159/2007

Syftet med denna lag är att främja datasäker elektronisk behandling av klientuppgifter inom social- och hälsovården. Genom lagen genomförs ett enhetligt elektroniskt behandlings- och arkiveringssystem för patientuppgifter för effektiv produktion av hälso- och sjukvårdstjänster så att patientsäkerheten beaktas samt för främjande av patientens möjligheter att få information.

I denna lag föreskrivs om elektronisk behandling av klientuppgifter inom social- och hälsovården.

Denna lag tillämpas när tillhandahållare av offentliga och privata socialvårdstjänster och hälso- och sjukvårdstjänster ordnar eller genomför socialvård eller hälso- och sjukvård.

Om inte något annat följer av denna eller någon annan lag tillämpas på behandlingen av klientuppgifter vad som föreskrivs i lagen om patientens ställning och rättigheter (785/1992) , nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000) , nedan klientlagen, lagen om offentlighet i myndigheternas verksamhet (621/1999) , lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) , lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) , lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) och arkivlagen (831/1994) eller i bestämmelser som utfärdats med stöd av dem. Vid behandlingen av klientuppgifter och ordnande av tjänster och funktioner enligt denna lag ska dessutom iakttas vad som föreskrivs i språklagen (423/2003) och med stöd av den. Om det informationssystem där hälso- och sjukvårdens klient- och patientuppgifter behandlas utgör sådan utrustning för hälso- och sjukvård som avses i lagen om produkter och utrustning för hälso- och sjukvård (629/2010) tillämpas på informationssystemet även den lagen och kraven i enlighet med den. (29.11.2019/1197)

I denna lag avses med

Vid elektronisk behandling av klientuppgifter skall uppgifternas tillgänglighet och användbarhet tryggas. Klientuppgifterna skall förvaras så att de behåller sin integritet och oförvanskade form under hela förvaringstiden.

Av en elektronisk klienthandling skall det finnas endast ett original som är specificerat med en identifikation. För att tillhandahålla en tjänst eller av någon annan grundad anledning kan av originalet tas en kopia av vilken det skall framgå att handlingen är en kopia.

Närmare bestämmelser om specificeringen av klienthandlingar samt om förvaringen av kopior av dem kan utfärdas genom förordning av social- och hälsovårdsministeriet.

En tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster skall föra ett register över dem som använder tillhandahållarens egna klientdatasystem och klientregister samt över användarnas behörigheter.

En tillhandahållare av tjänster ska för uppföljningen särskilt för varje klientregister samla in logguppgifter om all användning och om varje utlämnande av klientuppgifter i ett loggregister. I användningsloggregistret lagras uppgifter om använda klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter används, vem som har använt klientuppgifterna, användningsändamålet och användningstidpunkten. I utlämningsloggregistret lagras uppgifter om utlämnade klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter utlämnas, vem som lämnat ut klientuppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten. Folkpensionsanstalten ska samla in motsvarande information om utlämnande av uppgifter som lagrats i och visats via patientens informationshanteringstjänst som avses i 14 a §. (28.3.2014/250)

Logguppgifter som gäller utlämnande av journalhandlingsuppgifter och som innehas av tillhandahållare av hälso- och sjukvårdstjänster lagras i den arkiveringstjänst som avses i 14 §.

Behörighetsuppgifter och logguppgifter över dem som använder klientuppgifter skall förstöras när de inte längre behövs för tillsynen av om klientuppgifter används eller utlämnas i enlighet med lag. Närmare bestämmelser om behörighetsuppgifter och logguppgifter samt den tid som dessa uppgifter åtminstone skall bevaras kan utfärdas genom förordning av social- och hälsovårdsministeriet.

Hälso- och sjukvårdens patientdatasystem och journalhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, förvaring och skydd av elektroniska journalhandlingar med hjälp av de riksomfattande informationssystemtjänster som avses i 14 §. En tillhandahållare av hälso- och sjukvårdstjänster ska klassificera de journalhandlingar och patientuppgifter som kräver särskilt skydd som sådana patientuppgifter som ska skyddas genom separat begäran om bekräftelse.

Närmare bestämmelser om vilka journalhandlingar som ska klassificeras som sådana som kräver särskilt skydd kan utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd kan meddela närmare föreskrifter om patientdatasystemens och journalhandlingarnas datastrukturer samt om annan än ovan avsedd klassificering av uppgifter.

Klientdatasystemet skall kunna producera de uppgifter som behövs för den planering, ledning och statistikföring som tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster själv sköter och de uppgifter som behövs för den riksomfattande forsknings- och statistikverksamheten samt uppgifter om bedömning av vårdbehovet och om tidpunkten för intagning för vård.

Vid elektronisk behandling av klientuppgifter ska klienten, tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, andra parter i behandlingen av klientuppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. Identifieringen av de personer som behandlar patientuppgifter, tillhandahållarna av tjänster, de datatekniska enheterna samt de riksomfattande informationssystemtjänsterna förutsätter verifiering. Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Myndigheten för digitalisering och befolkningsdata till den del det gäller uppgifter som myndigheten i fråga enligt 14 § ska sköta.

Klientuppgifternas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och förvaring av uppgifterna. Vid elektronisk signering som görs av en fysisk person ska det användas en sådan avancerad elektronisk underskrift som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Vid signering som görs av en organisation och datatekniska enheter ska det användas en elektronisk underskrift av motsvarande tillförlitlighet.

Patientuppgifter får med hjälp av i 14 § avsedda riksomfattande informationssystemtjänster lämnas ut endast till andra tillhandahållare av hälso- och sjukvårdstjänster för ordnande och tillhandahållande av hälso- och sjukvård för patienten. Utlämnandet ska ske antingen med patientens samtycke eller med stöd av 13 § 3 mom. 3 punkten i patientlagen eller med stöd av någon annan bestämmelse i lag som ger rätt till utlämnande. (21.12.2010/1227)

Elektroniskt utlämnande av patientuppgifter på grundval av en elektronisk begäran om utlämnande till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs med hjälp av riksomfattande informationssystemtjänster efter det att existensen av en vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Annat utlämnande av patientuppgifter på elektronisk väg till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs antingen med hjälp av de riksomfattande informationssystemtjänsterna eller i form av utlämnande mellan tillhandahållarna av hälso- och sjukvårdstjänster.

3 mom. har upphävts genom L 26.4.2019/558 . (26.4.2019/558)

Med hjälp av de riksomfattande informationssystemtjänsterna får, trots vad som föreskrivs i 1 mom., dessutom intyg och utlåtanden lämnas ut till den aktör utanför hälso- och sjukvården för vilken handlingen har upprättats. Övriga specificerade handlingar som bifogats till intyg och utlåtanden får lämnas ut tillsammans med intyget. Handlingarna lämnas ut med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna, förutsatt att patienten meddelar sitt informerade, specificerade samtycke. Den som tar emot ett samtycke ska anteckna en uppgift om det i den handling som ska lämnas ut. Institutet för hälsa och välfärd meddelar föreskrifter om vilka handlingar som får lämnas ut med hjälp av informationsförmedlings- och förfrågningsservicen. (20.3.2015/255)

Bestämmelser om utlämnande av patientuppgifter på annan väg än med hjälp av riksomfattande informationssystemtjänster finns i 4 kap. i patientlagen. Bestämmelser om utlämnande av uppgifter ur elektroniska recept finns dessutom i lagen om elektroniska recept (61/2007) . (21.12.2010/1227)

Med stöd av ett i 10 § 1 mom. avsett samtycke av patienten får alla patientuppgifter som hör till de riksomfattande informationssystemtjänsterna lämnas ut. En patient som gett ett sådant samtycke får emellertid förbjuda utlämnandet av vissa uppgifter som han eller hon särskilt specificerar. Förbudet kan gälla en viss servicehändelse eller en viss tillhandahållare av hälso- och sjukvårdstjänster. Ett samtycke och ett förbud gäller tills vidare och får återkallas.

Ett samtycke och ett förbud kan meddelas vilken sådan tillhandahållare av hälso- och sjukvårdstjänster som helst som anslutit sig till de riksomfattande informationssystemtjänsterna. Den som tar emot ett samtycke eller förbud ska utan dröjsmål förmedla det till patientens informationshanteringstjänst som avses i 14 a §. Patientens informationshanteringstjänst ska realiseras så att ett samtycke och ett förbud kan meddelas när som helst. Ett samtycke och ett förbud får också meddelas med hjälp av en sådan elektronisk förbindelse för åtkomst till uppgifter som avses i 19 §.

Det som i 2 mom. bestäms om meddelande av ett samtycke eller förbud gäller också återkallande av ett samtycke eller förbud.

En handling som undertecknas av patienten ska upprättas över ett samtycke eller förbud som gäller utlämnande av patientuppgifter. Samtyckeshandlingen ska innefatta sådan information som avses i 17 § om de riksomfattande informationssystemtjänsterna och om hur tjänsterna påverkar behandlingen av uppgifter som gäller patienten. Av förbudshandlingen ska det framgå att de uppgifter som omfattas av ett gällande förbud inte får användas vid tillhandahållandet av hälso- och sjukvård även om uppgifterna skulle vara av betydelse för vården. Folkpensionsanstalten ska utarbeta modeller för samtyckes- och förbudshandlingarna. Den som tar emot ett samtycke eller förbud ska ge patienten en kopia av handlingen. Då patienten meddelar ett samtycke eller förbud med hjälp av en elektronisk förbindelse för åtkomst till uppgifter ska patienten ges motsvarande information via denna förbindelse.

Den som tar emot ett samtycke eller förbud ska förvara den undertecknade handlingen för registerförarens räkning. På dessa handlingars förvaringstid tillämpas det som i patientlagen och med stöd av den bestäms om förvaring av journalhandlingar.

Det som ovan bestäms om samtyckes- och förbudshandlingar gäller också handlingar som upprättas för återkallelse av ett samtycke eller förbud.

När en patient saknar förutsättningar att bedöma betydelsen av det samtycke som avses i 10 § 1 mom. får uppgifter som är nödvändiga för hälso- och sjukvården lämnas ut med samtycke av patientens lagliga företrädare. Patientens lagliga företrädare har rätt att trots tystnadsplikten få de uppgifter om patienten som är nödvändiga för att meddela och effektuera ett samtycke. Vid meddelandet av ett samtycke iakttas i övrigt det som i 11 § i patientlagen bestäms om patientens samtycke.

För tillhandahållarna av hälso- och sjukvårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen och användningen av journalhandlingar samt som en del av tjänsten, för utlämnandet av journalhandlingar, en katalogtjänst och patientens informationshanteringstjänst. I arkiveringstjänsten får det utöver journalhandlingarna lagras även andra handlingar som anknyter till ordnandet av hälso- och sjukvården och till informationshanteringen. För tillhandahållarna av socialvårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen av klienthandlingar inom socialvården. Folkpensionsanstalten sköter dessutom inom ramen för de riksomfattande informationssystemtjänsterna förvaringen av utlämningsloggregistren som en del av arkiveringstjänsten, det medborgargränssnitt som avses i 19 § och den tjänst genom vilken de riksomfattande informationssystemtjänsterna kan användas via internet och med mobila apparater med hjälp av telekommunikationsnät. Folkpensionsanstalten kan även ha hand om andra riksomfattande tjänster som anknyter till social- och hälsovårdens informationshantering enligt vad som särskilt föreskrivs om dem någon annanstans, samt sköta förvaringen av användningsloggregistren. Folkpensionsanstalten får vid behov meddela anvisningar om de tekniska konfigurationer och de definitioner för meddelandetrafiken som genomförandet av de ovannämnda riksomfattande informationssystemtjänsterna kräver. (20.3.2015/255)

Institutet för hälsa och välfärd ska definiera de datainnehåll och begreppsmodeller som genomförandet av de riksomfattande informationssystemtjänsterna kräver samt de datastrukturer som stöder verksamhetsprocesserna. Dessutom svarar institutet för kodtjänstens innehåll. Folkpensionsanstalten sköter det datatekniska genomförandet av kodtjänsten. Kodtjänsten omfattar alla de kodsystem som behövs vid behandlingen av klienthandlingar med hjälp av de riksomfattande informationssystemtjänsterna. (20.3.2015/255)

Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tillhandahållare av social- och hälsovårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. Tillstånds- och tillsynsverket för social- och hälsovården har på motsvarande sätt rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat på ovannämnda grunder. (29.11.2019/1197)

Tillstånds- och tillsynsverket för social- och hälsovården upprätthåller roll- och attributdatatjänsten och kodsystem med hjälp av vilka tillhandahållare av hälso- och sjukvårdstjänster, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna ges information om rätten att vara verksam som yrkesutbildad person inom hälso- och sjukvården och om rätten att använda yrkesbeteckning samt om giltighetstiden för dessa rättigheter. Tillstånds- och tillsynsverket för social- och hälsovården har dessutom till uppgift att för Myndigheten för digitalisering och befolkningsdatas certifikattjänster tillhandahålla sakkunskap om verksamheten inom hälso- och sjukvården samt om idkande av näring och yrkesutövning. (29.11.2019/1197)

Folkpensionsanstalten får inte ge en utomstående i uppdrag att behandla eller förvara socialvårdens personregister eller patientregister som har samband med tillhandahållandet av de riksomfattande informationssystemtjänsterna eller loggregister som hänför sig till dem. (20.3.2015/255)

Folkpensionsanstalten svarar för patientens informationshanteringstjänst. Tillhandahållare av hälso- och sjukvårdstjänster får i samband med anordnandet och tillhandahållandet av hälso- och sjukvård för patienten använda de uppgifter om patienten som finns i patientens informationshanteringstjänst eller som kan ses via tjänsten.

I informationshanteringstjänsten lagras uppgifter om de samtycken och förbud som patienterna meddelat med stöd av 10–12 § samt om den information som patienterna getts med stöd av 17 §. I informationshanteringstjänsten lagras också förbud som patienten meddelat mot tagande av organ, vävnader eller celler för behandling av en annan människas sjukdom eller kroppsskada eller någon annan viljeyttring från patientens sida som gäller organdonation samt patientens livstestamente. I informationshanteringstjänsten kan också patientens övriga viljeyttringar som hänför sig till hälso- och sjukvården lagras.

Via patientens informationshanteringstjänst kan även sådana uppgifter som är viktiga med tanke på patientens hälso- och sjukvård eller anknytande tjänster visas. Bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. Sådana uppgifter vars utlämnande patienten förbjudit med stöd av 10–12 § får dock inte visas via informationshanteringstjänsten. (28.3.2014/250)

Folkpensionsanstalten är registerförare för patientens informationshanteringstjänst. Folkpensionsanstalten ansvarar för tillgängligheten och integriteten i fråga om uppgifterna i informationshanteringstjänsten, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna. Den som lagrar uppgifter i patientens informationshanteringstjänst ansvarar för att uppgifterna är korrekta och för att felaktiga uppgifter som finns i tjänsten rättas. Vid rättelse av felaktiga uppgifter i informationshanteringstjänsten ska 29 § i personuppgiftslagen tillämpas. Om en felaktig uppgift är baserad på en anteckning som gjorts av en tillhandahållare av hälso- och sjukvårdstjänster ska yrkande om rättelse riktas till den tillhandahållare som gjort den felaktiga anteckningen. (28.3.2014/250)

Tillhandahållare av offentliga hälso- och sjukvårdstjänster skall ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 14 §. Tillhandahållare av privata hälso- och sjukvårdstjänster skall ansluta sig som användare av dessa informationssystemtjänster, om långtidsförvaringen av deras journalhandlingar genomförs elektroniskt. Tillhandahållare av offentliga hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Om denna anslutning skall dock föreskrivas särskilt på det sätt som bestäms i 32 § i självstyrelselagen för Åland (1144/1991) .

Original av journalhandlingar som uppkommit efter anslutningen ska lagras i den riksomfattande arkiveringstjänsten. Samtyckes- och förbudshandlingar som hänför sig till utlämnandet av dessa journalhandlingar ska på motsvarande sätt lagras i patientens informationshanteringstjänst. Journalhandlingar som uppkommit före anslutningen kan lagras i den riksomfattande arkiveringstjänsten. (21.12.2010/1227)

Bestämmelser om begränsning av skyldigheten att lagra vissa sådana originalhandlingar som avses i 2 mom. i den riksomfattande arkiveringstjänsten kan utfärdas genom förordning av social- och hälsovårdsministeriet. (21.12.2010/1227)

De riksomfattande informationssystemtjänsterna och patientuppgifterna skall vara tillgängliga dygnet runt så att man alltid har tillgång till patientuppgifterna utan att patientsäkerheten äventyras. Informationssystemtjänsterna skall ha nödvändiga reservsystem med tanke på funktionsstörningar och undantagsförhållanden.

Folkpensionsanstalten är tekniskt ansvarig för arkiveringstjänsten samt dess administratör och svarar i den egenskapen för tjänsten rent generellt och för dess lagenlighet. Vidare ansvarar Folkpensionsanstalten för den tekniska realiseringen av den elektroniska förbindelse för åtkomst till uppgifter som tillhandahålls patienten enligt 19 § samt för de tekniska konfigurationer som de riksomfattande informationssystemtjänsterna kräver. Folkpensionsanstalten utövar även beslutanderätt i frågor som gäller systemets datatekniska funktion. Detta gäller om inget annat följer av denna lag eller bestämmelser som utfärdats med stöd av den. Dessutom ansvarar Folkpensionsanstalten för förmedlingen av information till allmänheten i frågor som gäller de riksomfattande informationssystemtjänsterna. (21.12.2010/1227)

En tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten ansvarar i egenskap av registerförare av patientuppgifter för innehållet i de införda patientuppgifterna och de logguppgifter som anknyter till deras behandling samt för att uppgifterna är korrekta. Vidare ansvarar tillhandahållaren för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas.

Folkpensionsanstalten ansvarar för patientuppgifternas användbarhet, integritet, oförvansklighet, skydd, förvaring och utplåning i fråga om de informationssystemtjänster som den sköter. Folkpensionsanstalten ansvarar vidare för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i utlämningsloggregistret. Folkpensionsanstalten har inte bestämmanderätt över patientuppgifterna i arkiveringstjänsten eller rätt att lämna ut uppgifter, om inte annat bestäms i denna lag. Inte heller i övrigt får patientuppgifter behandlas i större utsträckning än vad som är nödvändigt för administrationen. Arkiveringstjänsten skall skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.

Folkpensionsanstalten kan upprätta och lämna ut sammanställningar över sådan beskrivande information om uppgifterna i arkiveringstjänsten som kan ha betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Dessutom kan Folkpensionsanstalten på de grunder som anges i 13 § 2–5 mom. i patientlagen lämna ut sådana uppgifter enligt 14 a § 2 mom. i denna lag om en patients viljeyttringar som finns i patientens informationshanteringstjänst. (28.3.2014/250)

Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till de riksomfattande informationssystemtjänsterna ska informera patienten om de riksomfattande informationssystemtjänsterna, om deras allmänna verksamhetsprinciper och om patientens rättigheter i fråga om dem. Informationen ska lämnas före den första servicehändelsen eller i samband med den. Dessutom ska patienten informeras om vem som ordnar informationssystemtjänsterna, förutsättningarna för utlämnande av patientuppgifter, skyddet av informationen och om andra omständigheter i samband med behandlingen av uppgifter som är av betydelse för patienten.

Tillhandahållaren av hälso- och sjukvårdstjänster ska informera patienten personligen, skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på annat sätt än skriftligen ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i patientens informationshanteringstjänst som avses i 14 a §. Om patienten redan har fått informationen, får undantag göras från upplysningsplikten i enlighet med 24 § i personuppgiftslagen.

Vid behov får närmare bestämmelser om förfarandet i fråga om sätten att informera och om informationens innehåll utfärdas genom förordning av social- och hälsovårdsministeriet.

Bestämmelser om klientens rätt att kontrollera uppgifter i klientregistret och om tillgodoseendet av denna rätt finns i 26–28 § i personuppgiftslagen.

För utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina klientuppgifter har en klient rätt att på grundval av en skriftlig begäran utan dröjsmål av tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster på grundval av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har utlämnat uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Klienten har motsvarande rätt att av Folkpensionsanstalten få information om utlämnande av uppgifter som lagrats i och som visas via patientens informationshanteringstjänst som avses i 14 a §. Klienten har dock inte rätt att få logguppgifter, om den som lämnar ut logguppgifter vet att utlämnandet av logguppgifterna kan medföra allvarlig fara för klientens hälsa eller vård eller för någon annans rättigheter. Klienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Klienten får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit.

Om en klient för andra gången begär logguppgifter som gäller samma tidsperiod kan tillhandahållaren av tjänster eller Folkpensionsanstalten ta ut en skälig ersättning för lämnandet av dessa logguppgifter, som inte får överstiga de direkta kostnaderna för lämnandet av informationen. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 19 § får dock ingen separat avgift tas ut.

Om en klient anser att hans eller hennes klientuppgifter har använts eller lämnats ut utan tillräckliga grunder ska den tillhandahållare av tjänster som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge klienten en utredning om grunderna för användningen eller utlämnandet av uppgifterna.

Patienten ges med hjälp av ett medborgargränssnitt följande uppgifter som gäller honom eller henne och som är lagrade i den riksomfattande arkiveringstjänsten:

Med hjälp av medborgargränssnittet kan patienten också ges uppgifter om tidsbeställningar samt laboratorieresultat, diagnostiska avbildningsresultat och andra motsvarande undersökningsresultat. Till medborgargränssnittet får, utöver de funktioner som nämns i 1 mom., dessutom anslutas andra funktioner som möjliggör informationsåtkomst för patienten och gör det möjligt att genomföra och följa upp uppgifter som i övrigt anknyter till vården och hälso- och sjukvården.

Oberoende av 1 och 2 mom. ska gränssnittet realiseras så att patienten inte har åtkomst till de uppgifter vilkas utlämnande en yrkesutbildad person inom hälso- och sjukvården bedömer kunna medföra allvarlig fara för patientens hälsa eller vård eller någon annans rättigheter.

Medborgargränssnittet ska realiseras så att patienten genom gränssnittet kan meddela sådana samtycken som avses i 11 § och sådana förbud som avses i 12 § samt förmedla organdonationsförbud, livstestamenten och andra viljeyttringar som gäller hälso- och sjukvården. När gränssnittet realiseras ska det dessutom säkerställas att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får utlämnas genom gränssnittet till patienten och till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Vid utlämning av uppgifterna ska det som i 9 § 2 mom. i lagen om patientens ställning och rättigheter föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Åtkomsten till uppgifter genom medborgargränssnittet påverkar inte patientens rätt till insyn enligt personuppgiftslagen.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om innehållet i de uppgifter som gäller åtkomst till information, genomförande och uppföljning av vård och om anslutningen av uppgifterna till medborgargränssnittet samt om hur uppgifterna visas över medborgargränssnittet och hur rätten till åtkomst till uppgifter genomförs i fråga om vårdnadshavaren till eller en laglig företrädare för en minderårig patient.

Informationssystem som används för behandling av klient- och patientuppgifter inom socialvården samt hälso- och sjukvården ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.

Ett informationssystem uppfyller de väsentliga kraven då det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av lagarna samt följer nationella föreskrifter om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om informationssystemet är lämpligt för sitt ändamål och det med systemet går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser vid behandlingen av klient- och patientuppgifter, om behandlingen överensstämmer med sitt syfte och om informationssystemets kapacitet är den som tillverkaren meddelat. Kraven ska uppfyllas såväl vid användningen av informationssystemet självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om innehållet i de väsentliga kraven. Innan föreskrifterna meddelas ska Institutet för hälsa och välfärd höra delegationen för elektronisk informationsadministration inom social- och hälsovården. Dessutom får Folkpensionsanstalten utfärda föreskrifter om de förfaranden som ska iakttas vid verifieringen av interoperabiliteten i fråga om sådana informationssystem som ska kopplas till hälso- och sjukvårdens riksomfattande informationssystemtjänster, nedan hälsoarkivstjänster , som avses i denna lag eller i lagen om elektroniska recept.

Social- och hälsovårdens informationssystem indelas enligt användningsändamål och egenskaper i klasserna A och B. Till klass A hör de hälsoarkivstjänster som förvaltas av Folkpensionsanstalten samt de informationssystem som är avsedda att anslutas till hälsoarkivstjänsterna antingen direkt eller via en teknisk förmedlingstjänst. Till klass A hör också den förmedlingsservice som avses i 3 § 6 punkten. Övriga informationssystem hör till klass B.

Om det är oklart vilken klass ett informationssystem hör till ska Institutet för hälsa och välfärd besluta om vilken klass informationssystemet hör till.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om klassificeringen av informationssystem.

Tillverkaren ansvarar för planeringen, tillverkningen och klassificeringen av informationssystem för social- och hälsovården, oberoende av om åtgärderna utförs av tillverkaren själv eller av någon annan för dennes räkning.

I samband med informationssystemet ska tillverkaren ge systemanvändarna sådana uppgifter och anvisningar om informationssystemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. De uppgifter och anvisningar som följer med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska dock finnas på finska och svenska.

Dessutom ska tillverkaren ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet.

Överensstämmelse med kraven för informationssystem som hör till klass A ska verifieras med en utredning av tillverkaren om att systemet uppfyller alla krav på funktionalitet utifrån godkänd samtestning och överensstämmelseintyg av ett bedömningsorgan för informationssäkerhet.

Överensstämmelse med kraven för informationssystem som hör till klass B ska verifieras genom tillverkarens skriftliga utredning om att systemet uppfyller de väsentliga kraven enligt 19 a § om det har installerats och underhållits på behörigt sätt och används för avsett ändamål

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska iakttas vid verifieringen av överensstämmelse med kraven och om innehållet i utredningen.

Ett informationssystem som hör till klass A ska vara interoperabelt med de riksomfattande informationssystemtjänsterna och de övriga informationssystemen som är anslutna till dem. Interoperabiliteten ska visas vid en samtestning som utförs av Folkpensionsanstalten. En förutsättning för samtestning är att tillverkaren av informationssystemet lämnar Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av samtestningen ska avtalas med Folkpensionsanstalten.

Ett informationssystem av klass A som har tagits i användning för produktion ska delta i de samtestningar för andra informationssystem som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna för att säkerställa att informationssystemen är interoperabla. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i samtestningen. Tillverkarna av de informationssystem som deltar i samtestningen svarar själva för de kostnader som samtestningen föranleder.

Med avvikelse från 1 mom. utförs ingen separat samtestning av de centrala informationssystem som Folkpensionsanstalten förvaltar.

Informationssystem som hör till klass A får tas i användning för produktion och anslutas till hälsoarkivstjänsterna när ett bedömningsorgan för informationssäkerhet har utfärdat ett överensstämmelseintyg för systemet. Informationssystem som hör till klass B får tas i användning för produktion efter det att tillverkaren av systemet har lämnat den skriftliga utredning som avses i 19 d §.

Tillverkaren ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som ska tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och användningsändamål framgå. Dessutom ska tillverkaren göra en anmälan om informationssystem som inte längre används för produktion. Tillstånds- och tillsynsverket ska föra ett offentligt register över de informationssystem för social- och hälsovården som har anmälts till verket.

Tillstånds- och tillsynsverket för social- och hälsovården får meddela närmare föreskrifter om innehållet i anmälan och vilka uppgifter som ska antecknas i registret.

Tillverkaren ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Anmälan om betydande avvikelser från de väsentliga kraven för informationssystemet ska göras till alla tillhandahållare av tjänster som använder systemet. Dessutom ska bedömningsorganet för informationssäkerhet och Tillstånds- och tillsynsverket för social- och hälsovården underrättas om betydande avvikelser i fråga om informationssystem som hör till klass A.

Tillverkaren av informationssystemet ska dessutom ge akt på förändringar i de väsentliga kraven som ställs på informationssystem och justera systemen i enlighet med förändringarna. Bedömningsorganet för informationssäkerhet ska underrättas om ändringar i informationssystem som hör till klass A. Överensstämmelseintyget ska förnyas om betydande ändringar har gjorts i informationssystemet eller om de väsentliga kraven har förändrats.

Tillverkaren ska bevara uppgifter om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet inte längre används för produktion.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och hur anmälningar om sådana ska göras.

Tillhandahållare av socialvårdstjänster och tillhandahållare av hälso- och sjukvårdstjänster ska utarbeta en plan för egenkontroll med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. Av planen ska det framgå hur följande frågor som anknyter till användningen av systemen säkerställs:

Om en tillhandahållare av tjänster har anslutit sig som användare av hälsoarkivstjänsterna ska det av planen för egenkontroll också framgå hur man har tillgodosett kraven på en informationssäker användning av dessa riksomfattande tjänster. Dessutom ska den som producerar förmedlingsservice enligt 3 § 6 punkten upprätta en plan för egenkontroll för förmedlingsservicen och Folkpensionsanstalten ska upprätta en plan för de hälsoarkivstjänster som den sköter.

Tillhandahållare av tjänster, producenter av förmedlingsservice och Folkpensionsanstalten ska följa upp att planen för egenkontroll genomförs.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om de i 1 och 2 mom. avsedda utredningar och krav som ska tas in i planen för egenkontroll.

Om en tillhandahållare av socialvårdstjänster och en tillhandahållare av hälso- och sjukvårdstjänster konstaterar betydande avvikelser när det gäller tillgodoseendet av de väsentliga kraven på ett informationssystem, ska denne underrätta informationssystemets tillverkare om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska också Tillstånds- och tillsynsverket för social- och hälsovården underrättas.

På godkännandet av och verksamheten vid ett bedömningsorgan för informationssäkerhet tilllämpas i övrigt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.

Överensstämmelsen av de informationssystem inom social- och hälsovården som hör till klass A ska bedömas i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I bedömningen av informationssäkerheten enligt denna lag ingår emellertid varken bedömning eller inspektion av vare sig tillverkarens eller användarens verksamhetsställen. Bedömningen av överensstämmelse görs på ansökan av informationssystemets tillverkare.

Om ett informationssystem som hör till klass A uppfyller förutsättningarna för överensstämmelse med kraven och Folkpensionsanstalten på basis av samtestning har gett ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet, ska bedömningsorganet för informationssäkerhet utifrån sin bedömning av överensstämmelsen med kraven ge tillverkaren ett överensstämmelseintyg och en tillhörande kontrollrapport. Överensstämmelseintyget är giltigt i högst fem år. Den tid som intyget är i kraft kan förlängas med högst fem år i sänder. Bedömningsorganet för informationssäkerhet får avkräva tillverkaren alla uppgifter som behövs för bedömningen i syfte att upprätta överensstämmelseintyget och hålla det i kraft. På utfärdande av intyget tillämpas i övrigt vad som föreskrivs i 9 § i lagen om bedömningsorgan för informationssäkerhet.

Bedömningsorganet för informationssäkerhet ska vid behov, med iakttagande av hemfriden, göra inspektioner och bedömningar för att säkerställa att tillverkaren i sitt utvecklingsarbete tilllämpar förfaranden som säkerställer informationssystemets överensstämmelse med kraven, och ge tillverkaren en utvärderingsrapport. Bedömningsorganet för informationssäkerhet ska beakta resultaten av de bedömnings- och granskningsåtgärder som gjorts under produktionstiden för informationssystemet.

Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i eller med stöd av denna lag eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tillverkaren av informationssystemet att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tillverkaren avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att ändra informationssystemet.

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården samt Folkpensionsanstalten om alla överensstämmelseintyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats. Dessutom ska bedömningsorganet för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet.

Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt beslutsfattandet angående totalfinansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av Myndigheten för digitalisering och befolkningsdatas certifikattjänst hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. (29.11.2019/1197)

Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och realiseringen av de riksomfattande informationssystemtjänster som avses i 14 § och de gemensamma dataarkiv som hänför sig till olika förvaltningsområden. (21.12.2010/1227)

Dataombudsmannen, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.

Tillhandahållare av socialvårdstjänster och av hälso- och sjukvårdstjänster, Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården och Myndigheten för digitalisering och befolkningsdata ska följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras service förverkligas. Om någon har behandlat klientuppgifter i strid med lagen, ska den behöriga tillhandahållaren av tjänster samt Folkpensionsanstalten på eget initiativ vidta behövliga åtgärder. För uppföljningen och övervakningen har tillhandahållaren av tjänster rätt att få logguppgifter för sina egna patientregister från Folkpensionsanstalten samt logguppgifter i anslutning till behandlingen av uppgifter i patientens informationshanteringstjänst som avses i 14 a §, till den del som anställda hos tillhandahållaren har haft åtkomst till och behandlat uppgifter i patientens informationshanteringstjänst. (29.11.2019/1197)

Den ansvariga föreståndaren för en verksamhetsenhet för socialvård eller hälso- och sjukvård ska meddela skriftliga instruktioner om hur klientuppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av klientuppgifter. Den ansvariga föreståndaren ska också se till att den plan för egenkontroll som avses i 19 h § utarbetas och iakttas. Dessutom ska varje tillhandahållare av tjänster och Folkpensionsanstalten ha en dataskyddsansvarig för uppföljnings- och övervakningsuppgifter. (28.3.2014/250)

Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Under en inspektion ska dessutom iakttas vad som i 39 § 1 mom. i förvaltningslagen (434/2003) föreskrivs om genomförande av inspektion.

Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter att inspektionen utförts.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående sakkunniga för bedömning av informationssystems överensstämmelse med kraven. Utomstående sakkunniga får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna kräver.

Utomstående sakkunniga får inte utan tillstånd röja vad de på grund av sin ställning, sitt uppdrag eller sitt arbete har fått veta om en persons hälsotillstånd, sjukdom eller handikapp eller om social- eller hälsovårdsåtgärder som avser personen eller andra motsvarande omständigheter. Tystnadsplikten kvarstår efter det att uppdraget har upphört. På utomstående sakkunniga som utför uppgifter enligt denna lag tilllämpas förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar.

Bestämmelser om handräckning av polisen finns i polislagen (872/2011) .

Om någon tillverkare av informationssystem för social- eller hälsovården, tillhandahållare av socialvårdstjänster eller av hälso- och sjukvårdstjänster, producent av förmedlingsservice eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården utfärda ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.

När Tillstånds- och tillsynsverket för social- och hälsovården meddelar beslut om informationssystem med stöd av 20 d § får verket samtidigt ålägga tillverkaren att avhjälpa brister i informationssystem som används för produktion.

Om ett informationssystem kan äventyra dataskyddet eller klient- eller patientsäkerheten och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har satt ut, får verket förbjuda användningen av informationssystemet till dess att den egenskap som äventyrar säkerheten har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till hälso- och sjukvårdens riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användarorganisation äventyrar den behöriga funktionen för de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tillverkaren eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av informationssystemet för produktion.

Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat eller ett beslut som verket har fattat med stöd av detta kapitel kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990) .

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över social- och hälsovårdens informationssystem få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller de bestämmelser och beslut om social- och hälsovårdens informationssystem som utfärdats med stöd av lagen.

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får överklagas hos förvaltningsdomstolen enligt vad som föreskrivs i förvaltningsprocesslagen (586/1996) . Ett beslut av förvaltningsdomstolen får överklagas genom besvär hos högsta förvaltningsdomstolen, om högsta förvaltningsdomstolen beviljar besvärstillstånd.

Ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården meddelat i samband med en inspektion får inte överklagas genom besvär. Omprövning av beslutet får begäras hos Tillstånds- och tillsynsverket för social- och hälsovården inom 30 dagar från det att inspektionen avslutats. Till beslutet ska fogas anvisningar om begäran om omprövning hos verket. Åtgärderna i beslutet ska vidtas trots begäran om omprövning. Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med anledning av begäran om omprövning får överklagas genom besvär enligt 1 mom.

Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas även om de överklagats, om inte besvärsmyndigheten bestämmer något annat.

För behandlingen av principfrågor som gäller elektronisk informationsadministration inom social- och hälsovården, för realiseringen av de riksomfattande informationssystemtjänsterna som avses i 14 § samt för förenhetligande och utveckling av serviceanvändarnas informationssystem finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården. Närmare bestämmelser om delegationens uppgifter och sammansättning utfärdas genom förordning av statsrådet.

Användningen av de riksomfattande informationssystemtjänster som avses i 14 § och som administreras av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tillhandahållare av tjänster. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms trots 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar beloppet av kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för prestationer som tillhandahålls av Myndigheten för digitalisering och befolkningsdata bestäms i lagen om grunderna för avgifter till staten och med stöd av den. (29.11.2019/1197)

Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en bedömning av de totalkostnader som ligger till grund för användningsavgifterna för det följande året. (29.11.2019/1197)

Tillverkare av informationssystem ansvarar för kostnaderna för verifieringen av överensstämmelse med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för sådan samtestning som avses i 19 e § till sådant självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 19 f § i denna lag avsedd anmälan i offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i och med stöd av lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som gäller godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

Den som uppsåtligen eller av grov oaktsamhet bryter mot identifierings- och verifieringsskyldigheten i 8 §, lämnar ut sökuppgifter i strid med 12 §, 15 § 2 mom. eller 25 § 3 mom., lämnar ut patientuppgifter utan patientens samtycke enligt 13 § eller utan att en bestämmelse i lag tillåter det eller försummar upplysningsplikten enligt 17 § 2 mom. och på så sätt äventyrar klientens integritetsskydd eller hans eller hennes rättigheter i övrigt skall, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av klientuppgifter inom social- och hälsovården dömas till böter.

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 38 kap. 9 § i strafflagen. Straff för brott mot sekretess döms enligt 38 kap. 1 och 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Denna lag träder i kraft den 1 juli 2007.

Med avvikelse från 24 § träder 15 §, som gäller skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster, i kraft den 1 september 2014. För tillhandahållare av privata hälso- och sjukvårdstjänster träder skyldigheten att ansluta sig som användare av tjänsterna dock i kraft den 1 september 2015. Om en tillhandahållare av hälso- och sjukvårdstjänster emellertid har anslutit sig som användare av i denna lag avsedda informationssystemtjänster innan 15 § träder i kraft, gäller bestämmelserna i denna lag de av tillhandahållarens handlingar som är kopplade till informationssystemtjänsterna. I övrigt ska tillhandahållare av hälso- och sjukvårdstjänster iaktta bestämmelserna om elektronisk behandling av patientuppgifter från och med den 1 september 2014. De riksomfattande informationssystemtjänster som avses i 14 § kan tas i bruk stegvis redan innan skyldigheten att ansluta sig inträtt. I så fall tillämpas denna lag på den behandling av patientuppgifter som sker med hjälp av dessa tjänster. Tillhandahållare av socialvårdstjänster ska iaktta bestämmelserna om elektronisk behandling av klientuppgifter inom socialvården från och med den 1 september 2014. (21.12.2010/1227)

Avgifter enligt 22 § börjar tas ut hos tillhandahållare av offentliga hälso- och sjukvårdstjänster från och med den 1 januari 2014 och hos tillhandahållare av privata hälso- och sjukvårdstjänster från och med den 1 januari 2015. Myndigheten för digitalisering och befolkningsdata kan dock för prestationer som den tillhandahållit i enlighet med 14 § ta ut avgifter som motsvarar kostnaderna för tillhandahållandet av service hos Tillstånds- och tillsynsverket för social- och hälsovården tills tillhandahållarna av hälso- och sjukvårdstjänster börjar betala avgifter enligt 22 § till Myndigheten för digitalisering och befolkningsdata. (29.11.2019/1197)

Uppgifter som lagrats i de referensdatasystem som förverkligats i enlighet med lagen om försök med obrutna servicekedjor inom social- och hälsovården (811/2000) kan anslutas till den riksomfattande arkiveringstjänsten utan patientens samtycke. Utlämnandet av referensuppgifter som anslutits till arkiveringstjänsten och det utlämnande av patientuppgifter som sker med hjälp av dem sker i enlighet med denna lag med hjälp av sökuppgifter. Dessa sökuppgifter får emellertid inte lämnas ut utan patientens skriftliga samtycke.

Tillstånds- och tillsynsverket för social- och hälsovårdens certifikatsystem fungerar som ett reservsystem för de certifikattjänster som Befolkningsregistercentralen producerar för hälso- och sjukvården samt för elektroniska recept med stöd av 14 § i denna lag och 7 § i lagen om elektroniska recept (61/2007) högst till den 30 juni 2012. Tillstånds- och tillsynsverket för social- och hälsovården svarar för detta reservsystem i egenskap av certifikatutfärdare på det sätt som föreskrivs i lagen om stark autentisering och elektroniska signaturer.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.