Olet tässä: Finlex » Lainsäädäntö » Ajantasainen lainsäädäntö » 2007 » 9.2.2007/159

Ajantasainen lainsäädäntö

Ajan tasalle toimitettujen säädösten tietokanta sisältää noin 1700:n oikeusministeriön valitseman säädöksen päivitetyt tekstit, joissa lakiin tai asetukseen tehdyt muutokset on kirjoitettu säädöstekstin sisään. Säädöstekstejä päivitetään kerran viikossa.

Säädöksiä seurattu SDK 50/2012 saakka (julkaistu 2.2.2012).

Pikahaku

Haussa katkaisumerkki *, esim. opintotu* ja takaisinpe* - Laveampi haku tai-sanalla, esim. avopuol* tai aviopuol*.

9.2.2007/159

Katso tekijänoikeudellinen huomautus käyttöehdoissa.

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tämän lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.

2 §
Soveltamisala

Tässä laissa säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä.

Tätä lakia sovelletaan julkisten ja yksityisten sosiaalihuollon ja terveydenhuollon palvelujen antajien järjestäessä taikka toteuttaessa sosiaalihuoltoa tai terveydenhuoltoa.

Jollei tästä tai muusta laista muuta johdu, asiakastietojen käsittelyyn sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, henkilötietolaissa (523/1999), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994) tai näiden nojalla säädetään. (19.11.2010/981)

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) asiakkaalla asiakaslaissa tarkoitettua asiakasta sekä potilaslaissa tarkoitettua potilasta;

2) asiakasasiakirjalla asiakaslaissa tarkoitettua asiakirjaa sekä potilaslaissa tarkoitettua potilasasiakirjaa;

3) potilastiedolla potilasta koskevaa tietoa, joka sisältyy potilaslaissa tarkoitettuun potilasasiakirjaan;

4) asiakastiedolla potilastietoa sekä asiakasta koskevaa tietoa, joka sisältyy asiakaslaissa tarkoitettuun asiakirjaan;

5) palvelutapahtumalla terveydenhuollon palvelujen antajan ja potilaan välistä yksittäisen palvelun järjestämistä tai toteuttamista;

6 kohta on kumottu L:lla 21.12.2010/1227.

7) terveydenhuollon palvelujen antajalla potilaslain 2 §:n 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, työterveyshuoltolain (1383/2001) 7 §:n 2 kohdassa tarkoitettua työnantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä; sekä

8) sosiaalihuollon palvelujen antajalla asiakaslain 3 §:n 2 kohdassa tarkoitettua sosiaalihuoltoa järjestävää viranomaista, julkista sosiaalipalvelujen tuottajaa sekä yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tarkoitettua palvelujen tuottajaa. (22.7.2011/928)

2 luku

Asiakastietojen sähköisen käsittelyn yleiset vaatimukset

4 §
Asiakastietojen käytettävyys ja säilyttäminen

Asiakastietojen sähköisessä käsittelyssä tulee turvata tietojen saatavuus ja käytettävyys. Asiakastietojen tulee säilyä eheinä ja muuttumattomina koko niiden säilytysajan.

Sähköisestä asiakasasiakirjasta tulee olla vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä ottaa jäljennös, josta tulee ilmetä asiakirjan olevan jäljennös.

Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiakasasiakirjojen yksilöimisestä sekä niiden jäljennösten säilyttämisestä.

5 §
Käytön ja luovutuksen seuranta

Sosiaalihuollon ja terveydenhuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista.

Palvelujen antajan tulee kerätä asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja jokaisesta asiakastietojen luovutuksesta seurantaa varten lokitiedot lokirekisteriin. Käyttölokirekisteriin tallennetaan tieto käytetyistä asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta. Luovutuslokirekisteriin tallennetaan tieto luovutetuista asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta ja luovutusajankohdasta.

Terveydenhuollon palvelujen antajien potilasasiakirjatietojen luovuttamista koskevat lokitiedot tallennetaan 14 §:ssä tarkoitettuun arkistointipalveluun.

Asiakastietojen käyttäjien käyttöoikeustiedot ja lokitiedot tulee hävittää, kun ne eivät enää ole tarpeen asiakastietojen käytön ja luovutuksen lainmukaisuuden seuraamiseksi. Käyttöoikeus- ja lokitiedoista sekä tietojen vähimmäissäilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella.

6 § (21.12.2010/1227)
Potilastietojärjestelmien ja -asiakirjojen tietorakenteet

Terveydenhuollon potilastietojärjestelmien ja potilasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten potilasasiakirjojen käyttö, luovuttaminen, säilyttäminen ja suojaaminen 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla. Terveydenhuollon palvelujen antajan tulee luokitella erityistä suojausta edellyttävät potilasasiakirjat ja potilastiedot erillisellä vahvistuspyynnöllä suojattaviin potilastietoihin.

Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin siitä, mitkä potilasasiakirjat tulee luokitella erityistä suojausta edellyttäviksi. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä potilastietojärjestelmien ja potilasasiakirjojen tietorakenteista sekä muusta kuin edellä tarkoitetusta tietojen luokittelusta.

7 §
Suunnittelu-, tutkimus- ja tilastotiedot

Asiakastietojärjestelmästä tulee voida tuottaa sosiaalihuollon ja terveydenhuollon palvelujen antajan oman suunnittelun, johtamisen ja tilastoinnin, sekä valtakunnallisen tutkimus- ja tilastotoiminnan kannalta tarpeelliset tiedot ja hoidon tarpeen arviointia sekä hoitoon pääsyn ajankohtaa koskevat tiedot.

8 § (19.11.2010/981)
Tunnistaminen

Asiakastietojen sähköisessä käsittelyssä asiakas, sosiaalihuollon ja terveydenhuollon palvelujen antaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet tulee tunnistaa luotettavasti. Potilastietoja käsittelevien henkilöiden, palvelujen antajien, tietoteknisten laitteiden sekä valtakunnallisten tietojärjestelmäpalvelujen tunnistaminen edellyttää lisäksi todentamista. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Väestörekisterikeskusta siltä osin kuin asiassa on kysymys 14 §:ssä tarkoitetusta Väestörekisterikeskukselle kuuluvasta tehtävästä.

9 § (7.8.2009/619)
Asiakirjan sähköinen allekirjoittaminen

Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettua kehittynyttä sähköistä allekirjoitusta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta.

3 luku

Potilastietojen sähköinen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla

10 §
Potilastietojen luovuttaminen

Potilastietoja saa luovuttaa 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 §:n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. (21.12.2010/1227)

Sähköiseen luovutuspyyntöön perustuva potilastietojen sähköinen luovutus toiselle terveydenhuollon palvelujen antajalle toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu. Muut potilastietojen sähköiset luovutukset toiselle terveydenhuollon palvelujen antajalle toteutetaan joko valtakunnallisten tietojärjestelmäpalvelujen avulla tai terveydenhuollon palvelujen antajien välisenä luovutuksena.

Sen estämättä, mitä 1 momentissa säädetään, voidaan valtakunnallisten tietojärjestelmäpalvelujen avulla toteuttaa arkistointipalveluun liittyneiden terveydenhuollon palvelujen antajien lukuun terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain (556/1989) ja sen nojalla annettujen säännösten mukainen tietojen luovutus terveydenhuollon valtakunnallisiin henkilörekistereihin.

Muusta kuin valtakunnallisten tietojärjestelmäpalvelujen avulla tapahtuvasta potilastietojen luovutuksesta säädetään potilaslain 4 luvussa. Lisäksi sähköiseen lääkemääräykseen sisältyvien tietojen luovutuksesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007). (21.12.2010/1227)

11 § (21.12.2010/1227)
Potilaan oikeus määrätä potilastietojensa luovutuksesta

Edellä 10 §:n 1 momentissa tarkoitetun potilaan suostumuksen perusteella saa luovuttaa kaikki valtakunnallisissa tietojärjestelmäpalveluissa olevat potilastiedot. Suostumuksen antanut potilas saa kuitenkin kieltää määrittämiensä tietojen luovutuksen. Kiellon voi tehdä palvelutapahtuman tai palvelujen antajan perusteella. Suostumus ja kielto ovat voimassa toistaiseksi ja ne saa peruuttaa.

Suostumuksen ja kiellon voi antaa mille tahansa valtakunnalliseen tietojärjestelmäpalveluun liittyneelle terveydenhuollon palvelujen antajalle. Suostumuksen tai kiellon vastaanottajan tulee toimittaa tieto siitä viivytyksettä 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun. Potilaan tiedonhallintapalvelu on toteutettava siten, että suostumuksen ja kiellon voi tehdä milloin tahansa. Suostumuksen ja kiellon saa tehdä myös 19 §:ssä tarkoitetun katseluyhteyden välityksellä.

Mitä 2 momentissa säädetään suostumuksen ja kiellon tekemisestä koskee myös niiden peruuttamista.

12 § (21.12.2010/1227)
Suostumus- ja kieltoasiakirja

Potilastietojen luovutusta koskevasta suostumuksesta ja kiellosta on laadittava potilaan allekirjoittama asiakirja. Suostumusasiakirjassa on oltava 17 §:ssä tarkoitetut tiedot valtakunnallisista tietojärjestelmäpalveluista ja niiden vaikutuksista potilasta koskevien tietojen käsittelyyn. Kieltoasiakirjassa tulee olla selvitys siitä, että terveyden- ja sairaanhoitoa annettaessa ei voida käyttää voimassa olevan kiellon kohteena olevia tietoja, vaikka ne olisivat hoidon kannalta merkityksellisiä. Kansaneläkelaitos laatii mallit suostumus- ja kieltoasiakirjalle. Suostumuksen ja kiellon vastaanottajan on annettava asiakirjasta jäljennös potilaalle. Potilaan antaessa suostumuksensa tai tehdessä kiellon katseluyhteyden välityksellä, hänelle on annettava vastaavat tiedot katseluyhteyden välityksellä.

Suostumuksen ja kiellon vastaanottajan on säilytettävä allekirjoitettu asiakirja rekisterinpitäjän lukuun. Näiden asiakirjojen säilyttämisaikaan sovelletaan, mitä potilaslaissa ja sen nojalla säädetään potilasasiakirjojen säilyttämisestä.

Mitä edellä säädetään suostumus- ja kieltoasiakirjasta koskee myös niiden peruuttamiseksi laadittavaa asiakirjaa.

13 § (21.12.2010/1227)
Potilaan laillinen edustaja

Jos potilaalla ei ole edellytyksiä arvioida 10 §:n 1 momentissa tarkoitetun suostumuksen merkitystä, terveyden- ja sairaanhoidon kannalta välttämättömiä tietoja saa luovuttaa hänen laillisen edustajansa antaman suostumuksen perusteella. Potilaan laillisella edustajalla on oikeus salassapitovelvollisuuden estämättä saada suostumuksen antamista ja toteuttamista varten välttämättömät potilasta koskevat tiedot. Muutoin suostumuksen antamisessa on noudatettava mitä 11 §:ssä säädetään potilaan antamasta suostumuksesta.

4 luku

Terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut

14 §
Valtakunnalliset tietojärjestelmäpalvelut

Kansaneläkelaitos hoitaa terveydenhuollon palvelujen antajien lukuun potilasasiakirjojen säilytystä ja käyttöä varten olevaa arkistointipalvelua sekä sen osana potilasasiakirjojen luovutusta varten hakemistopalvelua ja potilaan tiedonhallintapalvelua. Kansaneläkelaitos hoitaa luovutuslokirekisterien säilytyksen osana arkistointipalvelua. Kansaneläkelaitos voi hoitaa osana arkistointipalvelua myös käyttölokirekisterien säilytyksen. Kansaneläkelaitos hoitaa 19 §:ssä tarkoitettua katseluyhteyttä. Kansaneläkelaitos voi tarvittaessa antaa ohjeita edellä mainittujen valtakunnallisten tietojärjestelmäpalvelujen toteuttamisen edellyttämistä teknisistä ja sanomaliikennemäärityksistä. (21.12.2010/1227)

Terveyden ja hyvinvoinnin laitoksen tehtävänä on määrittää valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämät tietosisällöt, käsitemallit ja toimintaprosesseja tukevat tietorakenteet. Lisäksi se vastaa koodistopalvelun sisällöstä. Kansaneläkelaitos hoitaa koodistopalvelun tietoteknistä toteutusta. Koodistopalvelu sisältää kaikki koodistot, joita tarvitaan potilasasiakirjojen käsittelyssä valtakunnallisten tietojärjestelmäpalvelujen avulla. (21.12.2010/1227)

Väestörekisterikeskus toimii terveydenhuollon ammattihenkilöiden ja terveydenhuollon muun henkilöstön, terveydenhuollon palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettuna varmentajana. Väestörekisterikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestörekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista. Tiedot voidaan luovuttaa teknisen käyttöyhteyden välityksellä. (19.11.2010/981)

Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla terveydenhuollon palvelujen antajille, apteekeille, Kansaneläkelaitokselle ja Väestörekisterikeskukselle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten terveydenhuollon ammattihenkilöiden ammatinharjoittamisoikeuksia ja ammattinimikkeen käyttöoikeuksia sekä niiden voimassaoloa koskevat tiedot. Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on lisäksi antaa Väestörekisterikeskuksen varmennepalveluille terveydenhuollon toimintaan sekä elinkeinon- ja ammatinharjoittamiseen liittyvää asiantuntemusta. (19.11.2010/981)

Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien potilasrekistereiden tai niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä toimeksiantotehtävänä ulkopuolisille.

14 a § (21.12.2010/1227)
Potilaan tiedonhallintapalvelu

Kansaneläkelaitos pitää yllä potilaan tiedonhallintapalvelua. Terveydenhuollon palvelujen antajat saavat käyttää potilaan tiedonhallintapalvelussa olevia ja sen kautta näkyviä tietoja potilaan terveyden- ja sairaanhoitoa järjestettäessä ja toteutettaessa.

Tiedonhallintapalveluun tallennetaan tiedot potilaiden 10–12 §:n perusteella antamista suostumuksista ja tekemistä kielloista sekä 17 §:n perusteella potilaalle annetuista tiedoista. Tiedonhallintapalveluun tallennetaan lisäksi potilaan ilmoittama kielto irrottaa elimiä, kudoksia tai soluja toisen ihmisen sairauden tai vamman hoitoon tai muu elinluovutusta koskeva tahdonilmaisu ja hänen ilmoittamansa hoitotahto. Tiedonhallintapalveluun voidaan tallentaa myös muita terveyden- tai sairaanhoitoon liittyviä potilaan tahdonilmaisuja.

Potilaan tiedonhallintapalvelun kautta voidaan lisäksi näyttää potilaan terveyden- ja sairaanhoidon kannalta keskeiset tiedot. Sosiaali- ja terveysministeriön asetuksella voidaan säätää siitä, mitkä ovat tiedonhallintapalvelun kautta näytettäviä keskeisiä tietoja. Tiedonhallintapalvelun välityksellä ei saa kuitenkaan näyttää sellaisia tietoja, joiden luovutuksen potilas on kieltänyt 10–12 §:n perusteella.

Kansaneläkelaitos on potilaan tiedonhallintapalvelun rekisterinpitäjä. Kansaneläkelaitos vastaa tiedonhallintapalvelussa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. Tiedon tallentaja vastaa potilaan tiedonhallintapalveluun tallennettujen tietojen oikeellisuudesta.

15 §
Velvollisuus liittyä tietojärjestelmäpalvelujen käyttäjäksi

Julkisen terveydenhuollon palvelujen antajan tulee liittyä 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Yksityisen terveydenhuollon palvelujen antajan tulee liittyä näiden tietojärjestelmäpalvelujen käyttäjäksi, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Ahvenanmaan maakunnan julkisen terveydenhuollon palvelujen antaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Tästä liittymisestä on kuitenkin säädettävä erikseen siten kuin Ahvenanmaan itsehallintolain (1144/1991) 32 §:ssä säädetään.

Liittymisen jälkeen valmistuneiden potilasasiakirjojen alkuperäiset kappaleet on tallennettava valtakunnalliseen arkistointipalveluun. Näiden potilasasiakirjojen luovutukseen liittyvät suostumus- ja kieltoasiakirjat tallennetaan vastaavasti potilaan tiedonhallintapalveluun. Ennen liittymistä valmistuneet potilasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. (21.12.2010/1227)

Sosiaali- ja terveysministeriön asetuksella voidaan säätää rajoituksia siihen, mitkä 2 momentissa tarkoitetut alkuperäiset asiakirjat tulee tallentaa ja missä laajuudessa ne tallennetaan valtakunnalliseen arkistointipalveluun. (21.12.2010/1227)

16 §
Vastuut tietojärjestelmäpalvelujen hoidossa

Valtakunnallisten tietojärjestelmäpalvelujen ja potilastietojen tulee olla käytettävissä ympärivuorokautisesti siten, että potilastiedot ovat aina saatavilla potilasturvallisuutta vaarantamatta. Tietojärjestelmäpalveluilla tulee olla tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.

Kansaneläkelaitos vastaa arkistointipalvelun teknisenä toteuttajana ja ylläpitäjänä arkistointipalvelun yleisestä toiminnasta ja toiminnan lainmukaisuudesta, huolehtii potilaalle annettavan 19 §:ssä tarkoitetun katseluyhteyden teknisestä toteuttamisesta sekä huolehtii valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja käyttää päätösvaltaa järjestelmän tietotekniseen toimintaan liittyvissä kysymyksissä, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu. Lisäksi Kansaneläkelaitos huolehtii valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle. (21.12.2010/1227)

Arkistointipalveluun liittynyt terveydenhuollon palvelujen antaja vastaa potilastietojen rekisterinpitäjänä järjestelmään tallennettujen potilastietojen ja niiden käsittelyyn liittyvien lokitietojen sisällöstä ja virheettömyydestä sekä tietojen luovuttamisen ja muun käsittelyn lainmukaisuudesta.

Kansaneläkelaitos vastaa hoitamiensa tietojärjestelmäpalvelujen osalta potilastietojen käytettävyydestä, eheydestä, muuttumattomuudesta, suojaamisesta, säilyttämisestä ja hävittämisestä. Kansaneläkelaitos vastaa siitä, että arkistointipalvelu toimii teknisesti siten, että potilastietoja ei sen kautta voida luovuttaa lain vastaisesti sekä siitä, että luovutuksesta tallentuu lokitieto luovutuslokirekisteriin. Kansaneläkelaitoksella ei ole oikeutta määrätä arkistointipalveluun kuuluvista potilastiedoista eikä luovuttaa niitä, ellei tässä laissa toisin säädetä. Potilastietoja ei saa muutoinkaan käsitellä laajemmin kuin mitä ylläpitoon kuuluvat tehtävät välttämättä edellyttävät. Arkistointipalvelu on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti.

5 momentti on kumottu L:lla 19.11.2010/981.

5 luku

Asiakkaan tiedonsaantioikeus

17 § (21.12.2010/1227)
Potilaan informointi

Kansaneläkelaitos laatii kirjallisen selosteen, josta ilmenevät tiedot valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista sekä näistä tietojärjestelmäpalveluista vastaavista tahoista, potilastiedon luovutuksen edellytyksistä, potilaan oikeuksista vaikuttaa potilastietojen käsittelyyn, potilastietojen suojaamisesta sekä muista potilaan kannalta merkityksellisistä tietojen käsittelyyn liittyvistä seikoista.

Valtakunnallisiin tietojärjestelmäpalveluihin liittyneen terveydenhuollon palvelujen antajan on annettava ensimmäisen palvelutapahtuman yhteydessä seloste potilaalle. Tietojen antamisesta tulee tehdä merkintä potilaan tiedonhallintapalveluun.

Jos potilas on jo saanut 1 momentissa tarkoitetut tiedot, voidaan tietojenantovelvollisuudesta poiketa siten kuin henkilötietolain 24 §:ssä säädetään.

18 §
Asiakkaan tiedonsaantioikeus

Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta säädetään henkilötietolain 26–28 §:ssä.

Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja henkilötietolain 27 §:n 1 momentin 1–4 kohdassa tarkoitetuissa tapauksissa. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.

Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoitetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.

Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.

19 § (21.12.2010/1227)
Katseluyhteys

Täysi-ikäiselle potilaalle annetaan sähköisen katseluyhteyden avulla valtakunnalliseen arkistointipalveluun hänestä tallennetut seuraavat tiedot:

1) tiedot suostumuksesta ja kielloista sekä luovutuslokitiedot lukuun ottamatta luovuttajan ja luovutuksensaajan henkilötietoja sekä niitä luovutuslokitietoja, joita potilaalla ei henkilötietolain 27 §:n 1 momentin 1–4 kohdan mukaan ole oikeutta saada;

2) tieto potilaan tiedonhallintapalveluun merkitystä elinluovutuskiellosta, hoitotahdosta ja muusta potilaan terveyden- ja sairaanhoitoa tai elinluovutusta koskevasta tahdonilmaisusta;

3) tiedot palvelutapahtumien paikoista ja ajoista, hoidon kannalta keskeiset tiedot, lääkemääräystiedot ja hoito-ohjeet; sekä

4) lähetteet, yhteenvedot annetuista hoidoista, hoitojen loppulausunnot sekä lääkärintodistukset ja -lausunnot.

Potilaalle voidaan antaa sähköisen katseluyhteyden avulla myös ajanvaraustiedot sekä laboratoriotulokset, kuvantamistulokset ja muut vastaavat tutkimustulokset.

Sen estämättä, mitä 1 ja 2 momentissa säädetään, katseluyhteys on toteutettava siten, ettei potilaalla ole pääsyä niihin tietoihin, joiden luovuttamisesta voi terveydenhuollon ammattihenkilön harkinnan mukaan aiheutua vakavaa vaaraa potilaan terveydelle tai hoidolle taikka jonkun muun oikeuksille.

Katseluyhteys tulee toteuttaa siten, että potilas voi antaa 11 §:ssä tarkoitetun suostumuksen ja tehdä 12 §:ssä tarkoitetun kiellon sekä tehdä elinluovutuskiellon, hoitotahdon ja muun terveyden- ja sairaanhoitoa koskevan tahdonilmaisun katseluyhteyden välityksellä. Lisäksi katseluyhteyttä toteutettaessa tulee varmistaa, että potilaan yksityisyyden suoja ei vaarannu. Tietojen saanti katseluyhteyden avulla ei vaikuta potilaan henkilötietolain mukaiseen tarkastusoikeuteen. Sosiaali- ja terveysministeriön asetuksella voidaan säätää siitä, miten tiedot annetaan katseluyhteyden kautta.

6 luku

Erinäiset säännökset

20 § (22.12.2009/1565)
Ohjaus, valvonta ja seuranta

Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tietohallinnon yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tietohallintohankkeiden kokonaisrahoituksesta kuuluvat sosiaali- ja terveysministeriölle. Väestörekisterikeskuksen hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. (21.12.2010/1227)

Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. (21.12.2010/1227)

Tietosuojavaltuutettu, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston ja Väestörekisterikeskuksen on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Jos joku on lainvastaisesti käsitellyt asiakastietoja, tulee asianomaisen palvelujen antajan sekä Kansaneläkelaitoksen oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin. Seurannan ja valvonnan toteuttamiseksi palvelujen antajalla on oikeus saada Kansaneläkelaitokselta omien potilasrekisteriensä lokitiedot. (19.11.2010/981)

Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Lisäksi jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. (19.11.2010/981)

21 §
Sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta

Sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa koskevien periaatekysymysten käsittelyä, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen toteutusta sekä palvelujen käyttäjien tietojärjestelmien yhtenäistämistä ja kehittämistä varten on sosiaali- ja terveysministeriön yhteydessä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. Neuvottelukunnan tehtävistä ja kokoonpanosta säädetään tarkemmin valtioneuvoston asetuksella.

22 § (19.11.2010/981)
Maksut

Kansaneläkelaitoksen ja Väestörekisterikeskuksen hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on terveydenhuollon palvelujen antajille maksullista. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle sekä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunnalle selvitys kustannuksiin vaikuttavista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista.

23 §
Rangaistussäännökset

Joka tahallaan tai törkeästä huolimattomuudesta rikkoo 8 §:ssä säädettyä tunnistamis- tai todentamisvelvoitetta, luovuttaa hakutietoja 12 §:n, 15 §:n 2 momentin tai 25 §:n 3 momentin vastaisesti, luovuttaa potilastietoja ilman 13 §:ssä edellytettyä potilaan suostumusta tai luovutuksen oikeuttavaa lain säännöstä taikka laiminlyö 17 §:n 2 momentin mukaisen informointivelvoitteen ja siten vaarantaa asiakkaan yksityisyyden suojaa tai muutoin hänen oikeuksiaan, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon.

Rangaistus tietomurrosta säädetään rikoslain (39/1889) 38 luvun 8 §:ssä ja rangaistus henkilörekisteririkoksesta rikoslain 38 luvun 9 §:ssä. Rangaistus salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

7 luku

Voimaantulo- ja siirtymäsäännökset

24 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2007.

25 §
Siirtymäsäännökset

Edellä 24 §:ssä säädetystä poiketen 15 §, jossa säädetään velvollisuudesta liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, tulee voimaan 1 päivänä syyskuuta 2014. Yksityisiä terveydenhuollon palvelujen antajia koskeva velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi tulee kuitenkin voimaan 1 päivänä syyskuuta 2015. Jos terveydenhuollon palvelujen antaja on kuitenkin liittynyt tässä laissa tarkoitettujen tietojärjestelmäpalvelujen käyttäjäksi ennen 15 §:n voimaantuloa, koskevat tämän lain säännökset niitä terveydenhuollon palvelujen antajan asiakirjoja, jotka on liitetty mainittuihin tietojärjestelmäpalveluihin. Muutoin terveydenhuollon palvelujen antajien on noudatettava potilastietojen sähköistä käsittelyä koskevia säännöksiä 1 päivästä syyskuuta 2014 lukien. Lain 14 §:ssä tarkoitetut valtakunnalliset tietojärjestelmäpalvelut voidaan ottaa käyttöön vaiheittain jo ennen liittymisvelvollisuuden voimaantuloa. Tällöin näiden palvelujen avulla tapahtuvaan potilastietojen käsittelyyn sovelletaan tämän lain säännöksiä. Sosiaalihuollon palvelujen antajien on noudatettava sosiaalihuollon asiakastietojen sähköistä käsittelyä koskevia säännöksiä 1 päivästä syyskuuta 2014 lukien. (21.12.2010/1227)

Lain 22 §:ssä tarkoitettuja maksuja aletaan periä julkisilta terveydenhuollon palvelujen antajilta 1 päivästä tammikuuta 2014 lukien ja yksityisiltä terveydenhuollon palvelujen antajilta 1 päivästä tammikuuta 2015 lukien. Väestörekisterikeskus voi kuitenkin periä 14 §:n mukaisesti tuottamistaan suoritteista palvelujen tuottamisesta aiheutuvia kustannuksia vastaavia maksuja Sosiaali- ja terveysalan lupa- ja valvontavirastolta siihen saakka kunnes terveydenhuollon palvelujen antajat ryhtyvät suorittamaan Väestörekisterikeskukselle 22 §:n mukaisia maksuja. (21.12.2010/1227)

Sosiaali- ja terveydenhuollon saumattoman palveluketjun kokeilusta annetun lain (811/2000) mukaisesti toteutettuihin viitetietojärjestelmiin tallennetut tiedot voidaan liittää valtakunnalliseen arkistointipalveluun ilman potilaan suostumusta. Arkistointipalveluun liitettyjen viitetietojen ja niiden avulla tapahtuva potilastietojen luovutus tapahtuu tämän lain mukaisesti hakutietojen avulla. Näitä hakutietoja ei kuitenkaan saa luovuttaa ilman potilaan kirjallista suostumusta.

Sosiaali- ja terveysalan lupa- ja valvontaviraston varmennejärjestelmä toimii Väestörekisterikeskuksen tämän lain 14 §:n ja sähköisestä lääkemääräyksestä annetun lain (61/2007) 7 §:n nojalla terveydenhuoltoa ja sähköistä lääkemääräystä varten tuottamien varmennepalvelujen varajärjestelmänä enintään 30 päivään kesäkuuta 2012. Sosiaali- ja terveysalan lupa- ja valvontavirasto vastaa tästä varajärjestelmästä varmentajana siten kuin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa säädetään. (19.11.2010/981)

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

HE 253/2006, StVM 47/2006, EV 232/2006

Muutossäädösten voimaantulo ja soveltaminen:

29.6.2007/733:

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2007.

HE 23/2007, StVM 1/2007, EV 5/2007

7.8.2009/619:

Tämä laki tulee voimaan 1 päivänä syyskuuta 2009.

HE 36/2009, LiVM 12/2009, EV 90/2009

22.12.2009/1565:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2010.

Ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

HE 161/2009, HaVM 18/2009, EV 205/2009

19.11.2010/981:

Tämä laki tulee voimaan 1 päivänä joulukuuta 2010.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

HE 155/2010, StVM 24/2010, EV 158/2010

21.12.2010/1227:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2011.

Ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

HE 176/2010, StVM 30/2010, EV 195/2010

22.7.2011/928:

Tämä laki tulee voimaan 1 päivänä lokakuuta 2011.

HE 302/2010, StVM 56/2010, EV 342/2010