703/2023

Helsingissä 14.4.2023

Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä

Eduskunnan päätöksen mukaisesti säädetään:

I OSA

LAIN SOVELTAMISALA JA ASIAKASTIETOJEN KÄSITTELY

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tämän lain tarkoituksena on yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveydenhuollossa sekä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa.

2 §
Soveltamisala ja suhde muuhun lainsäädäntöön

Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679, jäljempänä tietosuoja-asetus, täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä.

Sähköisen lääkemääräyksen ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen käsittelystä säädetään tämän lain lisäksi sähköisestä lääkemääräyksestä annetussa laissa (61/2007), jäljempänä lääkemääräyslaki.

Tällä lailla pannaan sosiaali- ja terveydenhuollossa täytäntöön toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148.

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) asiakkaalla sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, tarkoitettua sosiaalihuollon asiakasta sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, tarkoitettua potilasta;

2) asiakirjalla kirjallista ja kuvallista esitystä sekä sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla;

3) asiakasasiakirjalla asiakirjaa, joka on laadittu tai vastaanotettu tai joka sisältää tietoja asiakkaan sosiaali- tai terveyspalvelujen tarpeen arviointia varten, tarvittavien palvelujen järjestämistä tai toteuttamista varten taikka lääkkeen toimittamista varten;

4) potilasasiakirjalla potilasta koskevaa asiakasasiakirjaa;

5) sosiaalihuollon asiakasasiakirjalla sosiaalihuollon asiakasta koskevaa asiakasasiakirjaa;

6) asiakastiedolla potilastietoa ja sosiaalihuollon asiakastietoa;

7) potilastiedolla potilasasiakirjaan ja muuhun terveydenhuollossa laadittuun asiakirjaan sisältyvää potilaan terveydentilaa tai toimintakykyä tai tämän saamaa terveyspalvelua koskevaa asiakastietoa;

8) sosiaalihuollon asiakastiedolla sosiaalihuollon asiakasasiakirjaan ja muuhun sosiaalihuollossa laadittuun asiakirjaan sisältyvää sosiaalihuollon asiakkaan tuen tarvetta, hänen asiansa käsittelyä tai hänelle annettavaa sosiaalipalvelua koskevaa asiakastietoa;

9) hyvinvointitiedolla henkilön itsensä tuottamaa ja hallinnoimaa ja hänen terveyttään ja hyvinvointiaan koskevaa tietoa, jonka henkilö on tallentanut 18 kohdassa tarkoitettuun omatietovarantoon;

10) luovutusluvalla henkilön tahdonilmaisua, jolla henkilö tai hänen laillinen edustajansa antaa luvan asiakastietojen luovuttamiseen sosiaali- ja terveydenhuollon palvelunantajien ja niiden asiakastietoja sisältävien rekisterien välillä sosiaali- ja terveyspalvelujen järjestämiseksi ja toteuttamiseksi;

11) palvelunantajalla viranomaista, julkisoikeudellista yhteisöä ja yksityistä elinkeinonharjoittajaa, joka järjestää tai toteuttaa sosiaalipalveluja tai terveyspalveluja sekä työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdassa tarkoitettua työnantajaa;

12) apteekilla lääkelain (395/1987) 38 §:n 1 kohdassa tarkoitettua apteekkia;

13) apteekkarilla lääkelain 38 §:n 6 kohdassa tarkoitettua henkilöä, jolle on myönnetty lupa apteekin pitämiseen sekä yliopiston apteekin ja sen sivuapteekin apteekin hoitajaa;

14) valtakunnallisella asiakastietovarannolla valtakunnallisiin tietojärjestelmäpalveluihin kuuluvaa asiakastietojen tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakasasiakirjoja, muita asiakastietoja sisältäviä asiakirjoja tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa;

15) tiedonhallintapalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja;

16) tahdonilmaisupalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, sosiaali- ja terveyspalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia;

17) omatietovarannolla hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä tietovarantoa;

18) hyvinvointisovelluksella sovellusta, joka liittyy omatietovarantoon ja jolla käsitellään hyvinvointitietoa, sekä sovellusta, johon henkilö voi saada asiakastietonsa valtakunnallisesta asiakastietovarannosta, reseptikeskuksesta tai tiedonhallintapalvelusta;

19) tietojärjestelmällä ohjelmistoa, järjestelmää tai osajärjestelmää, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakasasiakirjojen sähköiseen käsittelyyn, asiakirjojen tallentamiseen valtakunnallisiin tietojärjestelmäpalveluihin tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja;

20) tietojärjestelmäpalvelun tuottajalla tahoa, joka tarjoaa tai toteuttaa palvelunantajalle kohdassa 20 tarkoitettua tietojärjestelmää ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista;

21) tietojärjestelmän valmistajalla tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta;

22) välittäjällä palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä ylläpitotoimien yhteydessä tai muutoin salaamattomia asiakastietoja;

23) sertifioinnilla menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset;

24) tietoturvallisuuden arviointilaitoksella tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitettua yritystä, yhteisöä tai viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt.

2 luku

Asiakastietojen käsittelyä koskevat yleiset periaatteet

4 §
Asiakastietojen salassapito

Sosiaali- ja terveydenhuollon asiakastiedot ovat pysyvästi salassa pidettäviä.

Salassa pidettävää asiakastietoa sisältävää asiakirjaa taikka sen kopiota tai tulostetta ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi. Sivullisella tarkoitetaan tässä laissa terveydenhuollossa muita kuin asianomaisen palvelunantajan tai apteekin palveluksessa, lukuun tai sen toimeksiannosta potilaan terveyspalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä ja sosiaalihuollossa muita kuin asianomaisen palvelunantajan palveluksessa, lukuun tai sen toimeksiannosta sosiaalihuollon asiakkaan sosiaalipalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä.

Terveydenhuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja salassapitosäännösten estämättä. Sosiaalihuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia sosiaalihuollon toteuttamisen kannalta välttämättömiä asiakastietoja salassapitosäännösten estämättä.

5 §
Vaitiolovelvollisuus ja hyväksikäyttökielto

Palvelunantaja ja apteekkari sekä niiden palveluksessa tai harjoittelijana oleva tai muu palvelunantajan ja apteekkarin toimeksiannosta tai sen lukuun toimiva taho samoin kuin sosiaalihuollon luottamustehtävää hoitava tai asiakastietoja palvelunantajalta tai apteekilta saanut taho ovat saamiensa asiakastietojen ja muiden asiakasta koskevien henkilökohtaisten tietojen osalta vaitiolovelvollisia. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde tai tehtävä on päättynyt.

Edellä 1 momentissa tarkoitettu henkilö ei saa oikeudettomasti ilmaista sivulliselle saamiaan tietoja eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Asiakas, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asiakkuuden perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asiakasta itseään eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi. Asiakas, hänen edustajansa tai avustajansa saa kuitenkin käyttää muitakin kuin häntä itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asiakkaan tiedonsaantioikeus on perustunut.

6 §
Vaitiolovelvollisuudesta ja salassapidosta poikkeaminen

Vaitiolovelvollisuudesta ja salassapidosta saa poiketa asiakkaan suostumuksella tai jos siitä on tässä tai muussa laissa säädetty.

7 §
Asiakastietojen käsittelyn ohjeet

Palvelunantajan vastaavan johtajan ja apteekkarin on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä.

8 §
Asiakastietojen käsittelyyn osallistuvien tunnistaminen

Asiakastietojen käsittelyssä asiakas, palvelunantaja, apteekki, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava luotettavasti.

Palvelunantajan, apteekin, Kansaneläkelaitoksen sekä tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan ja välittäjän on tarkistettava asiakastietoja käsittelevien henkilöiden sekä tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo noudattaen, mitä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009), jäljempänä tunnistus- ja luottamuspalvelulaki, 25 §:n 4–6 momentissa säädetään.

9 §
Käyttöoikeus asiakastietoon

Oikeuden käyttää asiakastietoja on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on oikeus käyttää vain työtehtävissään tarvitsemiansa välttämättömiä asiakastietoja. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä.

Sosiaali- ja terveysministeriön asetuksella säädetään, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää.

Palvelunantajan ja apteekin on määriteltävä, mitä välttämättömiä asiakastietoja sosiaali- ja terveydenhuollon ammattihenkilöllä ja muulla asiakastietoja käsittelevällä henkilöllä on oikeus käyttää. Palvelunantajan ja apteekin on pidettävä rekisteriä asiakastietojen käsittelyssä käytettävien tietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden oikeuksista käyttää asiakastietoja.

10 §
Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta

Palvelunantajan on kerättävä lokitiedot rekisterikohtaisesti kaikesta asiakastietojen ja hyvinvointitietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. Apteekin on kerättävä käyttölokitiedot lääkemääräysten ja muiden lääkemääräyslain 3 §:n 1 momentin 4 kohdassa tarkoitettuun reseptikeskukseen tallennettujen lääkehoitoa koskevien merkintöjen käsittelystä.

Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjän nimestä ja yksilöivästä tunnisteesta, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytönvalvontaa ja seurantaa varten tarvittavista tiedoista. Reseptikeskusta koskeviin lokitietoihin on tallennettava tiedot siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tai muun reseptikeskukseen tallennetun lääkehoitoa koskevan merkinnän tietoja sekä toimenpiteen ajankohta.

Luovutuslokirekisteriin on tallennettava kuvaus luovutetuista asiakastiedoista sekä tieto siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, luovutuksen saajasta, luovutusajankohdasta, käyttötarkoituksesta, johon tiedot on luovutettu sekä luovutuksen perusteena oleva säännös taikka luovutuslupaa tai suostumusta koskevat tiedot sekä muut luovutusten valvontaa ja seurantaa varten tarvittavat tiedot.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.

11 §
Asiakkaan tiedonsaantioikeus tietojensa käsittelystä

Asiakkaalla on oikeus saada asiakastietojensa ja hyvinvointitietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta, Kansaneläkelaitokselta tai apteekilta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.

Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja, Kansaneläkelaitos tai apteekki voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 74 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua.

Jos palvelunantaja, Kansaneläkelaitos tai apteekki katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.

Jos asiakas katsoo, että hänen asiakastietojaan tai hyvinvointitietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan, Kansaneläkelaitoksen tai apteekin on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja, Kansaneläkelaitos tai apteekki arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.

12 §
Oikeus kieltäytyä asiakkaan pyynnöstä rajoittaa tietojen käsittelyä

Palvelunantaja saa kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, jos tietojen käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.

3 luku

Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpito

13 §
Asiakastietojen rekisterinpitäjä

Julkisessa sosiaali- ja terveydenhuollossa palvelun järjestämisestä vastaava palvelunantaja on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Yksityisessä sosiaali- ja terveydenhuollossa asiakastietojen rekisterinpitäjä on se palvelunantaja, jonka kanssa asiakas on tehnyt sopimuksen palvelun toteuttamisesta.

Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon.

14 §
Palveluntuottajan vastuut toisen palvelunantajan lukuun toimittaessa

Kun palveluntuottaja antaa sosiaali- tai terveyspalveluja toisen palvelunantajan lukuun, vastaa palveluntuottaja:

1) asiakastietojen kirjaamisesta ja tallentamisesta lukuun toimimansa palvelunantajan rekisteriin;

2) käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan;

3) henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan;

4) alkuperäisten asiakasasiakirjojen toimittamisesta lukuun toimimallensa palvelunantajalle viipymättä; sekä

5) tietosuoja-asetuksessa ja viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä lukuun toimimansa palvelunantajan kanssa.

Palvelunantajan ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista.

15 §
Rekisterinpitäjän määräytyminen palvelunantajan muutostilanteissa

Jos palvelunantajan järjestämä sosiaali- tai terveyspalvelu siirretään toisen palvelunantajan vastuulle, on palvelunantajan rekisterinpidossa olevat asiakasasiakirjat siirrettävä palvelua jatkavan palvelunantajan rekisterinpitoon. Julkisessa sosiaali- ja terveydenhuollossa palvelua jatkavan palvelunantajan rekisterinpitoon siirretään asiakasasiakirjat niistä palveluyksiköistä, jotka siirtyvät sen vastuulle.

Jos työnantaja vaihtaa työterveyshuollon palvelunantajaa, potilasasiakirjat jäävät aiemman palvelunantajan rekisterinpitoon.

16 §
Rekisterinpitäjän vastuut palvelunantajan toiminnan päätyttyä

Kun palvelunantajan toiminta on päättynyt, on palvelunantajan rekisterinpidossa olevat asiakasasiakirjat, lokitiedot ja biologinen näytemateriaali siirrettävä sen hyvinvointialueen tai Helsingin kaupungin rekisterinpitoon, jonka alueella palvelunantajan kotipaikka on sijainnut. Toiminnan päätyttyä palvelunantajan on huolehdittava asiakirjojen toimittamisesta Kansaneläkelaitoksen säilytettäväksi ilman aiheetonta viivytystä. Jos toiminta on päättynyt palvelunantajan kuoleman tai konkurssin takia, asiakirjojen toimittamisesta vastaa kuolinpesä tai konkurssipesä. Päättyneen toiminnan asiakirjat on pidettävä erillään rekisterinpitäjän omasta potilasrekisteristä ja sosiaalihuollon asiakasrekisteristä.

Jos palvelunantajat ovat sopineet tietosuoja-asetuksen mukaisesta yhteisrekisterinpitäjyydestä, voi yhteyspisteenä toimiva palvelunantaja toimia rekisterinpitäjänä toimintansa päättäneen palvelunantajan asiakastiedoille.

Kukin hyvinvointialue tai Helsingin kaupunki ja Kansaneläkelaitos ovat yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. Kukin hyvinvointialue tai Helsingin kaupunki vastaa muista tietosuoja-asetuksen mukaisista rekisterinpitäjän vastuista.

Sähköiset asiakirjat voidaan tallentaa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen valtakunnalliseen asiakastietovarantoon.

4 luku

Asiakasasiakirjojen käsittelyä koskevat periaatteet

17 §
Velvollisuus asiakastietojen kirjaamiseen

Sosiaali- ja terveydenhuollon ammattihenkilön ja palvelun antamiseen osallistuvan avustavan henkilön tulee kirjata asiakasasiakirjoihin asiakkaan palvelun ja potilaan hoidon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan turvaamiseksi tarpeelliset ja riittävät tiedot.

18 §
Sosiaali- ja terveydenhuollon asiakasrekisterit

Palvelunantajan potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan potilasrekisteriin ja sosiaalihuollon asiakasasiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin.

Työterveyshuollon potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan työterveyshuollon potilasrekisteriin työnantajittain.

19 §
Asiakasasiakirjoissa käytettävä kieli

Asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä.

Kielellisistä oikeuksista viranomaisen järjestämässä sosiaali- ja terveydenhuollossa säädetään kielilaissa (423/2003) ja saamen kielilaissa (1086/2003).

20 §
Asiakasasiakirjojen tietorakenteet

Asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttöoikeuksien kohdistaminen, käyttö, luovuttaminen, säilyttäminen ja suojaaminen sekä hyödyntäminen. Tietorakenteiden tulee mahdollistaa asiakastietojen hyödyntäminen myös toissijaisissa käyttötarkoituksissa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen sekä palvelunantajien muiden tietojärjestelmien avulla.

Terveyden ja hyvinvoinnin laitos antaa määräykset asiakasasiakirjojen tietorakenteista ja tietosisällöistä sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista.

21 §
Asiakirjan laatimista koskeva määräaika

Asiakasasiakirja tulee laatia ja tallentaa 65 §:n mukaisiin valtakunnallisiin tietojärjestelmäpalveluihin viivytyksettä, kun asiakirja on valmistunut.

Lähetteet tulee laatia ja toimittaa jatkohoitopaikkaan viivytyksettä. Yhteenveto potilaalle annetusta hoidosta jatkohoito-ohjeineen tulee toimittaa viivytyksettä potilaalle sekä jatkohoitopaikkaan tai muuhun paikkaan, josta on potilaan kanssa sovittu. Yhteenveto tulee myös kiireettömässä tapauksessa lähettää viivytyksettä.

22 §
Asiakirjojen eheyden, muuttumattomuuden ja kiistämättömyyden varmistaminen

Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava asiakastietojen käsittelyssä, tiedonsiirrossa ja säilytyksessä.

Sosiaali- ja terveydenhuollon ammattihenkilön allekirjoitus todistuksissa, lausunnoissa ja muissa allekirjoitusta edellyttävissä asiakirjoissa voi olla omakätinen tai sähköinen allekirjoitus. Sähköisellä allekirjoituksella tai sähköisellä leimalla on varmistettava valtakunnallisiin tietojärjestelmäpalveluihin tallennettavat asiakirjat. Lääkemääräysten allekirjoittamisesta säädetään lääkemääräyslain 7 §:ssä.

Luonnollisen henkilön sähköisessä allekirjoituksessa on käytettävä vähintään kehittynyttä sähköistä allekirjoitusta ja organisaatioiden ja tietoteknisten laitteiden on käytettävä luotettavuudeltaan vastaavaa sähköistä leimaa, joista säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014.

23 §
Asiakasasiakirjojen säilyttäminen

Alkuperäisiä asiakasasiakirjoja sekä potilaan tutkimuksessa ja hoidossa syntyviä biologista materiaalia sisältäviä näytteitä ja elinmalleja on säilytettävä liitteessä tarkoitettu aika. Perinnöllisyyslääketieteen ja harvinaisten sairauksien kannalta lääketieteellisesti merkittävät asiakirjat säilytetään pysyvästi ja näytteet ja elinmallit voidaan säilyttää pysyvästi, kuitenkin niin että säilyttämistarvetta on arvioitava viiden vuoden välein. Säilyttämisestä vastaa rekisterinpitäjä. Valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen säilyttämisestä vastaa kuitenkin Kansaneläkelaitos.

Arkistoinnista säädetään arkistolaissa (831/1994).

24 §
Asiakasasiakirjojen tuhoaminen

Kun asiakasasiakirjojen säilytysaika on päättynyt eikä asiakirjaa ole määrätty arkistoitavaksi, on palvelunantajan huolehdittava siitä, että sen rekisterinpidossa olevat asiakasasiakirjat ja muu materiaali tuhotaan välittömästi ja siten, että sivulliset eivät saa niistä tietoa.

Kansaneläkelaitoksen on huolehdittava valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen tuhoamisesta. Palvelunantajan toiminnan päättymisen jälkeen asiakirjojen säilyttämisestä vastaavan tahon on huolehdittava sen säilytettävänä olevien asiakasasiakirjojen tuhoamisesta.

5 luku

Potilasasiakirjat

25 §
Oikeus tehdä merkintöjä potilasasiakirjoihin

Potilasasiakirjoihin saavat tehdä merkintöjä potilaan terveyspalvelujen järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon ammattihenkilöt ja palvelunantajan vastaavan johtajan 7 §:ssä tarkoitettujen ohjeiden mukaisesti myös muut henkilöt siltä osin kuin he osallistuvat terveyspalvelun järjestämiseen ja toteuttamiseen. Lääkemääräyksen laatimisesta säädetään lääkemääräyslain 5 §:ssä. Potilaan terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon opiskelijat saavat tehdä merkintöjä toimiessaan laillistetun ammattihenkilön tehtävässä terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 2 §:n 3 momentin mukaisesti. Muutoin terveydenhuollon opiskelijan tekemät merkinnät hyväksyy hänen esimiehensä tai ohjaajansa taikka muu hyväksymiseen valtuutettu henkilö.

Terveydenhuollon ammattihenkilö vastaa sanelunsa perusteella tehdyistä potilasasiakirjamerkinnöistä.

Potilasasiakirjamerkinnät voivat lisäksi koostua terveydenhuollon lääkinnällisten laitteiden, ohjelmistojen ja robottien tuottamista hoidon kannalta tarpeellisista merkinnöistä.

26 §
Potilasasiakirjoja koskevat periaatteet

Potilasasiakirjoihin kuuluvat ammattihenkilöiden palvelutapahtumista kirjaamat merkinnät, lääkemääräykset ja muut reseptikeskukseen tallennettavat lääkehoitoa koskevat merkinnät, diagnostiikkaan liittyvät tallenteet ja niihin liittyvät lausunnot ja muut potilaan terveyspalvelujen toteuttamiseen liittyvät kuva-, ääni- ja videotallenteet, potilaan terveyspalveluiden järjestämiseen liittyvät asiakirjat sekä terveydenhuoltoon muualta saapuneet asiakirjat.

Perinnöllisyyslääketieteen ja psykiatrian potilasasiakirjamerkinnät ja vastaaviin erityistä luottamuksellisuutta edellyttäviin palveluihin liittyvät potilasasiakirjamerkinnät tulee suojata erillisellä vahvistuspyynnöllä tai vastaavalla menettelyllä muiden kuin kyseisten erikoisalojen tai palveluiden palvelutapahtumissa. Suojausvaatimus ei kuitenkaan koske näihin tietoihin mahdollisesti sisältyviä lääkitystietoja ja riskitietoja. Sosiaali- ja terveysministeriön asetuksella säädetään tarkemmin, mitkä potilasasiakirjamerkinnät ovat erityissuojattavia.

Valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien potilasasiakirjojen tulee muodostaa ehyt asiakirjakokonaisuus yksilöityjen palvelutapahtumatunnusten avulla.

27 §
Potilasasiakirjoihin merkittävät perustiedot

Potilasasiakirjoista tulee aina käydä ilmi:

1) potilaan nimi ja henkilötunnus tai jos henkilötunnus ei ole tiedossa, yksilöintitunnus tai syntymäaika;

2) palvelunjärjestäjän ja palveluntuottajan nimi ja yksilöintitunnus;

3) merkinnän tekijän nimi, merkinnän tekijän yksilöivä tieto, ammattinimike ja merkinnän ajankohta tai lääkinnällisen laitteen, ohjelmiston tai robotin tuottaman merkinnän tiedot täydennettynä mahdollisen merkinnän hyväksyjän tiedoilla; sekä

4) saapuneiden tietojen osalta saapumisajankohta ja lähde.

Potilasasiakirjoista tulee ilmetä myös seuraavat tiedot, jos tieto on tarpeen potilaan hoidon tai palvelun järjestämisen tai toteuttamisen taikka potilaan huollossa olevan alaikäisen lapsen tai potilaan omaishoidettavana olevan aseman kannalta:

1) alaikäisen potilaan osalta huoltajien tai muun laillisen edustajan nimi ja yhteystiedot sekä täysi-ikäiselle potilaalle määrätyn laillisen edustajan nimi ja yhteystiedot;

2) potilaan ilmoittaman lähiomaisen tai muun yhteyshenkilön nimi, mahdollinen sukulaisuussuhde ja yhteystiedot;

3) tieto potilaan huollossa olevasta alaikäisestä lapsesta;

4) tieto omaishoitajuudesta;

5) potilaan äidinkieli tai asiointikieli;

6) potilaan ammatti;

7) potilaan työnantajan vakuutusyhtiö, jos kyseessä saattaa olla työtapaturma tai ammattitauti;

8) vakuutusyhtiö, jos hoidon mahdollisesti maksaa vakuutusyhtiö; sekä

9) tietojen luovuttamista koskevat potilaan suostumukset.

Jos 1 momentin 3 kohdassa tarkoitetun merkinnän tekninen kirjaaja on eri kuin merkinnän sisällöstä vastaava merkinnän tekijä, potilasasiakirjasta tulee ilmetä myös merkinnän teknisen kirjaajan tiedot. Merkinnästä tulee ilmetä tietojen lähde, jos tieto ei perustu ammattihenkilön omiin havaintoihin tai jos potilasasiakirjoihin merkitään muita kuin potilasta itseään koskevia tietoja.

28 §
Palvelutapahtumista kirjattavat merkinnät

Potilasasiakirjoihin on kirjattava jokaisesta palvelutapahtumasta potilasasiakirjamerkinnät. Merkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi potilaan terveydentilaa, annettua palvelua ja sairauden ja hoidon kulkua koskevat tiedot sekä taudinmäärityksen, valitun hoidon ja tehtyjen hoitoratkaisujen perusteet. Lääkemääräyksistä on kirjattava lääkemääräyslain 6 §:n mukaiset tiedot sekä valitun lääkehoidon perustelut siltä osin kuin tieto ei sisälly lääkemääräykseen.

Hoidon ja palvelun toteuttamiseen osallistuneet ammattihenkilöt ja muut henkilöt on kyettävä selvittämään.

Annetuista lääkärinlausunnoista ja todistuksista tulee tehdä merkinnät niiden antamisajankohdan mukaisesti.

Jos potilaan hoidon kannalta on välttämätöntä kirjata toisen henkilön itsestään kertomia tai muita muun henkilön yksityiskohtaisia arkaluonteisia tietoja, nämä tiedot kirjataan potilaan palvelutapahtuman asiakirjoihin kuuluvaan erilliseen asiakirjaan.

29 §
Potilasasiakirjoihin kirjattavat keskeiset hoitotiedot

Potilasasiakirjamerkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi tulosyy, esitiedot, nykytila, havainnot, tutkimustulokset, ongelmat, taudinmääritys tai terveysriski, johtopäätökset, hoidon suunnittelu, toteutus ja seuranta, sairauden kulku sekä loppulausunto. Merkinnöistä tulee käydä ilmi, miten hoito on toteutettu, onko hoidon aikana ilmennyt jotakin erityistä ja millaisia hoitoa koskevia ratkaisuja sen kuluessa on tehty.

Potilaalle suoritetusta leikkauksesta ja muusta toimenpiteestä tulee laatia leikkaus- tai toimenpidekertomus, joka sisältää riittävän yksityiskohtaisen kuvauksen toimenpiteen suorittamisesta ja sen aikana tehdyistä havainnoista. Kertomuksessa tulee esittää perustelut toimenpiteen aikana tehdyille ratkaisuille.

Tiedot potilaaseen pysyvästi asetetuista proteeseista, implanteista, hampaiden täytemateriaaleista ja muista materiaaleista tulee merkitä potilasasiakirjoihin sellaisella tarkkuudella, että ne ovat myöhemmin tunnistettavissa.

Jos potilaan itsemääräämisoikeutta rajoitetaan mielenterveyslain (1116/1990), päihdehuoltolain (41/1986), tartuntatautilain (1227/2016) tai muun lain nojalla, siitä tulee tehdä merkintä, josta käy ilmi toimenpiteen syy, luonne ja kesto sekä arvio sen vaikutuksesta potilaan hoitoon samoin kuin toimenpiteen määränneen lääkärin ja suorittajien nimet.

30 §
Riskeistä, hoidon haitallisista vaikutuksista ja epäillyistä vahingoista tehtävät merkinnät

Potilasasiakirjoihin tulee tehdä merkinnät tiedossa olevasta potilaan lääkeaineallergiasta, materiaaliallergiasta, yliherkkyydestä sekä muista vastaavista hoidossa huomioon otettavista seikoista.

Työntekijälle työstä aiheutuvia terveysvaaroja koskevat tiedot tulee merkitä tai liittää häntä koskeviin työterveyshuollon potilasasiakirjoihin.

Potilaskertomukseen tulee merkitä tiedot todetuista tutkimus- ja hoitotoimenpiteiden haitallisista vaikutuksista ja hoidon tehottomuudesta.

Epäillyistä potilas-, laite- ja lääkevahingoista tulee tehdä potilaskertomukseen yksityiskohtaiset merkinnät, joista käy ilmi kuvaus vahingosta, selvitys hoidossa mukana olleista terveydenhuollon ammattihenkilöistä sekä laite- ja lääkevahinkojen osalta kuvaus vahingon epäillystä syystä. Lääkkeiden ja laitteiden tunnistetiedot tulee merkitä yksilöidysti. Merkinnät tulee tehdä välittömästi sen jälkeen, kun vahinkoepäily on syntynyt.

31 §
Konsultaatioista ja hoitoneuvotteluista tehtävät merkinnät

Hoitovastuussa olevan terveydenhuollon ammattihenkilön tulee tehdä potilasasiakirjoihin merkinnät potilaan taudinmäärityksen tai hoidon kannalta merkittävästä puhelinneuvottelusta sekä muusta vastaavasta konsultaatiosta ja hoitoneuvottelusta. Merkinnöistä tulee käydä ilmi konsultaation tai neuvottelun ajankohta, asian käsittelyyn osallistuneet sekä tehdyt hoitoratkaisut ja niiden toteuttaminen.

Jos konsultaatio tapahtuu siten, että potilas voidaan tunnistaa, myös konsultaation antajan tulee 1 momentissa tarkoitetuissa tilanteissa tehdä potilasasiakirjoihin merkinnät antamastaan konsultaatiovastauksesta tai hänelle tulee muutoin jäädä antamansa vastauksen tiedot.

32 §
Osastohoitoa ja pitkäaikaishoitoa koskevat merkinnät

Osastohoidossa ja pitkäaikaisen hoidon piirissä olevasta potilaasta tulee tehdä potilaan hoidon kannalta riittävän usein merkinnät hänen tilansa muutoksista, hänelle tehdyistä tutkimuksista ja hänelle annetusta hoidosta. Päivittäin on tehtävä merkinnät potilaan tilaan liittyvistä huomioista, hoitotoimista ja vastaavista seikoista.

Lääkärin tulee tehdä sairaalahoidossa olevan pitkäaikaispotilaan potilasasiakirjoihin vähintään kolmen kuukauden välein seurantayhteenveto riippumatta siitä, onko potilaan tilassa tapahtunut olennaisia muutoksia.

33 §
Loppulausunto

Jokaisesta hoitojaksosta on laadittava loppulausunto, kun hoitojakson loputtua hoito päättyy taikka hoitovastuu siirtyy, jollei tästä poikkeamiseen ole erityistä syytä.

Loppulausuntoon on sisällytettävä annettua hoitoa koskevien yhteenvetojen lisäksi selkeät ja yksityiskohtaiset ohjeet potilaan seurannan ja jatkohoidon toteuttamiseksi. Loppulausunnossa tulee lisäksi kuvata mahdolliset poikkeavuudet potilaan toimenpiteen jälkeisessä toipumisessa ja potilaan tila palvelutapahtuman päättyessä.

34 §
Merkinnät alaikäisen asiakkaan päätöskyvystä

Kun alaikäinen henkilö on terveydenhuollon asiakkaana, on palvelutapahtumakohtaisesti kirjattava tieto siitä, onko alaikäinen ollut kykenevä itse päättämään hoidostaan potilaslain 7 §:n tarkoittamalla tavalla. Merkinnöistä tulee käydä ilmi myös, salliiko hoidostaan päättämään kykenevä alaikäinen potilas terveydentilaansa tai kyseistä hoitoa koskevien tietojen antamisen hänen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle vai onko hän 51 §:n 1 momentin mukaisesti kieltänyt tietojen antamisen.

Alle 12-vuotiaan lapsen ollessa asiakkaana tietojärjestelmä voi tuottaa oletusarvoisesti asiakirjoille tiedon, ettei lapsi ole ollut kykenevä päättämään hoidostaan. Terveydenhuollon ammattihenkilön on tarvittaessa muutettava tieto, jos lapsi on kykenevä päättämään hoidostaan.

35 §
Merkinnät hoitoon osallistumisesta erityistilanteissa

Jos täysi-ikäistä potilasta hoidetaan potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tilanteissa yhteisymmärryksessä hänen itsensä sijasta hänen laillisen edustajansa, lähiomaisensa tai muun läheisensä kanssa, tästä tulee tehdä merkintä potilasasiakirjoihin.

36 §
Potilaan hoidon järjestämistä koskevat merkinnät

Jos potilas potilaslain 4 §:n 1 momentissa tarkoitetussa tilanteessa joutuu odottamaan hoitoon pääsyä, potilasasiakirjoihin tulee tehdä merkinnät viivästyksen syystä, potilaalle ilmoitetusta hoitoonpääsyajasta ja siitä, että mainitut tiedot on ilmoitettu potilaalle. Potilasasiakirjoihin merkitään myös tieto potilaan ohjaamisesta muuhun hoitopaikkaan. Jos ilmoitettu hoitoonpääsyaika muuttuu, potilasasiakirjoihin merkitään tiedot uudesta ajankohdasta, muutoksen syystä ja siitä, että muutoksesta on ilmoitettu potilaalle.

Potilasasiakirjoihin tulee tehdä merkinnät potilaslain 5 §:n 1 momentissa tarkoitetun potilaan hoitoon liittyviä seikkoja koskevan selvityksen antamisesta. Jos selvitystä ei ole annettu, peruste siihen tulee merkitä potilasasiakirjoihin.

Jos potilas kieltäytyy tutkimuksesta tai hoidosta, kieltäytymisestä tulee tehdä merkintä potilasasiakirjoihin.

Jos potilas haluaa ilmaista hoitoa koskevan vakaan tahtonsa tulevaisuuden varalle, tästä tulee tallentaa tieto tahdonilmaisupalveluun sekä tarvittaessa tehdä vastaava merkintä potilasasiakirjoihin ja liittää potilasasiakirjoihin erillinen potilaan itsensä varmentama potilaan tahdon ilmaiseva asiakirja. Potilasasiakirjoihin tulee lisäksi tehdä merkinnät siitä, että potilaalle on annettu riittävä selvitys hänen tahtonsa noudattamisen vaikutuksista.

6 luku

Sosiaalihuollon asiakasasiakirjat

37 §
Sosiaalihuollon asiakasasiakirjoja koskevat periaatteet

Velvollisuus kirjata sosiaalihuollon asiakastiedot alkaa, kun palvelunantaja on saanut tiedon henkilön palveluntarpeesta tai ryhtynyt toteuttamaan sosiaalipalvelua.

Kaikista sosiaalihuollon asiakasrekisteriin tallennettavista sosiaalihuollon asiakasasiakirjoista on käytävä ilmi, mihin sosiaalihuollon palvelutehtävään tai palvelutehtäviin se liittyy.

Toisen lukuun tuotetussa sosiaalihuollossa tai sosiaalipalveluissa tallennetuista sosiaalihuollon asiakasasiakirjoista on ilmettävä niiden käsittelyperuste, palvelunjärjestäjä ja palveluntuottaja. Alihankintatilanteissa sosiaalihuollon asiakastiedoista on ilmettävä hankintaketju kokonaisuudessaan.

38 §
Sosiaalihuollon asiakasasiakirjoihin kirjattavat perustiedot

Sosiaalihuollon asiakasasiakirjasta tulee aina käydä ilmi:

1) asiakirjan nimi;

2) asiakkaan nimi sekä henkilötunnus tai, jollei se ole tiedossa, hänet väliaikaisesti yksilöivä tunnus tai syntymäaika;

3) palvelunjärjestäjän ja palveluntuottajan nimi ja yksilöintitunnus;

4) asiakirjan laatijan tai kirjauksen tehneen henkilön nimi sekä virka-asema tai tehtävä; sekä

5) asiakirjan laatimisen tai kirjaamisen ajankohta.

Sosiaalihuollon asiakasasiakirjoihin on kirjattava seuraavat tiedot:

1) hyvinvointialue, jonka alueella asiakkaan kotikuntalaissa (201/1994) tarkoitettu kotikunta sijaitsee;

2) asiakkuuden alkamisen ajankohta;

3) tieto asiakkaan palveluista vastaavasta työntekijästä;

4) mahdollinen tieto asiakkaan tai hänen laillisen edustajansa yhteystietoja koskevasta turvakiellosta; sekä

5) asiakkuuden päättymisen ajankohta ja päättymisen peruste.

Lisäksi sosiaalihuollon asiakasasiakirjoihin kirjataan seuraavat asianosaisia koskevat perustiedot, jos ne vaikuttavat asiakkaan palveluun:

1) asiakkaan äidinkieli ja asiointikieli sekä yhteystiedot ja kotikunta;

2) huoltajan tai muun laillisen edustajan nimi, yhteystiedot ja toimivalta ja huoltajuudesta erotetun vanhemman mahdollinen tiedonsaantioikeus, jos asiakirja koskee alaikäistä asiakasta;

3) täysi-ikäiselle asiakkaalle määrätyn laillisen edustajan tai asiakkaan valtuuttaman henkilön nimi, yhteystiedot ja toimivalta; sekä

4) tarvittaessa asiakkaan omaisen, läheisen tai muun asiakkaan hoitoon tai huolenpitoon osallistuvan henkilön nimi, yhteystiedot ja rooli asiassa.

39 §
Tietojen saamista koskevat merkinnät

Jos sosiaalihuollon asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tietojen vastaanottajan on voitava todentaa:

1) mitä tietoja on hankittu tai saatu;

2) keneltä tiedot on saatu tai muu tiedonlähde, jos tiedot on saatu teknisen käyttöyhteyden kautta;

3) milloin tiedot on saatu;

4) henkilö, joka tiedot on pyytänyt, jos ne on hankittu oma-aloitteisesti;

5) tiedon hankkimisen tai saamisen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä

6) käyttötarkoitus, johon tiedot on hankittu tai saatu.

40 §
Alaikäisen asiakkaan kielto-oikeuden kirjaaminen

Jos alaikäinen sosiaalihuollon asiakas kieltää 51 §:n perusteella asiakastietojensa luovutuksen huoltajalle, muulle lailliselle edustajalle tai muulle tiedonsaantiin oikeutetulle henkilölle, on kielto ja sen perusteeksi esitetty painava syy kirjattava.

Jos alaikäisen oikeus kieltää asiakastietojensa luovutus evätään siksi, ettei alaikäinen asiakas ole esittänyt 1 momentissa tarkoitettua painavaa syytä kiellolle, tai siksi, että tietojen antamatta jättämisen katsotaan olevan selvästi vastoin alaikäisen asiakkaan omaa etua, on asiakasasiakirjaan kirjattava myös ratkaisun perustelut.

Asiakirjatyypeittäin kirjattavat tiedot
41 §
Asian vireilletuloa koskevat asiakirjat

Asian vireilletuloa koskeviin sosiaalihuollon asiakasasiakirjoihin kirjataan:

1) henkilön tuen, huolenpidon, hoivan tai muun palvelun tarve;

2) mahdolliset perustelut palvelun tarpeelle;

3) asian vireille saattaja; sekä

4) asian vireille saattamisen ajankohta.

42 §
Palvelutarpeen arvio

Sen lisäksi, mitä sosiaalihuoltolain (1301/2014) 37 §:ssä ja 39  §:n 2 momentin 1–3 ja 5 kohdassa säädetään, asiakkaan palvelutarpeen arviointia koskeviin sosiaalihuollon asiakirjoihin kirjataan tarvittaessa asiakkaan laillisen edustajan, omaisen, läheisen tai muun henkilön käsitys asiakkaan tuen tarpeesta.

Suunnitelmaa koskevaan arvioon kirjataan lisäksi asiakkaan ja muiden suunnitelman toteuttamiseen osallistuneiden käsitys ja työntekijän arvio siitä, miten suunnitelmassa esitetyt tavoitteet ovat toteutuneet.

43 §
Asiakassuunnitelma

Sen lisäksi, mitä sosiaalihuoltolain 39 §:n 2  momentin 4 ja 6–9 kohdassa säädetään, asiakassuunnitelma-asiakirjaan kirjataan:

1) palvelutarpeen arvioon perustuva asiakkaan tuen tarve;

2) kuvaus asiakkaan tarvitsemista palveluista;

3) palvelulle ja asiakkuudelle asetetut tavoitteet sekä keinot niiden saavuttamiseksi; sekä

4) asiakkaan tukemiseen osallistuvat yksityishenkilöt ja heidän tehtävänsä.

44 §
Asiakaskertomus

Asiakaskertomukseen kirjataan sekä asiakkaaseen tai asiakkuuteen liittyvät tapahtumat, joissa asiakkaan asiaa on käsitelty, asiakkaan saaman tuen tai palvelun ajankohta sekä tieto siitä, ketkä ovat osallistuneet asian käsittelyyn.

45 §
Päätös

Tiedoista, jotka on kirjattava päätösasiakirjaan, säädetään hallintolain (434/2003) 44  §:n 1 momentissa sekä 45  §:n 1 momentissa.

7 luku

Kirjaaminen monialaisessa yhteistyössä

46 §
Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon henkilöstön toteuttaessa palvelua yhdessä

Jos sosiaali- ja terveyspalvelua toteuttaa sosiaali- ja terveydenhuollon toimipisteessä sosiaali- ja terveydenhuollon henkilöstö yhdessä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arvio, asiakassuunnitelma ja kyseistä palvelua koskevat asiakaskertomusmerkinnät sekä muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi ja asiakassuunnitelma sekä muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin. Asiakaskertomus tallennetaan sosiaalihuollon asiakasrekisteriin. Potilasasiakirjamerkinnät tallennetaan potilasrekisteriin.

47 §
Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon yhteistyössä

Jos sosiaali- ja terveyspalveluita antavat sosiaali- ja terveydenhuollon henkilöstö yhteistyössä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arviointi, asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi, asiakassuunnitelma ja muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin.

48 §
Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon ja muiden toimialojen välisessä yhteistyössä

Sosiaali- ja terveydenhuollon ja muiden toimialojen monialaiseen yhteistyöhön osallistuvat henkilöt voivat salassapitosäännösten estämättä:

1) kirjata edustamansa organisaation asiakirjoihin sellaiset yhteistyössä saamansa sosiaali- ja terveydenhuollon asiakastiedot, jotka ovat välttämättömiä yhteisen asiakkaan asian hoitamiseksi sanotussa organisaatiossa; sekä

2) tallettaa yhteistyön perusteella laaditun asiakassuunnitelman sanotussa organisaatiossa, jos se on asiakkaan kannalta välttämätöntä siinä asiassa, jonka hoitamiseksi asiakirja on laadittu.

Edellä 1 momentissa tarkoitettuja asiakastietoja koskeviin salassapitovelvoitteisiin sovelletaan, mitä 4 §:n 1 momentissa ja tietosuojalain 35 §:ssä säädetään, riippumatta siitä, minkä organisaation asiakirjoihin ne sisältyvät. Asiakastietoja ei saa käyttää eikä luovuttaa muihin tarkoituksiin, kuin mitä varten tiedot on tallennettu. Asiakastietoja saa säilyttää ainoastaan sen aikaa, kuin käyttötarkoituksen kannalta on välttämätöntä.

8 luku

Tiedonsaantioikeus ja tietojen luovuttaminen

Toisen puolesta asiointi ja asiakastietojen luovuttaminen asiakkaan lailliselle edustajalle, lähiomaiselle tai muulle läheiselle
49 §
Tietojen antaminen asiakkaan lailliselle edustajalle tai läheiselle erityistilanteissa

Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tapauksissa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta.

Tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaisella tai muulla hänen läheisellään on oikeus saada tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä.

Sosiaalihuollon asiakkaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on asiakaslain 7 §:n 2 momentissa ja lastensuojelulain (417/2007) 30 §:n 2 momentissa tarkoitetuissa tapauksissa oikeus saada asiakas-, palvelu- tai hoitosuunnitelman tekemistä varten tarpeelliset tiedot sekä asiakaslain 9 §:n 1 momentissa tarkoitetuissa tapauksissa oikeus saada asiakkaan tahdon selvittämistä varten tarpeelliset asiakasta koskevat tiedot.

50 §
Tietojen käsittely toisen puolesta

Henkilöllä on oikeus käsitellä toista henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta tallennettuja tietoja, ellei 51 §:stä, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu.

51 §
Alaikäisen oikeus kieltää tietojensa luovuttaminen huoltajalle

Jos terveydenhuollossa alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää potilastietojensa antaminen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle.

Sosiaalihuollossa alaikäinen voi ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu painavasta syystä kieltää antamasta itseään koskevia tietoja huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle, jollei se ole selvästi alaikäisen edun vastaista. Jos alaikäinen tai hänen laillinen edustajansa ovat asianosaisena sosiaalihuoltoa koskevassa asiassa, laillisella edustajalla on kuitenkin oikeus tiedonsaantiin. Tiedonsaannista säädetään julkisuuslain 11 §:ssä.

52 §
Asiakastietojen luovuttaminen kuoleman jälkeen

Kuolleen henkilön elinaikana annettua sosiaali- tai terveyspalvelua koskevia tietoja saa luovuttaa perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksiensa selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi. Luovutuksensaaja ei saa käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen.

Tiedonsaantioikeus ja asiakastietojen luovuttaminen sosiaali- ja terveydenhuollossa sekä muille viranomaisille
53 §
Tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä

Sosiaali- terveydenhuollon yhteistä palvelua sosiaali- ja terveydenhuollon toimipisteessä toteutettaessa palvelun toteuttamiseen osallistuvilla henkilöillä on oikeus saada ja käyttää palvelun toteuttamisen kannalta välttämättömiä asiakastietoja.

Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä potilastietoja sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää sosiaalipalvelun järjestämiseksi ja toteuttamiseksi.

Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä sosiaalihuollon asiakastietoja terveydenhuollon palvelunantajalla on oikeus saada ja käyttää terveyspalvelun järjestämiseksi ja toteuttamiseksi.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä 2 ja 3 momentissa tarkoitetun luvan kohdentamisesta potilastietoihin ja sosiaalihuollon asiakastietoihin.

Sosiaalihuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa. Lisäksi sosiaalihuollon viranomaisella on oikeus saada terveydenhuollon palvelunantajilta sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä viranomaiselle annettujen tietojen tarkistamista varten.

Terveydenhuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa.

54 §
Terveydenhuollon palvelunantajan oikeus saada potilastietoja ja potilastietojen luovuttaminen hoidon turvaamiseksi

Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää muiden terveydenhuollon palvelunantajien potilastietoja potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa. Luovutuslupa koskee kaikkia potilaan potilastietoja, ja sen laajuutta voi rajata kieltojen avulla. Reseptikeskukseen tallennettujen lääkemääräysten ja muiden lääkehoitoa koskevia merkintöjen luovuttamisesta säädetään lääkemääräyslain 13 §:ssä.

Jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää muiden terveydenhuollon palvelunantajien välttämättömiä potilastietoja potilaan välttämättömän terveyspalvelun järjestämiseksi tai toteuttamiseksi ilman potilaan antamaa luovutuslupaa.

Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantioikeutta ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan se toteuttaa muulla tavoin.

Palvelunantaja saa omasta aloitteestaan tai ulkomaalaisen terveydenhuollon palvelunantajan pyynnöstä luovuttaa välttämättömiä potilastietoja potilaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.

55 §
Sosiaalihuollon palvelunantajan oikeus saada sosiaalihuollon asiakastietoja

Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää muiden sosiaalihuollon palvelunantajien sosiaalihuollon asiakastietoja asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa, jos kyse on muista kuin 56 §:n 1 momentissa tarkoitetuista tapauksista tai jollei muualla laissa ole säädetty tiedonsaantioikeudesta. Lupa koskee kaikkia sosiaalihuollon asiakkaan sosiaalihuollon asiakastietoja, ja sen laajuutta voi rajata kieltojen avulla.

Jos sosiaalihuollon asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää muiden sosiaalihuollon palvelunantajien välttämättömiä sosiaalihuollon asiakastietoja sosiaalihuollon asiakkaan välttämättömän sosiaalipalvelun järjestämiseksi tai toteuttamiseksi. Lisäksi sosiaalihuollon viranomaisella on oikeus saada muilta sosiaalihuollon palvelunantajilta sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä palvelunantajalle annettujen tietojen tarkistamista varten.

Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantia ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan tiedonsaanti toteuttaa muulla tavoin.

56 §
Sosiaalihuollon asiakastietojen luovuttaminen sosiaalihuollon asiakkaan hoidon ja huollon turvaamiseksi

Jos 55 §:ssä tarkoitettua asiakastietojen luovutusta koskevaa luovutuslupaa ei voida saada asiakkaan muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia taikka jos asiakas tai hänen laillinen edustajansa kieltää tiedon luovuttamisen, sosiaalihuollon palvelunantaja saa luovuttaa asiakirjasta salassapitovelvollisuuden estämättä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, hoidon, huollon tai koulutuksen järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi. Tietoja saa kuitenkin luovuttaa vain, jos:

1) se, jota asiakirja koskee, on hoidon tai huollon ilmeisessä tarpeessa terveytensä, kehityksensä tai turvallisuutensa vaarantumisen vuoksi eikä hoidon tai huollon tarvetta muutoin voida selvittää taikka hoidon tai huollon toimenpiteitä toteuttaa;

2) tieto on tarpeen lapsen edun vuoksi; tai

3) tieto on tarpeen asiakkaan välttämättömien etujen ja oikeuksien turvaamiseksi eikä asiakkaalla itsellään ole edellytyksiä arvioida asian merkitystä.

Edellä 1 momentissa tarkoitetuissa tapauksissa tietoja saa luovuttaa toiselle sosiaalihuollon julkiselle palvelunantajalle ja sen lukuun toimivalle palveluntuottajalle tai sen toimeksiannosta sosiaalihuollon tehtäviä suorittavalle henkilölle tai yhteisölle sekä muulle suomalaiselle tai ulkomaiselle viranomaiselle.

Yksityiselle sosiaali- tai terveydenhuollon palvelunantajalle saa kuitenkin luovuttaa 1 momentissa tarkoitetuissa tapauksissa vain välttämättömät tiedot asiakkaan välittömän hoidon tai huollon toteuttamiseksi tai muusta tähän rinnastettavasta syystä. Muulle yksityiselle henkilölle tai yhteisölle saa luovuttaa välttämättömän tiedon, jos tiedon antaminen on välttämätöntä asiakkaan tahdon tai sosiaalihuollon tarpeen selvittämiseksi tai sosiaalihuollon toimenpiteen toteuttamiseksi.

57 §
Tiedonsaantioikeuden toteuttaminen tietojärjestelmän avulla

Edellä 53–55 §:ssä tarkoitetun tiedonsaantioikeuden saa toteuttaa valtakunnallisten tietojärjestelmäpalvelujen tai muun palvelunantajien yhteisen tietojärjestelmän avulla sen jälkeen, kun hoitosuhteen tai asiakassuhteen olemassaolo potilaan tai sosiaalihuollon asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu. Tiedonsaantioikeuden toteuttamisessa mainitun tietojärjestelmän avulla on 53–55 §:n sääntelyn lisäksi noudatettava, mitä säädetään käyttöoikeudesta välttämättömään asiakastietoon.

58 §
Luovutusluvan tai kiellon antaminen ja peruuttaminen

Tietojen luovuttamista koskevan luovutusluvan tai kiellon on oltava vapaaehtoisesti annettu. Luovutuslupa tai kielto on voimassa toistaiseksi ja sen voi peruuttaa. Huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen puolesta potilastietojen luovutusta potilaslain 8 §:n tarkoitetuissa tilanteissa.

Valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan tai kiellon on perustuttava 68 §:n mukaisessa menettelyssä annettavaan riittävään tietoon. Valtakunnallisia tietojärjestelmäpalveluja koskeva luovutuslupa tai kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta valtakunnallisia tietojärjestelmäpalveluita koskevasta luovutusluvasta tai kiellosta tahdonilmaisupalveluun viivytyksettä.

Luovutusluvan tai kiellon vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste luovutuslupa-asiakirjasta tai kieltoasiakirjasta taikka kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla.

Kansaneläkelaitos määrittelee luovutuslupa-asiakirjan ja kieltoasiakirjan tietosisällön. Luovutuslupa-asiakirjasta ja kieltoasiakirjasta on käytävä ilmi luovutusluvan ja kiellon merkitys asiakastietojen käsittelyssä.

Luovutusluvan ja kiellon peruuttamiseen sovelletaan, mitä 1–3 momentissa säädetään niiden antamisesta.

59 §
Kieltojen kohdentaminen

Sosiaalihuollon asiakas voi kohdistaa sosiaalihuollon asiakastietojensa luovutusta koskevan kiellon sosiaalihuollon rekisterinpitäjään, palvelutehtävään tai yksittäiseen sosiaalihuollon asiakasasiakirjaan.

Potilas voi kohdistaa potilastietojensa luovutusta koskevan kiellon kaikkiin potilastietoihinsa, julkisen terveydenhuollon rekisterinpitäjään ja sen rekisteriin, yksityisen työterveyshuollon rekisteriin tai palvelutapahtumaan.

Lääkemääräysten ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen kiellon kohdentamisesta säädetään lääkemääräyslain 13 §:ssä.

60 §
Rajat ylittävä tiedonvaihto

Jäljempänä 71 §:ssä tarkoitettuun tiedonhallintapalveluun sisältyviä potilastietoja saadaan luovuttaa ulkomaiselle terveydenhuollon palveluntuottajalle valtakunnallisten tietojärjestelmäpalvelujen välityksellä potilaan antaman suostumuksen perusteella potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU 14 artiklassa tarkoitettujen sähköisten terveyspalvelujen järjestämistä ja toteuttamista varten. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa.

Kansaneläkelaitos toimii Suomessa kansallisena teknisenä sähköisenä yhteyspisteenä valtakunnallisten tietojärjestelmäpalvelujen ja ulkomaan kansallisen yhteyspisteen välillä. Kansaneläkelaitos koostaa tiedonhallintapalveluun sisältyvistä potilastiedoista potilasyhteenvedon.

61 §
Potilastietojen luovuttaminen kliiniseen lääketutkimukseen ja lääketieteelliseen tutkimukseen

Potilastietojen luovuttamisesta kliiniseen lääketutkimukseen säädetään kliinisestä lääketutkimuksesta annetun lain (983/2021) 34 §:ssä ja potilastietojen luovuttamisesta lääketieteelliseen tutkimukseen säädetään lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c §:ssä.

62 §
Asiakasta koskevan tiedon ilmoittaminen poliisille uhkan arviointia ja uhkaavan teon estämistä varten

Palvelunantaja tai sen tehtäviä suorittava henkilö saa salassapitovelvollisuuden estämättä ilmoittaa poliisille henkeen tai terveyteen kohdistuvan uhkan arviointia ja uhkaavan teon estämistä varten välttämättömät tiedot, jos henkilö sosiaalihuoltolain tai terveydenhuoltolain (1326/2010) mukaisia tehtäviä hoitaessaan on saanut tietoja olosuhteista, joiden perusteella hänellä on syytä epäillä jonkun olevan vaarassa joutua väkivallan kohteeksi.

63 §
Sosiaalihuollon asiakastietojen luovuttaminen eräissä muissa tilanteissa

Sosiaalihuollon palvelunantaja saa, jos se on välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi, antaa salassa pidettävää asiakastietoa asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta tuomioistuimelle tai muulle suomalaiselle tai ulkomaalaiselle viranomaiselle asiassa, jossa palvelunantajalle on laissa säädetty oikeus tai velvollisuus panna asia vireille taikka osallistua vireillä olevan asian käsittelyyn tai toimeenpanoon antamalla lausunto tai selvitys taikka muulla vastaavalla tavalla. Lisäksi salassa pidettävää asiakastietoa saa antaa sosiaalietuuksia käsittelevälle viranomaiselle tai laitokselle etuutta koskevan väärinkäytöksen selvittämiseksi, jos väärinkäytöstä on perusteltua syytä epäillä.

Sosiaalihuollon palvelunantajan tulee pyydettäessä antaa asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta salassa pidettävää asiakastietoa poliisille, syyttäjäviranomaiselle ja tuomioistuimelle, jos se on tarpeen sellaisen rikoksen selvittämiseksi, jonka ilmoittamatta jättäminen on rangaistavaa rikoslain (39/1889) 15 luvun 10 §:n nojalla, taikka jonka enimmäisrangaistus on vähintään neljä vuotta vankeutta.

Salassa pidettävää asiakastietoa saa sosiaalihuollon palvelunantaja antaa oma-aloitteisestikin tiedon, jos epäillään 2 momentissa tarkoitettua rikosta taikka silloin, jos epäillään jonkun syyllistyneen siinä mainittua vähäisempään rikokseen, jos sosiaalihuollon palvelunantaja arvioi sen olevan välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi.

Sosiaalihuollon julkinen palvelunantaja saa 1–3 momentissa tarkoitettujen tapausten lisäksi antaa salassa pidettävää asiakastietoa, jos se on välttämätöntä tarkistettaessa sosiaalihuollon palvelunantajalle laissa säädetyn tehtävän hoitamiseksi olennaisen tärkeää tietoa tilanteissa, joissa palvelunantajalla itsellään on oikeus saada tieto.

Viranomaisen oikeus salassa pidettäviin tietoihin
64 §
Viranomaisen tiedonsaantioikeus

Sosiaalihuollon viranomaisella on oikeus saada salassapitosäännösten estämättä pyynnöstä maksutta valtion ja kunnan viranomaiselta sekä muulta julkisoikeudelliselta yhteisöltä, Kansaneläkelaitokselta, Eläketurvakeskukselta, eläkesäätiöltä ja muulta eläkelaitokselta, vakuutuslaitokselta sekä koulutuksen järjestäjältä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä viranomaiselle annettujen tietojen tarkistamista varten.

Mitä 1 momentissa säädetään velvollisuudesta antaa tietoja, koskee myös rahalaitosta, jos sosiaalihuollon viranomainen ei saa riittäviä tietoja ja selvityksiä 1 momentissa mainituilta tahoilta ja jos on perusteltua syytä epäillä asiakkaan tai hänen laillisen edustajansa antamien tietojen riittävyyttä tai luotettavuutta. Pyyntö tulee esittää kirjallisena rahalaitokselle. Pyynnön esittämistä koskevan päätöksen on oikeutettu tekemään sosiaalipalveluiden järjestämisestä vastaavan toimivaltaisen viranomaisen määräämä sosiaalihuollon viranhaltija. Ennen kuin pyyntö tehdään rahalaitokselle, on asiakkaalle annettava siitä tieto.

Sosiaali- ja terveydenhuollon viranomaisella on oikeus saada pyynnöstä maksutta veroviranomaiselta ja Kansaneläkelaitokselta salassa pidettäviä henkilötietoja asiakkaan suostumuksesta riippumatta maksun määräämistä ja tietojen tarkistamista varten. Sosiaali- ja terveydenhuollon viranomaisen tulee etukäteen ilmoittaa asiakkaalle tietojen pyytämisestä.

II OSA

SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMÄT

9 luku

Valtakunnalliset tietojärjestelmäpalvelut

65 §
Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut

Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut:

1) asiakastietovaranto;

2) lokirekisterien säilytyspalvelu;

3) ammattilaisen käyttöliittymä;

4) kansalaisen käyttöliittymä;

5) omatietovaranto;

6) tiedonhallintapalvelu;

7) tahdonilmaisupalvelu;

8) reseptikeskus;

9) lääketietokanta; sekä

10) kysely- ja välityspalvelu.

Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja siihen liittyviä koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitoksen on ylläpidettävä koodistopalvelua, jonka avulla ylläpidetään ja jaetaan valtakunnallisten tietojärjestelmäpalvelujen edellyttämät asiakasasiakirjojen tietorakenteet.

Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden tunnistus- ja luottamuspalvelulaissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista.

66 §
Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa

Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.

Kansaneläkelaitos vastaa:

1) valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista;

2) valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen tietojen turvallisuuden varmistamisesta sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen;

3) vastuullaan olevien valtakunnallisten tietojärjestelmäpalvelujen toteuttamisesta siten, että asiakas- tai hyvinvointietoja ja muita valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja tietoja luovutetaan vain tämän lain ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) mukaisesti;

4) asiakas- ja hyvinvointitiedon käytön ja luovutuksen tallentumisesta lokirekisteriin;

5) koodistopalvelun tietoteknisestä toteuttamisesta;

6) valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle; sekä

7) valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta.

Kansaneläkelaitoksella on oikeus:

1) saada Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtävien hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä;

2) käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin valtakunnallisten tietojärjestelmänpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät;

3) päättää järjestelmän tietotekniseen toimintaan liittyvistä asioista, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu;

4) antaa tahdonilmaisupalvelussa olevia luovutusten hallintaan liittyviä asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutuksen seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista;

5) suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön sekä tietoliikenteeseen ja tietoliikenteen lokitietoihin kohdentuvaa valvontaa tietoturvan lisäämiseksi; sekä

6) salassapitovelvoitteiden estämättä saada Digi- ja väestötietovirastolta valtakunnallisia tietojärjestelmäpalveluita koskevien tehtävien hoitamiseksi tarvittavat välttämättömät tiedot.

Tietoturvallisuuden varmistamiseksi Kansaneläkelaitos ylläpitää valvontakeskusta sekä ryhtyy tarvittaviin toimenpiteisiin yhteistyössä palvelunantajien kanssa poikkeavaa toimintaa havaitessaan. Kansaneläkelaitoksen on viipymättä ilmoitettava Liikenne- ja viestintäviraston kyberturvallisuuskeskukselle havaitsemistaan tietoturvallisuusloukkauksista ja tietoturvallisuuden häiriöistä ja salassapitosäännösten estämättä annettava sille välttämättömät tiedot.

Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa. Kansaneläkelaitos voi laatia ja luovuttaa palvelunantajalle sen omassa rekisterissä oleviin, valtakunnallisiin tietojärjestelmäpalveluihin tallennettuihin asiakastietoihin ja lokitietoihin perustuvia yhteenvetoja, joilla on merkitystä palvelunantajan toiminnan kehittämisessä, seurannassa, raportoinnissa ja valvonnassa. Yhteenvedot eivät saa sisältää henkilötietoja.

Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisten tehtäväksi.

67 §
Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi

Palvelunantajan ja apteekin on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, ja otettava käyttöön ne 65 §:n 1 momentissa tarkoitetut tietojärjestelmäpalvelut, joihin sillä on velvoite tallentaa asiakastietoja tai jonka avulla sille voidaan luovuttaa asiakastietoja.

Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään potilastietojen tai sosiaalihuollon asiakastietojen käsittelyyn tarkoitettu tietojärjestelmä.

Muut sosiaali- ja terveysalan toimijat kuin palvelunantajat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 65 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi.

Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi.

68 §
Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista

Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä.

Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista.

69 §
Valtakunnallinen asiakastietovaranto

Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet sekä jäljennökset kysely- ja välityspalvelun kautta välitettävistä asiakirjoista valtakunnalliseen asiakastietovarantoon lukuun ottamatta lääkemääräyksiä ja muita reseptikeskukseen tallennettavia lääkehoitoa koskevia merkintöjä. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen asiakastietovarantoon. Valtakunnalliseen asiakastietovarantoon voidaan tallentaa asiakasasiakirjojen lisäksi myös muita asiakastietoja sisältäviä asiakirjoja sekä sosiaali- ja terveydenhuollon järjestämiseen liittyviä asiakirjoja.

Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa asiakastietovarannossa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakasasiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja.

Kukin 13 §:ssä tarkoitettu asiakastietojen rekisterinpitäjä on valtakunnalliseen asiakastietovarantoon tallentamiensa asiakirjojen rekisterinpitäjä.

70 §
Lokirekisterien säilytyspalvelu

Palvelunantajan on tallennettava 10 §:ssä tarkoitetut asiakastietojen luovutusta koskevat lokitiedot lokirekisterien säilytyspalveluun. Palvelunantaja voi tallentaa lokirekisterien säilytyspalveluun myös asiakastietojen käyttöä koskevat lokitiedot.

Kansaneläkelaitoksen on kerättävä ja tallennettava lokirekisterien säilytyspalveluun seurantaa ja valvontaa varten 65 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot.

Kukin sosiaali- ja terveydenhuollon palvelunantaja, apteekki ja Kansaneläkelaitos ovat toiminnassaan syntyneiden käyttölokien rekisterinpitäjiä.

Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös käyttölokitietojen luovuttamisesta. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien yhteisrekisterinpitäjiä. Reseptikeskuksen luovutuslokin yhteisrekisterinpitäjiä ovat palvelunantajat, apteekit ja Kansaneläkelaitos. Lokirekisterien säilytyspalvelun tietoja tallentavat palvelunantajat vastaavat toiminnassaan syntyneiden tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä.

71 §
Tiedonhallintapalvelu

Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset ajantasaiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille ja apteekeille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkehoitoa koskevat merkinnät, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:ssä tarkoitettu suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelu saa koostaa myös muita potilasasiakirjamerkintöjä. Palvelunantajalla on oikeus saada ja käyttää tiedonhallintapalvelun tietoja siten kuin 53 ja 54 §:ssä säädetään. Tiedonhallintapalvelusta saatuja tietoja saa käsitellä 9 §:ssä säädettyjen käyttöoikeuksien puitteissa.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tiedonhallintapalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös tiedonhallintapalveluun tallennettujen tietojen luovuttamisesta.

72 §
Tahdonilmaisupalvelu

Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja lääkemääräyslain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista.

Tahdonilmaisupalveluun voidaan tallentaa myös tieto muista kuin 1 momentissa tarkoitetuista henkilön:

1) terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista;

2) sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tahdonilmaisupalveluun tallennettujen sosiaali- ja terveydenhuoltoa koskevien 1 momentin ja 2 momentin 1 kohdassa tarkoitettujen tahdonilmausten yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa tahdonilmaisupalveluun tallennettujen tietojen luovuttamisesta.

73 §
Omatietovaranto

Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta.

Kansaneläkelaitos on omatietovarannon rekisterinpitäjä. Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 3 momentin mukaisiin käyttötarkoituksiin.

Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi.

Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta.

74 §
Kansalaisen käyttöliittymä ja hyvinvointisovellukset sekä niiden välityksellä näytettävät asiakastiedot

Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä.

Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän tai hyvinvointisovelluksen välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin, tietosuojalain 34 §:n tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja.

Sen estämättä, mitä 2 momentissa säädetään, henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi.

75 §
Ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn

Kansaneläkelaitoksen tulee toteuttaa ammattilaisen käyttöliittymä, joka mahdollistaa sähköisten lääkemääräysten laatimisen ja käsittelyn tietoverkkojen välityksellä.

Lääkäri voi laatia ammattilaisen käyttöliittymän avulla sähköisiä lääkemääräyksiä ammattioikeuden perusteella muulloin kuin palvelunantajan lukuun toimiessaan.

Ammattilaisen käyttöliittymällä laadittavien lääkemääräysten rekisterinpitäjyydestä säädetään lääkemääräyslaissa.

76 §
Kysely- ja välityspalvelu

Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla.

Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla.

10 luku

Tietoturvallisuuden ja tietosuojan omavalvonta

77 §
Tietoturvasuunnitelma

Palvelunantajan, apteekin, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on selvitettävä, miten asiakas- ja potilastietojen käsittelyyn ja tietojärjestelmiin liittyvät vaatimukset varmistetaan:

1) henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus;

2) tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet;

3) tietojärjestelmiä käytetään tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti;

4) tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti;

5) tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön ja käyttöympäristöön ja tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan;

6) tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia;

7) tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus ja jonka luotettavuus on varmistettu julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 12 §:ssä tarkoitetulla tavalla, jos henkilö tehtävissään pääsee käsittelemään asiakastietoja tai jos hän muuten tehtävissään voi vaarantaa sosiaali- ja terveydenhuollon jatkuvuuden kannalta kriittisten tietojärjestelmien toimintaa;

8) tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset 84 §:ssä säädetyt olennaiset vaatimukset; sekä

9) palvelunantajalla, apteekilla, välittäjällä ja Kansaneläkelaitoksella on suunnitelma siitä, miten tietoturvan ja tietosuojan omavalvonta järjestetään ja toteutetaan sen toiminnassa.

Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan ja apteekin tietoturvasuunnitelmassa esitettävä myös selvitys siitä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta.

78 §
Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu

Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan ja apteekkarin on huolehdittava, että 77 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Palvelunantajan, apteekin ja Kansaneläkelaitoksen tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti käsitellyt asiakastietoja.

Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla ja apteekilla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan tai apteekin henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi.

Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista.

Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37–39 artiklassa.

11 luku

Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto

79 §
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu

Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset.

Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat:

1) Kansaneläkelaitoksen ylläpitämät valtakunnalliset tietojärjestelmäpalvelut;

2) valtakunnallisiin tietojärjestelmäpalveluihin liitettäviksi tarkoitetut tietojärjestelmät ja hyvinvointisovellukset;

3) muut kuin 1 ja 2 kohdassa tarkoitetut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät; sekä

4) välittäjien palvelut.

Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B.

Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa tietojärjestelmän luokasta.

80 §
Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti

Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä yhteyshenkilöstä. Lisäksi ilmoituksessa on oltava 85 §:n mukainen selvitys toiminnallisuutta koskevien vaatimusten toteutumisesta, 86 §:ssä tarkoitettu todistus yhteentoimivuuden testauksesta ja 87 §:ssä tarkoitettu todistus tietoturvallisuutta koskevien olennaisten vaatimusten täyttämisestä. Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän tai hyvinvointisovelluksen siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle.

Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava ajantasainen tieto:

1) tuotantokäyttöön tarkoitetuista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista;

2) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista;

3) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arvioinnista saadun tietoturvallisuuden arviointia koskevan todistuksen voimassaolosta; sekä

4) tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan.

Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.

81 §
Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön

Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 85 §:n mukaisesti.

Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole ajantasaisia tietoja 80 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut. Luokkaan A kuuluvan tietojärjestelmän tuotantokäyttöönoton edellytyksenä on myös hyväksytty yhteentoimivuuden testaus niiden voimassa olevien yhteentoimivuutta koskevien vaatimusten osalta, jotka vastaavat järjestelmän käyttötarkoitusta.

Hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, jos se ei vastaa 84 §:ssä tarkoitettua toiminnallisten vaatimusten täyttymisen edellytyksenä olevaa terveyden ja hyvinvoinnin edistämisen käyttötarkoitusta.

82 §
Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta

Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on lisäksi ilmoitettava tietoturvallisuuden arviointilaitokselle ja valtakunnallisiin tietojärjestelmäpalveluihin liitetyn tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia.

Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.

12 luku

Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset

83 §
Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet

Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta.

Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta.

Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä.

Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla.

84 §
Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset

Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa.

Palvelunantajan ja apteekin käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan ja apteekin toimintaa ja täytettävä palvelunantajan ja apteekin toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Tietojärjestelmä tai hyvinvointisovellus täyttää olennaiset vaatimukset, jos se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot. Hyvinvointisovelluksen toiminnallisuutta koskevien vaatimusten täyttymisen edellytyksenä on, että hyvinvointisovellus edistää kansalaisten terveyttä ja hyvinvointia.

Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä, toimeenpanon määräajoista ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa. Ennen määräyksen antamista on pyydettävä Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta lausunto tietoturvaa ja tietoturvavaatimusten todentamisen menettelyjä koskevista vaatimuksista ja tietosuojavaltuutetun toimistolta tietosuojaa koskevista vaatimuksista.

85 §
Vaatimustenmukaisuuden osoittaminen

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, sekä hyväksytyllä yhteentoimivuuden testauksella ja 87 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu.

Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen.

Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai lääkemääräyslaissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.

86 §
Yhteentoimivuuden testaaminen

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.

Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan todistuksen yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu.

Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille luokkaan A kuuluville tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei suoriteta erillistä yhteentoimivuuden testausta.

87 §
Tietoturvallisuuden arviointi

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta.

Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti, jos tietojärjestelmä täyttää tietoturvallisuutta koskevat olennaiset vaatimukset. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti.

Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan.

88 §
Kansaneläkelaitoksen ja tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 87 §:ssä tarkoitetuista todistuksista. Kansaneläkelaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, tietoturvallisuuden arviointilaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 86 §:ssä tarkoitetuista todistuksista.

Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.

13 luku

Tietojärjestelmien valvonta

89 §
Tietojärjestelmien valvonta ja tarkastukset

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava hallintolain 39 §:ää. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on Sosiaali- ja terveysalan lupa- ja valvontavirastolla oikeus saada tarpeellista poliisin virka-apua. Poliisin antamasta virka-avusta säädetään poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä.

90 §
Ilmoittaminen tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin kohdistuvista tietoturvallisuuden häiriöistä

Jos palvelunantaja tai apteekki havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos tietojärjestelmän tai hyvinvointisovelluksen poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan, hyvinvointisovelluksen valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetulle säädetään tietosuoja-asetuksen 33 artiklassa.

Palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai välittäjän on ilmoitettava viipymättä Sosiaali- ja terveysalan lupa- ja valvontavirastolle sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena tietojärjestelmien käyttö ja sosiaali- ja terveyspalveluiden toteuttaminen voi merkittävästi vaarantua. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta.

Jos 1 ja 2 momentissa tarkoitetusta tietoturvallisuuteen liittyvästä poikkeamasta tai häiriöstä ilmoittaminen on yleisen edun mukaista, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa palvelunantajan, apteekin, Kansaneläkelaitoksen, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan taikka välittäjän tiedottamaan yleisölle asiasta taikka kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.

Sosiaali- ja terveysalan lupa- ja valvontaviraston on arvioitava, koskeeko 1 ja 2 momentissa tarkoitettu julkista terveydenhuoltoa koskeva tietoturvallisuuteen liittyvä poikkeama tai häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille.

91 §
Sosiaali- ja terveysalan lupa- ja valvontaviraston tiedonsaantioikeus valvontaa varten

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten valvontaa varten välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

92 §
Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä ja hyvinvointisovelluksia, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

93 §
Määräys velvollisuuksien täyttämiseksi

Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, hyvinvointisovelluksen valmistaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi päätöksellään määrätä velvollisuuden täytettäväksi määräajassa.

94 §
Käytössä oleviin tietojärjestelmiin ja hyvinvointisovelluksiin kohdistuvat velvollisuudet

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 89 §:n nojalla tietojärjestelmää tai hyvinvointisovellusta koskevan valvonnan ja tarkastuksen samalla päätöksellään määrätä tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan korjaamaan tuotantokäytössä olevaa tietojärjestelmää koskevat puutteet ja hyvinvointisovelluksen valmistajan korjaamaan tuotantokäytössä olevaa hyvinvointisovellusta koskevat puutteet.

Jos tietojärjestelmä tai hyvinvointisovellus voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän tai hyvinvointisovelluksen käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho taikka hyvinvointisovellus tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan, hyvinvointisovelluksen valmistajan tai niiden valtuuttaman edustajan tiedottamaan tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla.

95 §
Muutoksenhaku

Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää.

96 §
Uhkasakko

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).

III OSA

ERINÄISET SÄÄNNÖKSET JA VOIMAANTULO

14 luku

Erinäiset säännökset

97 §
Ohjaus, valvonta ja seuranta

Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden rahoituksesta kuuluvat sosiaali- ja terveysministeriölle.

Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen toteuttamisen ja käytön suunnittelusta, käytettävien tietorakenteiden yhteensovittamisesta, ohjauksesta ja seurannasta.

Tietosuojavaltuutettu, Lääkealan turvallisuus- ja kehittämiskeskus, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

98 §
Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö

Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista.

Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.

Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa.

99 §
Maksut

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille ja apteekeille maksullista sen jälkeen, kun palvelunantaja tai apteekki on velvoitettu liittymään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden maksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista.

Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksen 86 §:n tarkoitettuun yhteentoimivuuden testaukseen ilmoittautuminen on tietojärjestelmäpalvelun tuottajille maksullinen. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 80 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksuista säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

100 §
Rangaistussäännökset

Joka tahallaan tai törkeästä huolimattomuudesta

1) rikkoo 8 §:n 1 momentissa säädettyä tunnistamisvelvollisuutta,

2) luovuttaa asiakastietoja 8 luvussa säädetyn vastaisesti ilman asiakkaan luovutuslupaa, suostumusta tai laissa säädettyä oikeutta taikka

3) laiminlyö 68 §:n 1 momentissa säädetyn informointivelvollisuuden ja siten vaarantaa asiakkaan yksityisyyden suojaa,

on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon.

Rangaistus tietomurrosta säädetään rikoslain 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä.

15 luku

Voimaantulo- ja siirtymäsäännökset

101 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä tammikuuta 2024.

Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (784/2021) sekä sosiaalihuollon asiakasasiakirjoista annettu laki (254/2015).

Tämän lain liitteessä tarkoitettuja säilytysaikoja sovelletaan myös ennen lain voimaantuloa laadittuihin asiakirjoihin. Lisäksi sovelletaan, mitä valtionarkisto, arkistolaitos ja Kansallisarkisto ovat erikseen määränneet asiakirjojen arkistoinnista.

Lain 16 §:ää sovelletaan myös ennen lain voimaantuloa toimintansa päättäneiden palvelunantajien asiakirjoihin, kuitenkin niin, ettei hyvinvointialueille aiemmin toimitettuja toiminnan päättäneiden palvelunantajien asiakirjoja siirretä Kansaneläkelaitoksen säilytettäviksi.

Lain 18 §:n 1 momenttia potilasasiakirjojen tallentamisesta potilasrekisteriin sovelletaan myös ennen lain voimaantuloa sosiaalihuollossa laadittuihin potilasasiakirjoihin.

102 §
Siirtymäsäännökset

Lain 53 §:ssä tarkoitettu tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.

Lain 59 §:n 2 momentissa tarkoitettua kaikkiin potilastietoihin ja työterveyshuoltoon kohdistuvaa kielto on otettava käyttöön viimeistään 1 päivänä tammikuuta 2024.

Sosiaalihuollon palveluiden järjestämisen ja toteuttamisen yhteydessä kirjattavat potilastiedot tulee tallentaa potilasrekisteriin viimeistään 1 päivänä lokakuuta 2026.

Lain 60 §:ssä tarkoitettu potilastietojen luovuttaminen ulkomaille on toteutettava viimeistään 1 päivästä tammikuuta 2025.

Julkisen sosiaalihuollon palvelunantajan on liityttävä 65 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietovarantoon viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026. Jos palvelunantajien tallentamien asiakirjojen 7 momentin mukainen tallentamisvelvoitteen määräaika on näiden ajankohtien jälkeen, on sen liityttävä valtakunnalliseen asiakastietovarantoon viimeistään silloin, kun tallentamisvelvoite alkaa.

Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen terveydenhuollon palvelunantajan tulee aloittaa asiakirjojen tallentaminen seuraavasti:

1) viimeistään 1 päivänä maaliskuuta 2025 koulupsykologien laatimat asiakirjat;

2) viimeistään 1 päivänä lokakuuta 2026:

a) sosiaalipalveluiden yhteydessä annettaviin terveyspalveluihin liittyvät potilasasiakirjat;

b) ajanvarausasiakirja asiakkaalle ilmoitettavista terveydenhuollon ajanvarauksista;

c) seulontatutkimuksista syntyvät laboratoriotulokset;

d) ajoterveyteen liittyvät todistukset ja lomakkeet;

e) tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet;

f) lääkärinlausunto terveydentilasta (T-todistus);

g) lääkärintodistukset C ja TOD; sekä

h) jäljennös kuolintodistuksesta;

3) viimeistään 1 päivänä lokakuuta 2029:

a) hoitotyön päivittäismerkinnät;

b) seulontatutkimuksista syntyvät kuvantamistutkimukseen liittyvät asiakirjat;

c) video- ja äänitallenteet sekä näkyvän valon kuvat;

d) suun terveydenhuollon yksiköiden tallentamat kuvat; sekä

e) muut kuin c ja d alakohdassa tarkoitetut kuvat.

Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen sosiaalihuollon palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen asiakastietovarantoon seuraavasti:

1) lastensuojelun palvelutehtävässä ja koulukuraattorin palvelussa syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2025;

2) vammaispalvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2025;

3) päihdehuollon palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä maaliskuuta 2026;

4) perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2026; sekä

5) kaikissa palvelutehtävissä syntyvät video- ja äänitallenteet viimeistään 1 päivänä lokakuuta 2029.

Lain 73 §:n 3 momentissa tarkoitettu mahdollisuus luovuttaa hyvinvointitietoja palvelunantajalle on toteutettava valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.

Potilastietojen luovuttaminen hyvinvointisovelluksille lain 74 §:n 2 momentin mukaisesti tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä joulukuuta 2024, reseptikeskukseen tallennettavien lääkemääräystä osalta kuitenkin viimeistään 1 päivänä lokakuuta 2027.

HE 246/2022
StVM 48/2022
EV 300/2022

Helsingissä 14.4.2023

Tasavallan Presidentti
Sauli Niinistö

Perhe- ja peruspalveluministeri
Krista Kiuru

Liite

Asiakasasiakirjojen säilytysajat
Potilasasiakirjat Säilytysaika
Perinnöllisyyslääketieteen ja harvinaissairauksien kannalta merkittävät asiakirjat Säilytetään pysyvästi, säilytystarve arvioitava viiden vuoden välein
Palvelutapahtumista kirjattavat diagnostiikkaan, hoidon suunnitteluun, toteutukseen, seurantaan ja arviointiin liittyvät merkinnät ja yhteenvedot, väli- ja loppuarviot, hoitosuunnitelmat, lähetteet ja lausunnot, konsultaatiopyynnöt, tahdosta riippumattomaan hoitoon liittyvät päätökset, tuloskäyrät (EEG, EKG, ENMG, KTG, kuulokäyrät ja muut vastaavat), sädehoidon kuvat ja kortistot, solusalpaajahoitokortit sekä lääkemääräykset 12 vuotta kuolemasta tai 120 vuotta syntymästä, jos kuolinaika ei ole tiedossa tai kyse on alle 18-vuotiaana kuolleesta lapsesta
Hammaslääketieteelliset röntgenkuvat 12 vuotta kuolemasta tai 120 vuotta syntymästä
Muut kuin tunnistamisessa käytettävät hammaslääketieteelliset röntgenkuvat, magneetti-, isotooppi- ja ultraäänikuvat sekä vastaavat kuvantamistutkimusten tallenteet 20 vuotta kuvauksesta, kuitenkin enintään 12 vuotta kuolemasta
Näkyvän valon kuvat, diakuvat ja muut kuva-, video- ja äänitallenteet Hoidon kannalta tarpeelliseksi arvioidut 12 vuotta aineiston tuottamisesta
Lääkemääräysten toimitusmerkinnät, lääkehoidon toteutusta koskevat merkinnät ja muut lääkemääräyksiin liittyvät merkinnät 12 vuotta lääkemääräyksen voimassaolon tai hoitojakson päättymisestä
Tutkimus- ja laskenta-aineistot, tiedonkeruulomakkeet 12 vuotta tiedonkeruun tms. toteuttamisesta
Potilaan laatimat seurantatiedot ja muut hoitoon liittyvät asiakirjat 12 vuotta asiakirjan saapumisesta
Ajanvarausasiakirjat 12 vuotta asiakirjan laatimisesta
Saapumatta jääneiden potilaiden erilliset läheteasiakirjat (joista ei ole syntynyt hoitovastuuta) 1 vuosi asiakirjan laatimisesta
Jäljennökset muiden terveydenhuollon palvelunantajien potilasasiakirjoista Voi hävittää heti, kun tarvittavat merkinnät on tallennettu potilastietojärjestelmään
Ajan- ja hoidonvarauspäiväkirjat, uloskirjaus, poliklinikka-, osastohoito-, toimenpidepäiväkirjat ja vastaavat 1 vuosi viimeisen käynnin toteutumisesta
Elinluovutustahto, hoitotahto, ruumiinluovutustestamentti ja muut potilaan tahdonilmaukset Uusimpia versioita 12 vuotta kuolemasta tai 120 vuotta syntymästä, edeltävät versiot 12 vuotta
Potilaskohtainen hoitoon liittyvä kirjeenvaihto/ yhteydenpito 3 vuotta viestin tai vastaavan päiväyksestä
Leikkauksista kuvattavat videot Saa hävittää heti kun käyttötarve on päättynyt
Kopiot muita tahoja varten laadituista lääkärinlausunnoista ja -todistuksista (myös työterveyshuoltolainsäädännössä edellytetyt todistukset) 5 vuotta todistuksen tai lausunnon laatimisesta
Potilasasiakirjoihin liitettävä jäljennös kuolintodistuksesta sekä lääketieteellisen kuolemansyyn selvittämiseen liittyvät ruumiinavauspöytäkirjat ja ‑lausunnot 12 vuotta asiakirjan tuottamisesta
Näytteet ja elinmallit Säilytysaika
Perinnöllisyyslääketieteen ja harvinaissairauksien kannalta merkittävät kudosblokit ja näytelasit Saa säilyttää pysyvästi
Kudosblokit Enintään 12 vuotta kuolemasta tai 120 vuotta syntymästä, jos kuolinaika ei tiedossa tai kyse alle 18-vuotiaan lapsen kuolemasta
Histologiset, patologian, hematologian ja sytologian näytelasit 12 vuotta
Kliinisen kemian näytteet Voidaan hävittää heti, kun analyysi on tehty
Hampaiden kipsimallit Voidaan antaa potilaalle tai hävittää hoidon päätyttyä
Sosiaalihuollon asiakasasiakirjat tai palvelutehtävä, jossa asiakasasiakirjat laaditaan Säilytysaika
Asiakkuusasiakirja ja asiakkaan perustiedot 2 vuotta asiakkaan kuolemasta
Lapsiperheiden palvelutehtävä 30 vuotta asian sulkemisesta
Työikäisten palvelutehtävä 10 vuotta asian sulkemisesta
Iäkkäiden palvelutehtävä 10 vuotta asian sulkemisesta
Päihdehuollon palvelutehtävä 10 vuotta asian sulkemisesta
Vammaispalvelujen palvelutehtävä 10 vuotta viimeisen asian sulkemisesta, kun vammaispalvelujen tarve on päättynyt
Lastensuojelun palvelutehtävä 2 vuotta asiakkaan kuolemasta
Perheoikeudellisten palvelujen palvelutehtävä Lasta koskevissa asioissa 120 vuotta lapsen syntymästä, muissa asioissa 10 vuotta asian sulkemisesta
Tositteet 3 vuotta
Asiakasmaksupäätökset ja tuloselvitysasiakirjat 12 vuotta päätöksen voimassaolon päättymisestä
Asiakaskohtainen palveluun liittyvä yhteydenpito tai kirjeenvaihto 3 vuotta viestin tai vastaavan päiväyksestä
Kopiot muita tahoja varten laadituista lausunnoista ja -todistuksista 5 vuotta todistuksen tai lausunnon laatimisesta
Sosiaalipalveluissa kuvattavat video- ja äänitallenteet Saa hävittää, kun käyttötarve on päättynyt ja tarvittavat kirjaukset on tehty asiakasasiakirjoihin
Luovutustenhallinnan asiakirjat Säilytysaika
Luovutus- ja käyttölokitiedot sekä luovutusilmoitukset 12 vuotta lokitapahtumasta
Luovutusluvat, suostumukset, kielto-asiakirjat Uusin versio 12 vuotta kuolemasta, edeltävät 12 vuotta uuden version laatimisen jälkeen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.