Beaktats t.o.m. FörfS 446/2016.

9.2.2007/159

Lag om elektronisk behandling av klientuppgifter inom social- och hälsovården

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens syfte

Syftet med denna lag är att främja datasäker elektronisk behandling av klientuppgifter inom social- och hälsovården. Genom lagen genomförs ett enhetligt elektroniskt behandlings- och arkiveringssystem för patientuppgifter för effektiv produktion av hälso- och sjukvårdstjänster så att patientsäkerheten beaktas samt för främjande av patientens möjligheter att få information.

2 §
Tillämpningsområde

I denna lag föreskrivs om elektronisk behandling av klientuppgifter inom social- och hälsovården.

Denna lag tillämpas när tillhandahållare av offentliga och privata socialvårdstjänster och hälso- och sjukvårdstjänster ordnar eller genomför socialvård eller hälso- och sjukvård.

Om inte något annat följer av denna eller någon annan lag tillämpas på behandlingen av klientuppgifter vad som bestäms i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, personuppgiftslagen (523/1999), lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) och arkivlagen (831/1994) eller i bestämmelser som utfärdats med stöd av dem. Vid behandlingen av klientuppgifter och ordnande av tjänster och funktioner enligt denna lag ska dessutom iakttas vad som föreskrivs i språklagen (423/2003) och med stöd av den. Om det informationssystem där hälso- och sjukvårdens klient- och patientuppgifter behandlas är en sådan utrustning för hälso- och sjukvård som avses i lagen om produkter och utrustning för hälso- och sjukvård (629/2010) tilllämpas på informationssystemet även den lagen och kraven i enlighet med den. (28.3.2014/250)

3 §
Definitioner

I denna lag avses med

1) klient en klient enligt klientlagen samt en patient enligt patientlagen,

2) klienthandling en handling enligt klientlagen samt en journalhandling enligt patientlagen,

3) patientuppgift uppgifter om en patient som ingår i en journalhandling enligt patientlagen,

4) klientuppgift en patientuppgift samt uppgifter om en klient som ingår i en handling enligt klientlagen,

5) servicehändelse ordnandet eller genomförandet av en enskild tjänst mellan en tillhandahållare av hälso- och sjukvårdstjänster och en patient,

6) informationssystem en programvara eller ett system för elektronisk behandling av klientuppgifter inom socialvården eller hälso- och sjukvården som används för lagring och uppdatering av klient- eller journalhandlingar och uppgifter i dem samt dataregister eller datalager bestående av insamlade uppgifter som förvaltas med hjälp av automatisk databehandling och som tillverkaren uttryckligen har planerat för behandlingen av klient- eller journalhandlingar inom socialvården eller hälso- och sjukvården och uppgifterna i dem; med informationssystem avses dessutom sådan förmedlingsservice varmed klientuppgifter inom socialvården eller hälso- och sjukvården förmedlas till de riksomfattande informationssystemtjänster enligt 14 § 1 mom. som Folkpensionsanstalten förvaltar, (28.3.2014/250)

7) tillhandahållare av hälso- och sjukvårdstjänster en verksamhetsenhet för hälso- och sjukvård enligt 2 § 4 punkten i patientlagen, en arbetsgivare enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) samt en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare, (28.3.2014/250)

8) tillhandahållare av socialvårdstjänster en myndighet som ordnar sådan socialvård som avses i 3 § 2 punkten i klientlagen, en offentlig producent av socialservice och en serviceproducent enligt lagen om privat socialservice (922/2011), (28.3.2014/250)

9) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem, samt (28.3.2014/250)

10) interoperabilitet informationssystems tekniska och innehållsliga förmåga att fungera tillsammans med övriga informationssystem när systemen utnyttjar samma information. (28.3.2014/250)

2 kap

Allmänna krav på elektronisk behandling av klientuppgifter

4 §
Klientuppgifternas användbarhet och förvaring

Vid elektronisk behandling av klientuppgifter skall uppgifternas tillgänglighet och användbarhet tryggas. Klientuppgifterna skall förvaras så att de behåller sin integritet och oförvanskade form under hela förvaringstiden.

Av en elektronisk klienthandling skall det finnas endast ett original som är specificerat med en identifikation. För att tillhandahålla en tjänst eller av någon annan grundad anledning kan av originalet tas en kopia av vilken det skall framgå att handlingen är en kopia.

Närmare bestämmelser om specificeringen av klienthandlingar samt om förvaringen av kopior av dem kan utfärdas genom förordning av social- och hälsovårdsministeriet.

5 §
Uppföljning av användning och utlämnande

En tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster skall föra ett register över dem som använder tillhandahållarens egna klientdatasystem och klientregister samt över användarnas behörigheter.

En tillhandahållare av tjänster ska för uppföljningen särskilt för varje klientregister samla in logguppgifter om all användning och om varje utlämnande av klientuppgifter i ett loggregister. I användningsloggregistret lagras uppgifter om använda klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter används, vem som har använt klientuppgifterna, användningsändamålet och användningstidpunkten. I utlämningsloggregistret lagras uppgifter om utlämnade klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter utlämnas, vem som lämnat ut klientuppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten. Folkpensionsanstalten ska samla in motsvarande information om utlämnande av uppgifter som lagrats i och visats via patientens informationshanteringstjänst som avses i 14 a §. (28.3.2014/250)

Logguppgifter som gäller utlämnande av journalhandlingsuppgifter och som innehas av tillhandahållare av hälso- och sjukvårdstjänster lagras i den arkiveringstjänst som avses i 14 §.

Behörighetsuppgifter och logguppgifter över dem som använder klientuppgifter skall förstöras när de inte längre behövs för tillsynen av om klientuppgifter används eller utlämnas i enlighet med lag. Närmare bestämmelser om behörighetsuppgifter och logguppgifter samt den tid som dessa uppgifter åtminstone skall bevaras kan utfärdas genom förordning av social- och hälsovårdsministeriet.

6 § (21.12.2010/1227)
Patientdatasystemens och journalhandlingarnas datastrukturer

Hälso- och sjukvårdens patientdatasystem och journalhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, förvaring och skydd av elektroniska journalhandlingar med hjälp av de riksomfattande informationssystemtjänster som avses i 14 §. En tillhandahållare av hälso- och sjukvårdstjänster ska klassificera de journalhandlingar och patientuppgifter som kräver särskilt skydd som sådana patientuppgifter som ska skyddas genom separat begäran om bekräftelse.

Närmare bestämmelser om vilka journalhandlingar som ska klassificeras som sådana som kräver särskilt skydd kan utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd kan meddela närmare föreskrifter om patientdatasystemens och journalhandlingarnas datastrukturer samt om annan än ovan avsedd klassificering av uppgifter.

7 §
Planerings-, forsknings- och statistikuppgifter

Klientdatasystemet skall kunna producera de uppgifter som behövs för den planering, ledning och statistikföring som tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster själv sköter och de uppgifter som behövs för den riksomfattande forsknings- och statistikverksamheten samt uppgifter om bedömning av vårdbehovet och om tidpunkten för intagning för vård.

8 § (19.11.2010/981)
Identifiering

Vid elektronisk behandling av klientuppgifter ska klienten, tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, andra parter i behandlingen av klientuppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. Identifieringen av de personer som behandlar patientuppgifter, tillhandahållarna av tjänster, de datatekniska enheterna samt de riksomfattande informationssystemtjänsterna förutsätter verifiering. Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen kan utfärdas genom förordning av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Befolkningsregistercentralen till den del det gäller uppgifter som Befolkningsregistercentralen enligt 14 § ska sköta.

9 § (7.8.2009/619)
Elektronisk signering av handlingar

Klientuppgifternas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk signatur vid elektronisk behandling, överföring och förvaring av uppgifterna. Vid elektronisk signering som görs av en fysisk person ska användas en avancerad elektronisk signatur enligt lagen om stark autentisering och elektroniska signaturer. Vid signering som görs av en organisation och datatekniska enheter ska användas en elektronisk signatur av motsvarande tillförlitlighet.

3 kap

Utlämnande av patientuppgifter på elektronisk väg med hjälp av riksomfattande informationssystemtjänster

10 §
Utlämnande av patientuppgifter

Patientuppgifter får med hjälp av i 14 § avsedda riksomfattande informationssystemtjänster lämnas ut endast till andra tillhandahållare av hälso- och sjukvårdstjänster för ordnande och tillhandahållande av hälso- och sjukvård för patienten. Utlämnandet ska ske antingen med patientens samtycke eller med stöd av 13 § 3 mom. 3 punkten i patientlagen eller med stöd av någon annan bestämmelse i lag som ger rätt till utlämnande. (21.12.2010/1227)

Elektroniskt utlämnande av patientuppgifter på grundval av en elektronisk begäran om utlämnande till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs med hjälp av riksomfattande informationssystemtjänster efter det att existensen av en vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Annat utlämnande av patientuppgifter på elektronisk väg till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs antingen med hjälp av de riksomfattande informationssystemtjänsterna eller i form av utlämnande mellan tillhandahållarna av hälso- och sjukvårdstjänster.

Med hjälp av de riksomfattande informationssystemtjänsterna kan, trots vad som sägs i 1 mom., utlämnandet av uppgifter till riksomfattande personregister för hälsovården enligt lagen om riksomfattande personregister för hälsovården (556/1989) och de bestämmelser som utfärdats med stöd av den utföras åt de tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten.

Med hjälp av de riksomfattande informationssystemtjänsterna får, trots vad som föreskrivs i 1 mom., dessutom intyg och utlåtanden lämnas ut till den aktör utanför hälso- och sjukvården för vilken handlingen har upprättats. Övriga specificerade handlingar som bifogats till intyg och utlåtanden får lämnas ut tillsammans med intyget. Handlingarna lämnas ut med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna, förutsatt att patienten meddelar sitt informerade, specificerade samtycke. Den som tar emot ett samtycke ska anteckna en uppgift om det i den handling som ska lämnas ut. Institutet för hälsa och välfärd meddelar föreskrifter om vilka handlingar som får lämnas ut med hjälp av informationsförmedlings- och förfrågningsservicen. (20.3.2015/255)

Bestämmelser om utlämnande av patientuppgifter på annan väg än med hjälp av riksomfattande informationssystemtjänster finns i 4 kap. i patientlagen. Bestämmelser om utlämnande av uppgifter ur elektroniska recept finns dessutom i lagen om elektroniska recept (61/2007). (21.12.2010/1227)

11 § (21.12.2010/1227)
Patientens rätt att bestämma om utlämnandet av patientuppgifter

Med stöd av ett i 10 § 1 mom. avsett samtycke av patienten får alla patientuppgifter som hör till de riksomfattande informationssystemtjänsterna lämnas ut. En patient som gett ett sådant samtycke får emellertid förbjuda utlämnandet av vissa uppgifter som han eller hon särskilt specificerar. Förbudet kan gälla en viss servicehändelse eller en viss tillhandahållare av hälso- och sjukvårdstjänster. Ett samtycke och ett förbud gäller tills vidare och får återkallas.

Ett samtycke och ett förbud kan meddelas vilken sådan tillhandahållare av hälso- och sjukvårdstjänster som helst som anslutit sig till de riksomfattande informationssystemtjänsterna. Den som tar emot ett samtycke eller förbud ska utan dröjsmål förmedla det till patientens informationshanteringstjänst som avses i 14 a §. Patientens informationshanteringstjänst ska realiseras så att ett samtycke och ett förbud kan meddelas när som helst. Ett samtycke och ett förbud får också meddelas med hjälp av en sådan elektronisk förbindelse för åtkomst till uppgifter som avses i 19 §.

Det som i 2 mom. bestäms om meddelande av ett samtycke eller förbud gäller också återkallande av ett samtycke eller förbud.

12 § (21.12.2010/1227)
Samtyckes- och förbudshandling

En handling som undertecknas av patienten ska upprättas över ett samtycke eller förbud som gäller utlämnande av patientuppgifter. Samtyckeshandlingen ska innefatta sådan information som avses i 17 § om de riksomfattande informationssystemtjänsterna och om hur tjänsterna påverkar behandlingen av uppgifter som gäller patienten. Av förbudshandlingen ska det framgå att de uppgifter som omfattas av ett gällande förbud inte får användas vid tillhandahållandet av hälso- och sjukvård även om uppgifterna skulle vara av betydelse för vården. Folkpensionsanstalten ska utarbeta modeller för samtyckes- och förbudshandlingarna. Den som tar emot ett samtycke eller förbud ska ge patienten en kopia av handlingen. Då patienten meddelar ett samtycke eller förbud med hjälp av en elektronisk förbindelse för åtkomst till uppgifter ska patienten ges motsvarande information via denna förbindelse.

Den som tar emot ett samtycke eller förbud ska förvara den undertecknade handlingen för registerförarens räkning. På dessa handlingars förvaringstid tillämpas det som i patientlagen och med stöd av den bestäms om förvaring av journalhandlingar.

Det som ovan bestäms om samtyckes- och förbudshandlingar gäller också handlingar som upprättas för återkallelse av ett samtycke eller förbud.

13 § (21.12.2010/1227)
Patientens lagliga företrädare

När en patient saknar förutsättningar att bedöma betydelsen av det samtycke som avses i 10 § 1 mom. får uppgifter som är nödvändiga för hälso- och sjukvården lämnas ut med samtycke av patientens lagliga företrädare. Patientens lagliga företrädare har rätt att trots tystnadsplikten få de uppgifter om patienten som är nödvändiga för att meddela och effektuera ett samtycke. Vid meddelandet av ett samtycke iakttas i övrigt det som i 11 § i patientlagen bestäms om patientens samtycke.

4 kap

Riksomfattande informationssystemtjänster inom hälso- och sjukvården

14 §
Riksomfattande informationssystemtjänster

För tillhandahållarna av hälso- och sjukvårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen och användningen av journalhandlingar samt som en del av tjänsten, för utlämnandet av journalhandlingar, en katalogtjänst och patientens informationshanteringstjänst. I arkiveringstjänsten får det utöver journalhandlingarna lagras även andra handlingar som anknyter till ordnandet av hälso- och sjukvården och till informationshanteringen. För tillhandahållarna av socialvårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen av klienthandlingar inom socialvården. Folkpensionsanstalten sköter dessutom inom ramen för de riksomfattande informationssystemtjänsterna förvaringen av utlämningsloggregistren som en del av arkiveringstjänsten, det medborgargränssnitt som avses i 19 § och den tjänst genom vilken de riksomfattande informationssystemtjänsterna kan användas via internet och med mobila apparater med hjälp av telekommunikationsnät. Folkpensionsanstalten kan även ha hand om andra riksomfattande tjänster som anknyter till social- och hälsovårdens informationshantering enligt vad som särskilt föreskrivs om dem någon annanstans, samt sköta förvaringen av användningsloggregistren. Folkpensionsanstalten får vid behov meddela anvisningar om de tekniska konfigurationer och de definitioner för meddelandetrafiken som genomförandet av de ovannämnda riksomfattande informationssystemtjänsterna kräver. (20.3.2015/255)

Institutet för hälsa och välfärd ska definiera de datainnehåll och begreppsmodeller som genomförandet av de riksomfattande informationssystemtjänsterna kräver samt de datastrukturer som stöder verksamhetsprocesserna. Dessutom svarar institutet för kodtjänstens innehåll. Folkpensionsanstalten sköter det datatekniska genomförandet av kodtjänsten. Kodtjänsten omfattar alla de kodsystem som behövs vid behandlingen av klienthandlingar med hjälp av de riksomfattande informationssystemtjänsterna. (20.3.2015/255)

Befolkningsregistercentralen är certifikatutfärdare enligt lagen om stark autentisering och elektroniska signaturer för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tillhandahållare av social- och hälsovårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Befolkningsregistercentralen har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. Tillstånds- och tillsynsverket för social- och hälsovården har på motsvarande sätt rätt att för skötseln av sina lagstadgade uppgifter av Befolkningsregistercentralen få information om de certifikat som centralen utfärdat på ovannämnda grunder. Informationen kan överlämnas med hjälp av en teknisk anslutning. (20.3.2015/255)

Tillstånds- och tillsynsverket för social- och hälsovården upprätthåller roll- och attributdatatjänsten och kodsystem med hjälp av vilka tillhandahållare av hälso- och sjukvårdstjänster, apotek, Folkpensionsanstalten och Befolkningsregistercentralen för användning och certifiering av de riksomfattande informationssystemtjänsterna ges information om rätten att vara verksam som yrkesutbildad person inom hälso- och sjukvården och om rätten att använda yrkesbeteckning samt om giltighetstiden för dessa rättigheter. Tillstånds- och tillsynsverket för social- och hälsovården har dessutom till uppgift att för Befolkningsregistercentralens certifikattjänster tillhandahålla sakkunskap om verksamheten inom hälso- och sjukvården samt om idkande av näring och yrkesutövning. (19.11.2010/981)

Folkpensionsanstalten får inte ge en utomstående i uppdrag att behandla eller förvara socialvårdens personregister eller patientregister som har samband med tillhandahållandet av de riksomfattande informationssystemtjänsterna eller loggregister som hänför sig till dem. (20.3.2015/255)

14 a § (21.12.2010/1227)
Patientens informationshanteringstjänst

Folkpensionsanstalten svarar för patientens informationshanteringstjänst. Tillhandahållare av hälso- och sjukvårdstjänster får i samband med anordnandet och tillhandahållandet av hälso- och sjukvård för patienten använda de uppgifter om patienten som finns i patientens informationshanteringstjänst eller som kan ses via tjänsten.

I informationshanteringstjänsten lagras uppgifter om de samtycken och förbud som patienterna meddelat med stöd av 10–12 § samt om den information som patienterna getts med stöd av 17 §. I informationshanteringstjänsten lagras också förbud som patienten meddelat mot tagande av organ, vävnader eller celler för behandling av en annan människas sjukdom eller kroppsskada eller någon annan viljeyttring från patientens sida som gäller organdonation samt patientens livstestamente. I informationshanteringstjänsten kan också patientens övriga viljeyttringar som hänför sig till hälso- och sjukvården lagras.

Via patientens informationshanteringstjänst kan även sådana uppgifter som är viktiga med tanke på patientens hälso- och sjukvård eller anknytande tjänster visas. Bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. Sådana uppgifter vars utlämnande patienten förbjudit med stöd av 10–12 § får dock inte visas via informationshanteringstjänsten. (28.3.2014/250)

Folkpensionsanstalten är registerförare för patientens informationshanteringstjänst. Folkpensionsanstalten ansvarar för tillgängligheten och integriteten i fråga om uppgifterna i informationshanteringstjänsten, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna. Den som lagrar uppgifter i patientens informationshanteringstjänst ansvarar för att uppgifterna är korrekta och för att felaktiga uppgifter som finns i tjänsten rättas. Vid rättelse av felaktiga uppgifter i informationshanteringstjänsten ska 29 § i personuppgiftslagen tillämpas. Om en felaktig uppgift är baserad på en anteckning som gjorts av en tillhandahållare av hälso- och sjukvårdstjänster ska yrkande om rättelse riktas till den tillhandahållare som gjort den felaktiga anteckningen. (28.3.2014/250)

15 §
Skyldighet att ansluta sig som användare av informationssystemtjänsterna

Tillhandahållare av offentliga hälso- och sjukvårdstjänster skall ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 14 §. Tillhandahållare av privata hälso- och sjukvårdstjänster skall ansluta sig som användare av dessa informationssystemtjänster, om långtidsförvaringen av deras journalhandlingar genomförs elektroniskt. Tillhandahållare av offentliga hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Om denna anslutning skall dock föreskrivas särskilt på det sätt som bestäms i 32 § i självstyrelselagen för Åland (1144/1991).

Original av journalhandlingar som uppkommit efter anslutningen ska lagras i den riksomfattande arkiveringstjänsten. Samtyckes- och förbudshandlingar som hänför sig till utlämnandet av dessa journalhandlingar ska på motsvarande sätt lagras i patientens informationshanteringstjänst. Journalhandlingar som uppkommit före anslutningen kan lagras i den riksomfattande arkiveringstjänsten. (21.12.2010/1227)

Bestämmelser om begränsning av skyldigheten att lagra vissa sådana originalhandlingar som avses i 2 mom. i den riksomfattande arkiveringstjänsten kan utfärdas genom förordning av social- och hälsovårdsministeriet. (21.12.2010/1227)

16 §
Ansvar vid skötseln av informationssystemtjänsterna

De riksomfattande informationssystemtjänsterna och patientuppgifterna skall vara tillgängliga dygnet runt så att man alltid har tillgång till patientuppgifterna utan att patientsäkerheten äventyras. Informationssystemtjänsterna skall ha nödvändiga reservsystem med tanke på funktionsstörningar och undantagsförhållanden.

Folkpensionsanstalten är tekniskt ansvarig för arkiveringstjänsten samt dess administratör och svarar i den egenskapen för tjänsten rent generellt och för dess lagenlighet. Vidare ansvarar Folkpensionsanstalten för den tekniska realiseringen av den elektroniska förbindelse för åtkomst till uppgifter som tillhandahålls patienten enligt 19 § samt för de tekniska konfigurationer som de riksomfattande informationssystemtjänsterna kräver. Folkpensionsanstalten utövar även beslutanderätt i frågor som gäller systemets datatekniska funktion. Detta gäller om inget annat följer av denna lag eller bestämmelser som utfärdats med stöd av den. Dessutom ansvarar Folkpensionsanstalten för förmedlingen av information till allmänheten i frågor som gäller de riksomfattande informationssystemtjänsterna. (21.12.2010/1227)

En tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten ansvarar i egenskap av registerförare av patientuppgifter för innehållet i de införda patientuppgifterna och de logguppgifter som anknyter till deras behandling samt för att uppgifterna är korrekta. Vidare ansvarar tillhandahållaren för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas.

Folkpensionsanstalten ansvarar för patientuppgifternas användbarhet, integritet, oförvansklighet, skydd, förvaring och utplåning i fråga om de informationssystemtjänster som den sköter. Folkpensionsanstalten ansvarar vidare för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i utlämningsloggregistret. Folkpensionsanstalten har inte bestämmanderätt över patientuppgifterna i arkiveringstjänsten eller rätt att lämna ut uppgifter, om inte annat bestäms i denna lag. Inte heller i övrigt får patientuppgifter behandlas i större utsträckning än vad som är nödvändigt för administrationen. Arkiveringstjänsten skall skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.

Folkpensionsanstalten kan upprätta och lämna ut sammanställningar över sådan beskrivande information om uppgifterna i arkiveringstjänsten som kan ha betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Dessutom kan Folkpensionsanstalten på de grunder som anges i 13 § 2–5 mom. i patientlagen lämna ut sådana uppgifter enligt 14 a § 2 mom. i denna lag om en patients viljeyttringar som finns i patientens informationshanteringstjänst. (28.3.2014/250)

5 kap

Klientens rätt att få uppgifter

17 § (28.3.2014/250)
Information till patienten

Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till de riksomfattande informationssystemtjänsterna ska informera patienten om de riksomfattande informationssystemtjänsterna, om deras allmänna verksamhetsprinciper och om patientens rättigheter i fråga om dem. Informationen ska lämnas före den första servicehändelsen eller i samband med den. Dessutom ska patienten informeras om vem som ordnar informationssystemtjänsterna, förutsättningarna för utlämnande av patientuppgifter, skyddet av informationen och om andra omständigheter i samband med behandlingen av uppgifter som är av betydelse för patienten.

Tillhandahållaren av hälso- och sjukvårdstjänster ska informera patienten personligen, skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på annat sätt än skriftligen ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i patientens informationshanteringstjänst som avses i 14 a §. Om patienten redan har fått informationen, får undantag göras från upplysningsplikten i enlighet med 24 § i personuppgiftslagen.

Vid behov får närmare bestämmelser om förfarandet i fråga om sätten att informera och om informationens innehåll utfärdas genom förordning av social- och hälsovårdsministeriet.

18 § (28.3.2014/250)
Klientens rätt att få uppgifter

Bestämmelser om klientens rätt att kontrollera uppgifter i klientregistret och om tillgodoseendet av denna rätt finns i 26–28 § i personuppgiftslagen.

För utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina klientuppgifter har en klient rätt att på grundval av en skriftlig begäran utan dröjsmål av tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster på grundval av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har utlämnat uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Klienten har motsvarande rätt att av Folkpensionsanstalten få information om utlämnande av uppgifter som lagrats i och som visas via patientens informationshanteringstjänst som avses i 14 a §. Klienten har dock inte rätt att få logguppgifter, om den som lämnar ut logguppgifter vet att utlämnandet av logguppgifterna kan medföra allvarlig fara för klientens hälsa eller vård eller för någon annans rättigheter. Klienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Klienten får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit.

Om en klient för andra gången begär logguppgifter som gäller samma tidsperiod kan tillhandahållaren av tjänster eller Folkpensionsanstalten ta ut en skälig ersättning för lämnandet av dessa logguppgifter, som inte får överstiga de direkta kostnaderna för lämnandet av informationen. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 19 § får dock ingen separat avgift tas ut.

Om en klient anser att hans eller hennes klientuppgifter har använts eller lämnats ut utan tillräckliga grunder ska den tillhandahållare av tjänster som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge klienten en utredning om grunderna för användningen eller utlämnandet av uppgifterna.

19 § (28.3.2014/250)
Medborgargränssnitt

Patienten ges med hjälp av ett medborgargränssnitt följande uppgifter som gäller honom eller henne och som är lagrade i den riksomfattande arkiveringstjänsten:

1) uppgifter om samtycken och förbud samt utlämningslogguppgifter, med undantag för utlämnarens och mottagarens personuppgifter samt de utlämningslogguppgifter som patienten enligt 27 § 1 mom. 1–4 punkten i personuppgiftslagen inte har rätt att få,

2) uppgifter om organdonationsförbud, livstestamenten och patientens övriga viljeyttringar som gäller hälso- och sjukvården eller organdonation som införts i patientens informationshanteringstjänst,

3) uppgifter om tid och plats för servicehändelser, uppgifter som är viktiga med tanke på vården, uppgifter om läkemedelsordinationer och vårdföreskrifter, och

4) remisser, sammandrag av den vård som getts, slutgiltiga utlåtanden om vården samt läkarintyg och läkarutlåtanden.

Med hjälp av medborgargränssnittet kan patienten också ges uppgifter om tidsbeställningar samt laboratorieresultat, diagnostiska avbildningsresultat och andra motsvarande undersökningsresultat. Till medborgargränssnittet får, utöver de funktioner som nämns i 1 mom., dessutom anslutas andra funktioner som möjliggör informationsåtkomst för patienten och gör det möjligt att genomföra och följa upp uppgifter som i övrigt anknyter till vården och hälso- och sjukvården.

Oberoende av 1 och 2 mom. ska gränssnittet realiseras så att patienten inte har åtkomst till de uppgifter vilkas utlämnande en yrkesutbildad person inom hälso- och sjukvården bedömer kunna medföra allvarlig fara för patientens hälsa eller vård eller någon annans rättigheter.

Medborgargränssnittet ska realiseras så att patienten genom gränssnittet kan meddela sådana samtycken som avses i 11 § och sådana förbud som avses i 12 § samt förmedla organdonationsförbud, livstestamenten och andra viljeyttringar som gäller hälso- och sjukvården. När gränssnittet realiseras ska det dessutom säkerställas att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får utlämnas genom gränssnittet till patienten och till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Vid utlämning av uppgifterna ska det som i 9 § 2 mom. i lagen om patientens ställning och rättigheter föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Åtkomsten till uppgifter genom medborgargränssnittet påverkar inte patientens rätt till insyn enligt personuppgiftslagen.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om innehållet i de uppgifter som gäller åtkomst till information, genomförande och uppföljning av vård och om anslutningen av uppgifterna till medborgargränssnittet samt om hur uppgifterna visas över medborgargränssnittet och hur rätten till åtkomst till uppgifter genomförs i fråga om vårdnadshavaren till eller en laglig företrädare för en minderårig patient.

5 a kap (28.3.2014/250)

Väsentliga krav på informationssystemen och hur kraven verifieras

19 a § (28.3.2014/250)
Väsentliga krav

Informationssystem som används för behandling av klient- och patientuppgifter inom socialvården samt hälso- och sjukvården ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.

Ett informationssystem uppfyller de väsentliga kraven då det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av lagarna samt följer nationella föreskrifter om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om informationssystemet är lämpligt för sitt ändamål och det med systemet går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser vid behandlingen av klient- och patientuppgifter, om behandlingen överensstämmer med sitt syfte och om informationssystemets kapacitet är den som tillverkaren meddelat. Kraven ska uppfyllas såväl vid användningen av informationssystemet självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om innehållet i de väsentliga kraven. Innan föreskrifterna meddelas ska Institutet för hälsa och välfärd höra delegationen för elektronisk informationsadministration inom social- och hälsovården. Dessutom får Folkpensionsanstalten utfärda föreskrifter om de förfaranden som ska iakttas vid verifieringen av interoperabiliteten i fråga om sådana informationssystem som ska kopplas till hälso- och sjukvårdens riksomfattande informationssystemtjänster, nedan hälsoarkivstjänster, som avses i denna lag eller i lagen om elektroniska recept.

19 b § (28.3.2014/250)
Klassificering

Social- och hälsovårdens informationssystem indelas enligt användningsändamål och egenskaper i klasserna A och B. Till klass A hör de hälsoarkivstjänster som förvaltas av Folkpensionsanstalten samt de informationssystem som är avsedda att anslutas till hälsoarkivstjänsterna antingen direkt eller via en teknisk förmedlingstjänst. Till klass A hör också den förmedlingsservice som avses i 3 § 6 punkten. Övriga informationssystem hör till klass B.

Om det är oklart vilken klass ett informationssystem hör till ska Institutet för hälsa och välfärd besluta om vilken klass informationssystemet hör till.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om klassificeringen av informationssystem.

19 c § (28.3.2014/250)
Allmänna skyldigheter för tillverkare av informationssystem

Tillverkaren ansvarar för planeringen, tillverkningen och klassificeringen av informationssystem för social- och hälsovården, oberoende av om åtgärderna utförs av tillverkaren själv eller av någon annan för dennes räkning.

I samband med informationssystemet ska tillverkaren ge systemanvändarna sådana uppgifter och anvisningar om informationssystemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. De uppgifter och anvisningar som följer med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska dock finnas på finska och svenska.

Dessutom ska tillverkaren ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet.

19 d § (28.3.2014/250)
Verifiering av överensstämmelse med kraven

Överensstämmelse med kraven för informationssystem som hör till klass A ska verifieras med en utredning av tillverkaren om att systemet uppfyller alla krav på funktionalitet utifrån godkänd samtestning och överensstämmelseintyg av ett bedömningsorgan för informationssäkerhet.

Överensstämmelse med kraven för informationssystem som hör till klass B ska verifieras genom tillverkarens skriftliga utredning om att systemet uppfyller de väsentliga kraven enligt 19 a § om det har installerats och underhållits på behörigt sätt och används för avsett ändamål

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska iakttas vid verifieringen av överensstämmelse med kraven och om innehållet i utredningen.

19 e § (28.3.2014/250)
Samtestning

Ett informationssystem som hör till klass A ska vara interoperabelt med de riksomfattande informationssystemtjänsterna och de övriga informationssystemen som är anslutna till dem. Interoperabiliteten ska visas vid en samtestning som utförs av Folkpensionsanstalten. En förutsättning för samtestning är att tillverkaren av informationssystemet lämnar Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av samtestningen ska avtalas med Folkpensionsanstalten.

Ett informationssystem av klass A som har tagits i användning för produktion ska delta i de samtestningar för andra informationssystem som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna för att säkerställa att informationssystemen är interoperabla. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i samtestningen. Tillverkarna av de informationssystem som deltar i samtestningen svarar själva för de kostnader som samtestningen föranleder.

Med avvikelse från 1 mom. utförs ingen separat samtestning av de centrala informationssystem som Folkpensionsanstalten förvaltar.

19 f § (28.3.2014/250)
Ibruktagande av informationssystem

Informationssystem som hör till klass A får tas i användning för produktion och anslutas till hälsoarkivstjänsterna när ett bedömningsorgan för informationssäkerhet har utfärdat ett överensstämmelseintyg för systemet. Informationssystem som hör till klass B får tas i användning för produktion efter det att tillverkaren av systemet har lämnat den skriftliga utredning som avses i 19 d §.

Tillverkaren ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som ska tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och användningsändamål framgå. Dessutom ska tillverkaren göra en anmälan om informationssystem som inte längre används för produktion. Tillstånds- och tillsynsverket ska föra ett offentligt register över de informationssystem för social- och hälsovården som har anmälts till verket.

Tillstånds- och tillsynsverket för social- och hälsovården får meddela närmare föreskrifter om innehållet i anmälan och vilka uppgifter som ska antecknas i registret.

19 g § (28.3.2014/250)
Uppföljning efter ibruktagandet

Tillverkaren ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Anmälan om betydande avvikelser från de väsentliga kraven för informationssystemet ska göras till alla tillhandahållare av tjänster som använder systemet. Dessutom ska bedömningsorganet för informationssäkerhet och Tillstånds- och tillsynsverket för social- och hälsovården underrättas om betydande avvikelser i fråga om informationssystem som hör till klass A.

Tillverkaren av informationssystemet ska dessutom ge akt på förändringar i de väsentliga kraven som ställs på informationssystem och justera systemen i enlighet med förändringarna. Bedömningsorganet för informationssäkerhet ska underrättas om ändringar i informationssystem som hör till klass A. Överensstämmelseintyget ska förnyas om betydande ändringar har gjorts i informationssystemet eller om de väsentliga kraven har förändrats.

Tillverkaren ska bevara uppgifter om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet inte längre används för produktion.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och hur anmälningar om sådana ska göras.

5 b kap (28.3.2014/250)

Tillhandahållare av tjänster samt egenkontroll

19 h § (28.3.2014/250)
Plan för egenkontroll

Tillhandahållare av socialvårdstjänster och tillhandahållare av hälso- och sjukvårdstjänster ska utarbeta en plan för egenkontroll med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. Av planen ska det framgå hur följande frågor som anknyter till användningen av systemen säkerställs:

1) de som använder informationssystemen har den utbildning och erfarenhet som användningen kräver,

2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av informationssystemen,

3) informationssystemen används enligt tillverkarens anvisningar,

4) informationssystemen underhålls och uppdateras enligt tillverkarens anvisningar,

5) miljön är lämplig för ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet,

6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd, samt

7) informationssystemen installeras, underhålls och uppdateras endast av personer med den yrkesskicklighet och kompetens som krävs.

Om en tillhandahållare av tjänster har anslutit sig som användare av hälsoarkivstjänsterna ska det av planen för egenkontroll också framgå hur man har tillgodosett kraven på en informationssäker användning av dessa riksomfattande tjänster. Dessutom ska den som producerar förmedlingsservice enligt 3 § 6 punkten upprätta en plan för egenkontroll för förmedlingsservicen och Folkpensionsanstalten ska upprätta en plan för de hälsoarkivstjänster som den sköter.

Tillhandahållare av tjänster, producenter av förmedlingsservice och Folkpensionsanstalten ska följa upp att planen för egenkontroll genomförs.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om de i 1 och 2 mom. avsedda utredningar och krav som ska tas in i planen för egenkontroll.

19 i § (28.3.2014/250)
Meddelande om avvikelser

Om en tillhandahållare av socialvårdstjänster och en tillhandahållare av hälso- och sjukvårdstjänster konstaterar betydande avvikelser när det gäller tillgodoseendet av de väsentliga kraven på ett informationssystem, ska denne underrätta informationssystemets tillverkare om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska också Tillstånds- och tillsynsverket för social- och hälsovården underrättas.

5 c kap (28.3.2014/250)

Bedömning av informationssystemens överensstämmelse

19 j § (28.3.2014/250)
Godkännande av bedömningsorgan för informationssäkerhet

På godkännandet av och verksamheten vid ett bedömningsorgan för informationssäkerhet tilllämpas i övrigt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.

19 k § (28.3.2014/250)
Bedömning av informationssystemen

Överensstämmelsen av de informationssystem inom social- och hälsovården som hör till klass A ska bedömas i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I bedömningen av informationssäkerheten enligt denna lag ingår emellertid varken bedömning eller inspektion av vare sig tillverkarens eller användarens verksamhetsställen. Bedömningen av överensstämmelse görs på ansökan av informationssystemets tillverkare.

Om ett informationssystem som hör till klass A uppfyller förutsättningarna för överensstämmelse med kraven och Folkpensionsanstalten på basis av samtestning har gett ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet, ska bedömningsorganet för informationssäkerhet utifrån sin bedömning av överensstämmelsen med kraven ge tillverkaren ett överensstämmelseintyg och en tillhörande kontrollrapport. Överensstämmelseintyget är giltigt i högst fem år. Den tid som intyget är i kraft kan förlängas med högst fem år i sänder. Bedömningsorganet för informationssäkerhet får avkräva tillverkaren alla uppgifter som behövs för bedömningen i syfte att upprätta överensstämmelseintyget och hålla det i kraft. På utfärdande av intyget tillämpas i övrigt vad som föreskrivs i 9 § i lagen om bedömningsorgan för informationssäkerhet.

Bedömningsorganet för informationssäkerhet ska vid behov, med iakttagande av hemfriden, göra inspektioner och bedömningar för att säkerställa att tillverkaren i sitt utvecklingsarbete tilllämpar förfaranden som säkerställer informationssystemets överensstämmelse med kraven, och ge tillverkaren en utvärderingsrapport. Bedömningsorganet för informationssäkerhet ska beakta resultaten av de bedömnings- och granskningsåtgärder som gjorts under produktionstiden för informationssystemet.

19 l § (28.3.2014/250)
Återkallelse av överensstämmelseintyg

Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i eller med stöd av denna lag eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tillverkaren av informationssystemet att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tillverkaren avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att ändra informationssystemet.

19 m § (28.3.2014/250)
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården samt Folkpensionsanstalten om alla överensstämmelseintyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats. Dessutom ska bedömningsorganet för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet.

6 kap

Särskilda bestämmelser

20 § (22.12.2009/1565)
Styrning, övervakning och uppföljning

Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt beslutsfattandet angående totalfinansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av Befolkningsregistercentralens certifikattjänst hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. (21.12.2010/1227)

Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och realiseringen av de riksomfattande informationssystemtjänster som avses i 14 § och de gemensamma dataarkiv som hänför sig till olika förvaltningsområden. (21.12.2010/1227)

Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.

Tillhandahållare av socialvårdstjänster och av hälso- och sjukvårdstjänster, Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården och Befolkningsregistercentralen ska följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras service förverkligas. Om någon har behandlat klientuppgifter i strid med lagen, ska den behöriga tillhandahållaren av tjänster samt Folkpensionsanstalten på eget initiativ vidta behövliga åtgärder. För uppföljningen och övervakningen har tillhandahållaren av tjänster rätt att få logguppgifter för sina egna patientregister från Folkpensionsanstalten samt logguppgifter i anslutning till behandlingen av uppgifter i patientens informationshanteringstjänst som avses i 14 a §, till den del som anställda hos tillhandahållaren har haft åtkomst till och behandlat uppgifter i patientens informationshanteringstjänst. (28.3.2014/250)

Den ansvariga föreståndaren för en verksamhetsenhet för socialvård eller hälso- och sjukvård ska meddela skriftliga instruktioner om hur klientuppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av klientuppgifter. Den ansvariga föreståndaren ska också se till att den plan för egenkontroll som avses i 19 h § utarbetas och iakttas. Dessutom ska varje tillhandahållare av tjänster och Folkpensionsanstalten ha en dataskyddsansvarig för uppföljnings- och övervakningsuppgifter. (28.3.2014/250)

20 a § (28.3.2014/250)
Tillsyn och inspektioner av informationssystem

Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Under en inspektion ska dessutom iakttas vad som i 39 § 1 mom. i förvaltningslagen (434/2003) föreskrivs om genomförande av inspektion.

Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter att inspektionen utförts.

20 b § (28.3.2014/250)
Rätt att anlita utomstående sakkunniga

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående sakkunniga för bedömning av informationssystems överensstämmelse med kraven. Utomstående sakkunniga får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna kräver.

Utomstående sakkunniga får inte utan tillstånd röja vad de på grund av sin ställning, sitt uppdrag eller sitt arbete har fått veta om en persons hälsotillstånd, sjukdom eller handikapp eller om social- eller hälsovårdsåtgärder som avser personen eller andra motsvarande omständigheter. Tystnadsplikten kvarstår efter det att uppdraget har upphört. På utomstående sakkunniga som utför uppgifter enligt denna lag tilllämpas förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar.

20 c § (28.3.2014/250)
Handräckning av polisen

Bestämmelser om handräckning av polisen finns i polislagen (872/2011).

20 d § (28.3.2014/250)
Föreläggande att fullgöra skyldigheter

Om någon tillverkare av informationssystem för social- eller hälsovården, tillhandahållare av socialvårdstjänster eller av hälso- och sjukvårdstjänster, producent av förmedlingsservice eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården utfärda ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.

20 e § (28.3.2014/250)
Skyldigheter avseende informationssystem som är i bruk

När Tillstånds- och tillsynsverket för social- och hälsovården meddelar beslut om informationssystem med stöd av 20 d § får verket samtidigt ålägga tillverkaren att avhjälpa brister i informationssystem som används för produktion.

Om ett informationssystem kan äventyra dataskyddet eller klient- eller patientsäkerheten och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har satt ut, får verket förbjuda användningen av informationssystemet till dess att den egenskap som äventyrar säkerheten har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till hälso- och sjukvårdens riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användarorganisation äventyrar den behöriga funktionen för de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tillverkaren eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av informationssystemet för produktion.

20 f § (28.3.2014/250)
Vite

Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat eller ett beslut som verket har fattat med stöd av detta kapitel kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).

20 g § (28.3.2014/250)
Rätt att få uppgifter

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över social- och hälsovårdens informationssystem få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller de bestämmelser och beslut om social- och hälsovårdens informationssystem som utfärdats med stöd av lagen.

20 h § (28.3.2014/250)
Ändringssökande

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får överklagas hos förvaltningsdomstolen enligt vad som föreskrivs i förvaltningsprocesslagen (586/1996). Ett beslut av förvaltningsdomstolen får överklagas genom besvär hos högsta förvaltningsdomstolen, om högsta förvaltningsdomstolen beviljar besvärstillstånd.

Ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården meddelat i samband med en inspektion får inte överklagas genom besvär. Omprövning av beslutet får begäras hos Tillstånds- och tillsynsverket för social- och hälsovården inom 30 dagar från det att inspektionen avslutats. Till beslutet ska fogas anvisningar om begäran om omprövning hos verket. Åtgärderna i beslutet ska vidtas trots begäran om omprövning. Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med anledning av begäran om omprövning får överklagas genom besvär enligt 1 mom.

Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas även om de överklagats, om inte besvärsmyndigheten bestämmer något annat.

21 §
Delegationen för elektronisk informationsadministration inom social- och hälsovården

För behandlingen av principfrågor som gäller elektronisk informationsadministration inom social- och hälsovården, för realiseringen av de riksomfattande informationssystemtjänsterna som avses i 14 § samt för förenhetligande och utveckling av serviceanvändarnas informationssystem finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården. Närmare bestämmelser om delegationens uppgifter och sammansättning utfärdas genom förordning av statsrådet.

22 § (28.3.2014/250)
Avgifter

Användningen av de riksomfattande informationssystemtjänster som avses i 14 § och som administreras av Folkpensionsanstalten och Befolkningsregistercentralen är avgiftsbelagd för tillhandahållare av tjänster. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms trots 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar beloppet av kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för Befolkningsregistercentralens prestationer bestäms i lagen om grunderna för avgifter till staten och med stöd av den.

Folkpensionsanstalten och Befolkningsregistercentralen ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en bedömning av de totalkostnader som ligger till grund för användningsavgifterna för det följande året.

Tillverkare av informationssystem ansvarar för kostnaderna för verifieringen av överensstämmelse med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för sådan samtestning som avses i 19 e § till sådant självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 19 f § i denna lag avsedd anmälan i offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i och med stöd av lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som gäller godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

23 §
Straffbestämmelser

Den som uppsåtligen eller av grov oaktsamhet bryter mot identifierings- och verifieringsskyldigheten i 8 §, lämnar ut sökuppgifter i strid med 12 §, 15 § 2 mom. eller 25 § 3 mom., lämnar ut patientuppgifter utan patientens samtycke enligt 13 § eller utan att en bestämmelse i lag tillåter det eller försummar upplysningsplikten enligt 17 § 2 mom. och på så sätt äventyrar klientens integritetsskydd eller hans eller hennes rättigheter i övrigt skall, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av klientuppgifter inom social- och hälsovården dömas till böter.

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 38 kap. 9 § i strafflagen. Straff för brott mot sekretess döms enligt 38 kap. 1 och 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

7 kap

Ikraftträdande- och övergångsbestämmelser

24 §
Ikraftträdande

Denna lag träder i kraft den 1 juli 2007.

25 §
Övergångsbestämmelser

Med avvikelse från 24 § träder 15 §, som gäller skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster, i kraft den 1 september 2014. För tillhandahållare av privata hälso- och sjukvårdstjänster träder skyldigheten att ansluta sig som användare av tjänsterna dock i kraft den 1 september 2015. Om en tillhandahållare av hälso- och sjukvårdstjänster emellertid har anslutit sig som användare av i denna lag avsedda informationssystemtjänster innan 15 § träder i kraft, gäller bestämmelserna i denna lag de av tillhandahållarens handlingar som är kopplade till informationssystemtjänsterna. I övrigt ska tillhandahållare av hälso- och sjukvårdstjänster iaktta bestämmelserna om elektronisk behandling av patientuppgifter från och med den 1 september 2014. De riksomfattande informationssystemtjänster som avses i 14 § kan tas i bruk stegvis redan innan skyldigheten att ansluta sig inträtt. I så fall tillämpas denna lag på den behandling av patientuppgifter som sker med hjälp av dessa tjänster. Tillhandahållare av socialvårdstjänster ska iaktta bestämmelserna om elektronisk behandling av klientuppgifter inom socialvården från och med den 1 september 2014. (21.12.2010/1227)

Avgifter enligt 22 § börjar tas ut hos tillhandahållare av offentliga hälso- och sjukvårdstjänster från och med den 1 januari 2014 och hos tillhandahållare av privata hälso- och sjukvårdstjänster från och med den 1 januari 2015. Befolkningsregistercentralen kan dock för prestationer som den tillhandahållit i enlighet med 14 § ta ut avgifter som motsvarar kostnaderna för tillhandahållandet av service hos Tillstånds- och tillsynsverket för social- och hälsovården tills tillhandahållarna av hälso- och sjukvårdstjänster börjar betala avgifter enligt 22 § till Befolkningsregistercentralen. (21.12.2010/1227)

Uppgifter som lagrats i de referensdatasystem som förverkligats i enlighet med lagen om försök med obrutna servicekedjor inom social- och hälsovården (811/2000) kan anslutas till den riksomfattande arkiveringstjänsten utan patientens samtycke. Utlämnandet av referensuppgifter som anslutits till arkiveringstjänsten och det utlämnande av patientuppgifter som sker med hjälp av dem sker i enlighet med denna lag med hjälp av sökuppgifter. Dessa sökuppgifter får emellertid inte lämnas ut utan patientens skriftliga samtycke.

Tillstånds- och tillsynsverket för social- och hälsovårdens certifikatsystem fungerar som ett reservsystem för de certifikattjänster som Befolkningsregistercentralen producerar för hälso- och sjukvården samt för elektroniska recept med stöd av 14 § i denna lag och 7 § i lagen om elektroniska recept (61/2007) högst till den 30 juni 2012. Tillstånds- och tillsynsverket för social- och hälsovården svarar för detta reservsystem i egenskap av certifikatutfärdare på det sätt som föreskrivs i lagen om stark autentisering och elektroniska signaturer.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

RP 253/2006, ShUB 47/2006, RSv 232/2006

Ikraftträdelsestadganden:

29.6.2007/733:

Denna lag träder i kraft den 1 juli 2007.

RP 23/2007, ShUB 1/2007, RSv 5/2007

7.8.2009/619:

Denna lag träder i kraft den 1 september 2009.

RP 36/2009, KoUB 12/2009, RSv 90/2009

22.12.2009/1565:

Denna lag träder i kraft den 1 januari 2010.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

RP 161/2009, FvUB 18/2009, RSv 205/2009

19.11.2010/981:

Denna lag träder i kraft den 1 december 2010.

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

RP 155/2010, ShUB 24/2010, RSv 158/2010

21.12.2010/1227:

Denna lag träder i kraft den 1 januari 2011.

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

RP 176/2010, ShUB 30/2010, RSv 195/2010

22.7.2011/928:

Denna lag träder i kraft den 1 oktober 2011.

RP 302/2010, ShUB 56/2010, RSv 342/2010

28.3.2014/250:

Denna lag träder i kraft den 1 april 2014.

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

För informationssystem som hör till klass A krävs överensstämmelseintyg enligt denna lag senast den 1 januari 2015. Före det får ett informationssystem som saknar överensstämmelseintyg genom Folkpensionsanstaltens beslut anslutas till de riksomfattande informationssystemtjänsterna för en tid av högst två år. Om ett informationssystem som hör till klass A har anslutits till de riksomfattande informationssystemtjänsterna före denna lags ikraftträdande får informationssystemet användas utan överensstämmelseintyg till utgången av den tidsfrist som fastställts i samband med anslutningen. Om tidsfristen löper ut under 2014 får informationssystemet dock genom beslut av Folkpensionsanstalten användas i högst två år.

Informationssystem som hör till klass B ska uppfylla de väsentliga krav som anges i 19 a §, om de tas i bruk den 1 januari 2017 eller därefter. Ett informationssystem av klass B som tagits i bruk före det ska bringas i överensstämmelse med de väsentliga kraven, om informationssystemet ändras väsentligt och det ändrade informationssystemet tas i bruk den 1 januari 2017 eller därefter. Om ett serviceavtal som avser ett informationssystem som hör till klass B har ingåtts före denna lags ikraftträdande och upphör den 1 januari 2017 eller därefter, ska informationssystemet emellertid ändras så att det överensstämmer med de väsentliga kraven räknat från det serviceavtalet upphör.

Folkpensionsanstalten ska genomföra den tjänst som avses i 14 § 1 mom. och som innebär att riksomfattande informationssystemtjänster kan användas med hjälp av internet och telekommunikationsnät senast den 1 januari 2017.

De som ska ha en plan för egenkontroll enligt 19 h § är

1) Folkpensionsanstalten samt tillhandahållare av tjänster och producenter av förmedlingsservice som har anslutit sig till de riksomfattande informationssystemtjänsterna när denna lag träder i kraft, senast den 1 januari 2015,

2) de som efter ikraftträdandet av denna lag ansluter sig till de riksomfattande informationssystemtjänsterna för hälso- och sjukvården från och med anslutningen; om anslutningen sker senast den 1 januari 2015 ska planen dock finnas senast vid nämnda tidpunkt, och

3) andra tillhandahållare av tjänster som använder socialvårdens samt hälso- och sjukvårdens informationssystem senast den 1 april 2015.

Tillstånds- och tillsynsverket för social- och hälsovården ska ha ett sådant offentligt register över social- och hälsovårdens informationssystem som avses i 19 f § 2 mom. senast den 31 december 2016.

RP 219/2013, ShUB 1/2014, RSv 10/2014

20.3.2015/255:

Denna lag träder i kraft den 1 april 2015.

RP 345/2014, ShUB 47/2014, RSv 306/2014

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.