764/2025

Lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja siihen liittyviä koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitoksen on ylläpidettävä koodistopalvelua, jonka avulla ylläpidetään ja jaetaan valtakunnallisten tietojärjestelmäpalvelujen edellyttämät asiakasasiakirjojen tietorakenteet.

Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden tunnistus- ja luottamuspalvelulaissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot.

Lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista.

Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Lupa- ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä yhteyshenkilöstä. Lisäksi ilmoituksessa on oltava 85 §:n mukainen selvitys toiminnallisuutta koskevien vaatimusten toteutumisesta, 86 §:ssä tarkoitettu todistus yhteentoimivuuden testauksesta ja 87 §:ssä tarkoitettu todistus tietoturvallisuutta koskevien olennaisten vaatimusten täyttämisestä. Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on ilmoitettava Lupa- ja valvontavirastolle tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän tai hyvinvointisovelluksen siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle.

Lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava ajantasainen tieto:

Lupa- ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.

Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Lupa- ja valvontavirastolle.

Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Lupa- ja valvontavirastolle. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on lisäksi ilmoitettava tietoturvallisuuden arviointilaitokselle ja valtakunnallisiin tietojärjestelmäpalveluihin liitetyn tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia.

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 87 §:ssä tarkoitetuista todistuksista. Kansaneläkelaitoksen on ilmoitettava Lupa- ja valvontavirastolle, tietoturvallisuuden arviointilaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 86 §:ssä tarkoitetuista todistuksista.

Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.

Lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuutta.

Lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava hallintolain 39 §:ää. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on Lupa- ja valvontavirastolla oikeus saada tarpeellista poliisin virka-apua. Poliisin antamasta virka-avusta säädetään poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä.

Jos palvelunantaja tai apteekki havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos tietojärjestelmän tai hyvinvointisovelluksen poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan, hyvinvointisovelluksen valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Lupa- ja valvontavirastolle havaitsemistaan riskeistä. Jos tietojärjestelmän poikkeama voi aiheuttaa merkittävän riskin apteekin toiminnalle, on apteekin ilmoitettava siitä lisäksi Lääkealan turvallisuus- ja kehittämiskeskukselle. Henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetulle säädetään tietosuoja-asetuksen 33 artiklassa.

Palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai välittäjän on ilmoitettava viipymättä Lupa- ja valvontavirastolle sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena tietojärjestelmien käyttö ja sosiaali- ja terveyspalveluiden toteuttaminen voi merkittävästi vaarantua. Lupa- ja valvontavirasto voi antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta.

Apteekin on lisäksi ilmoitettava viipymättä Lääkealan turvallisuus- ja kehittämiskeskukselle sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena apteekin toiminta voi merkittävästi vaarantua. Lääkealan turvallisuus- ja kehittämiskeskus voi antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta.

Jos 1 ja 2 momentissa tarkoitetusta tietoturvallisuuteen liittyvästä poikkeamasta tai häiriöstä ilmoittaminen on yleisen edun mukaista, Lupa- ja valvontavirasto voi velvoittaa palvelunantajan, apteekin, Kansaneläkelaitoksen, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan taikka välittäjän tiedottamaan yleisölle asiasta taikka kuultuaan ilmoitusvelvollista tiedottaa asiasta itse. Lisäksi Lääkealan turvallisuus- ja kehittämiskeskus voi velvoittaa apteekin tiedottamaan yleisölle 3 momentissa tarkoitetusta häiriöstä taikka kuultuaan ilmoitusvelvollista tiedottaa häiriöstä itse.

Lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten valvontaa varten välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

Lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä ja hyvinvointisovelluksia, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, hyvinvointisovelluksen valmistaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Lupa- ja valvontavirasto voi päätöksellään määrätä velvollisuuden täytettäväksi määräajassa.

Lupa- ja valvontavirasto voi tehdessään 89 §:n nojalla tietojärjestelmää tai hyvinvointisovellusta koskevan valvonnan ja tarkastuksen samalla päätöksellään määrätä tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan korjaamaan tuotantokäytössä olevaa tietojärjestelmää koskevat puutteet ja hyvinvointisovelluksen valmistajan korjaamaan tuotantokäytössä olevaa hyvinvointisovellusta koskevat puutteet.

Jos tietojärjestelmä tai hyvinvointisovellus voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän tai hyvinvointisovelluksen käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho taikka hyvinvointisovellus tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan, hyvinvointisovelluksen valmistajan tai niiden valtuuttaman edustajan tiedottamaan tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla.

Lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.

Lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää.

Lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).

Tietosuojavaltuutettu, Lääkealan turvallisuus- ja kehittämiskeskus sekä Lupa- ja valvontavirasto ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksen 86 §:ssä tarkoitettuun yhteentoimivuuden testaukseen ilmoittautuminen on tietojärjestelmäpalvelun tuottajille maksullinen. Lupa- ja valvontavirastolle 80 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksuista säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.