Uuden apteekkijärjestelmän kehittäminen vaati ponnisteluja ja pitkäjänteisyyttä. Pharmadata kehitti uuden sukupolven Omapd-järjestelmäänsä kaksi vuotta intensiivisesti viranomaisvaatimuksia ja asiakkaita kuunnellen. Kela-hyväksynnän saaminen on yksi merkittävimmistä virstanpylväistä apteekkijärjestelmän kehitystyössä. Ilman sitä järjestelmää ei voida ottaa käyttöön eikä Kanta-palveluihin saa yhteyttä. ”Järjestelmätoimittaja tekee suuren työn apteekkilaisten puolesta huolehtiakseen heidän turvallisuudesta ja arjen sujuvuudesta”, Pharmadatan tuotejohtaja Jukka Nurmi muistuttaa.
Pharmadata on kehittänyt uuden sukupolven Omapd-järjestelmää antaumuksella kahden vuoden ajan. Kela-hyväksynnän pitkä prosessi on nyt loppusuoralla. Apteekkijärjestelmän käyttöönotto edellyttää aina Kela-hyväksynnän saamista. Kanta-palveluihin eli reseptikeskukseen saa yhteyden vasta, kun monipolvinen prosessi on hyväksyttävästi suoritettu.
”Kela-hyväksynnän ja koko järjestelmäkehityksen lähtökohta on turvata apteekin asiakkaiden ja järjestelmän käyttäjien oikeus- ja tietoturva. Arkaluonteisen tiedon on pysyttävä apteekkialalla salassa”, Pharmadatan tuotejohtaja Jukka Nurmi kertoo.
Pharmadatan tuotejohtaja Jukka Nurmi
Yhteistestaus tehdään A-luokan järjestelmille
Laki määrää, että jokainen apteekkijärjestelmä auditoidaan kolmen vuoden välein. Kelan yhteistestaus tehdään A-luokan järjestelmille, jollaiseksi apteekkijärjestelmä luokitellaan. Yhteistestaus on prosessi, joka jakautuu kahteen eri osaan: esivalmisteluihin ja yhteistestaukseen. Tietojärjestelmän tulee täyttää tietyt edellytykset ennen, kuin yhteistestaus voidaan aloittaa.
”Aina kun meidän päässämme tapahtuu iso Kanta-palveluihin liittyvä muutos, ilmoitamme siitä Kelalle. He päättävät, vaatiiko muutos viranomaisten järjestämää yhteistestausta”, Pharmadatan suunnittelupäällikkö Outi Dahlgren kertoo.
Kun uusi tietojärjestelmä sertifioidaan ensimmäistä kertaa, järjestelmätoimittaja käy Kelan ja muiden tarvittavien viranomaisten kanssa tarkasti läpi järjestelmän arkkitehtuurin, toiminnot, tietosisällöt ja yhteistestaukseen liittyvän aikataulun ennen varsinaisen yhteistestauksen alkamista.
Tietojärjestelmätoimittajat testaavat esivalmisteluvaiheessa omatoimisesti sisältöjä omassa testiympäristössään. Hyväksytyn esitestauksen jälkeen Kela ja järjestelmätoimittaja tapaavat aloituspalaverissa, jossa sovitaan ja käydään läpi yhteistestauksen yksityiskohdat. Monivaiheisen prosessin lopussa Kela antaa tietojärjestelmälle yhteistestauslausunnon ja -raportin.
Tietoturvatestaukseen uudet vaatimukset
Kela-testauksen lisäksi Omapd käy läpi tietoturva-auditoinnin. Kun sekä Kela-testaus että tietoturva-auditointi on suoritettu, järjestelmä lisätään Valviran ylläpitämälle hyväksyttyjen järjestelmien listalle.
Tietoturva-auditointi muuttui ja sai uudet vaatimukset vuosi sitten. Aiemmin auditointi perustui pitkälti dokumentaatioon. Nyt uutta on, että auditointiin liittyy myös järjestelmän testaus.
”Viimevuotiset tapahtumat, muiden muassa Vastaamon tapaus, ovat vaikuttaneet siihen, että kriittisten järjestelmien tietoturva-auditointia on haluttu syventää entisestään. Tämä on pelkästään hyvä asia, sillä kaikki toiminta tähtää apteekkien toiminnan turvallisuuteen”, Dahlgren kertoo.
”On kaikkien käyttäjien ja koko toimialan parhaaksi, että Kela-testaus ja tällaisia auditointeja tehdään ja niitä kehitetään. Näin asiakkaiden lääkehuolto on turvattu. Tähän pyrimme”, Nurmi kertoo.
Pharmadatan suunnittelupäällikkö Outi Dahlgren
Roolipohjaisuus lisää tietoturvaa
Tietoturva ja käytettävyys ovat olleet tärkeimmät päämäärät Omapd:n kehittämistyössä. Ohjelmistosta haluttiin niin tietoturvallinen ja intuitiivinen apteekkijärjestelmä kuin mahdollista. Mikä tekee Omapd:sta erityisen tietoturvallisen?
”Se, että Omapd on roolipohjainen järjestelmä, lisää entisestään tietoturvaa. Käyttäjä ei pysty näkemään sellaista tietoa, mikä ei ole hänelle tarkoitettu. Tämä on jokaisen apteekkilaisen oikeusturvan kannaltakin olennaista”, Nurmi sanoo.
Sekä pd3 että Omapd ovat pilvipohjaisia keskitettyjä järjestelmiä, minkä vuoksi apteekkien ei tarvitse itse huolehtia tietoturvasta.
”Tiedot ovat kallion sisällä hyvässä suojassa, jatkuvasti monitoroiduissa ja vartioiduissa tiloissa. Järjestelmää valvotaan jatkuvasti, ja apteekkialan ammattilaiset voivat nukkua yönsä rauhassa.”
”Suhtaudumme itsekin tietoturva-auditointeihin rauhallisin ja positiivisin mielin.”
