallentaa hänen omia hyvinvointitietojaan Omatietovarantoon ja käsitellä siellä olevia hyvinvointitietoja (luvituskäytäntö). |
Digipalvelun on kerrottava käyttäjälle virhetilanteista ymmärrettävästi niiden tapahtuessa. Digipalvelun on annettava selkeä virheilmoitus ja toimittava loogisesti yleisimpien tai todennäköisimpien virhetilanteiden sattuessa (esim. verkko-ongelmat, toimimaton yhteys taustapalveluun tai Omatietovarantooon) |
Kansalaisen on sallittua lähettää omia hyvinvointitietojaan käyttämillään laitteilla edelleen. Sovelluksen tulee informoida käyttäjää tietojen lähettämisestä ja siihen liittyvistä vastuista. Tietojen lähettäminen ei saa olla automaattista, vaan käyttäjän on erikseen lähetettävä tiedot. Lähetystä ennen käyttäjälle on selvästi näytettävä, mitä tietoja ollaan lähettämässä. |
Sovellus ei saa luovuttaa kansalaisen hyvinvointitietoja sosiaali- ja/tai terveydenhuollon ammattihenkilölle tai muille kolmansille osapuolille tai muiden osapuolten tuottamille sovelluksille. Tästä on mahdollista poiketa kansalaisen EU:n tietosuoja-asetuksen mukaisella nimenomaisella suostumuksella, jonka hankkiminen on sovelluksen valmistajan tai sovelluksen toiminnasta vastaavan tahon vastuulla. Sote-tietojärjestelmille ja sote-ammattilaisille Omatietovarannosta tapahtuva tietojen hakeminen ja hyödyntäminen ei tapahdu asiakkaan käyttöön tietoja hakevan hyvinvointisovelluksen vaan Kanta-palvelujen rajapintojen kautta. |
Regulatory requirement: [TV26] Integraatiopalvelu ja tietojen tuominen muista sovelluksista tai laitteista REGREQ_TV26
|
Jos sovellus on integraatiopalvelu tai siihen sisältyy integraatiopalvelu, sovelluksen valmistajan on varmistettava, että integraatiopalvelulla on oikeus tuoda Omatietovarantoon kansalaisen luvalla siihen liittyneistä sovelluksista tai laitteista tietoja. Kuvaa kunkin vaatimuksessa PV06 ilmoitetun laitteen tai sovelluksen osalta, kuinka varmistetaan se, että integraatiopalvelulla on oikeus ja käyttäjän lupa tuoda tietoja hyvinvointisovellukseen ja/tai Omatietovarantoon |