9.2.2007/159
Se anmärkningen för upphovsrätt i användningsvillkoren.
Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården 9.2.2007/159
I enlighet med riksdagens beslut föreskrivs:
1 kap
Allmänna bestämmelser
1 §
Lagens syfte
Syftet med denna lag är att främja datasäker elektronisk behandling av klientuppgifter inom social- och hälsovården. Genom lagen genomförs ett enhetligt elektroniskt behandlings- och arkiveringssystem för patientuppgifter för effektiv produktion av hälso- och sjukvårdstjänster så att patientsäkerheten beaktas samt för främjande av patientens möjligheter att få information.
2 §
Tillämpningsområde
I denna lag föreskrivs om elektronisk behandling av klientuppgifter inom social- och hälsovården.
Denna lag tillämpas när tillhandahållare av offentliga och privata socialvårdstjänster och hälso- och sjukvårdstjänster ordnar eller genomför socialvård eller hälso- och sjukvård.
Om inte något annat följer av denna eller någon annan lag tillämpas på behandlingen av klientuppgifter vad som bestäms i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, personuppgiftslagen (523/1999), lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) och arkivlagen (831/1994) eller med stöd av dem. (19.11.2010/981)
3 §
Definitioner
I denna lag avses med
1) klient en klient enligt klientlagen samt en patient enligt patientlagen,
2) klienthandling en handling enligt klientlagen samt en journalhandling enligt patientlagen,
3) patientuppgift uppgifter om en patient som ingår i en journalhandling enligt patientlagen,
4) klientuppgift en patientuppgift samt uppgifter om en klient som ingår i en handling enligt klientlagen,
5) servicehändelse ordnandet eller genomförandet av en enskild tjänst mellan en tillhandahållare av hälso- och sjukvårdstjänster och en patient,
6 punkten har upphävts genom L 21.12.2010/1227. (21.12.2010/1227)
7) tillhandahållare av hälso- och sjukvårdstjänster en verksamhetsenhet för hälso- och sjukvård enligt 2 § 4 punkten i patientlagen, en arbetsgivare enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) samt en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare, samt
8) tillhandahållare av socialvårdstjänster en myndighet som ordnar sådan socialvård som avses i 3 § 2 punkten i klientlagen, en offentlig producent av socialservice och en serviceproducent enligt lagen om privat socialservice (922/2011). (22.7.2011/928)
2 kap
Allmänna krav på elektronisk behandling av klientuppgifter
4 §
Klientuppgifternas användbarhet och förvaring
Vid elektronisk behandling av klientuppgifter skall uppgifternas tillgänglighet och användbarhet tryggas. Klientuppgifterna skall förvaras så att de behåller sin integritet och oförvanskade form under hela förvaringstiden.
Av en elektronisk klienthandling skall det finnas endast ett original som är specificerat med en identifikation. För att tillhandahålla en tjänst eller av någon annan grundad anledning kan av originalet tas en kopia av vilken det skall framgå att handlingen är en kopia.
Närmare bestämmelser om specificeringen av klienthandlingar samt om förvaringen av kopior av dem kan utfärdas genom förordning av social- och hälsovårdsministeriet.
5 §
Uppföljning av användning och utlämnande
En tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster skall föra ett register över dem som använder tillhandahållarens egna klientdatasystem och klientregister samt över användarnas behörigheter.
En tillhandahållare av tjänster skall för uppföljningen särskilt för varje klientregister samla in logguppgifter om all användning och om varje utlämnande av klientuppgifter i ett loggregister. I användningsloggregistret lagras uppgifter om använda klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter används, vem som har använt klientuppgifterna, användningsändamålet och användningstidpunkten. I utlämningsloggregistret lagras uppgifter om utlämnade klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter utlämnas, vem som lämnat ut klientuppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten.
Logguppgifter som gäller utlämnande av journalhandlingsuppgifter och som innehas av tillhandahållare av hälso- och sjukvårdstjänster lagras i den arkiveringstjänst som avses i 14 §.
Behörighetsuppgifter och logguppgifter över dem som använder klientuppgifter skall förstöras när de inte längre behövs för tillsynen av om klientuppgifter används eller utlämnas i enlighet med lag. Närmare bestämmelser om behörighetsuppgifter och logguppgifter samt den tid som dessa uppgifter åtminstone skall bevaras kan utfärdas genom förordning av social- och hälsovårdsministeriet.
6 § (21.12.2010/1227)
Patientdatasystemens och journalhandlingarnas datastrukturer
Hälso- och sjukvårdens patientdatasystem och journalhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, förvaring och skydd av elektroniska journalhandlingar med hjälp av de riksomfattande informationssystemtjänster som avses i 14 §. En tillhandahållare av hälso- och sjukvårdstjänster ska klassificera de journalhandlingar och patientuppgifter som kräver särskilt skydd som sådana patientuppgifter som ska skyddas genom separat begäran om bekräftelse.
Närmare bestämmelser om vilka journalhandlingar som ska klassificeras som sådana som kräver särskilt skydd kan utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd kan meddela närmare föreskrifter om patientdatasystemens och journalhandlingarnas datastrukturer samt om annan än ovan avsedd klassificering av uppgifter.
7 §
Planerings-, forsknings- och statistikuppgifter
Klientdatasystemet skall kunna producera de uppgifter som behövs för den planering, ledning och statistikföring som tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster själv sköter och de uppgifter som behövs för den riksomfattande forsknings- och statistikverksamheten samt uppgifter om bedömning av vårdbehovet och om tidpunkten för intagning för vård.
8 § (19.11.2010/981)
Identifiering
Vid elektronisk behandling av klientuppgifter ska klienten, tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, andra parter i behandlingen av klientuppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. Identifieringen av de personer som behandlar patientuppgifter, tillhandahållarna av tjänster, de datatekniska enheterna samt de riksomfattande informationssystemtjänsterna förutsätter verifiering. Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen kan utfärdas genom förordning av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Befolkningsregistercentralen till den del det gäller uppgifter som Befolkningsregistercentralen enligt 14 § ska sköta.
9 § (7.8.2009/619)
Elektronisk signering av handlingar
Klientuppgifternas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk signatur vid elektronisk behandling, överföring och förvaring av uppgifterna. Vid elektronisk signering som görs av en fysisk person ska användas en avancerad elektronisk signatur enligt lagen om stark autentisering och elektroniska signaturer. Vid signering som görs av en organisation och datatekniska enheter ska användas en elektronisk signatur av motsvarande tillförlitlighet.
3 kap
Utlämnande av patientuppgifter på elektronisk väg med hjälp av riksomfattande informationssystemtjänster
10 §
Utlämnande av patientuppgifter
Patientuppgifter får med hjälp av i 14 § avsedda riksomfattande informationssystemtjänster lämnas ut endast till andra tillhandahållare av hälso- och sjukvårdstjänster för ordnande och tillhandahållande av hälso- och sjukvård för patienten. Utlämnandet ska ske antingen med patientens samtycke eller med stöd av 13 § 3 mom. 3 punkten i patientlagen eller med stöd av någon annan bestämmelse i lag som ger rätt till utlämnande. (21.12.2010/1227)
Elektroniskt utlämnande av patientuppgifter på grundval av en elektronisk begäran om utlämnande till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs med hjälp av riksomfattande informationssystemtjänster efter det att existensen av en vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Annat utlämnande av patientuppgifter på elektronisk väg till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs antingen med hjälp av de riksomfattande informationssystemtjänsterna eller i form av utlämnande mellan tillhandahållarna av hälso- och sjukvårdstjänster.
Med hjälp av de riksomfattande informationssystemtjänsterna kan, trots vad som sägs i 1 mom., utlämnandet av uppgifter till riksomfattande personregister för hälsovården enligt lagen om riksomfattande personregister för hälsovården (556/1989) och de bestämmelser som utfärdats med stöd av den utföras åt de tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten.
Bestämmelser om utlämnande av patientuppgifter på annan väg än med hjälp av riksomfattande informationssystemtjänster finns i 4 kap. i patientlagen. Bestämmelser om utlämnande av uppgifter ur elektroniska recept finns dessutom i lagen om elektroniska recept (61/2007). (21.12.2010/1227)
11 § (21.12.2010/1227)
Patientens rätt att bestämma om utlämnandet av patientuppgifter
Med stöd av ett i 10 § 1 mom. avsett samtycke av patienten får alla patientuppgifter som hör till de riksomfattande informationssystemtjänsterna lämnas ut. En patient som gett ett sådant samtycke får emellertid förbjuda utlämnandet av vissa uppgifter som han eller hon särskilt specificerar. Förbudet kan gälla en viss servicehändelse eller en viss tillhandahållare av hälso- och sjukvårdstjänster. Ett samtycke och ett förbud gäller tills vidare och får återkallas.
Ett samtycke och ett förbud kan meddelas vilken sådan tillhandahållare av hälso- och sjukvårdstjänster som helst som anslutit sig till de riksomfattande informationssystemtjänsterna. Den som tar emot ett samtycke eller förbud ska utan dröjsmål förmedla det till patientens informationshanteringstjänst som avses i 14 a §. Patientens informationshanteringstjänst ska realiseras så att ett samtycke och ett förbud kan meddelas när som helst. Ett samtycke och ett förbud får också meddelas med hjälp av en sådan elektronisk förbindelse för åtkomst till uppgifter som avses i 19 §.
Det som i 2 mom. bestäms om meddelande av ett samtycke eller förbud gäller också återkallande av ett samtycke eller förbud.
12 § (21.12.2010/1227)
Samtyckes- och förbudshandling
En handling som undertecknas av patienten ska upprättas över ett samtycke eller förbud som gäller utlämnande av patientuppgifter. Samtyckeshandlingen ska innefatta sådan information som avses i 17 § om de riksomfattande informationssystemtjänsterna och om hur tjänsterna påverkar behandlingen av uppgifter som gäller patienten. Av förbudshandlingen ska det framgå att de uppgifter som omfattas av ett gällande förbud inte får användas vid tillhandahållandet av hälso- och sjukvård även om uppgifterna skulle vara av betydelse för vården. Folkpensionsanstalten ska utarbeta modeller för samtyckes- och förbudshandlingarna. Den som tar emot ett samtycke eller förbud ska ge patienten en kopia av handlingen. Då patienten meddelar ett samtycke eller förbud med hjälp av en elektronisk förbindelse för åtkomst till uppgifter ska patienten ges motsvarande information via denna förbindelse.
Den som tar emot ett samtycke eller förbud ska förvara den undertecknade handlingen för registerförarens räkning. På dessa handlingars förvaringstid tillämpas det som i patientlagen och med stöd av den bestäms om förvaring av journalhandlingar.
Det som ovan bestäms om samtyckes- och förbudshandlingar gäller också handlingar som upprättas för återkallelse av ett samtycke eller förbud.
13 § (21.12.2010/1227)
Patientens lagliga företrädare
När en patient saknar förutsättningar att bedöma betydelsen av det samtycke som avses i 10 § 1 mom. får uppgifter som är nödvändiga för hälso- och sjukvården lämnas ut med samtycke av patientens lagliga företrädare. Patientens lagliga företrädare har rätt att trots tystnadsplikten få de uppgifter om patienten som är nödvändiga för att meddela och effektuera ett samtycke. Vid meddelandet av ett samtycke iakttas i övrigt det som i 11 § i patientlagen bestäms om patientens samtycke.
4 kap
Riksomfattande informationssystemtjänster inom hälso- och sjukvården
14 §
Riksomfattande informationssystemtjänster
För tillhandahållarna av social- och hälsovårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen och användningen av journalhandlingar samt som en del därav, för utlämnandet av journalhandlingar, en katalogtjänst och patientens informationshanteringstjänst. Folkpensionsanstalten sköter förvaringen av utlämningsloggregistren som en del av arkiveringstjänsten. Folkpensionsanstalten kan också sköta förvaringen av användningsloggregistren som en del av arkiveringstjänsten. Folkpensionsanstalten sköter dessutom den elektroniska förbindelse för åtkomst till uppgifter som avses i 19 §. Folkpensionsanstalten kan vid behov meddela anvisningar om de tekniska konfigurationer och definitioner för meddelandetrafiken som realiseringen av de ovan nämnda riksomfattande informationssystemtjänsterna kräver. (21.12.2010/1227)
Institutet för hälsa och välfärd ska definiera de datainnehåll och begreppsmodeller som realiseringen av de riksomfattande informationssystemtjänsterna kräver samt de datastrukturer som stöder verksamhetsprocesserna. Dessutom svarar institutet för kodtjänstens innehåll. Folkpensionsanstalten sköter den datatekniska realiseringen av kodtjänsten. Kodtjänsten omfattar alla de kodsystem som behövs vid behandlingen av journalhandlingar med hjälp av de riksomfattande informationssystemtjänsterna. (21.12.2010/1227)
Befolkningsregistercentralen är certifikatutfärdare enligt lagen om stark autentisering och elektroniska signaturer för yrkesutbildade personer inom hälso- och sjukvården och annan personal inom hälso- och sjukvården, tillhandahållare av hälso- och sjukvårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Befolkningsregistercentralen har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat ur centralregistret för yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. Tillstånds- och tillsynsverket för social- och hälsovården har på motsvarande sätt rätt att för skötseln av sina lagstadgade uppgifter av Befolkningsregistercentralen få information om de certifikat som centralen utfärdat på ovan nämnda grunder. Informationen kan överlämnas med hjälp av en teknisk anslutning. (19.11.2010/981)
Tillstånds- och tillsynsverket för social- och hälsovården upprätthåller roll- och attributdatatjänsten och kodsystem med hjälp av vilka tillhandahållare av hälso- och sjukvårdstjänster, apotek, Folkpensionsanstalten och Befolkningsregistercentralen för användning och certifiering av de riksomfattande informationssystemtjänsterna ges information om rätten att vara verksam som yrkesutbildad person inom hälso- och sjukvården och om rätten att använda yrkesbeteckning samt om giltighetstiden för dessa rättigheter. Tillstånds- och tillsynsverket för social- och hälsovården har dessutom till uppgift att för Befolkningsregistercentralens certifikattjänster tillhandahålla sakkunskap om verksamheten inom hälso- och sjukvården samt om idkande av näring och yrkesutövning. (19.11.2010/981)
Folkpensionsanstalten får inte ge en utomstående i uppdrag att behandla eller förvara patientregister som har samband med tillhandahållandet av de riksomfattande informationssystemtjänsterna eller loggregister som hänför sig till dem.
14 a § (21.12.2010/1227)
Patientens informationshanteringstjänst
Folkpensionsanstalten svarar för patientens informationshanteringstjänst. Tillhandahållare av hälso- och sjukvårdstjänster får i samband med anordnandet och tillhandahållandet av hälso- och sjukvård för patienten använda de uppgifter om patienten som finns i patientens informationshanteringstjänst eller som kan ses via tjänsten.
I informationshanteringstjänsten lagras uppgifter om de samtycken och förbud som patienterna meddelat med stöd av 10–12 § samt om den information som patienterna getts med stöd av 17 §. I informationshanteringstjänsten lagras också förbud som patienten meddelat mot tagande av organ, vävnader eller celler för behandling av en annan människas sjukdom eller kroppsskada eller någon annan viljeyttring från patientens sida som gäller organdonation samt patientens livstestamente. I informationshanteringstjänsten kan också patientens övriga viljeyttringar som hänför sig till hälso- och sjukvården lagras.
Via patientens informationshanteringstjänst kan även sådana uppgifter som är viktiga med tanke på patientens hälso- och sjukvård visas. Bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten kan utfärdas genom förordning av social- och hälsovårdsministeriet. Sådana uppgifter vars utlämnande patienten förbjudit med stöd av 10–12 § får dock inte visas via informationshanteringstjänsten.
Folkpensionsanstalten är registerförare för patientens informationshanteringstjänst. Folkpensionsanstalten svarar för uppgifternas lättillgänglighet och integritet, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna. Den som lagrar uppgifter i patientens informationshanteringstjänst svarar för att uppgifterna är korrekta.
15 §
Skyldighet att ansluta sig som användare av informationssystemtjänsterna
Tillhandahållare av offentliga hälso- och sjukvårdstjänster skall ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 14 §. Tillhandahållare av privata hälso- och sjukvårdstjänster skall ansluta sig som användare av dessa informationssystemtjänster, om långtidsförvaringen av deras journalhandlingar genomförs elektroniskt. Tillhandahållare av offentliga hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Om denna anslutning skall dock föreskrivas särskilt på det sätt som bestäms i 32 § i självstyrelselagen för Åland (1144/1991).
Original av journalhandlingar som uppkommit efter anslutningen ska lagras i den riksomfattande arkiveringstjänsten. Samtyckes- och förbudshandlingar som hänför sig till utlämnandet av dessa journalhandlingar ska på motsvarande sätt lagras i patientens informationshanteringstjänst. Journalhandlingar som uppkommit före anslutningen kan lagras i den riksomfattande arkiveringstjänsten. (21.12.2010/1227)
Bestämmelser om begränsning av skyldigheten att lagra vissa sådana originalhandlingar som avses i 2 mom. i den riksomfattande arkiveringstjänsten kan utfärdas genom förordning av social- och hälsovårdsministeriet. (21.12.2010/1227)
16 §
Ansvar vid skötseln av informationssystemtjänsterna
De riksomfattande informationssystemtjänsterna och patientuppgifterna skall vara tillgängliga dygnet runt så att man alltid har tillgång till patientuppgifterna utan att patientsäkerheten äventyras. Informationssystemtjänsterna skall ha nödvändiga reservsystem med tanke på funktionsstörningar och undantagsförhållanden.
Folkpensionsanstalten är tekniskt ansvarig för arkiveringstjänsten samt dess administratör och svarar i den egenskapen för tjänsten rent generellt och för dess lagenlighet. Vidare ansvarar Folkpensionsanstalten för den tekniska realiseringen av den elektroniska förbindelse för åtkomst till uppgifter som tillhandahålls patienten enligt 19 § samt för de tekniska konfigurationer som de riksomfattande informationssystemtjänsterna kräver. Folkpensionsanstalten utövar även beslutanderätt i frågor som gäller systemets datatekniska funktion. Detta gäller om inget annat följer av denna lag eller bestämmelser som utfärdats med stöd av den. Dessutom ansvarar Folkpensionsanstalten för förmedlingen av information till allmänheten i frågor som gäller de riksomfattande informationssystemtjänsterna. (21.12.2010/1227)
En tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten ansvarar i egenskap av registerförare av patientuppgifter för innehållet i de införda patientuppgifterna och de logguppgifter som anknyter till deras behandling samt för att uppgifterna är korrekta. Vidare ansvarar tillhandahållaren för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas.
Folkpensionsanstalten ansvarar för patientuppgifternas användbarhet, integritet, oförvansklighet, skydd, förvaring och utplåning i fråga om de informationssystemtjänster som den sköter. Folkpensionsanstalten ansvarar vidare för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i utlämningsloggregistret. Folkpensionsanstalten har inte bestämmanderätt över patientuppgifterna i arkiveringstjänsten eller rätt att lämna ut uppgifter, om inte annat bestäms i denna lag. Inte heller i övrigt får patientuppgifter behandlas i större utsträckning än vad som är nödvändigt för administrationen. Arkiveringstjänsten skall skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.
5 mom. har upphävts genom L 19.11.2010/981. (19.11.2010/981)
5 kap
Klientens rätt att få uppgifter
17 § (21.12.2010/1227)
Information till patienten
Folkpensionsanstalten ska ta fram en skriftlig beskrivning med information om de riksomfattande informationssystemtjänsterna, de allmänna verksamhetsprinciper som gäller för dem samt de instanser som ansvarar för dessa informationssystemtjänster, förutsättningarna för utlämnande av patientuppgifter, patientens rätt att påverka behandlingen av patientuppgifterna, skydd av patientuppgifter samt andra omständigheter i anslutning till behandlingen av uppgifter som är av betydelse för patienten.
De tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig som användare av riksomfattande informationssystemtjänster ska i samband med den första servicehändelsen ge patienten denna beskrivning. En anteckning om informerandet av patienten ska införas i patientens informationshanteringstjänst.
Om en patient redan har informerats enligt 1 mom. kan undantag göras från upplysningsplikten i enlighet med 24 § i personuppgiftslagen.
18 §
Klientens rätt att få uppgifter
I fråga om klientens rätt att kontrollera uppgifter i klientregistret och om förverkligandet av denna rätt bestäms i 26–28 § i personuppgiftslagen.
För utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina klientuppgifter har en klient rätt att på grundval av en skriftlig begäran utan dröjsmål av tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster på grundval av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har utlämnat uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Klienten har dock inte rätt att få logguppgifter i de fall som avses i 27 § 1 mom. 1–4 punkten i personuppgiftslagen. Klienten får inte använda eller vidareutlämna logguppgifter som han eller hon erhållit för något annat ändamål.
Om en klient för andra gången begär logguppgifter som gäller samma tidsperiod kan tillhandahållaren av tjänster ta ut en skälig ersättning för lämnandet av dessa logguppgifter som inte får överstiga de direkta kostnaderna för lämnandet av informationen. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 19 § får dock inte någon separat avgift tas ut.
Om en klient anser att hans eller hennes klientuppgifter har använts eller utlämnats utan tillräckliga grunder skall den tillhandahållare av tjänster som använt eller fått uppgifterna på begäran ge klienten en utredning om grunderna för användningen eller utlämnandet av uppgifterna.
19 § (21.12.2010/1227)
Åtkomst till uppgifter
En myndig patient ges med hjälp av en elektronisk förbindelse följande uppgifter som gäller honom eller henne och som är lagrade i den riksomfattande arkiveringstjänsten:
1) uppgifter om samtycken och förbud samt utlämningslogguppgifter, med undantag för utlämnarens och mottagarens personuppgifter samt de utlämningslogguppgifter som patienten enligt 27 § 1 mom. 1–4 punkten i personuppgiftslagen inte har rätt att få,
2) uppgifter om organdonationsförbud, livstestamenten och patientens övriga viljeyttringar som gäller hälso- och sjukvården eller organdonation som införts i patientens informationshanteringstjänst,
3) uppgifter om tid och plats för servicehändelser, uppgifter som är viktiga med tanke på vården, uppgifter om läkemedelsordinationer och vårdföreskrifter, samt
4) remisser, sammandrag av den vård som getts, slutgiltiga utlåtanden om vården samt läkarintyg och läkarutlåtanden.
Med hjälp av en elektronisk förbindelse för åtkomst till uppgifter kan patienten också ges uppgifter om tidsbeställningar samt laboratorieresultat, diagnostiska avbildningsresultat och andra motsvarande undersökningsresultat.
Oberoende av 1 och 2 mom. ska förbindelsen för åtkomst till uppgifter realiseras så att patienten inte har åtkomst till de uppgifter vilkas utlämnande en yrkesutbildad person inom hälso- och sjukvården bedömer kunna medföra allvarlig fara för patientens hälsa eller vård eller för någon annans rättigheter.
Förbindelsen för åtkomst till uppgifter ska realiseras så att patienten via förbindelsen kan meddela sådana samtycken som avses i 11 § och sådana förbud som avses i 12 § samt förmedla organdonationsförbud, livstestamenten och andra viljeyttringar som gäller hälso- och sjukvården. När förbindelsen realiseras ska man dessutom säkerställa att patientens integritetsskydd inte äventyras. Patientens rätt till insyn enligt personuppgiftslagen påverkas inte av att han eller hon får uppgifter med hjälp av en sådan förbindelse. Bestämmelser om hur uppgifter ges via förbindelsen kan utfärdas genom förordning av social- och hälsovårdsministeriet.
6 kap
Särskilda bestämmelser
20 § (22.12.2009/1565)
Styrning, övervakning och uppföljning
Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt beslutsfattandet angående totalfinansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av Befolkningsregistercentralens certifikattjänst hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. (21.12.2010/1227)
Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och realiseringen av de riksomfattande informationssystemtjänster som avses i 14 § och de gemensamma dataarkiv som hänför sig till olika förvaltningsområden. (21.12.2010/1227)
Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.
Tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården och Befolkningsregistercentralen ska för egen del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till dess service förverkligas. Om någon har behandlat klientuppgifter i strid med lagen, ska behörig tillhandahållare av tjänster samt Folkpensionsanstalten på eget initiativ vidta behövliga åtgärder. För uppföljningen och övervakningen har tillhandahållaren rätt att få de egna patientregistrens logguppgifter från Folkpensionsanstalten. (19.11.2010/981)
Den ansvariga föreståndaren för en verksamhetsenhet för socialvård eller hälso- och sjukvård ska meddela skriftliga instruktioner om hur klientuppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av klientuppgifter. Dessutom ska varje tillhandahållare av tjänster och Folkpensionsanstalten ha en dataskyddsansvarig för uppföljnings- och övervakningsuppgifter. (19.11.2010/981)
21 §
Delegationen för elektronisk informationsadministration inom social- och hälsovården
För behandlingen av principfrågor som gäller elektronisk informationsadministration inom social- och hälsovården, för realiseringen av de riksomfattande informationssystemtjänsterna som avses i 14 § samt för förenhetligande och utveckling av serviceanvändarnas informationssystem finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården. Närmare bestämmelser om delegationens uppgifter och sammansättning utfärdas genom förordning av statsrådet.
22 § (19.11.2010/981)
Avgifter
Användningen av de riksomfattande informationssystemtjänster som avses i 14 § och som administreras av Folkpensionsanstalten och Befolkningsregistercentralen är avgiftsbelagd för tillhandahållarna av hälso- och sjukvårdstjänster. De avgifter som Folkpensionsanstalten tar ut bestäms trots 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar beloppet av kostnaderna för skötseln av tjänsterna. De avgifter som tas ut för Befolkningsregistercentralens prestationer bestäms i lagen om grunderna för avgifter till staten och med stöd av den.
Folkpensionsanstalten och Befolkningsregistercentralen ska årligen tillställa social- och hälsovårdsministeriet samt delegationen för elektronisk informationsadministration inom social- och hälsovården en utredning av de faktorer som påverkar kostnaderna samt en bedömning av de totalkostnader som ligger till grund för det följande årets användningsavgifter.
23 §
Straffbestämmelser
Den som uppsåtligen eller av grov oaktsamhet bryter mot identifierings- och verifieringsskyldigheten i 8 §, lämnar ut sökuppgifter i strid med 12 §, 15 § 2 mom. eller 25 § 3 mom., lämnar ut patientuppgifter utan patientens samtycke enligt 13 § eller utan att en bestämmelse i lag tillåter det eller försummar upplysningsplikten enligt 17 § 2 mom. och på så sätt äventyrar klientens integritetsskydd eller hans eller hennes rättigheter i övrigt skall, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av klientuppgifter inom social- och hälsovården dömas till böter.
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 38 kap. 9 § i strafflagen. Straff för brott mot sekretess döms enligt 38 kap. 1 och 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.
7 kap
Ikraftträdande- och övergångsbestämmelser
24 §
Ikraftträdande
Denna lag träder i kraft den 1 juli 2007.
25 §
Övergångsbestämmelser
Med avvikelse från 24 § träder 15 §, som gäller skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster, i kraft den 1 september 2014. För tillhandahållare av privata hälso- och sjukvårdstjänster träder skyldigheten att ansluta sig som användare av tjänsterna dock i kraft den 1 september 2015. Om en tillhandahållare av hälso- och sjukvårdstjänster emellertid har anslutit sig som användare av i denna lag avsedda informationssystemtjänster innan 15 § träder i kraft, gäller bestämmelserna i denna lag de av tillhandahållarens handlingar som är kopplade till informationssystemtjänsterna. I övrigt ska tillhandahållare av hälso- och sjukvårdstjänster iaktta bestämmelserna om elektronisk behandling av patientuppgifter från och med den 1 september 2014. De riksomfattande informationssystemtjänster som avses i 14 § kan tas i bruk stegvis redan innan skyldigheten att ansluta sig inträtt. I så fall tillämpas denna lag på den behandling av patientuppgifter som sker med hjälp av dessa tjänster. Tillhandahållare av socialvårdstjänster ska iaktta bestämmelserna om elektronisk behandling av klientuppgifter inom socialvården från och med den 1 september 2014. (21.12.2010/1227)
Avgifter enligt 22 § börjar tas ut hos tillhandahållare av offentliga hälso- och sjukvårdstjänster från och med den 1 januari 2014 och hos tillhandahållare av privata hälso- och sjukvårdstjänster från och med den 1 januari 2015. Befolkningsregistercentralen kan dock för prestationer som den tillhandahållit i enlighet med 14 § ta ut avgifter som motsvarar kostnaderna för tillhandahållandet av service hos Tillstånds- och tillsynsverket för social- och hälsovården tills tillhandahållarna av hälso- och sjukvårdstjänster börjar betala avgifter enligt 22 § till Befolkningsregistercentralen. (21.12.2010/1227)
Uppgifter som lagrats i de referensdatasystem som förverkligats i enlighet med lagen om försök med obrutna servicekedjor inom social- och hälsovården (811/2000) kan anslutas till den riksomfattande arkiveringstjänsten utan patientens samtycke. Utlämnandet av referensuppgifter som anslutits till arkiveringstjänsten och det utlämnande av patientuppgifter som sker med hjälp av dem sker i enlighet med denna lag med hjälp av sökuppgifter. Dessa sökuppgifter får emellertid inte lämnas ut utan patientens skriftliga samtycke.
Tillstånds- och tillsynsverket för social- och hälsovårdens certifikatsystem fungerar som ett reservsystem för de certifikattjänster som Befolkningsregistercentralen producerar för hälso- och sjukvården samt för elektroniska recept med stöd av 14 § i denna lag och 7 § i lagen om elektroniska recept (61/2007) högst till den 30 juni 2012. Tillstånds- och tillsynsverket för social- och hälsovården svarar för detta reservsystem i egenskap av certifikatutfärdare på det sätt som föreskrivs i lagen om stark autentisering och elektroniska signaturer.
Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.
RP 253/2006, ShUB 47/2006, RSv 232/2006Ikraftträdelsestadganden:
29.6.2007/733:
Denna lag träder i kraft den 1 juli 2007.
RP 23/2007, ShUB 1/2007, RSv 5/2007
7.8.2009/619:
Denna lag träder i kraft den 1 september 2009.
RP 36/2009, KoUB 12/2009, RSv 90/2009
22.12.2009/1565:
Denna lag träder i kraft den 1 januari 2010.
Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.
RP 161/2009, FvUB 18/2009, RSv 205/2009
19.11.2010/981:
Denna lag träder i kraft den 1 december 2010.
Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.
RP 155/2010, ShUB 24/2010, RSv 158/2010
21.12.2010/1227:
Denna lag träder i kraft den 1 januari 2011.
Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.
RP 176/2010, ShUB 30/2010, RSv 195/2010
22.7.2011/928:
Denna lag träder i kraft den 1 oktober 2011.
RP 302/2010, ShUB 56/2010, RSv 342/2010