764/2025

Tillstånds- och tillsynsverket ska förvalta en roll- och attributtjänst och anslutande kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ska förvalta en kodtjänst med vars hjälp de datastrukturer i kundhandlingarna som de riksomfattande informationssystemtjänsterna förutsätter underhålls och delas.

Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tjänstetillhandahållare inom social- och hälsovården samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller.

Tillstånds- och tillsynsverket har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat enligt 3 mom.

Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket innan informationssystemet eller välbefinnandeapplikationen tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål samt kontaktperson framgå. Anmälan ska vidare innehålla en utredning enligt 85 § över att kraven på funktionalitet uppfylls, ett i 86 § avsett intyg över interoperabilitetstestning och ett i 87 § avsett intyg över att de väsentliga kraven på informationssäkerhet uppfylls. Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska göra en anmälan till Tillstånds- och tillsynsverket om versionsstödet för ett informationssystem eller en välfärdsapplikation som är avsett att användas för produktion av tjänster upphör eller om en annan aktör övertagit ansvaret för informationssystemet eller välbefinnandeapplikationen.

Tillstånds- och tillsynsverket ska föra ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket och som uppfyller kraven. Registret ska innehålla uppdaterade uppgifter om

Tillstånds- och tillsynsverket får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.

Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare och apotek som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket.

Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Tillstånds- och tillsynsverket ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer. Bedömningsorganet för informationssäkerhet ska dessutom underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som har anslutits till de riksomfattande informationssystemtjänsterna. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering.

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla i 87 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Folkpensionsanstalten ska underrätta Tillstånds- och tillsynsverket, bedömningsorganet för informationssäkerhet och Institutet för hälsa och välfärd om alla i 86 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats.

Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet.

Tillstånds- och tillsynsverket har till uppgift att övervaka och främja informationssystemens och välbefinnandeapplikationernas överensstämmelse med kraven.

Tillstånds- och tillsynsverket har rätt att utföra inspektioner som krävs för tillsynen. Inspektioner kan göras utan förhandsanmälan. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen iakttas. Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har Tillstånds- och tillsynsverket rätt att få behövlig handräckning av polisen. Bestämmelser om handräckning av polisen finns i 9 kap. 1 § 1 mom. i polislagen (872/2011).

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. En inspektion anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades.

Om en tjänstetillhandahållare eller ett apotek konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska tjänstetillhandahållaren eller apoteket underrätta producenten av informationssystemtjänsten om saken. Om avvikelsen i informationssystemet eller välbefinnandeapplikationen kan innebära en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, tillverkaren av välbefinnandeapplikationen, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket om risker som de upptäcker. Om avvikelsen i informationssystemet kan innebära en betydande risk för apotekets verksamhet, ska apoteket dessutom underrätta Säkerhets- och utvecklingscentret för läkemedelsområdet om detta. Bestämmelser om rapportering av personuppgiftsincidenter till dataombudsmannen finns i artikel 33 i dataskyddsförordningen.

En tjänstetillhandahållare, ett apotek, Folkpensionsanstalten och en producent av en informationssystemtjänst eller en tillverkare av ett informationssystem eller en mellanhand ska utan dröjsmål underrätta Tillstånds- och tillsynsverket om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som aktören använder och till följd av vilka användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster kan äventyras avsevärt. Tillstånds- och tillsynsverket får meddela närmare föreskrifter om när en sådan störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.

Ett apotek ska dessutom utan dröjsmål underrätta Säkerhets- och utvecklingscentret för läkemedelsområdet om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som apoteket använder och till följd av vilka apotekets verksamhet kan äventyras avsevärt. Säkerhets- och utvecklingscentret för läkemedelsområdet får meddela närmare föreskrifter om när en störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.

Om det ligger i allmänt intresse att det görs en anmälan om en sådan avvikelse eller störning i anslutning till informationssäkerheten som avses i 1 och 2 mom., får Tillstånds- och tillsynsverket ålägga tjänstetillhandahållaren, apoteket, Folkpensionsanstalten, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet eller mellanhanden att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. Dessutom kan Säkerhets- och utvecklingscentret för läkemedelsområdet ålägga apoteket att informera allmänheten om en i 3 mom. avsedd störning eller, efter att ha hört den anmälningspliktiga, självt informera om störningen.

För tillsynen över informationssystem och välbefinnandeapplikationer inom social- och hälsovården har Tillstånds- och tillsynsverket rätt att avgiftsfritt och trots sekretessbestämmelserna få nödvändig information av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården.

Tillstånds- och tillsynsverket har rätt att anlita utomstående experter som biträden vid bedömning av informationssystems och välbefinnandeapplikationers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem och välbefinnandeapplikationer, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tillverkare av en välbefinnandeapplikation, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket genom sitt beslut meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid.

När Tillstånds- och tillsynsverket övervakar och inspekterar informationssystem eller välbefinnandeapplikationer med stöd av 89 § får verket samtidigt genom sitt beslut ålägga producenten av en informationssystemtjänst eller tillverkaren av ett informationssystem att avhjälpa brister i informationssystem som används för produktion av tjänster och tillverkaren av en välbefinnandeapplikation att avhjälpa brister i en välbefinnandeapplikation som används för produktion av tjänster.

Om ett informationssystem eller en välbefinnandeapplikation kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket har angett, får verket förbjuda användningen av informationssystemet eller välbefinnandeapplikationen till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare eller en välbefinnandeapplikation eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket får ålägga producenten av en informationssystemtjänst, tillverkaren av en välfärdsapplikation eller en av någon av dessa befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet eller välbefinnandeapplikationen för produktion av tjänster.

Omprövning får begäras av ett beslut som Tillstånds- och tillsynsverket har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen.

Beslut som Tillstånds- och tillsynsverket har fattat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.

Beslut som Tillstånds- och tillsynsverket har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).

Dataombudsmannen, Säkerhets- och utvecklingscentret för läkemedelsområdet och Tillstånds- och tillsynsverket styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.

Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Det är avgiftsbelagt för producenter av informationssystemtjänster att anmäla sig till Folkpensionsanstaltens i 86 § avsedda interoperabilitetstestning. Registrering och införande av en i 80 § avsedd anmälan till Tillstånds- och tillsynsverket i det offentliga registret är avgiftsbelagt. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.