HE 219/2013

1.1Yleistä

Terveydenhuollossa ollaan toteuttamassa valtakunnallisia tietojärjestelmäpalveluja, jotka koostuvat sähköisestä lääkemääräyksestä, valtakunnallisesta sähköisestä potilasasiakirja-arkistosta (arkistointipalvelu) sekä näihin liittyvistä lääketietokannasta, lääkemääräys- ja potilastietojen katselusta ja potilaan tiedonhallintapalvelusta. Nämä muodostavat yhdessä Kanta-palvelut.

Kanta-palvelut perustuvat sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettuun lakiin (158/2007) , jäljempänä asiakastietolaki , ja sähköisestä lääkemääräyksestä annettuun lakiin (61/2007) , jäljempänä lääkemääräyslaki. Asiakastietolaki tuli voimaan 1 päivänä heinäkuuta 2007 ja lääkemääräyslaki 1 päivänä huhtikuuta 2007. Mainittujen lakien perusteella Kansaneläkelaitos vastaa Kanta-palvelujen teknisestä toteutuksesta ja ylläpidosta.

Sähköisen lääkemääräyksen ja arkistointipalvelun sekä niihin liittyvien valtakunnallisten tietojärjestelmäpalvelujen tavoitteena on edistää hoidon jatkuvuutta ja potilasturvallisuutta mahdollistamalla potilaan ajantasaisten tutkimus, lääkitys- ja hoitotietojen saatavuus kaikissa hoitotilanteissa. Samalla tavoitteena on parantaa terveydenhuollon tuottavuutta muun muassa poistamalla eri paikoissa tehtävien päällekkäisten tutkimusten tarvetta ja tehostamalla asiakirjahallintoa. Näiden tavoitteiden toteutuminen parantaa myös hoidon tuloksellisuutta ja sen kautta edistää potilaiden hyvinvointia ja voi samalla tuoda kustannushyötyjä hoidon tarpeen vähentyessä.

Edellä mainittuihin valtakunnallisiin palveluihin sisältyvä kansalaisen käyttöliittymä antaa terveydenhuollon asiakkaille mahdollisuuden nähdä esimerkiksi kotitietokoneelta ajantasaiset tiedot hänelle laadituista sähköisistä lääkemääräyksistä ja keskeisistä potilastiedoista. Käyttöliittymään ollaan myös toteuttamassa palveluja, joiden välityksellä terveydenhuollon asiakkailla on mahdollisuus tehdä häntä koskevien potilastietojen luovutuksiin liittyviä päätöksiä, kuten antaa suostumuksia ja tehdä kieltoja. Lisäksi kansalaisen käyttöliittymän välityksellä voi tehdä hoitotahdon ja ilmoittaa elinluovutustahdon.

Kansaneläkelaitos toteuttaa Kanta-palvelut yhteistyössä terveydenhuollon palvelujen antajien, potilastietojärjestelmien toimittajien ja terveydenhuollon alalla toimivien viranomaisten kanssa.

Kanta-palvelut otetaan käyttöön vaiheittain lainsäädännön ja sen perusteella laadittujen käyttöönottosuunnitelmien mukaisesti. Ensimmäisessä vaiheessa käyttöön on otettu sähköinen lääkemääräys. Kaikilla apteekeilla on ollut velvollisuus toimittaa sähköisiä lääkemääräyksiä 1 päivästä huhtikuuta 2012 lukien. Kunnallinen terveydenhuolto otti sähköisen lääkemääräyksen käyttöönsä vaiheittain vuoden 2013 maaliskuun loppuun mennessä. Yksityisen terveydenhuollon toimintayksiköiden tulee ottaa sähköinen lääkemääräys käyttöönsä viimeistään maaliskuussa 2014. Itsenäisinä ammatinharjoittajina toimivilla lääkäreillä ja hammaslääkäreillä ei kuitenkaan ole velvoitetta ottaa käyttöön sähköistä lääkemääräystä. Myöskään sosiaalihuollon palvelujen antajilla, kuten kehitysvammalaitoksilla ja vanhustenhuollon laitoksilla, ei ole velvollisuutta liittyä sähköisen lääkemääräyksen käyttäjiksi, vaikka niissä annettaisiin myös terveydenhuollon palveluja ja määrätään lääkkeitä.

Kanta-palveluihin liittyviltä tietojärjestelmäpalveluilta edellytetään lääkemääräyslain ja asiakastietolain perusteella yhteentoimivuutta Kansaneläkelaitoksen ylläpitämien keskitettyjen tietojärjestelmäpalvelujen kanssa. Näiden molempien lakien perusteella Kansaneläkelaitos vastaa tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä.

1.2Tietojärjestelmien tietoturvan ja tietosuojan varmistaminen

Teknisen yhteentoimivuuden ohella Kanta-palveluihin liittyminen edellyttää, että potilastietojen käsittelyssä otetaan huomioon lainsäädännön edellyttämällä tavalla tietosuojaan ja tietoturvaan liittyvät vaatimukset. Lisäksi järjestelmien tulee noudattaa Kansaneläkelaitoksen ylläpitämiä teknisiä määrityksiä. Näiden tietosuojaan, tietoturvaan ja teknisiin määrityksiin liittyvien näkökohtien varmistaminen on sähköistä lääkemääräystä käyttöön otettaessa toteutettu eri osapuolten yhteistyönä kootuilla vaatimuksilla (auditointikriteerit) ja niiden pohjalta sovituilla menettelyillä (auditoinnilla). Auditointikriteerit perustuvat lainsäädännössä jo muutoinkin oleviin tietoturvaa ja tietosuojaa koskeviin vaatimuksiin, jotka on koottu yhteen. Lisäksi Kansaneläkelaitos on määritellyt Kanta-palvelujen teknisen yhteentoimivuuden edellyttämät vaatimukset asiakastietolaissa olevan säännöksen perusteella. Auditointivaatimukset on käsitelty sosiaali- ja terveydenhuollon sähköisen tiedonhallinnon neuvottelukunnassa ja tämän pohjalta sosiaali- ja terveysministeriö on antanut kesällä 2010 ohjeet auditointimenettelystä. Kaikki auditointeihin liittyvä aineisto, kuten auditointikriteerit, on julkisesti saatavilla www.kanta.fi sivustolla.

Lähtökohtana on ollut, että kaikki valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietojärjestelmät ja organisaatiot on auditoitava. Menettely on toteutettu siten, että Kansaneläkelaitoksen ylläpitämiin keskitettyihin palveluihin (reseptikeskus ja arkistointipalvelu) liitetyiltä potilastietojärjestelmiltä, välityspalveluilta ja apteekkijärjestelmiltä on edellytetty ulkopuolisen tahon tekemään auditointia ja näitä järjestelmiä käyttäviltä organisaatioilta itseauditointia. Käytössä olleilla auditointimenettelyillä on varmistettu, että käytettävät tietojärjestelmät ja niitä käyttävät tietojärjestelmät täyttävät niille asetetut vaatimukset mukaan lukien tietojärjestelmien yhteentoimivuus.

Tietojärjestelmien auditointi jakautuu kahteen vaiheeseen. Teknisessä auditoinnissa varmistetaan tietojärjestelmien tekninen yhteentoimivuus. Tämä toteutetaan yhteistestauksella. Sen käytännön toteutuksesta vastaa Kansaneläkelaitos. Testausta varten on laadittu malli, jolla voidaan varmistaa, että eri osapuolet kykenevät toteuttamaan vaaditut toiminnallisuudet ja pystyvät ymmärtämään toistensa tallentamat dokumentit.

Toinen osa tietojärjestelmien auditointia käsittää tietoturvan. Siinä varmistetaan, että tietojärjestelmiin ja toimittajan vastuulla olevaan tekniseen käyttöympäristöön on toteutettu auditointivaatimuksissa ilmoitetut turvallisuusominaisuudet. Tämän osan auditoinnista on toteuttanut sosiaali- ja terveysministeriö. Käytännössä tietoturva-auditointi on perustunut ulkopuolisen asiantuntija tekemään tarkastukseen, jonka perusteella asiantuntija on laatinut raportin vaatimusten toteutumisesta. Annetun raportin perusteella ministeriö on antanut Kansaneläkelaitokselle lausunnon tietoturvaominaisuuksien auditointikriteerien täyttymisestä. Ministeriön lausunnon perusteella Kansaneläkelaitos on hyväksynyt tietojärjestelmän liitettäväksi Kanta-palveluihin.

Tietojärjestelmän auditointi on voimassa 3 vuotta, jonka jälkeen se tulee uudistaa. Kuitenkin tietojärjestelmän uudet ominaisuudet tai merkittävät muutokset voivat edellyttää uudelleen auditointia.

Myös Kanta-palveluihin liittyviltä terveydenhuollon palvelujen antajilta ja apteekeilta edellytetään auditointia. Tämä suoritetaan itseauditointina. Organisaation auditointikriteereissä keskitytään erityisesti siihen, että potilastietojen käsittely toteutuu tietoturvan ja salassa pidettävien potilasasiakirjojen ja -tietojen tietosuojan kannalta asianmukaisesti. Liittyessään Kanta-palvelujen käyttäjäksi asianomaisen organisaation tulee vakuuttaa, että sen käyttämät tietojärjestelmät ja välittäjät täyttävät auditointivaatimukset. Itseauditoinnin voimassaololle ei ole sovittu määräaikaa. Asianomaisen organisaation on kuitenkin huolehdittava jatkuvasti, että sen toiminta on auditointikriteerien mukaista.

Jos terveydenhuollon palvelujen antaja tai apteekki liittyy Kanta-palvelujen käyttäjäksi niin sanotun välittäjän tarjoaman palvelun kautta, on myös välitystoiminta audioitava. Tämä perustuu siihen, että välittäjällä voi olla mahdollisuus nähdä salaamattomia potilastietoja välityspalvelun ylläpitotoimien yhteydessä.

1.3Sähköinen lääkemääräys

Sähköisellä lääkemääräyksellä tarkoitetaan lääkemääräystä, jonka lääkäri, hammaslääkäri tai lääkkeen määräämiseen oikeutettu sairaanhoitaja laatii ja allekirjoittaa sähköisesti siten kuin lääkemääräyslaissa säädetään. Sähköinen lääkemääräys tallennetaan keskitettyyn tietokantaan, jota kutsutaan reseptikeskukseksi. Reseptikeskuksen rekisterinpitäjä on Kansaneläkelaitos. Valtakunnallinen reseptikeskus sisältää kaikki sähköiset lääkemääräykset ja apteekkien niihin tekemät toimitusmerkinnät. Reseptikeskuksen tietojen perusteella jokainen reseptikeskukseen liittynyt apteekki voi toimittaa lääkkeet. Lokakuussa 2012 sähköisen lääkemääräyksen toimitusvalmius oli kaikissa Suomessa toimivissa avohoidon apteekissa ja sivuapteekissa. Sähköisiä lääkemääräyksiä oli laadittu samaan ajankohtaan mennessä yhteensä yli 3 miljoonaa.

Sähköisen lääkemääräyksen käyttöönotto on pakollista apteekeille, terveydenhuollon toimintayksiköille ja yksityisen terveydenhuollon toimintayksiköiden tiloissa itsenäisenä ammatinharjoittajana vastaanottoa pitäville lääkäreille ja hammaslääkäreille. Sähköisen lääkemääräyksen käyttöönotto on porrastettu siten, että apteekkien tuli liittyä järjestelmään viimeistään maaliskuussa 2012, julkisen terveydenhuollon toimintayksiköiden määräaika on maaliskuu 2013 ja yksityisen terveydenhuollon toimintayksiköiden määräaika maaliskuu 2014.

Käyttöönotto on vapaaehtoista terveydenhuollon toimintayksiköille Ahvenanmaalla sekä itsenäisinä ammatinharjoittajina muualla kuin yksityisen terveydenhuollon toimintayksikön tiloissa toimiville lääkäreille ja hammaslääkäreille. Sosiaalihuollon toimintayksiköiden liittymisestä sähköisen lääkemääräyksen käyttäjäksi ei ole säädetty, mutta ne voivat halutessaan ottaa sen käyttöönsä, edellyttäen että kaikki liittymisen edellytykset täyttyvät.

2.1Tietojärjestelmiä ja niiden käyttäjiä koskevat vaatimukset

2.2Sähköinen lääkemääräys

Sähköisen lääkemääräyksen käytöstä on saatu kokemuksia hieman yli kolmen vuoden ajalta. Näiden käyttökokemusten perusteella eräät lainsäädännön mukaiset toimintamallit kaipaavat kehittämistä ja uudistamista. Uudistusten tavoitteena on parantaa sähköisen lääkemääräyksen toiminnallisuutta ja käytettävyyttä sekä potilasturvallisuutta. Lisäksi tavoitteena on, että jatkossa kaikki lääkemääräykset laaditaan sähköisesti. Tällöin reseptikeskuksessa olisi kootusti tiedot kaikista potilaiden käyttämistä lääkkeistä. Tietoja voitaisiin tällöin hyödyntää tehokkaasti potilaiden hoidon toteutuksessa, koska lääkkeitä määräävällä olisi näin hyvät tiedot potilaan avohoidossa käyttämistä reseptilääkkeistä. Lisäksi reseptikeskuksessa olevia kattavia tietoja voitaisiin käyttää monin tavoin viranomaistoiminnassa kuten lääkkeiden käytön seurannassa ja tilastoinnissa, lääketurvatoiminnassa ja terveydenhuollon valvonnassa.

Edellä olevan perusteella tarkoituksena on muuttaa lääkemääräyslakia siten, että kaikki lääkemääräykset tulee laatia sähköisesti. Tästä voitaisiin poiketa vain erikseen säädetyissä poikkeustapauksissa, kuten sähköisen lääkemääräyksen käytön estävien teknisten häiriöiden takia. Tällöin varajärjestelmänä voitaisiin tilapäisesti käyttää kirjallista tai puhelinlääkemääräystä. Näissä tapauksissa apteekin pitäisi kuitenkin tallentaa lääkemääräykset reseptikeskukseen toimitettaessa reseptin mukainen lääke potilaalle. Näin myös poikkeustilanteissa laadittujen lääkemääräysten tiedot saataisiin reseptikeskukseen ja kattavat tiedot varmistetuksi.

Lisäksi sähköiseen lääkemääräykseen ehdotetaan useita käytännön kokemuksiin perustuvia uudistuksia. Merkittävin uudistus koskee reseptikeskuksessa olevien tietojen luovutuksen edellytyksenä olevaa potilaan suostumusta. Menettely ehdotetaan uudistettavaksi mahdollisimman pitkälle vastaavaksi kuin asiakastietolain mukainen menettely arkistointipalvelussa olevien tietojen luovutuksissa. Tämä mukaisesti potilas voi antaa suostumuksen, jonka perusteella reseptikeskuksessa olevia reseptitietojen saa luovuttaa potilasta hoitavalle terveydenhuollon ammattihenkilölle tai hoitoon muutoin osallistuvalle silloin kun tiedot ovat tarpeen potilaan terveyden- ja sairaanhoidon toteuttamiseksi. Suostumus on voimassa toistaiseksi ja sen saa peruuttaa. Vaikka potilas on antanut edellä kuvatun suostumuksen, hän voi kuitenkin kieltää haluamiensa yksittäisten lääkemääräysten luovuttamisen. Suostumusmenettelyä koskeva uudistus yhdenmukaistaisi salassa pidettävien potilastietojen käsittelyyn liittyviä suostumusmenettelyjä ja selkeyttäisi näin sekä terveydenhuollon henkilöstön että potilaiden asemaa.

Lääkemääräyksen toiminnallisuutta on tarkoitus parantaa mahdollistamalla potilaan informoiminen myös sähköisesti, lisäämällä lakiin säännös reseptikeskuksessa olevien lääkemääräysten korjauksiin ja mitätöinteihin liitettävästä perustelusta, määrittämällä alaikäisen tai hoidostaan muutoin päättämään kykenemättömän henkilön sijasta toimivan henkilön asema ja toteuttamalla katseluyhteyteen potilaalle mahdollisuus eräiden tahdonilmaisujen ja toimenpiteiden tekoon. Katseluyhteyden rajaaminen ainoastaan täysi-ikäisten reseptitietoihin poistetaan. Vastaava muutos tehdään myös asiakastietolain katseluyhteyttä koskevaan säännökseen.

Sähköisen lääkemääräyksen laadinnassa ja käsittelyssä käytettäviltä tietojärjestelmiltä tulee myös edellyttää vastaavia tietosuojaa, tietoturvaa ja toiminnallisuutta koskevia vaatimuksia kuin muiltakin sosiaali- ja terveydenhuollossa käytettäviltä tietojärjestelmiltä. Samoin näitä tietojärjestelmiä käyttävien organisaatioiden on huolehdittava omavalvonnasta laatimalla tätä koskeva suunnitelma.

Euroopan unionissa toteutetaan vuosina 2008—2014 Smart Open Services for European Patients -projekti (epSOS-kokeilu). Osana projektia kokeillaan sähköisten lääkemääräysten välittämistä kokeilussa mukana olevien valtioiden välillä. EpSOS-kokeilussa mukana olevien valtioiden määrittelyt ja toteutukset sähköisestä lääkemääräyksestä poikkeavat toisistaan, minkä vuoksi kokeilussa on laadittu erilliset määrittelyt sen yhteydessä valtiosta toiseen välitettäville sähköisille lääkemääräyksille. Koska epSOS-kokeilun mukainen sähköinen lääkemääräys poikkeaa Suomessa sovellettavista sähköisen lääkemääräyksen määrittelystä ja teknisestä toteutuksesta, ehdotetaan lakiin lisättäväksi säännös, jonka perusteella Suomessa voidaan toimittaa myös muissa Euroopan talousalueen jäsenvaltioissa tai Suomen ja toisen valtion kesken sovittujen periaatteiden mukaisia sähköisiä lääkemääräyksiä ja vastaavasti lähettää toiseen valtioon suomalaisten määritysten mukaisia sähköisiä lääkemääräyksiä. Säännös liittyy myös Euroopan parlamentin ja neuvoston direktiiviin 2011/24/EU potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa, eli niin sanottuun potilasdirektiiviin. Sen perusteella EU-valtioissa laaditut lääkemääräykset tulee hyväksyä myös muissa EU-valtioissa. Lakiin otettava säännös mahdollistaa myös epSOS-kokeilun jälkeen sähköisten lääkemääräysten toimittamisen muihin EU- ja ETA-valtioihin ja vastaavasti niissä laadittujen sähköisten lääkemääräysten toimittamisen Suomessa. Käytännössä tämä voi toteutua vasta siinä vaiheessa kun Euroopassa on käytössä sellaiset tekniset määritykset, jotka mahdollistavat eri maiden järjestelmissä laadittujen sähköisten lääkemääräysten välittämisen valtioiden välillä.

2.3Selain- ja mobiililaitteet

Toistaiseksi sähköisten lääkemääräysten laatiminen ja myös potilasasiakirjojen laatiminen ja tallentaminen keskitettyihin tietojärjestelmäpalveluihin on mahdollista vain terveydenhuollon organisaatioiden potilastietojärjestelmillä. Säännökset mahdollistaisivat myös sellaisten järjestelmien toteuttamisen, joilla sähköisiä lääkemääräyksiä ja arkistointipalveluun tallennettavia potilasasiakirjoja laadittaisiin tietokoneen Internet-selaimella tai muulla vastaavalla ohjelmalla. Toistaiseksi tällaisia sovelluksia ei kuitenkaan ole toteutettu.

Jotta lääkärin mahdollisuus kirjoittaa lääkemääräyksiä myös itsenäisesti ilman terveydenhuollon organisaation potilastietojärjestelmää, on sähköisen lääkemääräyksen tullessa pakolliseksi luotava palvelu, jolla sähköisiä lääkemääräyksiä voidaan kirjoittaa. Tällaisia palveluja ei ole kuitenkaan toteutettu markkinalähtöisesti. Itsenäisten lääkärien kirjoittamien lääkemääräysten lukumäärä on niin pieni, että se ei ilmeisestikään ole mahdollistanut toimivaa liiketoimintamallia. Sen vuoksi on perusteltua rakentaa keskitetysti toteutettava kansallinen palvelu. Ehdotuksen mukaan palvelun toteuttaisi Kansaneläkelaitos osana muita valtakunnallisia tietojärjestelmäpalveluja.

3.1Yleistä

Esityksellä on toteutuessaan vaikutuksia laajasti sosiaali- ja terveydenhuoltoon. Merkittävin vaikutus aiheutuisi sähköisen lääkemääräyksen käytön säätämisestä pakolliseksi. Tällä olisi huomattavia vaikutuksia erityisesti terveydenhuollon toimintaan. Muutos velvoittaisi kaikki lääkäri- ja hammaslääkäripalveluja antavat terveydenhuollon palvelujen antajat, käytännössä myös itsenäisenä ammatinharjoittajana toimivat lääkärit ja hammaslääkärit, liittymään Kanta-palvelujen käyttäjäksi ainakin sähköisen lääkemääräyksen osalta. Samoin niiden sosiaalihuollon toimintayksiköiden, joissa määrätään lääkkeitä, tulee esityksen perusteella liittyä sähköisen lääkemääräyksen käyttäjiksi. Tällöin lääkettä määrättäessä olisi pääsääntöisesti mahdollisuus saada tieto potilaan aiemmista lääkemääräyksistä ja näiden vaikutus hoitopäätökseen. Lisäksi lääkemääräyslakiin ehdotettavien muiden muutosten tavoitteena on sähköisen lääkemääräyksen käytettävyyden parantaminen, mikä voi osaltaan edistää tuloksellisen hoitoprosessin toteutumista.

Toinen merkittävä muutos koskee sosiaali- ja terveydenhuollon tietojärjestelmiä ja niille asetettavia vaatimuksia. Lainsäädännössä määriteltäisiin yleisellä tasolla tietojärjestelmiä koskevat vaatimukset ja niitä tarkentavat määrittelyt tehtäisiin Terveyden ja hyvinvoinnin laitoksen antamilla määräyksillä. Tämä edistäisi toiminnan avoimuutta ja ennakoitavuutta. Vaatimusmäärittelyjen on tarkoitus pohjautua jo käytössä oleviin auditointikriteereihin. Sen vuoksi ehdotettavat uudet säännökset eivät kuitenkaan edellyttäisi käytännössä välittömiä muutoksia Kansaneläkelaitoksen ylläpitämiin Kanta-palveluihin jo liitettyihin tietojärjestelmiin. Jatkossa tietojärjestelmien valmistajat joutuisivat ottamaan säädetyt vaatimukset huomioon jo tietojärjestelmien suunnittelussa ja kehittämisessä. Säädettyjen vaatimusten osoittaminen aiheuttaisi kustannuksia tietojärjestelmien valmistajille.

Uudet säännökset lisäisivät jossain määrin Terveyden ja hyvinvoinnin laitoksen sekä Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtäviä. Tämä edellyttäisi osittain olemassa olevien voimavarojen uudelleen kohdentamista ja osaksi myös lisävoimavaroja erityisesti tietojärjestelmien valvontaan.

3.2Taloudelliset vaikutukset

Asiakastietolakiin ehdotettavat muutokset merkitsevät uusia velvoitteita eräille valtion viranomaisille, tietojärjestelmien valmistajille ja tietojärjestelmiä käyttäville sosiaalihuollon ja terveydenhuollon palvelujen antajille. Velvoitteet aiheuttavat jonkin verran kustannuksia mainituille tahoille. Samoin lääkemääräyslain muutokset tuovat uusia velvoitteita samoille tahoille.

Valtion viranomaisista uusia tehtäviä ja niistä aiheutuvia kustannuksia syntyy erityisesti Valviralle, jonka tehtävänä on valvoa tietojärjestelmien olennaisten vaatimusten toteutumista. Tietojärjestelmien valvontaan liittyvät tehtävät edellyttäisivät yhden uuden viran perustamista Valviraan. Tämän aiheuttamat vuotuiset kustannukset olisivat noin 70 000 euroa vuodessa. Uuden tehtävän aiheuttamat kustannukset on tarkoitus toteuttaa valtion talousarvion sisäisin järjestelyin siirtämällä tarvittavat määrärahat momentilta 33.01.25 (sosiaali- ja terveydenhuollon kansalliset sähköiset asiakastietojärjestelmät) momentille 33.02.05 (Sosiaali- ja terveysalan lupa- ja valvontaviraston toimintamenot).

Lisäksi Valviran tulisi toteuttaa julkinen rekisteri sosiaali- ja terveydenhuollon tietojärjestelmistä. Julkisen rekisterin toteuttaminen aiheuttaisi noin 80 000 euron perustamiskustannukset ja 10 000 euron vuotuiset ylläpitokustannukset. Rekisterin ylläpidosta aiheutuvat kustannukset rahoitettaisiin maksuilla, jotka perittäisiin tietojärjestelmien valmistajilta.

Terveyden ja hyvinvoinnin laitokselle uusia laissa todettuja tehtäviä tulee lähinnä asiakastietolain mukaisesta tietojärjestelmien olennaisten vaatimusten määrittelystä ja niitä koskevien määräysten valmistelusta. Nämä tehtävät liittyvät kuitenkin THL:ssa jo nyt olevaan tietojärjestelmien operatiiviseen ohjaukseen ja siihen liittyviin kehittämistehtäviin. Sen vuoksi nämä tehtävät voidaan toteuttaa THL:n operatiivisen yksikön sisäisillä järjestelyillä.

Kanta-palveluihin liittyneiden tietojärjestelmien on jo nykyisin pitänyt täyttää yhteentoimivuuden vaatimukset ja muualla lainsäädännössä oleviin vaatimuksiin perustuvat auditointikriteerit. Myös jatkossa Kanta-palveluihin liittyvien järjestelmien tulee täyttää vastaavat vaatimukset. Sen vuoksi asiakastietolaissa olevat säännökset olennaisista vaatimuksista ja niiden osoittamisesta eivät sinänsä aiheuta juurikaan uusia kustannuksia luokkaan A kuuluvien tietojärjestelmien valmistajille ja niiden käyttäjille. Kustannuksia aiheutuu kuitenkin näiden vaatimusten osoittamisesta. Tähän saakka säädettyjen vaatimusten osoittamisen aiheuttamat kustannukset ovat jääneet pitkälti valtion vastuulle. Ulkoisen auditoinnin aiheuttamat välittömät kustannukset on rahoittanut sosiaali- ja terveysministeriö, joka on tehnyt sopimuksen auditointeihin liittyvien ulkoisten arviointien suorittamisesta ja rahoittamisesta KPMG OY:n kanssa. Kustannukset ovat olleet keskimäärin 4 000 euroa kustakin arvioinnista, jotka sosiaali- ja terveysministeriö on maksanut valtion talousarvion momentilla 33.01.25 olevasta määrärahasta. Jatkossa Kantaan liitettävien tietojärjestelmien valmistajat joutuvat vastaamaan näistä kustannuksista. Ehdotettu vaatimustenmukaisuuden osoittamisen menettely (sertifiointi) aiheuttaisi nykyistä enemmän kustannuksia erityisesti sen vuoksi, että siihen sisältyy tietojärjestelmien jatkuva arviointi. Aiheutuvien kustannusten kokonaismäärää ei voida ennakolta arvioida täsmällisesti. Todennäköisesti tietojärjestelmää kohden aiheutuvat kustannukset nousevat edellä todetusta yli kaksinkertaisiksi.

Tietojärjestelmien yhteistestaus aiheuttaa kustannuksia Kansaneläkelaitokselle. Toistaiseksi nämä kustannukset on rahoitettu edellä mainitulta valtion talousarvion momentilta Kansaneläkelaitokselle osoitetulla määrärahalla. Sähköisen lääkemääräyksen toteutukseen liittyvien yhteistestausten osalta niiden aiheuttaman työmäärän perusteella laskettu keskimääräinen kustannus on ollut vajaat 30 000 euroa. Arkistopalvelujen käyttöönoton myötä yhteistestaukset tulevat laajenemaan ja tämä aiheuttanee Kansaneläkelaitokselle vuositasolla vajaan miljoonan euron kustannukset. Ehdotuksen mukaan jatkossa tietojärjestelmien valmistajien tulisi suorittaa Kansaneläkelaitokselle korvaus yhteistestauksen aiheuttamista kustannuksista. Yksittäisen tietojärjestelmän kohdalla tämä tarkoittaa sitä, että Kansaneläkelaitokselle suoritettavan korvauksen suuruuteen vaikuttaisi olennaisella tavalla se, miten hyvin yhteentoimivuuden vaatimukset on kyetty toteuttamaan jo ennakkoon testattavaksi tuotavassa järjestelmässä. Mitä enemmän yhteentoimivuudessa on puutteita, sitä korkeammat kustannukset testauksesta aiheutuu.

Kanta-palveluihin liitettävien tietojärjestelmän kokonaiskustannuksissa edellä mainitut kustannukset eivät kuitenkaan ole merkittäviä. Kustannukset olisivat joitakin tuhansia euroja kustakin tietojärjestelmästä. Käytännössä nämä aiheutuvat lisäkustannukset siirrettäneen tietojärjestelmien käyttäjiltä perittäviin maksuihin. Viime kädessä uudet vaatimukset lisäävät siten Kanta-palvelujen käyttäjien kustannuksia. Missä määrin kustannukset lisääntyvät määräytyy tietojärjestelmien valmistajien hinnoittelusta ja kilpailutilanteesta.

Luokan B tietojärjestelmiltä ei edellytetä tietojärjestelmien arviointilaitoksen arviointia. Sen vuoksi ehdotetut säännökset eivät aiheuttane niiden valmistajille tai käyttäjille merkittäviä lisäkustannuksia. Suurimmat kustannukset tietojärjestelmien valmistajille aiheutuisivat maksuista, joita perittäisiin Valviralle tehtävistä ilmoituksista, joiden perusteella tiedot tietojärjestelmistä tallennettaisiin Valviran ylläpitämään julkiseen rekisteriin. Maksut olisivat joitakin kymmeniä euroja vuodessa.

Lääkemääräyslakiin ehdotetaan lisättäväksi säännökset rajat ylittävästä sähköisestä lääkemääräyksestä. Säännökset mahdollistavat ensi vaiheessa epSOS-kokeilun käytännön toteutuksen. Kustannuksia kokeilusta aiheutuu kokeilusta Suomessa vastaavalle Terveyden ja hyvinvoinnin laitokselle ja teknisestä toteutuksesta vastaavalle Kansaneläkelaitokselle. Alustavan arvion mukaan kokeilusta aiheutuu noin 500 000 euron kustannukset. Nämä rahoitetaan valtion talousarvion momentilta 33.01.25.

Ehdotettu uusi valtakunnallinen palvelu, joka mahdollistaa selain- ja mobiililaitteilla laadittujen potilasasiakirjojen ja sähköisten lääkemääräysten laatimisen ja tallentamisen Kanta-palveluihin, aiheuttaa alustavan arvion mukaan vajaan miljoonan euron perustamiskustannukset. Perustamiskustannus rahoitetaan valtion talousarviomomentilta 33.01.25. Tämä järjestely kuitenkin pienentää seuraavassa kappaleessa mainittuja ammatinharjoittajille aiheutuvia kuluja niin, että kokonaiskustannukset ovat pienemmät kuin ilman tällaista palvelua.

Sähköisestä lääkemääräyksestä annettuun lakiin tehtävät muutokset tarkoittavat, että kaikki organisaatiot ja myös itsenäiset ammatinharjoittajat, joiden toiminnassa laaditaan lääkemääräyksiä, joutuvat liittymään sähköisen lääkemääräyksen käyttäjiksi. Valtaosalle terveydenhuollon palvelujen antajia tämä ei aiheuta uutta velvoitetta tai lisäkustannuksia, koska jo voimassa olevan lainsäädännön perusteella niiden on otettava käyttöön sähköinen lääkemääräys viimeistään 1 päivänä huhtikuuta 2014. Tällä uudella velvoitteella on vaikutusta ensisijassa eräisiin sosiaalihuollon palvelujen antajiin ja itsenäisiin ammatinharjoittajiin, joiden on jatkossa tarpeen liittyä Kanta-palvelujen käyttäjiksi. Monissa kunnallisissa sosiaalihuollon yksiköissä tämä tarkoittaa lähinnä olemassa olevien tietojärjestelmien päivittämistä sähköisen lääkemääräyksen kirjoitusominaisuudella, minkä aiheuttamat kustannukset eivät ole merkittävät. Suurin kustannusvaikutus on itsenäisinä ammatinharjoittajina toimiville lääkäreille ja hammaslääkäreille, joiden tulee hankkia tarvittavat laitteistot ja yhteydet sähköisten lääkemääräysten laatimiselle. Tällä hetkellä tällaisia laitteistoja ja yhteyksien toteuttajia ei vielä ole, joten kustannusten tarkka arvioiminen on vaikeaa. Alustavan arvion mukaan yksin toimivalle lääkärille tai hammaslääkärille, joka liittyy sähköisen lääkemääräyksen käyttäjäksi, aiheutuisi noin 12 000 euron perustamiskustannukset. Lisäksi järjestelmän ylläpito ja käyttö aiheuttaisi kustannuksia samoin kuin muidenkin tietojärjestelmien käyttö.

Lääkemääräyslakiin ehdotettavan muutoksen perusteella Kansaneläkelaitoksen tulee toteuttaa käyttöliittymäpalvelu, joka mahdollistaa sähköisen lääkemääräyksen laatimisen ja käsittelyn Internetin välityksellä sekä puhelin- ja tietoliikenneverkkojen välityksellä. Sähköisten lääkemääräysten laatiminen ja käsittely käyttöliittymäpalvelun kautta edellyttää normaalin tietokoneyhteyden lisäksi ainoastaan varmennekorttia ja kortinlukijaa. Näiden aiheuttamat kertaluonteiset kustannukset ovat vähäiset. Lisäksi jokaisesta laadittavasta lääkemääräyksestä on suoritettava maksu, jonka suuruus on vuonna 2014 kustakin lääkemääräyksestä 0,21 euroa.

Apteekeille sähköisen lääkemääräyksen käytön pakollisuus toisi lisätehtävänä poikkeustilanteissa laadittujen kirjallisten ja puhelinlääkemääräysten tallentamisen reseptikeskukseen. Tämä on kokonaan uusi ominaisuus apteekkijärjestelmiin ja sen toteuttaminen aiheuttaa muutoksia apteekkien nykyisiin tietojärjestelmiin. Siitä aiheutuu kustannuksia tietojärjestelmien toimittajille ja apteekeille. Lisäksi apteekeille aiheutuu kustannuksia kirjallisten ja puhelinreseptien tallentamisesta reseptikeskukseen, mikä aiheuttaa jonkin verran työtä. Tämän vastapainona apteekeilta jää pois nykyisiin kirjallisiin ja puhelinlääkemääräyksiin liittyvä tietojen tallennus apteekin omaan tietojärjestelmään. Kokonaisuutena ehdotettavat muutokset eivät juurikaan lisää lääkemääräysten käsittelystä apteekeille aiheutuvaa työtä.

Edellä todettujen uusien velvoitteiden ja tehtävien tarkoituksena on ensisijaisesti varmistaa sosiaali- ja terveydenhuollon tietojärjestelmien asianmukaisuus ja toisaalta parantaa hoidon tuloksellisuutta ja potilasturvallisuutta. Mikäli nämä tavoitteet toteutuvat, voidaan tietojen käytön tehostumisen kautta saavuttaa aiheutuvia kustannuksia suuremmat säästöt. Säästöjen syntyminen on kuitenkin kiinni niin monista eri tekijöistä, että eri tekijöiden kokonaisvaikutuksesta ei ole esitettävissä luotettavaa arviota.

Kanta-palvelujen käyttö rahoitetaan niitä käyttäviltä terveydenhuollon palvelujen antajilta ja apteekeilta perittävillä maksuilla. Koska käyttäjämaksut ja käytöstä aiheutuvat kulut tapahtuvat eri aikoina, on tarpeen ylläpitää puskuria Kansaneläkelaitoksen palvelurahastossa. Tätä varten rahastoon on siirretty 2,1 miljoonaa euroa. Lisäksi tulevina vuosina sinne on tarkoitus siirtää 4 miljoonaa euroa. Tämä 4 miljoonaa euroa korvataan vuoteen 2022 mennessä käyttäjien maksuilla. Puskuria käytetään ensisijaisesti vuoden sisällä tasoittamaan tulojen ja menojen eriaikaisuutta, mutta sitä voidaan käyttää myös tasoittamaan korvausinvestointien vuosittaista vaihtelua. Tällöin tarkoituksena on pitää käyttäjiltä perittävät maksut vakaina ja ennustettavina.

3.3Hallinnolliset vaikutukset

Ehdotetut säädösmuutokset lisäävät Terveyden ja hyvinvoinnin laitoksen ja Sosiaali- ja terveysalan lupa- ja valvontaviraston viranomaistehtäviä. Valtakunnallisten tietojärjestelmäpalvelujen toteutuksesta vastaavan Kansaneläkelaitoksen uudeksi lakisääteiseksi tehtäväksi tulevat Kanta-palveluihin liitettävien tietojärjestelmien yhteistestaus sekä selain- ja mobiilikäytön mahdollistava palvelu. Kansaneläkelaitos toteuttaa myös säädösmuutosten edellyttämät muutokset vastuullaan oleviin keskitettyihin palveluihin. Lisäksi tietojärjestelmien tuottajille, tietojärjestelmiä käyttäville sosiaalihuollon ja terveydenhuollon palvelujen antajille ja apteekeille aiheutuu lisävelvoitteita.

Terveyden ja hyvinvoinnin laitoksella on ehdotuksen mukaan oikeus antaa tarkempia säännöksiä asiakastietolaissa säädettävistä tietojärjestelmien olennaisista vaatimuksista, tietojärjestelmien luokkien määräytymisestä, olennaisten vaatimusten osoittamisessa noudatettavista menettelyistä ja annettavasta selvityksestä, olennaisten vaatimusten merkittävistä poikkeamista ja niitä koskevista ilmoituksista ja omavalvontasuunnitelman sisällöstä. Säännökset annettaisiin laitoksen määräyksellä. Terveyden ja hyvinvoinnin laitoksella ei aiemmin ole ollut tietojärjestelmiä koskevaa norminantovaltuutta. Toisaalta valtuudet liittyvät vuoden 2011 alusta voimaan tulleilla asiakastietolain muutoksilla Terveyden ja hyvinvoinnin laitokselle annettuihin tehtäviin, joiden perusteella laitoksella on vastuu kansallisten tietojärjestelmäpalvelujen operatiivisesta ohjauksesta. Ehdotettu norminantovalta tukee Terveyden ja hyvinvoinnin laitoksen ohjaustoimintaa ja se voidaan toteuttaa olemassa olevilla voimavaroilla.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävät laajenisivat käsittämään asiakastietolain tarkoittamien sosiaali- ja terveydenhuollon tietojärjestelmien olennaisten vaatimusten toteutumisen valvontaan ja eräisiin siihen liittyviin tehtäviin. Nämä olisivat uusia tehtävä, joilla kuitenkin on läheinen liittymäkohta Valviran vastuulla jo oleviin terveydenhuollon laitteista ja tarvikkeista annetun lain (629/2010) , jäljempänä laitelaki , mukaisiin valvontatehtäviin. Uudet tehtävät, kuten valvonta, valtuutetun tarkastuslaitoksen hyväksyntä ja julkisen rekisterin ylläpito, edellyttäisivät kuitenkin Valviralle uusia voimavaroja.

Mainittujen asiakastietolain uusien tehtävien vastapainona ehdotus sähköisen lääkemääräyksen käytön pakollisuudesta helpottaisi osaltaan Valviran valvontatehtävin suorittamista. Tällä hetkellä lääkkeiden määräämiseen, erityisesti pkv- ja huumausainelääkkeiden määräämisen, liittyvät valvontatehtävät edellyttävät työlästä lääkemääräystietojen hankintaa apteekeista. Sen jälkeen kun kaikki lääkemääräystiedot ovat poikkeuksetta reseptikeskuksessa, tarvittavien tietojen hankinta helpottuu olennaisesti.

Myös Lääkealan turvallisuus- ja kehittämiskeskuksen eräät valvonta- ja seurantatehtävät helpottunevat merkittävästi sen jälkeen kun kaikki lääkemääräystiedot saadaan reseptikeskuksesta. Tämä koskee erityisesti huumausainevalvontaa. Lisäksi lääketurvatoiminnassa, lääketilastoinnissa ja lääkkeiden käytön seurannassa tarvittavien tietojen saanti helpottuu merkittävästi. Erityisesti lääkekorvausjärjestelmän ulkopuolisten reseptilääkkeiden seuranta helpottuu, koska näistä ei nykyisin ole mahdollista saada keskitetysti tietoja.

Asiakastietolain ja reseptilain muutokset tuovat tullessaan uuden kansallisen tietojärjestelmäpalvelun, ammattilaisen käyttöliittymän, jonka avulla voidaan itsenäisesti selata ja kirjoittaa sähköisiä lääkemääräyksiä sekä potilasasiakirjoja. Kansaneläkelaitos tuottaa tämän palvelun joko erikseen tai osana olemassa olevia palveluita. Tämä laajentaa Kansaneläkelaitoksen vastuita erityisesti potilasasiakirjojen osalta. Itsenäiset ammatinharjoittajat toimivat rekisterinpitäjinä omalta osaltaan, mutta Kansaneläkelaitoksen rooli teknisenä rekisterinpitäjänä on suurempi kuin terveydenhuollon organisaatioiden kohdalla.

3.4Vaikutukset asiakkaan asemaan

Esitykseen sisältyvistä ehdotuksista terveydenhuollon asiakkaiden ja potilaiden kannalta merkityksellisiä ovat lähinnä lääkemääräyslakiin ehdotettavat muutokset. Sen sijaan asiakastietolakiin ehdotettavilla muutoksilla, jotka koskevat tietojärjestelmien sertifiointeja ja palvelujen antajien omavalvontasuunnitelmia, ei ole käytännössä merkittäviä välittömiä vaikutuksia asiakkaiden ja potilaiden asemaan.

Asiakkaiden ja potilaiden kannalta merkittävin muutos on siirtyminen kattavasti sähköiseen lääkemääräykseen. Tämän seurauksena lääkemääräyksen saavalla potilaalla ei ole enää nykyiseen tapaan mahdollisuutta valita sähköisen lääkemääräyksen ja kirjallisen tai puhelinlääkemääräyksen välillä. Tällöin tiedot kaikista lääkemääräyksistä tulevat olemaan reseptikeskuksessa. Potilaan kannalta tämä tarkoittaa, että lääkemääräykset ja niiden tiedot ovat aina tallessa. Vaikka esimerkiksi apteekissa asioinnin kannalta on hyvä säilyttää vastaanotolla saatu potilasohje määrätyistä lääkkeistä tai apteekista saatu yhteenveto, ei näiden säilyttäminen ole kuitenkaan välttämätöntä potilaalle. Potilaalla on myös mahdollisuus saada ajantasaiset tiedot lääkemääräyksistä katseluyhteyden välityksellä esimerkiksi omalta kotitietokoneeltaan.

Katseluyhteyttä koskevia säännöksiä ehdotetaan muutettavaksi siten, että sen nimi muutetaan kansalaisen käyttöliittymäksi, koska omien tietojen katselun lisäksi potilas voi tehdä eräitä tahdonilmaisuja. Sisällöllisesti merkittävä muutos on ehdotus, jonka mukaan kansalaisen käyttöliittymän kautta voidaan katsoa myös alaikäisen henkilön lääkemääräystietoja ja keskeisiä potilasasiakirjatietoja. Muutos mahdollistaa alaikäiselle itselleen tai hänen huoltajalleen taikka muulle lailliselle edustajalleen mahdollisuuden katsoa potilas- ja reseptitietoja omalta tietokoneelta. Katseluyhteyden laajennus alaikäisiin toteutetaan kuitenkin siten, että siinä turvataan potilaslain säännökset, kuten 9 §:n 2 momentin säännös, jonka mukaan itse hoidostaan päättämään kykenevällä potilaalla on oikeus kieltää hänen huoltajaltaan tai muulta lailliselta edustajaltaan oikeus katsoa lääkemääräys- ja potilastietoja.

Kansalaisen käyttöliittymän kautta asiakas voi lääkemääräysten seurannan lisäksi vastaanottaa informaation sähköisestä lääkemääräyksestä, antaa laissa tarkoitetun suostumuksen ja tehdä kiellon sekä peruuttaa ne ja tehdä lääkemääräyksen uudistamispyynnön. Käyttöliittymän yhteyteen voidaan jatkossa lisätä myös uusia toimintoja, jotka mahdollistavat myöhemmin kehitettävien ominaisuuksien lisäämisen siihen. Kokonaisuutena näiden uusien ominaisuuksien voidaan arvioida lisäävän ihmisten mahdollisuuksia seurata ja vaikuttaa omaan hoitoonsa ja lääkitykseen.

Kaikkien lääkemääräysten tallentaminen reseptikeskukseen mahdollistaa lääkkeitä määrääville terveydenhuollon ammattihenkilöille mahdollisuuden saada nykyistä paremmin tieto kaikista potilaille määrätyistä ja heidän apteekeista ostamistaan lääkkeistä. Tämä antaa mahdollisuuden kokonaislääkityksen arviointiin ja entistä parempaan lääkehoitojen hallintaan sekä haitallisten yhteisvaikutusten välttämiseen.

Sähköisen lääkemääräyksen kattavalla käytöllä voidaan myös ehkäistä pkv- ja huumausainelääkkeiden väärinkäyttöä. Uudistusten voimaantulon jälkeen näitä lääkkeitä määräävällä lääkärillä ja hammaslääkärillä on aina mahdollisuus nähdä potilaalle aiemmin määrätyt vastaavat lääkkeet ja niiden toimitustiedot. Tämä mahdollisuus nähdä pkv- ja huumausainelääkemääräykset on ehdotettavien säännösten mukaan silloinkin kun potilas ei ole antanut lääkemääräyslain 13 §:n mukaista suostumusta tai on tehnyt näitä lääkkeitä koskevan tietojen luovutuskiellon. Pkv- tai huumausainelääkettä määräävän lääkärin tai hammaslääkärin saadessa aina luotettavan tiedon potilaan aiemmista vastaavista lääkkeistä, on hoidollisesti tarpeettomien lääkemääräysten antamisesta mahdollista kieltäytyä. Nykyisin kun lääkemääräykset laaditaan kirjallisesti, pkv-lääkkeitä väärinkäyttävät potilaat ovat voineet kiertää lääkäriltä toiselle ja hakea lääkkeensä eri apteekeista, jolloin väärinkäytön todentaminen on ollut usein mahdotonta.

Tietosuojan kannalta kaikkien lääkitystietojen kokoamisen yhteen valtakunnalliseen reseptikeskukseen voidaan arvioida sisältävän myös riskejä. Lain säännökset lähtevät siitä, että lääkemääräystietoja saa katsoa ja käsitellä vain potilaan suostumuksella. Lisäksi tietojen käsittelyn tulee perustua joko potilaan hoidon toteuttamiseen tai lääkkeen toimittamiseen apteekista. Näistä periaatteista voi kuitenkin poiketa, jos laissa on erikseen toisin säädetty. Käytännössä on kuitenkin mahdollista, että lääkemääräystietojen katseluun ja käsittelyyn oikeutettu henkilö voi saada tietoja lääkityksestä laajemminkin kuin hänen työtehtävänsä edellyttävät. Tätä riskiä pyritään vähentämään muun muassa tietoteknisin ratkaisuin, kuten tarkistamalla hoitosuhteen olemassaolo ennen kuin potilaan tietoja pääsee tarkastelemaan. Reseptitietojen katselusta ja käsittelystä tallentuu myös kattavat lokitiedot, joiden perusteella voidaan jälkikäteen selvittää, onko tietoja katsottu aiheettomasti. Perustiedot käyttölokeista potilas saa katseluyhteyden kautta. Potilaalla on myös oikeus rajoittaa reseptitietojen näkyvyyttä joko niin, että hän ei anna lainkaan suostumusta reseptikeskuksessa olevien tietojen käyttämiseksi tai kieltämällä erikseen määrittelemiensä lääkemääräysten näkyvyyden terveydenhuollossa.

1.1Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

2 §.Soveltamisala. Asiakastietolain soveltamisalaa koskevan pykälän 3 momentissa todetaan muissa laeissa olevat keskeiset asiakas- ja potilastietojen käsittelyyn liittyvät säännökset. Lainkohtaan ehdotetaan lisättäväksi maininta kielilaista (423/2003) ja terveydenhuollon laitteista ja tarvikkeista annetusta laista (629/2010) , jotka tulee ottaa huomioon lakia sovellettaessa.

3 §.Määritelmät. Pykälässä määritellään eräät laissa käytettävät käsitteet. Säännökseen ehdotetaan lisättäväksi tietojärjestelmän, tietoturvallisuuden arviointilaitoksen ja yhteentoimivuuden määritelmät.

Pykälästä aiemmin kumotun 6 kohdan tilalle lisätään uusi 6 kohta, jossa määritellään tietojärjestelmä. Määritelmä perustuu julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011) , jäljempänä tietohallintolaki , 3 §:ssä olevaan tietojärjestelmän määritelmään. Määritelmää on kuitenkin täydennetty siten, että ehdotettavassa laissa tietojärjestelmällä tarkoitetaan sellaisia sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyssä käytettäviä tietokoneohjelmistoja ja tietojenkäsittelyjärjestelmiä, jotka on tarkoitettu käytettäväksi nimenomaan sosiaali- ja terveydenhuollossa asiakkaisiin tai potilaisiin kohdistuvan palvelutuotannon käyttöön. Säännöksen tarkoittamia tietojärjestelmiä ovat tämän mukaisesti esimerkiksi potilastietojärjestelmät sekä laboratorio- ja kuvantamisjärjestelmissä käytettävät ohjelmistot, joilla käsitellään potilaita koskevia tietoja. Sen sijaan laitteiden toimintaa ohjaavat tietokoneohjelmat, jotka eivät käsittele asiakas- tai potilastietoja, eivät ole lain tarkoittamia tietojärjestelmiä. Sosiaalipalvelujen puolella määritelmään sisältyvät sellaiset tietojärjestelmät, joilla käsitellään palvelutuotannossa asiakkaiden henkilökohtaisia tietoja. Myöskään yleiskäyttöiset ohjelmat, kuten tekstinkäsittely- tai taulukkolaskentaohjelmat taikka henkilöstö- tai taloushallinnon ohjelmat eivät ole lain tarkoittamia tietojärjestelmiä. Lain tarkoittamiksi tietojärjestelmiksi määritellään myös välityspalvelut, joita käytetään sosiaali- tai terveydenhuollon asiakastietojen välittämiseksi lain tarkoittamiin valtakunnallisiin tietojärjestelmäpalveluihin, joita Kansaneläkelaitos ylläpitää.

Kohtiin 7 ja 8 ehdotetaan tehtäväksi vähäisiä teknisiä muutoksia muun muassa määritelmiin lisättävien uusien 9 ja 10 kohtien takia. Muutoksilla ei ole vaikutusta määritelmien sisältöön.

Pykälään ehdotetaan lisättäväksi uusi 9 kohta, jossa määritellään tietoturvallisuuden arviointilaitos. Säännöksen mukaan tietoturvallisuuden arviointilaitoksella tarkoitetaan tietoturvallisuuden arviointilaitoksista annetussa laissa tarkoitettua yritystä, yhteisöä tai viranomaista, jonka Viestintävirasto on nimennyt suorittamaan sosiaali- tai terveydenhuollon tietojärjestelmien tietoturvan vaatimustenmukaisuuden arviointia. Tietoturvan arviointilaitoksen hyväksymisen yleiset edellytykset on todettu edellä mainitun lain 5 §:ssä. Lisäksi arviointilaitoksella tulee olla hyvä asiantuntemus sosiaali- ja terveydenhuollon tietojärjestelmiä koskevista vaatimuksista joista säädetään ehdotettavissa uusissa 19 a—19 g §:issä. Tietoturvallisuuden arviointilaitoksen tehtävänä on tarkastaa, täyttääkö Kansaneläkelaitoksen ylläpitämiin Kanta-palveluihin välittömästi liitettäväksi suunniteltu tietojärjestelmä tietoturvaa ja siihen sisältyvää tietosuojaa koskevat olennaiset vaatimukset.

Tietoturvallisuuden arviointilaitos voi olla yksityinen yritys tai viranomainen. Tietoturvallisuuden arviointilaitokseksi hakeudutaan erikseen ja jos laitos täyttää tietoturvallisuuden arviointilaitoksista annetun lain ja asiakastietolain mukaiset vaatimukset, Tämä todetaan tietoturvallisuuden arviointilaitoksista annetun lain 5 §:n mukaisessa menettelyssä. Käytännössä tämä tarkoittaa, että Mittatekniikan keskuksen yhteydessä toimiva kansallinen akkreditointielin FINAS on todennut arviointilaitoksen pätevyyden siten kuin vaatimustenmukaisuuden arviointipalveluista annetussa laissa (920/2005) säädetään. Tämä jälkeen Viestintävirasto voi nimetä arviointilaitoksen tehtäväänsä siten kuin tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.

Pykälään lisätään myös uusi 10 kohta, jossa määritellään yhteentoimivuus. Yhteentoimivuudella tarkoitetaan pykälän 6 kohdan mukaisten sosiaali- tai terveydenhuollon tietojärjestelmien teknistä ja tietosisällöllistä yhteentoimivuutta samoja tietoja käyttävien toisten sosiaali- ja terveydenhuollon tietojärjestelmien kanssa. Määritelmä vastaa tietohallintolain 3 §:n 4 kohdassa olevaa tietojärjestelmien yhteentoimivuuden määritelmää.

5 §.Käytön ja luovutuksen seuranta. Pykälässä säädetään sosiaalihuollon ja terveydenhuollon palvelujen antajien velvollisuudesta seurata asiakas- ja potilastietojen käyttöä sekä näiden luovutuksia muille palvelujen antajille. Sen 2 momenttiin ehdotetaan lisättäväksi säännös, jonka perusteella Kansaneläkelaitoksen tulee kerätä lokitiedot lain 14 a §:n mukaiseen potilaan tiedonhallintapalveluun tallennettujen tietojen sekä myös tiedonhallintapalvelun kautta näytettyjen tietojen luovutuksista. Kansaneläkelaitoksen tulee tämän mukaisesti kerätä lokitiedot muun muassa kaikista luovutuksista sekä tähän liittyen muun muassa luovutusten ajankohdista ja luovutuksen saajista.

Tiedonhallintapalvelun kautta näytettäviä tietoja ovat muun muassa eräät koosteasiakirjat ja ylläpidettävät asiakirjat, kuten keskeiset diagnoosit, rokotukset lääkitykset ja laboratoriotulokset. Näistä tiedoista tiedonhallintapalvelun lokiin ei tallenneta tietoa niistä terveydenhuollon palvelujen antajista, joita koskevista asiakirjoista tiedot on saatu. Lokitietoja voidaan tarvittaessa käyttää luovutusten asianmukaisuuden selvittämiseen. Potilailla on oikeus saada tieto lokitiedoista siten kuin 18 §:ssä säädetään.

14 §.Valtakunnalliset tietojärjestelmäpalvelut. Pykälässä säädetään viranomaisten vastuista terveydenhuollon valtakunnallisten tietojärjestelmäpalvelujen toteutuksessa. Kansaneläkelaitoksen hoitamista palveluista säädetään 1 momentissa. Näitä palveluja ehdotetaan laajennettavaksi. Ehdotuksen mukaan arkistopalveluun voitaisiin tallentaa potilasasiakirjojen lisäksi myös muita sosiaali- ja terveydenhuollon tiedonhallintaan liittyviä asiakirjoja. Ensivaiheessa tällaisia olisivat eräät ensihoitotoiminnassa syntyvät asiakirjat, kuten monipotilastilanteiden hallintaan liittyvät asiakirjat, resurssitaulut ja muut ensihoidon järjestämisessä syntyvät ei potilasasiakirjalliset tiedot.

Suomeen ollaan rakentamassa usean ministeriön ja näiden alaisten laitosten yhteistoimintana viranomaisten yhteistä kenttäjohtamisen tietojärjestelmää. Tämä tietojärjestelmä sisältää toimintoja ensihoitoon ja sosiaalipäivystykseen. Tietojärjestelmällä luodaan mm. ensihoitokertomus, joka on potilasasiakirja ja arkistoituu täten potilastiedon arkistoon. Kustannusten ja päällekkäisen tekemisen minimoinnin kannalta olisi järkevää, että yhteinen kenttäjohdonjärjestelmä voisi arkistoida myös ei-potilaskohtaiset ensihoidon toiminnassa syntyvät asiakirjat kansalliseen arkistointipalveluun. Ensihoidon järjestämisvastuullisina toimijat tällä hetkellä sairaanhoitopiirit ja ne ovat täten myös rekisterinpitäjiä syntyville tiedoille.

Valtakunnallisiin tietojärjestelmäpalveluihin ehdotetaan myös lisättäväksi käyttöliittymäpalvelu, jolla potilasasiakirjoja ja sähköisiä lääkemääräyksiä voi laatia ja käsitellä selain- ja mobiilipohjaisesti. Tällöin terveydenhuollon palvelujen antajat ja erityisesti itsenäisesti toimivat terveydenhuollon ammattihenkilöt voivat käyttää Kanta-palveluja ilman omaa potilastietojärjestelmää. Näiden ohella 1 momenttiin ehdotetaan otettavaksi säännös, jonka mukaan Kansaneläkelaitoksen ylläpitämiin tietojärjestelmäpalveluihin voidaan lisätä myös muita kuin lainkohdassa nimettyjä palveluja. Edellytyksenä olisi kuitenkin, että näistä palveluista säädettäisiin erikseen. Yksi tällainen uusi palvelu voisi olla biopankkilaissa (688/2012) tarkoitettujen näytteiden käsittelyyn liittyvien suostumusten ja kieltojen arkistointipalvelu sekä siihen liittyvä henkilöiden mahdollisuus nähdä ja hallinnoida tallennettuja tahdonilmaisujansa 19 §:ssä tarkoitetun katseluyhteyden avulla. Näiden liittämisestä valtakunnallisiin tietojärjestelmäpalveluihin on tarkoitus säätää myöhemmin biopankkilakiin tehtävillä muutoksilla.

14 a §.Potilaan tiedonhallintapalvelu. Pykälässä säädetään Kansaneläkelaitoksen ylläpitämästä potilaan tiedonhallintapalvelusta. Siihen kootaan ja se yhdistää potilasta koskevat keskeiset tiedot terveydenhuollon ammattilaisen käyttöön. Tällaisia tietoja ovat muun muassa potilaiden antamat suostumukset häntä koskevien tietojen luovutukseen ja luovutuksia koskevat kiellot sekä keskeiset terveyden- ja sairaanhoitoa koskevat tiedot.

Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että tiedonhallintapalvelun kautta voidaan koota ja näyttää myös muita kuin sosiaali- ja terveydenhuollon palveluihin välittömästi liittyviä tietoja ja toimintoja. Edellytyksenä on kuitenkin, että tällaisista muista tiedoista ja toiminnoista säädetään erikseen muualla. Yhtenä esimerkkinä tällaisista tiedoista ja palveluista on biopankkitoimintaan liittyvät suostumukset. Syyskuun 1 päivänä 2013 voimaan tulevan biopankkilain mukaan biopankin ylläpitäjän tulee ylläpitää suostumusrekisteriä, jossa on näytteitä luovuttaneiden henkilöiden antamat suostumukset näytteiden tutkimuskäyttöön. Biopankkilakia ehdotetaan tässä yhteydessä muutettavaksi siten, että suostumusrekisteriä voisi ylläpitää biopankin lisäksi myös Kansaneläkelaitos osana Kanta-palveluja.

Pykälän 4 momenttiin ehdotetaan lisättäväksi säännös tiedonhallintapalvelussa olevien tietojen korjaamisesta. Ehdotetun säännöksen mukaan tietojen korjaamiseen sovelletaan mitä henkilötietolain 29 §:ssä säädetään. Korjausta tulee pyytää siltä taholta, joka on tehnyt virheellisen merkinnän. Kysymykseen voi tämän mukaisesti tulla joko Kansaneläkelaitos tai terveydenhuollon palvelujen antaja. Jos virheellinen tieto perustuu terveydenhuollon palvelujen antajan tekemään merkintään, asiakas voi saada Kansaneläkelaitoksesta tiedon asianomaisesta palvelujen antajasta. Asianomaisen palvelujen antajan on tällöin huolehdittava virheen korjaamisesta.

16 §.Vastuut tietojärjestelmäpalvelujen hoitamisessa. Pykälässä säädetään muun muassa arkistopalvelussa olevien tietojen käytöstä. Sen 4 momentin mukaan Kansaneläkelaitos ei saa käyttää arkistopalvelussa olevia tietoja laajemmin kuin mitä ylläpitoon liittyvät tehtävät välttämättä edellyttävät. Käytännössä on kuitenkin tullut esille tarpeita tuottaa arkistopalveluun tallennettujen potilasasiakirjojen pohjalta erilaisia lähinnä arkiston hallinnointiin liittyviä tilastotietoja, joita voidaan hyödyntää valtakunnallisten tietojärjestelmäpalvelujen kehittämisessä, seurannassa ja raportoinnissa. Tässä tarkoituksessa olisi tarpeen käsitellä ainakin asiakirjojen kuvailutietoja. Edellä mainittu 4 momentin sanamuoto on tällä hetkellä hyvin tiukka eikä se mahdollista tarvittavien raporttien laatimista ja julkaisemista. Sen vuoksi ehdotetaan, että pykälään lisättäisiin uusi 5 momentti, jonka mukaan Kansaneläkelaitos voisi tuottaa ja julkaista tällaisia seuranta- ja tilastotietoja arkistopalvelussa olevien asiakirjojen kuvailutiedoista. Kyseessä olisivat nimenomaan asiakirjojen kuvailutiedot, ei varsinaiset potilastiedot. Kuvailutietojen perusteella Kansaneläkelaitos ei käsittelisi salassa pidettäväksi säädettyjä tietoja, eikä potilaan tietoja muutenkaan käsiteltäisi niin, että potilaiden tietosuoja vaarantuisi. Sähköisestä lääkemääräyksestä annetun lain 15 §:ssä on jo vastaavan tyyppinen säännös, joka mahdollistaa yhteenvetotietojen laatimisen reseptikeskuksessa olevista tiedoista.

17 §.Potilaan informointi. Pykälässä säädetään valtakunnallisista tietojärjestelmäpalveluista annettavasta informaatiosta. Voimassa olevan lain mukaan potilas informoidaan ensimmäisen palvelutapahtuman yhteydessä antamalla potilaalle Kansaneläkelaitoksen laatima kirjallinen seloste. Säännöstä ehdotetaan muutettavaksi siten, että informaation voi antaa paitsi suullisesti niin myös kirjallisesti tai sähköisen palvelun välityksellä. Säännökseen ehdotettu muutos olisi vastaava kuin lääkemääräyslain 4 §:ään ehdotettu muutos. Potilastiedon arkistoa ja sähköistä lääkemääräystä koskevien informointimenettelyjen yhtenäistäminen on terveydenhuollon palvelujen antajien ja potilaiden kannalta tarkoituksenmukaista.

Pykälän 1 momentin perusteella potilasta on informoitava valtakunnallisista tietojärjestelmäpalveluista, niihin liittyvistä potilaan oikeuksista muista potilaan kannalta merkityksellisistä tietojen käsittelyyn liittyvistä seikoista ennen ensimmäistä palvelutapahtumaa tai sen yhteydessä.

Pykälän 2 momentin mukaan informaatio tulee antaa terveydenhuollon palvelujen antajan toimesta potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tieto voidaan antaa myös potilaan luotettavasti yksilöivän sähköisen palvelun välityksellä. Sähköinen palvelu voi olla esimerkiksi asiakastietolain 19 §:ssä tarkoitettu katseluyhteys tai terveydenhuollon toimintayksikön tiloissa oleva automaatti. Jos tieto annetaan muulla tavalla kuin kirjallisesti, on potilaalla oltava mahdollisuus saada informaatio myös kirjallisena. Annetusta informaatiosta tulee tehdä merkintä edellä 14 a §:ssä todettuun potilaan tiedonhallintapalveluun. Jos potilas on jo saanut edellä mainitun informaation, voidaan tietojenantovelvollisuudesta poiketa siten kuin henkilötietolain (523/1999) 24 §:ssä säädetään. Tieto aiemmin annetusta informaatiosta on edellä olevan mukaisesti nähtävissä tiedonhallintapalvelusta.

Informaation antamisen menettelytavoista ja sisällöstä voidaan 3 momentin mukaan tarvittaessa antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella.

18 §.Asiakkaan tiedonsaantioikeus. Pykälässä säädetään asiakkaan oikeudesta tarkastaa ja saada tietoja siitä, kenelle häntä koskevia tietoja on luovutettu. Pykälän 2—4 momentteihin ehdotetaan lisättäväksi maininta Kansaneläkelaitoksesta. Muutos perustuu siihen, että lain 5 §:ään ehdotettavan muutoksen perusteella Kansaneläkelaitoksen tulee kerätä lokitiedot potilaan tiedonhallintapalvelussa olevien ja sen kautta näytettävien tietojen luovutuksista. Potilaalla on oikeus saada tiedot näihin luovutuksiin liittyvistä lokitiedoista samoin kuin muistakin lokitiedoista.

Lisäksi pykälän 2 momenttiin ehdotetaan lisättäväksi rajaus, jonka mukaan asiakkaalla on pääsäännön mukaan oikeus saada vain pyyntöä edeltävien kahden vuoden aikana kertyneet lokitiedot. Tiedot on kuitenkin mahdollista saada myös pidemmältä ajalta, jos siihen on erityinen syy. Lain tarkoittamana erityisenä syynä voi olla esimerkiksi perusteltu epäilys asiakas- tai potilastietojen luvattomasta käsittelystä tavalla, joka edellyttää asian selvittämistä. Ehdotettava kahden vuoden määräaika perustuu siihen, että sosiaali- ja terveydenhuollon kantelujen käsittely on osaksi rajattu enintään kantelua edeltävien kahden vuoden aikaisiin tapahtumiin. Tällainen rajoitus on esimerkiksi eduskunnan oikeusasiamiehen sekä Sosiaali- ja terveydenhuollon lupa ja valvontaviraston käsiteltäväksi tehtävissä kanteluissa. Lisäksi valtiovarainministeriön asettama kantelutyöryhmä esitti loppuraportissaan (Valtiovarainministeriön julkaisuja 11/2012), että hallintolakia muutettaisiin siten, että kahta vuotta vanhemmasta asiasta tehtyä hallintokantelua ei tutkita, ellei siihen ole erityistä syytä. Toisena perusteena määräajalle on rikoslain 38 luvun 9 §:n mukaisen henkilörekisteririkoksen vanhentumisaika, joka myös on kaksi vuotta.

Voimassa olevassa 2 momentissa on toisaalta rajoitettu oikeutta saada lokitietoja viittaamalla henkilötietolain 27 §:n 1 momentissa oleviin rajoitteisiin. Viittaus henkilötietolakiin on kuitenkin jossain määrin ongelmallinen, koska henkilötietolain säännös koskee rekisteröityjä, eli henkilöitä, jotka ovat käsitelleet tai saaneet luovutuksena potilastietoja. Sen sijaan asiakastietolain 18 § koskee asiakasta, joka ei ole lokitietojen osalta rekisteröity. Lisäksi henkilötietolain rajoitusperusteet ovat pääosin sellaisia, että ne eivät voi koskea potilastietojen käsittelyyn ja luovutuksiin liittyviä lokitietoja. Tämän vuoksi säännöstä ehdotetaan muutettavaksi siten, että nykyisen lakiviittauksen sijasta siinä todetaan peruste jonka mukaan tietoja ei saa luovuttaa. Perusteena olisi tilanne, jossa lokitietoja luovuttavan tahon tiedossa on, että tietojen antamisesta saattaisi aiheutua vakavaa vaaraa luovutuksen saajan terveydelle tai hoidolle taikka muun henkilön oikeuksille. Tämä mukainen rajaus vastaa henkilötietolain 27 §:n 1 momentin 2 kohdassa olevaa rajausta.

Pykälän 3 momenttiin, jossa säädetään maksuista, ja 4 momenttiin, jossa säädetään tietojen käyttöä koskevasta selvityksestä, lisätään maininta Kansaneläkelaitoksesta, jolloin säännökset koskevat myös sitä.

19 §.Kansalaisen käyttöliittymä. Pykälässä säädetään potilaan käyttöliittymästä, jonka välityksellä täysi-ikäinen henkilö voi katsoa Internetin välityksellä itseään koskevia potilastietoja. Lisäksi käyttöliittymän välityksellä potilas voi antaa lain mukaisen suostumuksen tietojen luovuttamisesta ja tehdä kiellon sekä muita tahdonilmaisuja.

Säännöstä ehdotetaan muutettavaksi siten, että pykälän otsikko, joka voimassa olevan lain mukaan on katseluyhteys , olisi jatkossa kansalaisen käyttöliittymä , koska sen kautta voi katselun lisäksi tehdä palveluun liittyviä tahdonilmaisuja. Lisäksi pykälään muutettaisiin, että sen käyttöä ei jatkossa rajata vain täysi-ikäisiin. Tämä aiheuttaa muutoksia 1 ja 4 momenttiin. Pykälän 1 momentista poistetaan maininta siitä, että käyttöliittymää voivat käyttää vain täysi-ikäiset henkilöt.

Pykälän 2 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan kansalaisen käyttöliittymään voidaan lisätä myös muita toimintoja, joiden välityksellä potilaalle voidaan näyttää myös muita kuin pykälässä erikseen mainittuja tietoja sekä toteuttaa hoidon toteuttamista ja seuraamista tukevia toimintoja, joiden kautta asiakkaat ja potilaat voivat myös tallentaa tietoja. Lisäksi säännökseen lisättäisiin valtuutussäännös, jonka mukaan sosiaali- ja terveysministeriön asetuksella voitaisiin säätää tarkemmin mainitusta myöhemmin liitettävistä toiminnoista.

Tavoitteena on, että kansalaisen käyttöliittymän välityksellä voitaisiin laajasti seurata oman terveydentilan ja hoidon toteutukseen liittyviä asioita ja myös vaikuttaa niihin. Ehdotuksessa ei kuitenkaan yksilöidä niitä kaikkia toimintoja, jotka voidaan liittää käyttöliittymään, koska tarpeet ja mahdollisuudet kehittyvät jatkuvasti. Tällaisia toimintoja voisivat olla esimerkiksi potilaan kotona tekemien mittaus- ja seurantatietojen raportointi katseluyhteyden välityksellä. Myös Kansaneläkelaitoksen toteuttama uusi palvelu, joka mahdollistaa potilasasiakirjojen ja sähköisten lääkemääräysten laatimisen ja tallentamisen Kanta-palveluihin ilman potilastietojärjestelmää, saattaa edellyttää mahdollisuutta varmistaa hoito- tai potilassuhde kansalaisen käyttöliittymän kautta. Lisäksi käyttöliittymään voitaisiin liittää välittömästi potilaan hoitoon liittymättömiä terveyden- ja sairaanhoidon alan tahdonilmaisuja. Esimerkkinä tällaisesta ovat biopankkilainsäädäntöön liittyvät tahdonilmaisut. Näistä uusista toiminnoista ja niiden tietosisällöstä säädettäisiin sosiaali- ja terveysministeriön asetuksella.

Pykälän voimassa olevaan 3 momenttiin ei ehdoteta muutoksia.

Pykälän 4 momenttia ehdotetaan muutettavaksi alaikäisten tietojen katselua koskevan rajoituksen poiston takia. Lainkohtaan lisätään maininta siitä, että alaikäisen potilaan tiedot saa luovuttaa potilaan lisäksi hänen huoltajalleen tai lailliselle edustajalleen. Tietojen luovutuksessa alaikäisen huoltajalle tai lailliselle edustajalle on kuitenkin otettava huomioon potilaslain 9 §:n 2 momentissa oleva säännös. Sen mukaan itse hoidostaan päättämään kykenevällä potilaalla on oikeus kieltää itseään koskevien potilastietojen luovutus huoltajalleen tai muulle lailliselle edustajalleen.

Alaikäisen asemaa koskevasta muutoksesta johtuen 5 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkemmat säännökset siitä, miten alaikäisen potilaan huoltajan tai laillisen edustajan oikeus saada tietoja toteutetaan. Toteutuksessa on otettava huomioon muun muassa huoltajuuden varmistaminen tilanteessa jossa henkilö on menettänyt huoltajuuden tai alaikäinen on kieltänyt tietojen luovutuksen potilaslain 9 §:n 2 momentin perusteella. Näihin liittyen alaikäisen henkilön huoltajan tai laillisen edustajan mahdollisuutta saada tietoja ei voida toteuttaa heti lain muutoksen voimaantulosta lukien.

5 a luku Tietojärjestelmien olennaiset vaatimukset ja niiden osoittaminen

Lakiin ehdotetaan lisättäväksi uusi 5 a luku, jossa säädetään sosiaali- ja terveydenhuollon tietojärjestelmille asetettavista olennaisista vaatimuksista sekä siitä, miten olennaisten vaatimusten toteutuminen osoitetaan. Lain tarkoittamat olennaiset vaatimukset koskevat tietojärjestelmien yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta. Lisäksi tietojärjestelmän kehittämiselle asetetaan vaatimuksia. Tämän lain ohella terveydenhuollossa käytettäviin ohjelmistoihin ja tietojärjestelmiin voi tulla sovellettavaksi laitelaki ja sen mukaiset olennaiset vaatimukset, jotka koskevat potilaiden ja tietojärjestelmien käyttäjien turvallisuutta erityisesti fyysisen turvallisuuden näkökulmasta. Näiden kahden lainsäädännön, asiakastietolain ja laitelain mukaiset vaatimukset ovat pitkälti rinnakkaisia ja siten toisiaan täydentäviä. Käytännössä osa terveydenhuollossa käytettävistä tietojärjestelmistä ja ohjelmistoista on sellaisia, joihin sovelletaan vain laitelakia, osaan sovelletaan sekä laitelakia että asiakastietolakia ja osaan vain asiakastietolakia. Rajanveto määräytyy tietojärjestelmän ja ohjelmiston käyttötarkoituksen ja toiminnan perusteella. Lisäksi esimerkiksi terveydenhuollon hallinnossa käytettävät ohjelmistot ja järjestelmät jäävät yleensä kummankin lainsäädännön soveltamisalan ulkopuolelle.

Luvussa on myös säännökset siitä, minkälaista menettelyä noudattaen sosiaali- ja terveydenhuollon tietojärjestelmät hyväksytään käyttöön. Pääsääntönä on, että tietojärjestelmän valmistaja toteuttaa järjestelmän sitä koskevien yleisten vaatimusten mukaisesti ja antaa vakuutuksen näiden vaatimusten toteutumisesta. Menettelyä voi tämän mukaisesti kutsua myös itsesertifioinniksi. Jos tietojärjestelmä on tarkoitettu liitettäväksi Kanta-palveluihin, tulee olennaisten vaatimusten täyttyminen todeta Kansaneläkelaitoksen toteuttamalla yhteistestauksella sekä tietoturvallisuuden arviointilaitoksen toteuttamalla arvioinnilla. Järjestelmän saa ehdotuksen mukaan liittää Kanta-palveluihin vasta sen jälkeen, kun tietoturvallisuuden arviointilaitos on antanut vaatimustenmukaisuustodistuksen, jonka mukaan tietojärjestelmä täyttää olennaiset vaatimukset.

19 a §.Olennaiset vaatimukset. Ehdotettavan uuden pykälän 1 momentin mukaan sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Näillä vaatimuksilla turvataan tietojärjestelmien asianmukainen toimivuus siten, että käsiteltävät tiedot pysyvät eheinä ja muuttumattomina, salassa pidettävät asiakas- ja potilastiedot eivät päädy vääriin käsiin ja että tietojärjestelmät toimivat niille suunnitellulla tavalla tarkoituksenmukaisesti. Valmistajan on huolehdittava laatujärjestelmän soveltamisesta tietojärjestelmän suunnitteluun ja valmistukseen.

Yhteentoimivuuden käsite on määritelty 3 §:n 10 kohdassa. Sen mukaan yhteentoimivuudella tarkoitetaan sitä, että tietojärjestelmät ovat teknisesti ja tietosisällöllisesti (semanttisesti) yhteentoimivia muiden sosiaali- tai terveydenhuollon tietojärjestelmien kanssa silloin kun ne käyttävät samoja tietoja omissa prosesseissaan. Tietosisältöjen yhteentoimivuus mahdollistaa, että tieto säilyy muuttumattomana ja sen sisältö tulkitaan samoin kaikissa organisaatioissa.

Tietoturva liittyy osittain edellä todettuun yhteentoimivuuteen siten, että tietoturvan tarkoituksena on varmistaa tietojen eheys ja muuttumattomuus ja lisäksi niiden saatavuus ja käytettävyys. Tietosuojan tarkoituksena on puolestaan huolehtia siitä, että luottamuksellisia ja salassa pidettäviä asiakas- ja potilastietoja käsitellään vain lainsäädännön määrittelemissä rajoissa. Tietoja saavat käsitellä vain siihen oikeutetut henkilöt silloin kun heillä on lain mukainen peruste käyttöön.

Tietojärjestelmien toiminnalliset vaatimukset määrittelevät mitä ja miten järjestelmän tulisi tehdä. Toiminnallisissa vaatimuksissa määritellään muun muassa miten järjestelmä kommunikoi ympäristönsä kanssa ja miten käyttäjät työskentelevät järjestelmän kanssa. Lisäksi tässä tarkoitettuun toiminnallisuuteen kuuluu tietojärjestelmän käytettävyys, miten helppoa ja johdonmukaista tietojärjestelmän käyttäminen on.

Pykälän 2 momentin mukaan tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa, yhteentoimivuutta ja toiminnallisuutta koskevien lakien, niiden nojalla annettujen säännösten ja kansallisten määritysten mukaisesti. Näiden vaatimusten tulee toteutua käytettäessä tietojärjestelmää itsenäisesti sekä myös yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa. Tietoturvaa ja tietosuojaa koskevat vaatimukset takaavat sen, että tiedot tallentuvat ja säilyvät muuttumattomina kaikissa eri käyttötilanteissa. Tietojen käsittelyn ja luovutuksen tulee lisäksi toteutua siten, että salassa pidettäviä tietoja pääsevät käsittelemään vain henkilöt, joilla on siihen lainsäädäntöön perustuva oikeus.

Toisen tietojärjestelmän kanssa toimimaan tarkoitetun järjestelmän tulee olla yhteentoimiva muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa. Yhteentoimivuus on edellytys sille, että tietojen virheetön käsittely ja siirtyminen tietojärjestelmien välillä toteutuvat.

Sosiaali- ja terveydenhuollon tietojärjestelmiltä edellytetään myös toiminnallisuutta koskevien vaatimusten täyttämistä. Toiminnallisuudella tarkoitetaan tässä yhteydessä, että tietojärjestelmä soveltuu siihen käyttötarkoitukseen, johon sitä markkinoidaan. Sen tulee kyetä toteuttamaan kaikki käyttötarkoitukseen liittyvät toiminnot, joita lait ja muut säännökset edellyttävät. Esimerkiksi sähköisen lääkemääräyksen laatimisessa käytettävän tietojärjestelmän on toteutettava kaikki reseptilaissa säädetyt ominaisuudet. Toiminnallisuuteen liittyy osaltaan myös tietojärjestelmän käytettävyys. Tämä tarkoittaa minimissään, että tietojärjestelmää käyttävien henkilöiden tulee annetun ohjeistuksen ja koulutuksen perusteella kyetä käyttämään tietojärjestelmää tai ohjelmistoa valmistajan tarkoittamalla ja ilmoittamalla tavalla.

Edellä olevan lisäksi edellytetään, että tietojärjestelmän ja ohjelmiston valmistajalla on laatujärjestelmä, jota se soveltaa sosiaali- ja terveydenhuollon tietojärjestelmien ja ohjelmistojen suunnitteluun ja valmistukseen. Laatujärjestelmän tavoitteena on varmistaa, ettei tuotteessa ole suunnittelusta tai toteutuksesta aiheutuvia ongelmia tai puutteita. Lisäksi asianmukainen laatujärjestelmä voi helpottaa havaittujen puutteiden korjaamista.

Pykälän 3 momentissa säädetään norminantovaltuuksista. Ehdotuksen mukaan Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Määräyksillä voitaisiin varmistaa, että käytettävät ohjelmistot ja tietojärjestelmät täyttävät lain mukaiset tekniset ja toiminnalliset vaatimukset. Määräystä valmisteltaessa Terveyden ja hyvinvoinnin laitoksen tulee kuulla hyvän hallinnon periaatteiden mukaisesti asianomaisia sidosryhmiä. Lisäksi säännöksessä edellytettäisiin nimenomaisesti, että ennen määräyksen antamista Terveyden ja hyvinvoinnin laitoksen on vielä kuultava sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa. Olennaiset vaatimukset ja niitä koskevat määräykset tulee vahvistaa hyvissä ajoin ennen niiden mukaisten vaatimusten voimaan tuloa. Lisäksi tietojärjestelmien valmistajille tulee varata riittävä ja kohtuullinen aika vaatimusten toteuttamiseksi ja vaatimustenmukaisuuden osoittamiseksi. Lisäksi Kansaneläkelaitos voi antaa määräyksiä niistä menettelyistä, joilla Kanta-palveluihin liitettävien tietojärjestelmien yhteentoimivuus Kanta-palvelujen ja muiden niihin liittyneiden tietojärjestelmien kanssa voidaan todentaa. Käytännössä tämä toteutettaisiin tietojärjestelmien yhteistestauksella.

19 b §.Luokitus. Sosiaali- ja terveydenhuollossa käytettävien tietojärjestelmien käyttötarkoitukset ja -tilanteet ovat erilaisia. Tämän vuoksi myös niitä koskevissa olennaisissa vaatimuksissa tulee ottaa huomioon nämä erot. Kanta-palvelujen toteutuksesta saatujen kokemusten perusteella merkittävimmät tietosuojaa ja tietoturvaa sekä yhteentoimivuutta koskevat vaatimukset koskevat Kansaeläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin liitettäviä tietojärjestelmiä. Näiden järjestelmien avulla on tulevaisuudessa mahdollisuus käsitellä lähes kaikkia Suomessa laadittuja potilasasiakirjoja ja lääkemääräyksiä. Sen vuoksi valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien vaatimustenmukaisuuden osoittamiseksi on tarpeen edellyttää perusteellisempia selvityksiä kuin muilta tietojärjestelmiltä.

Edellä olevan perusteella tietojärjestelmät ehdotetaan jaettavaksi kahteen luokkaan, A ja B. Luokkaan A kuuluvat ehdotuksen mukaan ne tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin. Myös Kansaneläkelaitoksen itse ylläpitämät terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut, kuten lain 14 §:n 1 momentissa tarkoitettu arkistointipalvelu ja 14 a §:ssä tarkoitettu potilaan tiedonhallintapalvelu olisivat luokkaan A kuuluvia tietojärjestelmiä. Tällaisiksi A luokkaan kuuluviksi katsotaan myös ne välityspalvelut, joita käytetään terveydenhuollon alueellisessa tai paikallisessa tietojärjestelmässä olevien tietojen siirtämiseksi valtakunnallisiin tietojärjestelmäpalveluihin. Muut tietojärjestelmät kuuluvat luokkaan B.

Luokan B tietojärjestelmät ovat tämän mukaisesti sellaisia, jotka eivät ole suoraan tai välityspalvelun kautta yhteydessä Kanta-palveluihin. Esimerkiksi laboratoriojärjestelmä, jonka tuottamat tiedot tallennetaan potilastietojärjestelmässä oleviin potilastietoihin, on luokan B järjestelmä, vaikka potilastietojärjestelmä tallentaa laboratoriovastauksen tiedot myöhemmin edelleen Kanta-palvelujen arkistointipalveluun.

Mikäli yksittäistapauksessa on epäselvyyttä siitä, kuuluuko tietojärjestelmä luokkaan A vai B, tulee Terveyden ja hyvinvoinnin laitoksen ratkaista se 2 momentissa olevan säännöksen perusteella.

Pykälän 3 momentin perusteella Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, miten tietojärjestelmien luokka määräytyy.

19 c §.Valmistajan yleiset velvollisuudet. Pykälässä ehdotetaan säädettäväksi sosiaalihuollon ja terveydenhuollon tietojärjestelmän valmistajaa koskevat yleiset velvollisuudet. Tietojärjestelmän valmistaja on 1 momentin mukaan aina itse vastuussa tietojärjestelmän suunnittelusta, valmistuksesta ja luokittelusta. Tähän vastuuseen ei vaikuta, toteuttaako valmistaja nämä toimet itse vai hankkiiko tietojärjestelmän valmistaja näihin liittyviä palveluja ja toimia alihankkijoilta tai muilta tahoilta. Valmistajan käsite tulee tässä yhteydessä tulkita sikäli laajasti, että se tarkoittaa myös yritystä tai henkilöä, joka kokoaa asiakkaalle useasta eri osasta koostuvan tietojärjestelmäkokonaisuuden.

Pykälän 2 momentti velvoittaa valmistajan antamaan tietojärjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet sen käyttöönotosta, tuotantokäytöstä ja ylläpidosta. Palvelujen antajalle voidaan luovuttaa nämä tiedot suomen, ruotsin tai englannin kielellä. Sen sijaan tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen ohjeiden ja muiden tietojen on oltava aina myös suomen ja ruotsin kielellä.

19 d §.Vaatimustenmukaisuuden osoittaminen. Pykälässä säädetään menettelystä, jolla tietojärjestelmän valmistajan on osoitettava, että järjestelmä täyttää olennaiset vaatimukset. Pykälän 1 momentin mukaan luokkaan A kuuluvan tietojärjestelmän vaatimustenmukaisuuden osoittaminen perustuu kolmeen eri osaan. Nämä koskevat toiminnallisuutta, yhteentoimivuutta sekä tietosuojaa ja tietoturvallisuutta.

Toiminnallisuutta koskevat vaatimukset tulee osoittaa valmistajan antamalla selvityksellä siitä, että tietojärjestelmä täyttää kaikki toiminnallisuutta koskevat vaatimukset. Yhteentoimivuutta koskevien vaatimusten toteutuminen on osoitettava Kansaneläkelaitoksen järjestämällä yhteistestauksella. Yhteistestauksesta säädetään tarkemmin 19 e §:ssä. Tietoturvallisuutta ja tietosuojaa koskevien vaatimusten toteutus on puolestaan osoitettava tietoturvallisuuden arviointilaitoksen suorittaman tietoturvallisuuden arvioinnin perusteella annettavalla vaatimustenmukaisuustodistuksella. Tietoturvallisuuden arviointi tehdään tietoturvallisuuden arviointilaitoksista annetun lain sekä nyt ehdotettavien asiakastietolain uusien säännösten mukaisesti.

Luokkaan B kuuluvien tietojärjestelmien vaatimustenmukaisuus voidaan osoittaa 2 momentin perusteella kevyemmällä menettelyllä kuin luokan A tietojärjestelmien. B luokan tietojärjestelmä voidaan ottaa käyttöön sen jälkeen kun järjestelmän valmistaja on antanut kirjallisen selvityksen siitä, että tietojärjestelmä täyttää säädetyt olennaiset vaatimukset.

Pykälän 3 momentin perusteella Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavasta menettelystä ja annettavan selvityksen sisällöstä. Vaatimustenmukaisuuden osoittamisessa noudatettavaan menettelyyn sisältyy myös se, miten valmistajan antama selvitys tulee saattaa tietojärjestelmien käyttäjien ja viranomaisten saataville. Erityisesti luokkaan B kuuluvien tietojärjestelmien vaatimustenmukaisuuden osoittamiseksi annettavasta valmistajan selvityksestä on tarpeen antaa laissa säädettyä tarkemmat määräykset.

19 e §.Yhteistestaus. Luokkaan A kuuluvan tietojärjestelmän pitää olla yhteentoimiva Kansaneläkelaitoksen ylläpitämien valtakunnallisten tietojärjestelmäpalvelujen ja muiden A luokkaan kuuluvien tietojärjestelmien kanssa. Yhteentoimivuus tulee osoittaa yhteistestauksella. Yhteistestauksella osoitetaan, että uusi tai muutettu tietojärjestelmä on yhteentoimiva muiden valtakunnallisiin tietojärjestelmäpalveluihin liittyneiden tietojärjestelmien kanssa.

Yhteentoimivuus osoitetaan Kansaneläkelaitoksen järjestämässä yhteistestauksessa. Yhteistestaukseen pääsyn edellytyksenä on tietojärjestelmän valmistajan antama selvitys siitä, että tietojärjestelmä täyttää kaikki tietojärjestelmän toiminnallisuutta koskevat vaatimukset. Tässä selvityksessä on myös osoitettava, että toiminnallisuutta koskevien vaatimusten toteutuminen on todettu käyttötesteissä. Yhteistestauksen ajankohdasta ja käytännön järjestelyistä on sovittava testauksesta vastaavan Kansaneläkelaitoksen kanssa.

Pykälän 2 momentissa säädetään kaikille tuotantokäytössä oleville luokan A tietojärjestelmille velvollisuus osallistua myös jatkossa yhteistestauksiin. Yhteistestauksen tarkoitus ei toteudu, jos uusi tietojärjestelmä testattaisiin vain suhteessa Kansaneläkelaitoksen ylläpitämiin järjestelmiin. Sen vuoksi on tärkeää, että yhteistestauksessa on mukana myös muita, tuotantokäytössä jo olevia tietojärjestelmiä. Koska tietojärjestelmiä kehitetään jatkuvasti, nämä yhteistestaukset palvelevat myös testaukseen osallistuvia vanhempia järjestelmiä. Koska kaikkien tuotantokäytössä olevien tietojärjestelmien ei ole tarpeen olla mukana kaikissa yhteistestauksissa, Kansaneläkelaitos määrää ne tietojärjestelmät, joiden tulee kulloinkin olla mukana yhteistestauksessa. Yhteistestaukseen osallistuvien tietojärjestelmien valmistajat vastaavat itse testauksen aiheuttamista kustannuksista.

Pykälän 3 momentissa todetaan, että Kansaneläkelaitoksen ylläpitämille tietojärjestelmille ei tarvitse tehdä erikseen yhteistestausta osana olennaisten vaatimusten osoitusta. Kansaneläkelaitoksen ylläpitämien järjestelmien yhteentoimivuus tulee osoitetuksi muiden tietojärjestelmien kanssa toteutettavissa yhteistestauksissa.

19 f §.Tietojärjestelmän käyttöönotto. Pykälässä säädetään niistä tarkemmista edellytyksistä, joiden tulee täyttyä ennen kuin palvelujen antaja voi ottaa tietojärjestelmän käyttöön. Luokkaan A kuuluvan tietojärjestelmän saa ottaa käyttöön ja liittää Kanta-palveluihin vasta sen jälkeen, kun tietoturvallisuuden arviointilaitos on antanut sitä koskevan vaatimustenmukaisuustodistuksen. Vaatimustenmukaisuustodistuksen antamisesta säädetään 19 d §:ssä. Ennen vaatimustenmukaisuustodistuksen saamista ja liittämistä Kanta-palveluihin tietojärjestelmä voi kuulua luokkaan B, jolloin sen käyttö edellyttää 2 momentin mukaista selvitystä.

Luokkaan B kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön edellä todettua yksinkertaisemmin. Käyttöönoton edellytyksenä on ainoastaan se, että järjestelmän käyttöön ottava palvelujen antaja on varmistunut siitä, että tietojärjestelmän valmistaja on antanut 19 d §:n mukaisen kirjallisen selvityksen olennaisten vaatimusten täyttymisestä. Vastuu siitä, että käytettävällä tietojärjestelmällä on valmistajan antama selvitys, on tietojärjestelmää käyttävällä palvelujen antajalla.

Lisäksi kaikkien tietojärjestelmien tuotantokäytön aloittamisesta on ilmoitettava Valviralle siten kuin 2 momentissa säädetään. Ilmoituksessa on oltava tieto valmistajasta, tietojärjestelmästä ja sen versiosta ja tietojärjestelmän käyttötarkoituksesta, sekä 19 d §:n mukainen selvitys vaatimustenmukaisuuden toteutumisesta ja tuotantokäytön aloittamisajankohdasta. Jos tietojärjestelmän tuotantokäyttö lopetetaan, on myös siitä ilmoitettava Valviralle. Vastuu ilmoittamisesta on tietojärjestelmän valmistajalla. Valvira ylläpitää sille ilmoitetuista tietojärjestelmistä julkista rekisteriä. Rekisterin perusteella tietojärjestelmiä hankkivat ja käyttävät voivat tarkistaa hankittavien ja käytössään olevien tietojärjestelmien asianmukaisuuden.

Pykälän 3 momentin mukaan Valvira voi tarvittaessa antaa tarkempia määräyksiä ilmoituksista ja rekisteriin merkittävistä tiedoista.

19 g §.Käyttöönoton jälkeinen seuranta. Tietojärjestelmän asianmukaista toimivuutta ja käytettävyyttä on tarpeen seurata myös sen käyttöönoton jälkeen. Tästä säädetään ehdotettavassa 19 f §:ssä. Säännöksen mukaan valmistajan on aktiivisesti seurattava ja arvioitava ajantasaisesti ja järjestelmällisesti valmistamastaan tietojärjestelmästä sen tuotantokäytön aikana saatavia kokemuksia. Mikäli seurannan perusteella osoittautuu, että olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia, on poikkeamista ilmoitettava kaikille järjestelmää käyttäville palvelujen antajille. Samalla valmistajan tulee antaa ohjeet siitä, miten poikkeamien suhteen tulee toimia. Luokkaan A kuuluvien tietojärjestelmien merkittävistä poikkeamista on lisäksi ilmoitettava tietoturvallisuuden arviointilaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Lupa- ja valvontaviraston tehtävänä on ilmoittaa tarvittaessa Kansaneläkelaitokselle ja muille viranomaisille tietoonsa tulleista merkittävistä poikkeamista.

Tietojärjestelmän valmistajan on myös seurattava olennaisten vaatimusten mahdollisia muutoksia ja tarvittaessa tehtävä tuottamaansa tietojärjestelmään muutosten edellyttämät tarkistukset. Tätä koskeva säännös on 2 momentissa. Luokan A tietojärjestelmiltä edellytetään lisäksi, että valmistajan toteuttamista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Ilmoitusten perusteella arviointilaitos voi osaltaan arvioida ja tarvittaessa selvittää, onko toteutetuilla muutoksilla vaikutusta tietoturvallisuuteen. Tähän liittyen säännöksessä todetaan myös, että vaatimustenmukaisuustodistus on tarvittaessa päivitettävä, jos toteutetut muutokset ovat merkittäviä taikka jos tietoturvallisuutta koskevat olennaiset vaatimukset ovat muuttuneet tavalla, joka edellyttää uudelleen hyväksymistä. Tähän liittyy myös lakiin lisättäväksi ehdotettavan 19 k §:n 4 momentin säännös, jonka mukaan tietoturvallisuuden arviointilaitoksen on myös seurattava tietojärjestelmän vaatimustenmukaisuuden toteutumista.

Pykälän 3 momentin perusteella valmistajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmän tuotantokäytön päättymisestä. Säilytysvelvollisuuden tarkoituksena on varmistaa, että esimerkiksi mahdollisissa tietosuojaa koskevissa jälkikäteisissä selvitystilanteissa on olemassa riittävät tiedot tietojärjestelmien vaatimustenmukaisuudesta ja tietojärjestelmiin tehdyistä muutoksista. Säännös koskee kaikkia tietojärjestelmiä luokasta riippumatta.

Pykälän 4 momentissa olevan valtuutussäännöksen perusteella Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, millaiset poikkeamat ovat lain tarkoittamalla tavalla merkittäviä ja miten niitä koskevat ilmoitukset tehdään tietojärjestelmien käyttäjille, tietoturvallisuuden arviointilaitokselle ja Valviralle.

5 b luku Palvelujen antajan omavalvonta

Lakiin lisättäväksi ehdotettavassa uudessa 5 b luvussa säädetään sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palvelujen antajien omavalvonnasta. Omavalvonnan tarkoituksena on varmistaa, että käytettäviä tietojärjestelmiä osataan käyttää asianmukaisesti ja samalla turvata asiakkaita ja potilaita koskevien luottamuksellisten tietojen salassapito.

19 h §.Omavalvontasuunnitelma. Pykälässä säädetään sosiaalihuollon ja terveydenhuollon palvelujen antajille velvoite laatia omavalvontasuunnitelma, jossa käsitellään organisaation tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyviä keskeisiä asioita. Omavalvontasuunnitelman tarkoituksena on varmistaa, että palvelujen antajan henkilökunta hallitsee käytössään olevien tietojärjestelmien käytön ja osaa ottaa huomioon asiakas- ja potilastietojen salassapitoon ja tietoturvaan liittyvät vaatimukset. Lisäksi omavalvontasuunnitelmassa tulee ottaa huomioon tietojärjestelmien käyttöympäristöön, ylläpitoon ja päivitykseen liittyvät asiat.

Omavalvontasuunnitelmia koskevia säännöksiä on useissa sosiaali- ja terveydenhuoltoa koskevissa laeissa, kuten terveydenhuoltolaissa (1326/2010) , yksityisestä terveydenhuollosta annetussa laissa (152/1990) ja yksityisestä sosiaalihuollosta annetussa laissa (922/2011) . Tämän säännöksen mukainen omavalvontasuunnitelma voidaan sisällyttää osaksi muun lain perusteella laadittavaa omavalvonta- tai vastaavaa suunnitelmaa. Tällöinkin suunnitelmassa on oltava kattavasti 1 momentin mukaiset tiedot ja selvitykset.

Silloin kun palvelujen antaja on liittynyt valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, on omavalvontasuunnitelmassa selvitettävä lisäksi se, miten näihin valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty. Valtakunnallisiin tietojärjestelmäpalveluihin on tallennettu muiden terveydenhuollon palvelujen antajien laatimia ja tallentamia potilastietoja. Järjestelmien käytön laajetessa asteittain, kertyy näihin Kansaneläkelaitoksen ylläpitämiin arkistointipalveluun, reseptikeskukseen ja potilaan tiedonhallintapalveluun vähitellen laajasti terveydentilaa ja sairauksia koskevia tietoja lähes kaikista Suomessa asuvista henkilöistä. Sen vuoksi näiden valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen käytön varmistamiseen tulee kiinnittää erityistä huomiota siten kuin 2 momentissa säädetään.

Pykälän 3 momentissa edellytetään, että palvelujen antajan on aktiivisesta seurattava omavalvontasuunnitelman toteutumista. Palvelujen antaja on vastuussa siitä, että tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti. Kanta-palveluja ylläpitävän Kansaneläkelaitoksen on myös laadittava näiden ylläpitoa ja käyttöä koskeva omavalvontasuunnitelma samoin kuin välityspalvelujen tuottajan välityspalvelustaan.

Ehdotettavan 4 momentin mukaan Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä omavalvontasuunnitelmaan pykälän 1 ja 2 momentin perusteella sisällytettävistä selvityksistä ja vaatimuksista.

19 i §.Poikkeamista ilmoittaminen. Vaikka tietojärjestelmien vaatimustenmukaisuus olisi ennen niiden käyttöönottoa selvitetty asianmukaisesti, on mahdollista, että tietojärjestelmän olennaisten vaatimusten toteutumisessa on merkittäviä poikkeamia siitä, miten järjestelmän tulisi toimia tietoturvallisuuden arviointilaitoksen antaman vaatimustenmukaisuustodistuksen tai valmistajan antaman selvityksen perusteella. Tällaisessa tilanteessa poikkeamat havainneen palvelujen antajan on ilmoitettava poikkeamasta tietojärjestelmän valmistajalle. Tietojärjestelmän valmistajan velvollisuutena on tarvittaessa ilmoittaa poikkeamista edelleen muille käyttäjille ja viranomaisille 19 f §:ssä olevan säännöksen perusteella.

Pykälässä tarkoitettu merkittävä poikkeama on sisällöllisesti sama kuin 19 f §:ssä tarkoitettu merkittävä poikkeama. Mainitun pykälän 3 momentin perusteella Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä merkittävistä poikkeamista ja niistä ilmoittamisesta.

Jos poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Valviralle. Ilmoituksen perusteella Valvira voi tarvittaessa antaa tietojärjestelmän käyttöä koskevia määräyksiä 20 e ja 20 f §:issä olevien säännösten perusteella.

5 c luku Tietoturvallisuuden arviointilaitos

Ehdotettavassa uudessa 5 c luvussa säädetään tietoturvallisuuden arviointilaitoksesta. Tietoturvallisuuden arviointilaitoksen tehtävänä on suorittaa luokkaan A kuuluvien tietojärjestelmien vaatimustenmukaisuuden arviointeja ja antaa olennaiset vaatimukset täyttäville luokan A tietojärjestelmille vaatimustenmukaisuustodistus.

19 j §.Tietoturvallisuuden arviointilaitoksen hyväksyminen. Pykälässä säädetään tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksistä. Arviointilaitoksella on oltava Viestintäviraston hyväksyntä. Hyväksynnän edellytyksenä on tietoturvallisuuden arviointilaitoksista annetussa laissa säädetyt edellytykset.

19 k §.Tietoturvallisuuden arviointilaitoksen tehtävät. Säännöksen perusteella tietoturvallisuuden arviointilaitos voi suorittaa luokkaan A kuuluvien tietojärjestelmien vaatimustenmukaisuuden arviointiin liittyviä tehtäviä ja antaa 19 d §:ssä tarkoitetun vaatimustenmukaisuustodistuksen. Arviointi poikkeaa muista tietoturvallisuuden arviointilaitoksista annetun lain mukaisista arvioinneista siten, että sosiaali- ja terveydenhuollossa arvioidaan vain luokkaan A kuuluvat tietojärjestelmät. Sen sijaan tietojärjestelmän valmistajan tai käyttäjän toimitilojen asianmukaisuutta ei arvioida eikä siten myöskään tarkasteta. Tietojärjestelmän arviointi ja siihen perustuva vaatimustenmukaisuustodistus voidaan myöntää valmistajan hakemuksen perusteella.

Pykälän 2 momentissa säädetään vaatimustenmukaisuustodistuksen antamisesta. Jos luokkaan A kuuluva tietojärjestelmä, jonka arvioinnista on tehty asianmukainen hakemus tietoturvallisuuden arviointilaitokselle, täyttää olennaiset vaatimukset, arviointilaitoksen on annettava valmistajalle vaatimustenmukaisuustodistus sekä siihen liittyvä tarkastusraportti. Ennen vaatimustenmukaisuustodistuksen antamista tietoturvallisuuden arviointilaitoksen tulee kuitenkin saada Kansaneläkelaitokselta puoltava lausunto siitä, että tietojärjestelmä täyttää valtakunnallisiin tietojärjestelmäpalvelujen liittämisen edellyttämät yhteentoimivuuden vaatimukset. Tämä puoltava lausunto perustuisi suoritettuun yhteistestaukseen.

Myönnetty vaatimustenmukaisuustodistus on voimassa enintään viisi vuotta. Arviointilaitos voi päättää, että todistus on voimassa lyhyemmänkin ajan, jos tietojärjestelmän kehitysvaiheen tai tiedossa olevan olennaisten vaatimusten uudistamisen tai muiden vastaavien seikkojen perusteella on ilmeistä, että tietojärjestelmä ei täytä olennaisia vaatimuksia ilman merkittäviä muutoksia viittä vuotta.

Tietoturvallisuuden arviointilaitos voi jatkaa vaatimustenmukaisuustodistuksen voimassaoloa. Tämä voidaan tehdä enintään viideksi vuodeksi kerrallaan. Arvioitaessa vaatimustenmukaisuustodistuksen voimassaolon jatkamista, tietoturvallisuuden arviointilaitos voi vaatia valmistajalta kaikki arvioinnin edellyttämät tiedot vaatimustenmukaisuustodistuksen laatimiseksi ja ylläpitämiseksi.

Muilta kuin edellä todetuin osin vaatimustenmukaisuustodistuksen antamiseen sovelletaan tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä olevia säännöksiä ja menettelyjä.

Pykälän 3 momentin perusteella tietoturvallisuuden arviointilaitoksen on suoritettava tarvittaessa tietojärjestelmän ja sen valmistajan arviointeja. Lähtökohtana voidaan pitää, että arvioinnit perustuvat ensisijassa valmistajan tekemiin ilmoituksiin tietojärjestelmään tehdyistä muutoksista. Lisäksi olennaisia vaatimuksia koskevien säännösten, määräysten ja ohjeiden muutosten vaikutusta tietojärjestelmään on tarpeen arvioida. Tarvittaessa arviointilaitoksen voi myös tehdä tietojärjestelmään ja sen valmistajaan kohdistuvia tarkastuksilla sen varmistamiseksi, että valmistaja ylläpitää kehitystyössään sellaisia menettelyjä, joilla taataan tietoturvallisuutta koskevien olennaisten vaatimusten jatkuva täyttyminen. Tarkastusten perusteella valmistajalle on annettava arviointikertomus.

19 l §.Vaatimustenmukaisuustodistuksen peruuttaminen. Pykälässä säädetään edellytyksistä, joiden mukaan arviointilaitoksen tulee peruuttaa luokan A tietojärjestelmälle myöntämänsä vaatimustenmukaisuustodistus. Jos tietoturvallisuuden arviointilaitos toteaa, ettei tietojärjestelmä ole täyttänyt tai enää täytä laissa säädettyjä vaatimuksia tai että vaatimustenmukaisuustodistusta ei muutoin olisi tullut myöntää, tulee arviointilaitoksen kehottaa valmistajaa korjaamaan puutteellisuudet. Puutteiden korjaamiselle on asetettava määräaika. Sen pituutta määriteltäessä arviointilaitoksen on otettava huomioon puutteen merkitys ja laajuus sekä sellaisten puutteiden korjaamiseksi tavanomaisesti tarvittava aika. Mikäli havaittuja puutteita ei korjata annetussa määräajassa, on tietoturvallisuuden arviointilaitoksen peruutettava todistus määräajaksi tai kokonaan taikka myönnettävä se rajoitettuna. Rajoitus voi koskea esimerkiksi todistuksen voimassaoloaikaa tai tietoja, joiden käsittelyssä järjestelmää saa käyttää.

19 m §.Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvoite. Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja Kansaneläkelaitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä vaatimustenmukaisuustodistuksista. Arviointilaitoksen on lisäksi annettava Valviralle sen pyynnöstä kaikki valvonnan kannalta tarvittavat lisätiedot tietojärjestelmistä, joille arviointilaitos on myöntänyt vaatimustenmukaisuustodistuksen.

20 §.Ohjaus, valvonta ja seuranta. Pykälässä säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköiseen käsittelyyn liittyvästä ohjauksesta, valvonnasta ja seurannasta sekä näihin liittyvistä viranomaisten vastuista ja työnjaosta. Pykälän 4 momenttiin ehdotetaan lisättäväksi uusi säännös, jonka perusteella palvelujen antajalla on oikeus saada lokitiedot oman henkilökuntansa käsittelemistä ja katselemista tiedoista, jotka ovat lain 14 a §:ssä tarkoitetussa potilaan tiedonhallintapalvelussa. Oikeus käsittää myös tiedonhallintapalvelun kautta näytettävät tiedot. Säännöksen perusteella palvelujen antaja voi tarvittaessa selvittää tietojen käytön ja katselun asianmukaisuuden.

Pykälän 5 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan toimintayksikön vastaavan johtajan on huolehdittava siitä, että organisaatiolle laaditaan omavalvontasuunnitelma ja että sitä noudatetaan. Osana tätä tulee huolehtia siitä, että palvelujen antajan toiminnassa noudatetaan tietojärjestelmille ja niiden käytölle asetettuja vaatimuksia. Tällaisia vaatimuksia on sekä lainsäädännössä että valmistajien ohjeissa.

20 a §.Tietojärjestelmien valvonta ja tarkastukset. Pykälän 1 momentissa säädetään siitä, että Valviran tehtävänä on valvoa ja edistää sosiaali- ja terveydenhuollon tietojärjestelmien vaatimustenmukaisuutta. Lain mukainen valvonta täydentää Valviran ja Aluehallintoviraston muuta sosiaali- ja terveydenhuollon valvontaa, jonka tavoitteena on varmistaa, että palvelujen antajat toimivat säännösten mukaisesti.

Valvonnan toteuttamisessa tarvittavista keinoista säädetään 2 momentissa. Valvonnan toteuttamiseksi Valviralla on oikeus tehdä tarkastuksia. Tarkastusten toteuttamiseksi tarkastuksen tekijällä on oikeus päästä kaikkiin niihin tietojärjestelmien valmistajien ja palvelujen antajien tiloihin, joissa voi olla tietojärjestelmien vaatimustenmukaisuuden arvioinnin kannalta merkityksellisiä tietoja. Tällaisia voivat olla esimerkiksi tietojärjestelmien valmistajien toimitilat, arkistot ja muut vastaavat tilat sekä kaikki sosiaali- tai terveydenhuollon palvelujen antajien toimitilat. Kotirauhan piirissä olevat tilat on kuitenkin rajattu tarkastusoikeuden ulkopuolelle. Lisäksi tarkastusta toteutettaessa on noudatettava mitä hallintolaissa säädetään tarkastusten toteuttamisesta.

Tarkastuksen toteuttamisesta säädetään 3 momentissa. Tarkastuksen tarkoituksen toteuttamiseksi se voidaan tehdä ennalta ilmoittamatta. Tarkastuksen tekijällä on oikeus saada nähtäväkseen kaikki tarkastuksen tekemiseksi tarvittava asiakirjat. Tarkastajalla on myös oikeus saada jäljennökset tarpeellisiksi katsomistaan asiakirjoista. Tarkastettavista tiloista voidaan myös ottaa valokuvia.

Pykälän 4 momentin perusteella tarkastuksesta on pidettävä pöytäkirjaa. Tarkastuksen kohteelle on annettava jäljennös pöytäkirjasta 30 päivän kuluessa tarkastuksesta. Jäljennöksen perusteella tarkastettava taho saa yksityiskohtaisen tiedon tarkastuksesta ja siinä tehdyistä havainnoista. Alkuperäinen tarkastuspöytäkirja tulee säilyttää 10 vuotta tarkastuksen suorittamisesta.

20 b §.Oikeus ulkopuolisen asiantuntijan käyttöön. Sosiaali- ja terveydenhuollon tietojärjestelmät ovat hyvin monenlaisia, monimutkaisia ja erilaisia ominaisuuksia käsittäviä tuotteita. Valvovalla viranomaisella ei voi olla palveluksessaan asiantuntijoita, jotka hallitsevat kaikki erilaisten tietojärjestelmien ominaisuudet. Valvonta kuitenkin edellyttää usein asiantuntijan arvioita, minkä vuoksi ehdotetaan, että Valviralla olisi oikeus tapauskohtaisesti käyttää ulkopuolisia asiantuntijoita apunaan tietojärjestelmien arvioinnissa.

Pykälän 2 momentissa säädettäisiin asiantuntijan salassapitovelvollisuudesta. Ulkopuolisilla asiantuntijoilla on vastaava salassapitovelvollisuus tehtävässään saamista arkaluontoisista asiakas- ja potilastiedoista kuin virkamiehillä. Salassapitovelvollisuus säilyy asiantuntijatehtävän suorittamisen jälkeenkin. Lisäksi säännöksessä todettaisiin, että ulkopuoliseen asiantuntijaan sovellettaisiin virkamiehen esteellisyyttä koskevia säännöksiä.

20 c §.Poliisin virka-apu. Pykälässä säädetään poliisin velvollisuudesta antaa Valviralle tarvittaessa virka-apua tarkastuksen suorittamiseksi. Käytännössä virka-apua tarvittaneen vain jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa tarkastuksen suorittamista.

20 d §.Määräys velvoitteiden täyttämiseksi. Pykälän mukaan Valviralla on oikeus määrätä tietojärjestelmän valmistaja, palvelujen antaja, välityspalvelun tuottaja ja Kansaneläkelaitos täyttämään laissa säädetty velvollisuutensa, mikäli se on laiminlyönyt tietojärjestelmiin tai niiden käyttöön liittyvät lain mukaiset velvoitteensa. Säännös on tarpeen, koska valvontaviranomaisella tulee olla käytössään riittävän tehokkaat keinot lain noudattamisen varmistamiseksi. Valvontaviranomaisen perustehtäviin kuuluu puuttua asiaan, jos lain vaatimuksia ei noudateta. Jos viranomaisen kehotusta ei kuitenkaan noudateta, Valviralla on oltava mahdollisuus velvoittaa lain noudattamiseen. Säännös kattaisi kaikki laissa tietojärjestelmille tai niiden käytölle asetetut velvollisuudet.

20 e §.Käytössä oleviin tietojärjestelmiin kohdistuvat velvoitteet. Jos tietojärjestelmä ei täytä olennaisia vaatimuksia, valmistajan tulee lähtökohtaisesti oma-aloitteisesti ryhtyä korjaaviin toimenpiteisiin. Tämän lisäksi Valviralla on ehdotettavan säännöksen 1 momentin perusteella mahdollisuus liittää 20 e §:n perusteella annettuun päätökseen velvoite puutteiden korjaamiseksi, jos on aihetta epäillä, ettei valmistaja muutoin toteuta tietojärjestelmän korjaamiseksi tarvittavia toimenpiteitä.

Pykälän 2 momentin perusteella Valvira voi kieltää tietojärjestelmän käytön, jos sitä ei ole korjattu Valviran asettamassa määräajassa ja se voi vaarantaa asiakas- tai potilasturvallisuuden. Kielto-oikeus koskee myös tilanteita, joissa salassa pidettävien asiakas- ja potilastietojen tietosuoja on vaarantunut. Kielto voi olla voimassa siihen saakka kunnes turvallisuuden tai tietosuojan vaarantava ominaisuus on korjattu. Lisäksi Kansaneläkelaitos voisi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty ulkopuolinen järjestelmä tai sen käyttäjäorganisaation toiminta voi vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Pykälän 3 momentin perusteella Valvira voi velvoittaa valmistajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta kiellosta tai määräyksestä. Valvira voi myös määrätä miten ja missä ajassa asiasta on tiedotettava. Velvoitteen tarkoituksena on varmistaa, että palvelujen antajat ovat tietoisia tietojärjestelmien puutteista ja käytön rajoituksista.

20 f §.Uhkasakko. Ehdotuksen mukaan laissa säädettyjä velvollisuuksia voidaan tehostaa uhkasakolla siten kuin uhkasakkolaissa säädetään. Lisäksi ehdotetaan, että Valvira voisi teettää velvoitteen sen kustannuksella, johon päätös on kohdistettu, jos Valviran antamaa päätöstä ei noudateta. Vastaavasta menettelystä on säädetty terveydenhuollon laitteista ja tarvikkeista annetussa laissa. Uhkasakko ja teettämisuhka olisivat keskenään vaihtoehtoiset. Käytännössä tietojärjestelmien kohdalla teettämisuhka olisi lähinnä teoreettinen vaihtoehto, koska ulkopuolisella toimijalla ei ole mahdollisuutta lähteä korjaamaan tai muuttamaan tietojärjestelmää.

20 g §.Tiedonsaantioikeus. Säännöksen perusteella Valviralla on oikeus saada sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten kaikki tarpeelliset tiedot viranomaisilta ja myös yksityisiltä tahoilta. Tiedot tulee antaa Valviralle salassapitosäännösten estämättä.

20 h §.Muutoksenhaku. Pykälässä säädetään muutoksenhausta Valviran lain nojalla tekemään päätökseen. Pääsääntöisesti muutosta haetaan 1 momentin mukaisesti hallinto-oikeudelta siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Pykälän 2 momentin mukaan tarkastuksella annettuun määräykseen ei kuitenkaan saa hakea muutosta, vaan siitä on ensin tehtävä oikaisuvaatimus Valviralle. Valviran oikaisuvaatimuksen johdosta antamaan päätökseen haetaan muutosta hallinto-oikeudelta. Menettely vastaa sitä, mitä esimerkiksi terveydenhuollon laitteista ja tarvikkeista annetussa laissa ja lääkelaissa (393/1987) on säädetty.

Kolmannen momentin mukaan Valviran lain nojalla antamia päätöksiä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

22 §.Maksut. Pykälässä säädetään valtakunnallisten tietojärjestelmäpalvelujen käyttäjiltä perittävistä maksuista. Säännöstä ehdotetaan muutettavaksi siten, että kunnallisten toimijoiden osalta maksuista vastaavat keskitetysti sairaanhoitopiirit omasta ja jäsenkuntiensa puolesta. Menettely yksinkertaistaa laskutusmenettelyä. Lisäksi säännökseen on lisätty maininta siitä, että maksuissa voidaan ottaa huomioon Kansaneläkelaitoksen palvelurahaston jatkuvan maksuvalmiuden edellyttämä puskuri. Puskuria tarvitaan sekä tilivuoden sisäisten maksujen ja kulujen tasapainottamiseen että myös eri vuosin välisten erojen tasaamiseen. Puskuri mahdollistaa käyttäjämaksujen vakauden.

Pykälän 2 momentissa olevan säännöksen perusteella Kansaneläkelaitoksen ja Väestörekisterikeskuksen on ilmoitettava sosiaali- ja terveysministeriölle ja sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan neuvottelukunnalle selvitys kustannusten perusteista ja arvio tulevan vuoden kustannuksista. Säännöstä ehdotetaan muutettavaksi siten, että ilmoitus tulisi tehdä vain sosiaali- ja terveysministeriölle, koska neuvottelukunta toimii ministeriön yhteydessä ja se saa tätä kautta tiedot myös kustannuksista. Säännökseen ehdotetaan toisaalta lisättäväksi velvoite ilmoittaa ministeriölle myös toteutuneet kustannukset sekä aiemman säännöksen mukaisesti kustannuksiin vaikuttavat tekijät ja arvio tulevan vuoden kustannuksista.

Pykälään ehdotetaan myös lisättäväksi uusi 3 momentti, jonka perusteella tietojärjestelmän valmistaja vastaa vaatimustenmukaisuuden osoittamisen aiheuttamista kustannuksista. Tällaisia ovat esimerkiksi luokan A tietojärjestelmien vaatimustenmukaisuuden osoittamiseksi tarvittavan tietoturvallisuuden arviointilaitoksen toteuttaman arvioinnin aiheuttamat kustannukset. Lisäksi Kansaneläkelaitoksella olisi oikeus periä maksu selvityksistä jotka ovat tarpeen lain 19 d §:n mukaisen yhteentoimivuuden toteamiseksi. Valvira voi myös periä maksun valtuutetun tarkastuslaitoksen toimiluvasta. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

Kansaneläkelaitoksen ja Valviran maksuihin sovelletaan valtion maksuperustelain (150/1992) 6 §:n 1 momentin mukaista omakustannusperiaatetta. Lisäksi 3 momentin perusteella Valviralle tehtävä ilmoitus vaatimustenmukaisesta tietojärjestelmästä ja tämän perusteella tehtävä merkintä julkiseen rekisteriin on ehdotuksen mukaan maksullinen. Maksu koskisi sekä luokan A että luokan B tietojärjestelmiä. Maksuilla katetaan tietojärjestelmän ylläpidosta aiheutuvat kustannukset.

1.2Laki sähköisestä lääkemääräyksestä

2 §.Lain soveltamisala. Pykälässä määritellään lääkemääräyslain soveltamisala. Pykälää ehdotetaan uudistettavaksi siten, että lain soveltamisalaa laajennetaan ja lisäksi säännöksessä todetaan potilaiden kielellisten oikeuksien huomioon ottaminen.

Pykälän 1 momentin mukaan lakia sovelletaan apteekista toimitettavaan sähköiseen lääkemääräykseen, ei kuitenkaan eläinlääkemääräykseen. Säännöstä ehdotetaan muuttavaksi siten, että siitä poistetaan maininta apteekista ja sen sijasta viitataan lain 3 §:n 1 momentissa olevaan sähköiseen lääkemääräyksen määritelmään. Käytännössä tämä tarkoittaa sitä, että lakia voidaan soveltaa myös silloin kun potilaalle annetaan lääkkeitä terveydenhuollon toimintayksiköistä. Muutoksen perusteella myös näitä lääkkeitä koskevat tiedot voidaan tallentaa reseptikeskukseen.

Voimassa olevan 2 momentin mukaan lakia sovelletaan Ahvenanmaan maakunnan alueella siltä osin kuin Ahvenanmaan terveydenhuollon palvelujen antajat ovat ottaneet käyttöönsä lain mukaisen sähköisen lääkemääräyksen. Säännös ehdotetaan poistettavaksi uudistettavasta pykälästä. Lääkkeen määrääminen perustuu terveydenhuollon ammattihenkilöistä annettuun lakiin ja lääkkeen toimittaminen lääkelakiin. Sekä terveydenhuollon ammatinharjoittamista että lääkehuoltoa koskevat asiat kuuluvat Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 30 kohdan perusteella valtakunnan lainsäädäntövaltaan. Muutetun säännöksen perusteella esityksen mukainen velvoite laatia kaikki lääkemääräykset sähköisesti koskee siten myös Ahvenanmaata ja siellä järjestettävää terveyden- ja sairaanhoitoa.

Uudistettavan pykälän 2 momentti vastaa nykyisen pykälän 3 momenttia. Siihen on kuitenkin lisätty selvyyden vuoksi myös maininta potilaan kielellisistä oikeuksista. Jo voimassa olevien säännösten mukaan sähköiseen lääkemääräykseen liittyvissä järjestelyissä on tullut ottaa huomioon kielilaki ja muut potilaan kielellisiä oikeuksia koskevat säännökset.

3 §.Määritelmät. Pykälän 1 ja 4—7 kohdissa olevia määritelmiä ehdotetaan muutettavaksi. Kohdassa 1 määritellään sähköinen lääkemääräys, määritelmää ehdotetaan muutettavaksi siten, että siitä poistetaan maininta lääkkeen määräämiseen oikeutetusta henkilöstä, koska lakiin ehdotettavat muutokset mahdollistavat, että eräissä tapauksissa apteekki tallentaa lääkemääräyksen reseptikeskukseen.

Pykälän 4 kohdassa määritellään reseptikeskus. Määritelmää ehdotetaan muutettavaksi siten, että siinä otetaan huomioon myös lain 12 §:ään lisättävään säännökseen perustuen apteekin reseptikeskukseen tallentamat lääkemääräykset sekä lääkemääräysten toimitustiedot. Määritelmä sisältää myös 23 §:n perusteella tallennetut tiedot terveydenhuollon palvelujen antajan potilaalle luovuttamista lääkkeistä.

Kohdassa 5 olevaa reseptiarkiston määritelmää ehdotetaan muutettavaksi siten, että siitä poistetaan maininta tietojen käytöstä tieteelliseen tutkimukseen ja viranomaistoimintaan, koska tietoja voidaan hyödyntää lakiin lisättävän 16 a §:n perusteella myös potilaan hoidossa.

Pykälän 6 kohdassa olevaa lääketietokannan määritelmää ehdotetaan muutettavaksi 12 ja 22 §:ään ehdotettuja muutoksia vastaavaksi. Pykälän 7 kohtaan ehdotetaan tehtäväksi teknisiä muutoksia pykälään lisättävän uuden 8 kohdan takia.

Määritelmiin ehdotetaan lisättäväksi uudet 8 ja 9 kohdat, joissa määritellään pkv- ja huumausainelääkkeet. Määritelmät ovat tarpeen sen vuoksi, että potilaan oikeus kieltää lääkemääräystietojen luovutus reseptikeskuksesta lääkkeen määrääjälle ei koske pkv- tai huumausainelääkettä määräävää lääkäriä tai hammaslääkäriä. Pkv-lääkkeen määritelmän mukaisia lääkkeitä ovat lääkevalmisteet, jotka sisältävät pääasiassa keskushermostoon vaikuttavia lääkeaineita. Kohdassa 9 on määritelty huumausainelääkkeet, Määritelmä perustuu huumausainelain (373/2008) 3 ja 32 §:iin Huumausainelain 3 pykälän perusteella annetussa valtioneuvoston asetuksessa on annettu tarkempia säännöksiä siitä, mitkä aineet, valmisteet ja kasvit ovat lain määritelmän mukaisia huumausaineita.

4 §.Potilaan informointi. Pykälässä säädetään sähköisestä lääkemääräyksestä annettavasta informaatiosta. Säännöstä ehdotetaan muutettavaksi siten, että informaation voi antaa paitsi suullisesti niin myös kirjallisesti tai sähköisen palvelun välityksellä. Lisäksi pykälään ehdotetaan tehtäväksi eräitä teknisluonteisia muutoksia. Ehdotetut muutokset vastaavat asiakastietolain 17 §:ään ehdotettavia muutoksia.

Ehdotettava 1 momentti vastaa pitkälti voimassa olevan lain 1 momenttia. Sen ensimmäistä virkettä ehdotetaan kuitenkin muutettavaksi siten, että siinä ei määritellä informoinnin antajaa, vaan todetaan yleisesti, että potilasta on informoitava sähköisestä lääkemääräyksestä. Informaation antaja todetaan 2 momentissa. Muilta osin säännös vastaa voimassa olevaa 1 momenttia.

Pykälän 2 momentissa määritellään ne tahot ja tavat, joilla potilasta voidaan informoida. Säännöksen mukaan informaation voi antaa terveydenhuollon palvelujen antaja tai se voidaan antaa sähköisen palvelun välityksellä. Sähköinen palvelu voi olla esimerkiksi lääkemääräyslain 17 §:ssä tarkoitettu katseluyhteys tai terveydenhuollon toimintayksikön tiloissa oleva automaatti. Edellytyksenä sähköisen palvelun välityksellä annettavalle informaatiolle on, että informaation saava henkilö on yksilöitävissä, jotta tieto henkilölle annetusta informaatiosta voidaan tallentaa. Jos potilasta informoidaan suullisesti tai sähköisen palvelun välityksellä, on hänellä oltava mahdollisuus saada informaatio myös kirjallisena. Kunnallisen sosiaali- tai terveydenhuollon toimintayksiköt voivat järjestää informoinnin myös sosiaali- ja terveydenhuollon suunnittelusta ja valtionavustuksesta annetun lain (733/1992) 4 §:n 1 momentin 4 kohdan mukaisesti hankkimalla palvelun erikseen tehtävän sopimuksen perusteella muulta palvelujen tuottajalta, esimerkiksi apteekilta.

Annetusta informaatiosta tulee tehdä merkintä potilaan tiedonhallintapalveluun. Sen välityksellä lääkemääräyksiä laativat voivat saada tiedon siitä, onko potilas saanut lain edellyttämän informaation sähköisestä lääkemääräyksestä. Jos potilas on jo saanut informaation, ei sitä tarvitse antaa enää uudelleen.

Pykälän 3 momentin mukaan sosiaali- ja terveysministeriön asetuksella voidaan tarvittaessa antaa tarkempia säännöksiä informaation antamisen menettelytavoista ja sisällöstä.

5 §.Lääkemääräyksen laatiminen. Voimassa olevan lain mukaan lääkemääräys voidaan laatia sähköisesti. Potilas voi kuitenkin kieltäytyä sähköisestä lääkemääräyksestä, jolloin hänelle laaditaan kirjallinen tai puhelinlääkemääräys. Ehdotuksen mukaan tästä potilaan valinnanvapaudesta luovutaan ja lähtökohtana on jatkossa, että kaikki lääkemääräykset laaditaan sähköisesti. Tästä voidaan poiketa ainoastaan siinä tapauksessa, että teknisluontoisten ongelmien takia lääkemääräystä ei voi laatia sähköisesti tai että apteekki ei saa teknisten ongelmien takia lääkkeen toimittamiseksi tarvittavia tietoja reseptikeskuksesta. Lisäksi lääkemääräyksen voi muusta erityisestä syystä laatia paperilla tai puhelimitse, jos lääkehoidon tarve on välitön eikä sähköisen lääkemääräyksen laatiminen ole mahdollista määräämiseen tarvittavan laitteiston tai tietoliikenneyhteyksien puuttumisen vuoksi taikka jollain muulla erikseen säädettävällä perusteella. Näitä edellä todettuja poikkeusmahdollisuuksia saa kuitenkin käyttää vain jos siihen on erityinen poikkeuksellinen syy. Tällainen erityinen syy ei ole se, että esimerkiksi yksityisvastaanottoa pitävä lääkäri tai hammaslääkäri ei ole hankkinut sähköisen lääkemääräyksen laatimiseksi tarvittavia laitteistoja ja tietoliikenneyhteyksiä.

Muita poikkeuksellisia syitä kirjallisen lääkemääräyksen laatimiseksi voi olla esimerkiksi lääkkeellisten kaasujen toimittamiseksi laadittava lääkemääräys. Lääkkeelliset kaasut toimitetaan potilaille suoraan maahantuojalta, joilla ei ole yhteyttä reseptikeskukseen. Myös puolustusvoimien toiminnassa voi olla tilanteita, joissa sähköisen lääkemääräyksen laatiminen ei ole käytännössä mahdollista. Näistä erityisistä perusteista, jolloin lääkemääräyksen saisi laatia sähköisenä, säädettäisiin sosiaali- ja terveysministeriön asetuksella. Tätä koskeva valtuutussäännös on pykälän 3 momentissa.

Jos potilaan tarkoituksena on ostaa lääke muualta kuin Suomesta, hän tarvitsee kirjallisen lääkemääräyksen. Sen vuoksi sähköisestä lääkemääräyksestä voidaan laatia allekirjoitettu kirjallinen jäljennös lääkkeen ostamiseksi ulkomailta. Jotta samalla lääkemääräyksellä ei voisi ostaa lääkkeitä kahteen kertaan, tällaisen sähköisen lääkemääräyksen toimittaminen estetään teknisesti. Tällä hetkellä suomalaisella lääkemääräyksellä voi ostaa lääkkeitä ainakin muista Pohjoismaista. Lisäksi EU-direktiivi rajat ylittävästä terveydenhuollosta (2011/24/EU) tulee mahdollistamaan lääkemääräysten hyväksymisen kaikissa EU- ja ETA-maissa. Säännöksessä todetaan myös, että potilaalle voidaan antaa lääkärin tai apteekin oikeaksi todistama jäljennös sähköisestä lääkemääräyksestä silloin kun se on tarpeen ulkomaan matkaa varten. Reseptilääkkeiden maahantuonti voi joissakin maissa edellyttää lääkemääräyksen mukanaoloa, eikä allekirjoittamaton potilasohje tai apteekin antama yhteenveto lääketoimituksesta ole välttämättä riittävä dokumentti lääkkeen viemiseksi kohdemaahan.

Pykälän 3 momentin perusteella kirjalliseen ja puhelinlääkemääräykseen on merkittävä syy siihen, että sitä ei ole annettu sähköisesti. Lisäksi säännöksessä todetaan, että sosiaali- ja terveysministeriön asetuksella voidaan tarvittaessa antaa tarkempia säännöksiä 1 ja 2 momentin mukaisista kirjallisista ja puhelinlääkemääräyksistä sekä ulkomaan matkaa varten annettavista sähköisen lääkemääräyksen jäljennöksistä. Esimerkiksi ulkomailla tapahtuvaa ostoa tai ulkomaan matkaa varten annettavaa jäljennöstä varten saattaa olla tarpeen laatia potilasohjeesta erillinen malli, joka voidaan tulostaa ja antaa sekä terveydenhuollosta että apteekista. Ministeriön asetuksella säädettäisiin myös niistä 1 momentissa tarkoitetuista erityisistä syistä, jolloin sähköistä lääkemääräystä ei tarvitse laatia sähköisesti.

8 §.Lääkemääräyksen salaaminen. Pykälän mukaan sähköinen lääkemääräys voidaan salata potilaan pyynnöstä siten, että lääkemääräystä koskevat tiedot ovat nähtävissä vain potilaan myötävaikutuksella. Reseptikeskuksessa olevien sähköisten lääkemääräysten käsittelyä ja luovutusta koskevat periaatteet ja säännökset on tarkoitus uudistaa. Uudistettavat säännökset ovat lain 13 ja 14 §:ssä. Näihin säännöksiin sisältyy salaamista vastaava oikeus kieltää lääkemääräyksen tietojen luovutus. Sen vuoksi 8 § ehdotetaan tarpeettomana kumottavaksi.

9 §.Potilasohje. Lääkettä määrättäessä potilaalle tulee antaa kirjallisesti tieto määrätystä lääkkeestä tai samalla kerralla määrätyistä useista lääkkeistä. Potilas voi kuitenkin ilmoittaa, että hän ei tarvitse potilasohjetta, jolloin sitä ei tarvitse antaa hänelle. Potilaan mahdollisuutta ilmoittaa, että hän ei tarvitse potilasohjetta, on käytännössä kuitenkin tulkittu virheellisesti siten, että ohjetta ei anneta, jos potilas ei erikseen sitä pyydä. Sen vuoksi säännöstä ehdotetaan muutettavaksi siten, että ohje on annettava potilaalle aina silloin kun sähköinen lääkemääräys laaditaan potilaan ollessa läsnä vastaanotolla lääkemääräystä laadittaessa. Tämän mukaisesti ohjetta ei tarvitse tulostaa ja toimittaa potilaalle, jos lääkemääräys laaditaan esimerkiksi tilanteessa, jossa määräys perustuu potilaan kanssa käytyyn puhelinkeskusteluun, taikka lääkemääräys uudistetaan.

Lisäksi pykälän 1 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan kirjallista potilasohjetta ei kuitenkaan tarvitse antaa jos se ei ole mahdollista teknisistä syistä eikä myöskään siinä tapauksessa, että sähköinen lääkemääräys on laadittu niin sanotulla mobiilipäätteellä, jolla ei ole kiinteää toimipaikkaa. Jos potilas ei ole saanut potilasohjetta lääkemääräystä annettaessa, hänellä on myöhemmin mahdollisuus saada tieto lääkemääräyksestä esimerkiksi 17 §:n mukaisen katseluyhteyden välityksellä. Lisäksi potilaalle voidaan antaa yhteenveto reseptikeskuksessa olevista lääkemääräyksistä.

Pykälän 2 momentissa on valtuutussäännös, jonka mukaan sosiaali- ja terveysministeriö voi tarvittaessa antaa tarkempia säännöksiä potilasohjeen ja yhteenvedon sisällöstä sekä perusteista, jolloin potilasohjetta ei tarvitse antaa potilaalle lääkemääräyksen laatimisen yhteydessä.

10 §.Lääkemääräyksen korjaaminen, mitätöiminen ja uudistaminen. Pykälässä säädetään otsikon mukaisesti laaditun ja reseptikeskukseen tallennetun lääkemääräyksen korjaamisesta, mitätöimisestä ja uudistamisesta. Pykälään ehdotetaan tehtäväksi sekä sisällöllisiä että teknisiä muutoksia, joiden vuoksi koko pykälä ehdotetaan säädettäväksi uudelleen.

Pykälän 1 momentissa säädetään lääkemääräyksen korjaamisesta. Jos reseptikeskuksessa oleva lääkemääräys on virheellinen, voi potilasta hoitava lääkäri tai hammaslääkäri korjata virheen. Samoin lääkettä apteekista toimittava proviisori ja farmaseutti voivat korjata toimituksen yhteydessä havaitsemansa virheen. Apteekista tehtävä korjaus edellyttää kuitenkin aina lääkkeen määrääjän suostumusta. Tätä säännöstä ehdotetaan muutettavaksi siten, että apteekissa tehtäviin teknisiin korjauksiin ei enää jatkossa tarvitse pyytää suostumusta lääkkeen määrääjältä. Sen sijaan epäselvän tai puutteellisen lääkemääräyksen korjaamiseen tarvitaan jatkossakin suostumus lääkkeen määrääjältä. Lisäksi säännöksestä ehdotetaan poistettavaksi maininta korjauksen allekirjoituksesta. Allekirjoitusta koskeva säännös on jatkossa pykälän 4 momentissa.

Pykälän 2 momentissa säädetään sähköisen lääkemääräyksen mitätöinnistä. Voimassa olevan säännöksen mukaan sairaanhoitaja saa mitätöidä vain sellaisen lääkemääräyksen, jollaisen hän saisi myös määrätä. Säännös ehdotetaan kumottavaksi. Koska lääkemääräyksen mitätöinti edellyttää, että se tehdään pääsääntöisesti yhteisymmärryksessä potilaan kanssa, ei ole tarpeen, että oikeus mitätöintiin rajataan vain niihin lääkemääräyksiin, joita hoitaja voi määrätä. Ehdotettava säännös poikkeaa lisäksi nykyisestä siten, että siihen on lisätty myös apteekin mahdollisuus mitätöidä lääkemääräys jos apteekin 12 §:n 4 momentin mukaisesti reseptikeskukseen tallentama lääkemääräys on laadittu potilaan antamien virheellisten tietojen perusteella tai pakottamalla.

Säännökseen ehdotetaan myös tehtäväksi kielellinen muutos siten, että mitätöinti tulee tehdä yhteisymmärryksessä potilaan kanssa. Voimassa olevan lain sanamuodon mukaan mitätöinti edellyttää potilaan suostumusta. Muutoksella halutaan korostaa sitä, että myös kaikki lääkehoitoa koskevat ratkaisut tulee tehdä yhdessä potilaan kanssa. Samoin momentin viimeiseen virkkeeseen, joka koskee vainajan lääkemääräystä, tehdään kielellinen muutos, joka ei vaikuta asiasisältöön. Säännöksen mukaan vainajan lääkemääräykset mitätöityvät. Mitätöinnistä huolehtii reseptikeskusta ylläpitävä Kansaneläkelaitos Väestörekisterikeskuksesta saatujen tietojen perusteella.

Pykälä 3 momentti koskee sähköisen lääkemääräyksen uudistamista. Momenttia ehdotetaan muutettavaksi siten, että virheelliseksi todettuun kokonaan toimitettuun sähköiseen lääkemääräykseen voidaan liittää tieto havaitusta virheestä ja samalla estää tällaisen reseptin uudistaminen Tämä voidaan tehdä sekä lääketieteellisillä perusteilla että silloin, kun lääkemääräys on laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla. Ehdotettu muutos perustuu erityisesti siihen, että sen jälkeen kun lääke on ostettu apteekista, se havaitaan toisinaan potilaan hoidon kannalta ongelmalliseksi tai jopa vahingolliseksi esimerkiksi haittavaikutusten tai lääkkeen aiheuttaman allergisen reaktion perusteella. Lääketieteellinen peruste voi olla myös, jos lääkkeen annostusta on sen oston jälkeen muutettu tai jokin muu vastaava lääkitykseen liittyvä syy. Jotta alkuperäisen lääkemääräyksen mukaista lääkitystä ei myöhemmin esimerkiksi puutteellisten tietojen vuoksi aloiteta uudelleen, tulisi lääkemääräyksen uudistaminen voida estää. Potilaan antamat virheelliset tiedot tai pakottaminen voivat liittyä esimerkiksi väärinkäyttöön soveltuviin pkv- ja huumausainelääkkeisiin. Uudistamisen eston voi tehdä sekä kokonaan toimitettuun lääkemääräykseen että toimittamattomaan ja osittain toimitettuun lääkemääräykseen.

Pykälän 4 momentissa on säännökset korjauksen ja mitätöinnin sekä uudistamisen eston perustelemisesta sekä sähköisen allekirjoituksen käyttämisestä. Potilaan myöhemmän hoidon yhteydessä voi olla tarpeen tietää syy 1—3 momentin mukaiseen toimenpiteeseen. Tällöin toimenpiteen yhteydessä on reseptikeskuksessa olevaan lääkemääräykseen liitettävä perustelut sille, miksi sitä on korjattu, tai se on mitätöity, taikka sen uudistaminen on estetty. Tällaisessa tilanteessa reseptikeskuksessa olevaan reseptiin liitetty tieto havaituista ongelmista voi estää vastaavan lääkityksen määräämisen myöhemmin uudelleen. Lisäksi säännöksessä edellytetään, että korjaukset, mitätöinnit ja uudistamisen estot tulee allekirjoittaa sähköisesti. Näin voidaan osaltaan varmistaa toimenpiteen asianmukaisuus. Voimassa olevassa laissa on säädetty ainoastaan lääkemääräyksen korjaamisen allekirjoituksesta.

Sosiaali- ja terveysministeriön asetuksella voidaan 5 momentissa olevan säännöksen perusteella antaa tarvittaessa tarkempia säännöksiä 1—4 momenteissa todetuista asioista ja niihin liittyvistä toimenpiteistä.

11 §.Apteekin tiedonsaantioikeus. Pykälässä säädetään apteekin oikeudesta saada tieto reseptikeskuksessa olevista lääkemääräyksistä. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jossa säädetään apteekin oikeudesta saada tieto sellaisesta lääkemääräyksestä, jonka näkymisen potilas on kieltänyt lain 13 §:n 1 tai 3 momentissa olevan säännöksen perusteella. Potilaan tai hänen puolestaan toimivan henkilön tullessa ostamaan tällaista lääkettä, apteekille voidaan luovuttaa tieto lääkemääräyksestä sen toimittamiseksi, jos ostaja esittää lääkemääräyksestä saadun potilasohjeen tai yhteenvedon. Potilasohjeessa olevan viivakoodin perusteella apteekille voidaan luovuttaa asianomaista lääkemääräystä koskevat tiedot lääkkeen toimittamiseksi potilaalle. Jos apteekilla on tämän jälkeen tarve hakea lääkemääräyksen tiedot reseptikeskuksesta lääketoimituksen korjausta, mitätöintiä tai annosjakelua varten, saa tiedot hakea lääkemääräyksen tai apteekin tunnuksella ilman potilasohjetta tai yhteenvetoa.

Kielletty lääkemääräys voidaan lisäksi luovuttaa apteekista lääkkeen aiemman oston yhteydessä mahdollisesti tulostetun lääkemääräyksen yhteenvedon perusteella. Potilaalla on myös mahdollisuus tulostaa yhteenveto lääkemääräyksestä katseluyhteyden kautta. Jos potilaalla ei ole kielletystä lääkemääräyksestä potilasohjetta eikä yhteenvetoa, voidaan tällainen lääke toimittaa apteekista vain jos kielto peruutetaan. Kiellon peruuttamisen jälkeen apteekilla on mahdollisuus nähdä aiemmin kielletyn lääkemääräyksen tiedot ja toimittaa lääke potilaalle. Lääkkeen toimittamisen jälkeen potilas voi uudelleen kieltää lääkemääräyksen näkymisen.

12 §.Sähköisen lääkemääräyksen toimittaminen. Pykälässä säädetään menettelystä toimitettaessa sähköinen lääkemääräys apteekista. Pykälän 1 momentin mukaan lääkettä ostettaessa tulee ostajan osoittaa luotettavasti, että hänellä on oikeus vastaanottaa lääke. Tämä voi tapahtua esimerkiksi potilasohjeella, henkilöllisyystodistuksella tai Kela-kortilla. Jos potilaalla ei ole mukanaan potilasohjetta, tieto lääkemääräyksestä haetaan henkilötunnuksen perusteella. Sähköinen lääkemääräys voidaan laatia myös henkilölle, jolla ei ole suomalaista henkilötunnusta. Tällöin reseptikeskuksessa olevan lääkemääräyksen täysin luotettava tunnistaminen pelkästään henkilötietojen perusteella ei aina ole mahdollista, koska kahdella tai useammallakin henkilöllä voi olla sama nimi ja syntymäpäivä. Sen vuoksi 1 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan henkilötunnuksettoman on esitettävä apteekissa potilasohje. Sen ja siinä olevan yksilöintitunnuksen perusteella voidaan varmistaa, että potilas saa oikean lääkkeen.

Pykälään ehdotetaan lisättäväksi uusi 4 momentti, joka velvoittaa apteekin tallentamaan reseptikeskukseen 5 §:n 1 momentissa mainituilla poikkeusperusteilla laaditun kirjallisen ja puhelinlääkemääräyksen sekä niiden toimitustiedot. Myös näiden reseptitietojen tallentaminen reseptikeskukseen varmistaa sen, että reseptikeskuksessa on kattavat tiedot avohoidon lääkemääräyksistä.

Apteekin reseptikeskukseen tallentama lääkemääräys poikkeaa sisällöltään lääkkeen määräämiseen oikeutetun henkilön laatimasta lääkemääräyksestä lähinnä sähköisen allekirjoituksen osalta. Sähköisen allekirjoituksen tekee lääkärin, hammaslääkärin tai sairaanhoitajan sijasta apteekissa työskentelevä proviisori tai farmaseutti, joka tallentaa lääkemääräyksen tiedot reseptikeskukseen. Tällöin reseptikeskukseen tallentuu myös tieto lääkemääräyksen tallentajasta, apteekista jossa se tehdään ja tallennuksen ajankohdasta. Muutoin tällaisessa lääkemääräyksessä on vastaavat tiedot kuin muissa sähköisissä lääkemääräyksissä. Apteekin tallentaman lääkemääräyksen voi myös korjata, mitätöidä tai uudistaa samoin kuin muut sähköiset lääkemääräykset.

Lisäksi lainkohdassa on valtuutussäännös, jonka perusteella sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä apteekissa tehtävästä kirjallisen tai puhelinlääkemääräyksen sekä niiden toimitustietojen tallentamisesta reseptikeskukseen.

13 §.Potilaan oikeus määrätä tietojen luovutuksesta. Voimassa olevassa 13 §:ssä säädetään terveydenhuoltohenkilöstön tiedonsaantioikeudesta. Pykälä ehdotetaan uudistettavaksi siten, että siinä säädetään aiempaa laajemmin reseptikeskuksessa olevien potilastietojen luovutuksesta. Säännöksen perusteella tietoja voidaan erikseen määrätyissä tilanteissa luovuttaa myös muille kuin terveydenhuoltohenkilöstölle, jos se on tarpeen potilaan hoidon tai sähköisen lääkemääräyksen toimivuuden takia. Uuden säännöksen tarkoituksena on myös yhdenmukaistaa reseptikeskuksessa olevien potilastietojen luovutuksen edellytyksenä olevaa potilaan suostumusta koskevat säännökset asiakastietolain suostumusta koskevien säännösten kanssa. Mahdollisimman yhdenmukaiset säännökset yksinkertaistavat ja helpottavat suostumusmenettelyjen hallintaa.

Pykälän 1 momentin mukaan reseptikeskuksessa ja reseptiarkistossa olevia tietoja saa luovuttaa terveydenhuollon ja sosiaalihuollon toimintayksiköille ja lääkkeen määrääjille potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Edellytyksenä on lisäksi potilaan antama kirjallinen suostumus. Suostumusmenettelystä säädetään tarkemmin 14 §:ssä. Säännöksen mukaan kerran annettu suostumus on voimassa toistaiseksi. Potilaalla on kuitenkin oikeus peruuttaa antamansa suostumus milloin tahansa. Lisäksi potilas voi kieltää haluamiensa lääkemääräystietojen luovutuksen ja näkymisen sivullisille. Suostumuksen ja kiellon voi ilmoittaa mille tahansa sähköiseen lääkemääräykseen liittyneelle terveydenhuollon tai sosiaalihuollon toimintayksikölle sekä myös itsenäisenä ammatinharjoittajana toimivalle lääkkeen määrääjälle. Lisäksi suostumuksen ja kiellon voi tehdä lain 17 §:ssä säädetyn katseluyhteyden välityksellä.

Edellä tarkoitettu kielto koskee potilaan nimenomaisesti määrittelemää lääkemääräystä tai -määräyksiä. Saman hoitotapahtuman, kuten lääkärin vastaanoton aikana laadituista useista lääkemääräyksistä potilas voi siten kieltää yhden tai useamman lääkemääräyksen tietojen luovutuksen reseptikeskuksesta.

Pykälän 2 momentissa säädetään suostumuksen antamisesta silloin kun täysi-ikäinen potilas ei itse kykene antamaan suostumusta mielenterveyden häiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi. Tällöin suostumuksen voi antaa hänen laillinen edustajansa, lähiomaisensa tai muu läheinen. Jos suostumus on annettu, ei laillinen edustaja, omainen tai läheinen ole oikeutettu peruuttamaan sitä, eikä myöskään oikeutettu tekemään kieltoa. Tämä perustuu siihen, että suostumuksen peruuttaminen tai kielto voisi vaikeuttaa merkittävästikin potilaan hoitoa. Tilanteessa jossa suostumus on aiemmin annettu ja kieltoa ei ole tehty, ei ole perusteltua olettaa, että hoidon kannalta tarpeellisen tiedonkulun estäminen voisi vastata potilaan oletettua tahtoa tai muutoinkaan potilaan etua.

Alaikäisen henkilön asemasta säädetään 3 momentissa. Säännöksen mukaan alaikäinen voi itse antaa suostumuksen, jos hän on potilaslain 7 §:ssä tarkoitetulla tavalla kykenevä ikänsä ja kehitystasonsa perusteella itse päättämään hoidostaan. Edellä tarkoitettu alaikäinen saa myös tehdä 1 momentissa tarkoitetun kiellon. Alaikäinen voisi lisäksi tehdä erikseen kiellon, jolla hän rajoittaisi vanhempiensa tai huoltajiensa oikeutta saada tiedon lääkemääräyksestä, vaikka alaikäinen ei halua tehdä terveydenhuoltoon ja apteekkiin kohdistuvaa kieltoa. Tällöin esimerkiksi alaikäisen vanhemmilla ei olisi oikeutta saada tietoja alaikäisen lääkityksestä ilman alaikäisen erikseen antamaa suostumusta. Muiden alaikäisten puolesta suostumuksen voi antaa hänen huoltajansa tai muu laillinen edustaja. Alaikäisen huoltajalla tai laillisella edustajalla ei olisi oikeutta peruuttaa kerran annettua suostumusta eikä tehdä kieltoa.

Pykälän 4 momentissa on säädetty poikkeuksista 1 momenttiin. Säännöksen mukaiset poikkeukset mahdollistavat reseptikeskuksessa olevien tietojen luovutuksen erikseen todetuin edellytyksin vaikka potilas ei olisi antanut suostumustaan tai olisi tehnyt luovutuskiellon. Poikkeussäännösten tarkoituksena on mahdollistaa reseptikeskuksessa olevien tietojen sekä sähköisen lääkemääräyksen perusteltu käyttö eräissä erityistilanteissa.

Momentin 1 kohdan mukaan reseptikeskuksen tietoja voidaan luovuttaa, jos muualla lainsäädännössä on erikseen niin säädetty.

Kohdan 2 mukaan pkv- ja huumausainelääkkeitä koskevat tiedot voidaan luovuttaa lääkettä määräävälle lääkärille tai hammaslääkärille silloin kun potilaalle ollaan määräämässä vastaavaa lääkettä. Säännöksen tarkoituksena on ehkäistä näiden väärinkäyttöön soveltuvien lääkevalmisteiden hankkiminen ilman, että siihen olisi asianmukainen lääketieteellinen peruste. Ilman tällaista säännöstä lääkettä väärinkäyttävä tai niitä laittomasti myyntiin hankkiva henkilö voisi hakeutua useiden eri lääkärien vastaanotolle ja saada näitä lääkkeitä ilman asianmukaista perustetta, koska lääkkeen määrääjällä ei olisi mahdollisuutta saada tietoja potilaan aiemmista pkv- ja huumausainelääkemääräyksistä. Säännöksen perusteella pkv- ja huumausainelääkkeitä määräävä lääkäri tai hammaslääkäri saisi tiedon aiemmista vastaavista lääkemääräyksistä ja voisi sen perusteella arvioida uuden lääkemääräyksen aiheellisuuden.

Potilaan pyytäessä sähköisen lääkemääräyksen uudistamista, olisi uudistamishakemusta käsittelevillä oikeus saada tieto uudistettavasta lääkemääräyksestä vaikka potilas ei olisi antanut 1 momentin mukaista yleissuostumusta tai vaikka potilas olisi kieltänyt lääkemääräystä koskevien tietojen luovutuksen. Uudistamispyynnön voidaan katsoa sisältävän suostumuksen uudistettavan lääkemääräyksen käsittelyyn myös edellä mainituissa tilanteissa, koska muutoin uudistamista ei voisi suorittaa. Tämä 3 kohdassa oleva poikkeus koskee vain asianomaisen lääkemääräyksen uudistamiseksi tarvittavaa tietojen luovutusta.

Kohdan 4 perusteella lääkkeen alun perin määrännyt henkilö on oikeutettu saamaan tiedon lääkemääräyksestä hoitosuhteen yhteydessä. Säännös turvaa hoidon jatkuvuutta ja vastaa pääosin periaatetta, jota sovelletaan potilasasiakirjoihin. Väärinkäytösten ehkäisemiseksi ehdotetaan lisäksi, että lääkkeen määrääjäksi merkitty henkilö voi tarkastaa, onko apteekki tallentanut reseptikeskukseen hänen nimissään lääkemääräyksiä ja onko näiden lääkemääräysten perusteella toimitettu lääkettä apteekista. Tarkastusmahdollisuuden ansiosta asianomainen lääkäri, hammaslääkäri tai sairaanhoitaja voi tarkistaa, onko kirjallinen tai puhelinlääkemääräys tallennettu oikein reseptikeskukseen tai jos kysymyksessä on ollut väärennetty lääkemääräys, ilmoitta tällaisesta väärennyksestä viranomaisille.

Kohdassa 5 säädetään tilanteesta, jossa henkilö tarvitsee kiireellistä hoitoa, eikä hän pysty antamaan suostumusta tajuttomuuden tai muun vastaavan syyn takia. Tällaisessa tilanteessa reseptikeskuksessa olevia tietoja potilaan lääkityksestä saa luovuttaa, vaikka potilas ei olisikaan antanut 1 momentin mukaista yleissuostumusta. Jos potilas kuitenkin on tehnyt reseptitietojen luovutusta koskevan kiellon, ei näitä tietoja saa luovuttaa käytettäväksi edes hätätilanteessa ennen kiellon purkua. Kiellon tekijä voi kuitenkin varautua tällaiseen hätätilanteeseen mahdollistamalla kieltoa tehdessään sen sivuuttamisen hätätilanteessa.

Kohdan 6 perusteella sähköisen lääkemääräyksen toimintaan liittyvän teknisen ongelman tai häiriön syyn selvittämisen yhteydessä saadaan tietoja luovuttaa myös tekniselle henkilökunnalle siinä laajuudessa kuin se on tarpeen tilanteen selvittämiseksi. Usein sähköisen lääkemääräyksen käytön yhteydessä todetut ongelmat on mahdollista selvittää melko helposti, jos toimintayksikön atk-tukihenkilö tai vastaava voi ongelman selvittämisen yhteydessä saada tietoja myös toimintayksiköstä reseptikeskukseen tallennetuista lääkemääräyksistä.

Pykälän 5 momentissa on valtuutussäännös, jonka perusteella sosiaali- ja terveysministeriön asetuksella voidaan tarvittaessa antaa tarkempia säännöksiä 1—3 momenteissa tarkoitetun suostumus- ja kieltomenettelyn toteuttamisesta sekä 4 momentin 6 kohdassa tarkoitetun tiedonsaantioikeuden toteuttamisesta ja teknisen henkilöstön oikeuksien selvittämisestä. Tarkemmat säännökset voivat koskea esimerkiksi sitä, mitkä ovat niitä käytännön teknisiä perusteita, joiden toteutuessa tekniselle henkilöstölle voidaan luovuttaa reseptikeskuksessa olevia tietoja.

14 §.Suostumus- ja kieltoasiakirja. Voimassa olevan lain 14 §:ssä säädetään lääkemääräyksen uudistamispyynnön käsittelystä. Säännös ehdotetaan korvattavaksi suostumus- ja kieltoasiakirjan sisällön määrittelevällä uudella pykälällä. Uudistamispyyntöä koskevat säännökset ehdotetaan otettavaksi edellä todetun 13 §:n 4 momentin 3 kohtaan.

Ehdotuksen mukaan potilaan antama suostumus tietojen luovuttamiseksi reseptikeskuksesta tulee osoittaa potilaan henkilökohtaisesti allekirjoittamalla suostumusasiakirjalla. Jos potilas haluaa kieltää joidenkin lääkemääräysten tietojen luovuttamisen, pitää myös kielto tehdä vastaavasti kirjallisella kieltoasiakirjalla.

Suostumusasiakirjassa tulee olla lain 4 §:ssä tarkoitetut tiedot sähköisestä lääkemääräyksestä. Siinä myös todetaan se, mihin potilas antaa suostumuksensa ja samalla hän vakuuttaa saaneensa tiedon suostumuksen merkityksestä ja myös oikeuden kieltää reseptitietojen luovutus. Kieltoasiakirjassa tulee vastaavasti selvittää se, että potilaan kieltämien lääkemääräysten tietoja ei saa luovuttaa reseptikeskuksesta ja, että kielto on voimassa myös siinä tapauksessa että kielletyt tiedot ovat hoidon kannalta merkityksellisiä. Potilaalla on kuitenkin mahdollisuus erikseen sallia kiellon kohteena olevien tietojen luovutus, jos se on tarpeen potilaslain 8 §:n tarkoittamassa kiireellistä hoitoa edellyttävässä tilanteessa.

Jotta kaikki suostumuksen ja kiellon tekijät saisivat asianmukaisen ja yhdenmukaisen informaation suostumuksen ja kiellon merkityksestä, ehdotetaan pykälän 1 momentissa lisäksi, että Kansaneläkelaitoksen tulee laatia mallit suostumus- ja kieltoasiakirjoille.

Silloin kun suostumus annetaan suoraan palvelujen antajalle, potilaan tulee allekirjoittaa henkilökohtaisesti suostumusasiakirja. Potilaalle tulee myös antaa jäljennös suostumusasiakirjasta. Jos suostumus annetaan katseluyhteyden välityksellä, potilaalle tulee antaa vastaavat tiedot katseluyhteyden kautta. Katseluyhteyteen kirjautuminen edellyttää käytännössä vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) mukaista luotettavaa tunnistusta, minkä vuoksi näin annettu tahdonilmaisu katsotaan asianmukaisesti allekirjoitetuksi.

Ehdotettavan 2 momentin perusteella palvelujen antajan tulee säilyttää alkuperäinen allekirjoitettu suostumusasiakirja ja mahdollisesti tehdyt kielto- ja peruutusasiakirjat rekisterinpitäjänä toimivan Kansaneläkelaitoksen lukuun. Vaihtoehtona alkuperäisten asiakirjojen säilyttämiselle olisi alkuperäisen asiakirjan jäljennöksen tallentaminen Kanta-palveluun. Sosiaali- ja terveysministeriön asetuksella voitaisiin antaa tarkempia säännöksiä niistä teknisistä menetelmistä, joita tulee noudattaa jäljennettäessä ja tallennettaessa alkuperäiset asiakirjat Kanta-palveluun. Asiakirjat ja niiden jäljennökset on säilytettävä samoin kuin potilasasiakirjat. Niiden säilytysajasta säädetään potilasasiakirja-asetuksessa. Asetuksen liitteen mukaan potilaan tahdon ilmaisevat asiakirjat on säilytettävä 12 vuotta potilaan kuolemasta tai jos siitä ei ole tietoa 120 vuotta potilaan syntymästä. Jos suostumus tai kielto on tehty katseluyhteyden välityksellä, tulee myös tämä tieto säilyttää vastaavan ajan.

15 §.Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen. Pykälässä säädetään reseptikeskuksessa olevien tietojen luovuttamisesta viranomaisille sekä lisäksi tieteelliseen tutkimukseen. Mahdollisuus luovuttaa tietoja myös tieteelliseen tutkimukseen ei selviä voimassa olevan säännöksen otsikosta. Sen vuoksi pykälän otsikko ehdotetaan muutettavaksi siten, että siinä todetaan myös tieteellinen tutkimus.

Pykälän 1 momentissa säädetään Valviran ja Fimean oikeudesta saada tietoja reseptikeskuksesta. Momentin 2 kohtaa ehdotetaan muutettavaksi siten, että Fimealla on oikeus saada myös huumausainelain mukaisessa valvonnassa tarvittavia tietoja. Voimassa olevan säännöksen mukaan oikeus koskee vain lääkelain mukaisia tehtäviä. Huumausainelain 32 §:n perusteella Fimean on seurattava mainitun säännöksen mukaisten lääkkeiden toimittamista apteekeista. Sen jälkeen kun kaikki lääkemääräykset laaditaan pääsääntöisesti sähköisesti ja muut lääkemääräykset tallennetaan apteekissa reseptikeskukseen lääkettä toimitettaessa, voidaan huumausaineiksi luokiteltujen lääkkeiden lain mukainen seuranta toteuttaa reseptikeskuksessa olevien tietojen perusteella. Fimealla olisi myös oikeus saada lääkelain 21 §:ssä tarkoitetun erityisluvan hakemiseksi laadittu sähköinen lääkemääräys reseptikeskuksesta.

Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että luvan reseptikeskuksessa olevien tietojen käyttämiseksi tieteelliseen tutkimukseen myöntää Terveyden ja hyvinvoinnin laitos. Voimassa olevan säännöksen mukaan luvan myöntää sosiaali- ja terveysministeriö. Ehdotettu muutos vastaa potilaslakiin vuonna 2010 tehtyä muutosta, jolla päätöksenteko potilasasiakirjoihin sisältyvien tietojen luovutuksesta tieteellistä tutkimusta varten siirrettiin sosiaali- ja terveysministeriöstä Terveyden ja hyvinvoinnin laitokseen.

16 §.Potilaan tiedonsaantioikeus. Pykälän 3 momentissa säädetään potilaan oikeudesta saada lokitietojen perusteella tieto siitä, ketkä ovat käsitelleet häntä koskevia tietoja reseptikeskuksessa ja reseptiarkistossa. Säännöstä ehdotetaan muutettavaksi siten, että siinä todetaan myös potilaan tiedonhallintapalvelu. Lisäksi potilaan oikeus saada tiedot rajataan kahden vuoden aikaan samoin perustein kuin edellä on todettu asiakastietolain 18 §:n kohdalla. Erityisestä perustellusta syystä tiedot voi kuitenkin saada myös pitemmältä ajalta. Säännökseen lisätään myös maininta, että lokitietoja ei tarvitse luovuttaa, jos niiden luovuttajalla olevien tietojen perusteella niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Säännös vastaa tällöin edellä kuvattua asiakastietolain 18 §:ää.

16 a §.Potilaan tiedonhallintapalvelu. Asiakastietolakiin lisättiin vuonna 2011 voimaan tulleella lailla (1227/2010) säännös potilaan tiedonhallintapalvelusta. Tiedonhallintapalveluun kootaan potilaiden antamat suostumukset potilastietojen luovuttamiseksi ja tekemät luovutuskiellot sekä eräitä muita potilaiden tekemiä tahdonilmaisuja. Lisäksi tiedonhallintapalveluun kootaan eräitä potilaan hoidon kannalta keskeisiä tietoja. Myös sähköiseen lääkemääräykseen liittyvät keskeiset tiedot ehdotetaan otettavaksi tiedonhallintapalveluun. Tämä mahdollistaa sen, että esimerkiksi tieto 4 §:n mukaisesti potilaalle annetusta informaatiosta on kaikkien sähköisiä lääkemääräyksiä laativien käytettävissä. Samoin tiedot 13 §:n mukaisista suostumuksista ja kielloista tallennetaan tiedonhallintapalveluun. Sen avulla voidaan myös hallita reseptikeskuksessa ja reseptiarkistossa olevien tietojen luovutuksia siten, että tietoja luovutetaan vain niille tahoille, joilla on lakiin tai potilaan suostumukseen perustuva oikeus saada tietoja.

Tiedonhallintapalvelun kautta voidaan näyttää tietoja potilaan lääkemääräyksistä ja niiden toimitustiedoista lain 13 §:ssä säädetyin edellytyksin uusia lääkemääräyksiä laadittaessa sekä muutoinkin järjestettäessä ja toteutettaessa potilaan terveyden- ja sairaanhoitoa. Tiedonhallintapalvelussa olevien lääketietojen luovutusta ja käyttöä ei ole rajattu ammattinimikkeen perusteella, vaan tietoja voivat käyttää kaikki potilaan hoitoon osallistuvat henkilöt, kuitenkin vain siinä laajuudessa kuin asianomaisen henkilön tehtävät sitä edellyttävät.

17 §.Kansalaisen käyttöliittymä. Pykälässä säädetään käyttöliittymästä, jonka välityksellä täysi-ikäinen henkilö voi katsella reseptikeskukseen ja reseptiarkistoon tallennettuja lääkemääräyksiään ja niiden toimitustietoja. Käyttöliittymän kautta voi myös nähdä asiakastietolain 19 §:n mukaiset tiedot potilasasiakirjoista. Lisäksi sen kautta voi suorittaa asiakastietolain mukaisia toimenpiteitä, kuten antaa suostumuksensa potilasasiakirjatietojen luovutukseen ja tehdä eräitä hoitoon liittyviä tahdonilmaisuja.

Säännöstä ehdotetaan muutettavaksi siten, että pykälän otsikko, joka voimassa olevan lain mukaan on katseluyhteys , olisi jatkossa kansalaisen käyttöliittymä , koska sen kautta voi katselun lisäksi tehdä palveluun liittyviä tahdonilmaisuja. Käyttöliittymää koskevia säännöksiä ehdotetaan samalla muutettavaksi samojen periaatteiden mukaisesti kuin asiakastietolain kohdalla tehtiin vuonna 2011 voimaan tulleessa muutoksessa. Lisäksi pykälästä ehdotetaan poistettavaksi ala-ikäisten reseptien katselua koskeva rajoitus.

Ehdotuksen 1 momentin perustella kansalaisen käyttöliittymän kautta annetaan tiedot reseptikeskuksessa olevista lääkemääräyksistä ja niiden toimitustiedoista. Näiden lisäksi käyttöliittymän välityksellä voi vastaanottaa lain 4 §:ssä tarkoitetun informaation sähköisestä lääkemääräyksestä sekä antaa ja peruuttaa lain 13 §:n mukaisen suostumuksen ja kiellon. Lisäksi käyttöliittymän kautta voi tehdä lääkemääräyksen uudistamispyynnön ja tulostaa 9 §:n mukaisen potilasohjeen. Ehdotus mahdollistaa sen, että potilas voi tehdä mainitut toimenpiteet esimerkiksi kotitietokoneellaan. Muutoin nämä toimet edellyttäisivät käyntiä terveydenhuollon toimintayksikössä tai uudistamispyynnön osalta vaihtoehtoisesti apteekissa.

Ehdotettavan 2 momentissa säädetään potilaan oikeudesta vastaanottaa lain 4 §:ssä tarkoitetun informaation sähköisestä lääkemääräyksestä, antaa ja peruuttaa 13 §:n mukaisen suostumuksen ja kiellon sekä tehdä 10 §:ssä tarkoitetun lääkemääräyksen uudistamispyynnön.

Pykälän 3 momentti mahdollistaisi uusien potilaan lääkehoidon toteuttamista ja seuraamista koskevien toimintojen lisäämisen myöhemmin kansalaisen käyttöliittymään. Uusien toimintojen toteuttaminen tulee aina toteuttaa siten, että potilas- ja reseptitietojen tietosuoja toteutuu säännösten mukaisesti. Lisäksi uudet toiminnot tulee suunnitella ja toteuttaa yhteistyössä asianomaisen viranomaisten, kuten Kansaneläkelaitos, Lääkealan turvallisuus- ja kehittämiskeskus, Terveyden ja hyvinvoinnin laitos ja Valvira sekä muiden asianosaistahojen kanssa.

Pykälän 4 momentti vastaa osin nykyistä 2 momenttia. Säännöksen mukaan kansalaisen käyttöliittymä tulee toteuttaa potilaan yksityisyyden turvaavalla tavalla. Lainkohtaan ehdotetaan lisättäväksi maininta siitä, että alaikäisen potilaan tiedot saa luovuttaa potilaan lisäksi hänen huoltajalleen tai lailliselle edustajalleen. Tietojen luovutuksessa alaikäisen huoltajalle tai lailliselle edustajalle on kuitenkin otettava huomioon potilaslain 9 §:n 2 momentissa oleva säännös. Sen mukaan itse hoidostaan päättämään kykenevällä potilaalla on oikeus kieltää itseään koskevien potilastietojen luovutus huoltajalleen tai muulle lailliselle edustajalleen.

Pykälän 5 momentissa on valtuutussäännös, jonka mukaan sosiaali- ja terveysministeriön asetuksella voidaan säätää siitä, miten tiedot annetaan kansalaisen käyttöliittymän kautta. Alaikäisen asemaa koskevasta muutoksesta johtuen 5 momenttiin ehdotetaan otettavaksi säännös, jonka mukaan sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkemmat säännökset siitä, miten alaikäisen potilaan huoltajan tai laillisen edustajan oikeus saada tietoja toteutetaan. Toteutuksessa on otettava huomioon muun muassa huoltajuuden varmistaminen tilanteessa jossa henkilö on menettänyt huoltajuuden tai alaikäinen on kieltänyt tietojen luovutuksen potilaslain 9 §:n 2 momentin perusteella. Näihin liittyen alaikäisen henkilön huoltajan tai laillisen edustajan mahdollisuutta saada tietoja ei voida toteuttaa heti lain muutoksen voimaantulosta lukien.

19 §.Tietojen säilyttäminen. Pykälässä säädetään reseptikeskuksessa ja reseptiarkistossa olevien tietojen säilyttämisestä. Sen 2 momenttiin ehdotetaan tehtäväksi 13 ja 14 §:n muutoksesta aiheutuvat tekninen muutos siten, että säännöksessä viitataan ainoastaan 11 §:ään. Lisäksi reseptiarkistossa olevien tietojen säilytysaikaa ehdotetaan pidennettäväksi nykyisestä 10 vuodesta 20 vuoteen. Säilytysajan pidennyksen tarkoituksena on mahdollistaa tietojen hyödyntäminen tieteellisessä tutkimuksessa.

20 §.Sähköisen lääkemääräyksen tietotekninen toteutus. Pykälässä säädetään sähköisen lääkemääräyksen tietotekniseen toteutukseen liittyvistä periaatteista. Siihen ehdotetaan lisättäväksi uusi 2 momentti, jolloin nykyinen 2 momentti siirtyy 3 momentiksi. Uuden säännöksen perusteella Kansaneläkelaitoksen tulee toteuttaa käyttöliittymäpalvelu, joka mahdollistaa sähköisten lääkemääräysten laatimisen ja käsittelyn selain- ja mobiilipohjaisesti eli puhelin- ja dataverkkoja käyttävillä liikutettavilla laitteilla kuten matkapuhelimilla. Tällaista käyttöliittymäpalvelua käyttämällä voidaan sähköinen lääkemääräys laatia esimerkiksi tavallisella koti- tai toimistotietokoneella taikka vaikkapa niin sanotulla älypuhelimella, mikäli siinä on asianmukainen ohjelmisto. Palvelun käyttöönotto ei edellytä erillisen potilastietojärjestelmän käyttöönottoa eikä siinä olevaa reseptinkirjoitusohjelmistoa. Näin sähköisen lääkemääräyksen laatiminen ei edellytä merkittäviä investointeja lääkäreiltä, hammaslääkäreiltä tai pieniltä yksityisiltä lääkäri- ja hammaslääkäriasemilta.

22 §.Lääketietokanta. Esityksen 5 §:n mukaan lääkemääräys olisi jatkossa laadittava sähköisesti. Tässä yhteydessä tulee arvioida myös sähköisen lääkemääräyksen pakollisuuden aiheuttamat muutostarpeet lääketietokannan tietosisältöön. Lisäksi käytännön kokemus on tuonut esille kehitystarpeita ja osoittanut tiettyjä puutteita nykyisessä lääketietokannassa. Lääketietokannan kattavuuden laajentamista puoltaa myös lääketietokantaan pohjautuvien, rakenteisessa muodossa tallennettujen lääkemääräystietojen paremmat hyödyntämismahdollisuudet sekä potilaan kokonaislääkityksen hallinnassa että viranomaisvalvonnassa. Säännöstä ehdotetaan muutettavaksi siten, että se mahdollistaisi lääketietokannan tietosisällön laajentamisen tulevaisuudessa.

Pykälän uuden 2 momentin mukaan lääketietokantaan voidaan sisällyttää myös muiden kuin 1 momentissa mainittujen sähköisellä lääkemääräyksellä määrättävien valmisteryhmien tietoja. Tällaisia lääketietokannan laajennustarpeita saattaa jatkossa tulla esimerkiksi erityislupavalmisteiden kohdalla.

Pykälän 3 momenttiin, joka vastaa nykyistä 2 momenttia, on lisätty valtuutus, jonka perusteella lääketietokantaan mahdollisesti lisättävistä valmisteryhmistä voidaan tarvittaessa antaa määräykset sosiaali- ja terveysministeriön asetuksella.

22 a §.Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto. Asiakastietolakiin ehdotetaan lisättäväksi säännökset sosiaalihuollon ja terveydenhuollon tietojärjestelmiltä edellytettävistä olennaisista vaatimuksista ja näiden vaatimusten todentamisesta eli sertifioinneista. Sertifioinnin tarkoituksena on varmistaa tietojärjestelmien ja niiden käytön asianmukaisuus tietojen salassapidon, tietoturvan ja yhteentoimivuuden kannalta. Nämä tietojärjestelmille asiakastietolaissa asetetut vaatimukset ovat välttämättömiä sähköisen lääkemääräyksen yhteydessä käytettäville tietojärjestelmille. Sen vuoksi lakiin ehdotetaan lisättäväksi selvyyden vuoksi uusi 22 a §, jonka perusteella sähköistä lääkemääräystä laadittaessa ja toimitettaessa käytettävien tietojärjestelmien tulee täyttää asiakastietolain mukaiset olennaiset vaatimukset ja niiden tulee olla sertifioituja. Sovellettaviksi tulevat tämän mukaisesti asiakastietolain 3, 19 a—19 g, 20 a—20 h ja 22 §:t. Näiden tarkempi sisältö on selvitetty edellä 1. lain yksityiskohtaisten perustelujen kohdalla.

22 b §.Omavalvonta. Sosiaalihuollon ja terveydenhuollon tietojärjestelmien käyttäjien tulee laatia asiakastietolain perusteella omavalvontasuunnitelma. Suunnitelman tarkoituksena on varmistaa, että tietojärjestelmiä käytetään asianmukaisesti ja henkilökunta on riittävästi perehtynyt niiden käyttöön. Omavalvontasuunnitelma on tarpeen myös sähköistä lääkemääräystä käyttävissä organisaatioissa, minkä vuoksi lakiin ehdotetaan lisättäväksi uusi 22 b §, jossa on viittaus asiakastietolain omavalvontaa koskeviin säännöksiin. Sovellettaviksi tulevat siten asiakastietolain 19 h ja 19 i §:t. Näiden tarkempi sisältö on selvitetty edellä 1. lain yksityiskohtaisten perustelujen kohdalla. Lain tarkoittama suunnitelma voi olla osana palvelujen antajan tai apteekin muulla perusteella laatimaa omavalvontasuunnitelmaa.

23 §.Sosiaali- tai terveydenhuollossa luovutettavat lääkkeet. Pykälässä säädetään terveydenhuollon toimintayksiköiden velvollisuudesta ottaa käyttöön sähköinen lääkemääräys. Koska esityksessä ehdotetaan, että jatkossa siirtymäajan jälkeen kaikki lääkemääräykset tulee pääsääntöisesti laatia sähköisesti, ei terveydenhuollon palvelujen antajia ole tarpeen velvoittaa erillisellä säännöksellä liittymään sähköisen lääkemääräyksen käyttäjiksi. Säännös ehdotetaan sen vuoksi korvattavaksi uudella säännöksellä, jonka perusteella myös sosiaali- ja terveydenhuollon toimintayksiköissä avohoidossa olevalle tai sinne siirtyvälle potilaalle luovutettuja lääkkeitä koskevat tiedot voidaan tallentaa reseptikeskukseen. Mikäli myös tällaisia lääkkeitä koskevat tiedot olisivat reseptikeskuksessa, olisi potilaan kokonaislääkityksestä mahdollisuus saada kattavampi kuva kuin pelkästään avohoidon lääkkeiden perusteella. Säännös ei ole velvoittava, tällaisten lääkitysten tietoja ei ole pakko tallentaa reseptikeskukseen.

Sosiaali- tai terveydenhuollon toimintayksiköissä potilaille luovutettavista lääkkeistä ei laadita varsinaista lääkemääräystä. Sen vuoksi lain säännöksiä ei voi sellaisenaan soveltaa näiden lääkkeiden tallentamiseen. Tämän takia lainkohdassa todetaan, että lain säännöksiä noudatetaan soveltuvin osin näitä lääkkeitä koskeviin tietoihin.

Pykälän 2 momentissa on asetuksenantovaltuus, jonka perusteella sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä sosiaali- tai terveydenhuollossa potilaille luovutettujen lääkkeiden tietojen tallentamisesta reseptikeskukseen. Asetuksen perusteella voidaan tarkentaa erityisesti sitä, miltä osin on tarpeen poiketa avohoidon lääkemääräyksiä koskevista toimintamalleista.

23 a §.Rajat ylittävä sähköinen lääkemääräys. Lakiin ehdotetaan lisättäväksi uusi pykälä, jossa säädetään sähköisen lääkemääräyksen käyttämisestä tilanteessa jossa potilas ostaa hänelle sähköisellä lääkemääräyksellä määrätyn lääkkeen toisessa maassa kuin missä se on määrätty. Rajat ylittävän sähköisen lääkemääräyksen toteutusta on kehitetty Euroopan unionissa toteutettavassa epSOS-kokeilussa, joka päättyy vuonna 2014. Nähtävissä on kuitenkin, että tulevina vuosina sähköisen lääkemääräyksen käyttö laajenee erityisesti Suomen lähialueilla, Norjassa, Ruotsissa ja Virossa. Lisäksi Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa edellyttää, että ETA-jäsenvaltiossa laaditulla lääkemääräyksellä on voitava ostaa lääke muissa ETA-valtioissa. Koska eri valtioiden toteuttamat sähköiset lääkemääräykset voivat poiketa sisällöllisesti ja teknisesti Suomessa noudatettavista määräyksistä, on tällaisten sähköisen lääkemääräysten hyväksymisestä tarpeen säätää erikseen.

Pykälän 1 momentin mukaan muualla kuin Suomessa laadittu sähköinen lääkemääräys voidaan toimittaa Suomessa toimivasta apteekista, vaikka lääkemääräys ei ole Suomessa muutoin voimassa olevien vaatimusten mukainen. Edellytyksenä lääkemääräyksen hyväksymiselle on kuitenkin, että se on Euroopan unionissa tai Suomen ja toisen valtion välillä sovittujen vaatimusten mukainen. Lisäksi edellytetään, että tällainen toisessa valtiossa laadittu sähköinen lääkemääräys on välitetty asianomaisen valtion kansallisen yhteyspisteen kautta Suomeen. Kansallinen yhteyspiste vastaa muun muassa siitä, että lääkemääräyksen on laatinut siihen oikeutettu henkilö ja lääkemääräys on muutoinkin laillinen. Näin ollen vastaanottavan valtion yhteyspisteen ei enää tarvitse selvittää lääkemääräysten asianmukaisuutta. Sen sijaan lääkettä toimittavan apteekin tulee noudattaa normaaleja lääkkeen toimittamista koskevia säännöksiä. Jos tällaisessa muualla laaditussa sähköisessä lääkemääräyksessä on lääkitykseen liittyvä vakava virhe tai puute, joka estäisi vastaavan Suomessa laaditun lääkemääräyksen toimittamisen, ei apteekki voi toimittaa tällaista lääkemääräystä.

Vastaavasti 1 momentissa todetaan, että Suomessa laadittu sähköinen lääkemääräys voidaan välittää toimitettavaksi toiseen EU:n jäsenvaltioon tai sopimusvaltioon. Edellytyksenä tälle on potilaan antama suostumus. Kansallisesti suostumuksen antamiseen liittyvistä tarkemmista menettelyistä on tarkoitus säätään sosiaali- ja terveysministeriön asetuksella pykälän 3 momentissa olevan valtuutuksen perusteella.

Pykälän 2 momentin perusteella Suomessa kansallisena yhteyspisteenä toimii Kansaneläkelaitos. Yhteyspiste toimii reseptikeskuksen, apteekkien ja toisen jäsenvaltion kansallisen yhteyspisteen välillä. Säännöksen mukaan Kansaneläkelaitos toimii yhteyspisteeseen tallennettavien tietojen rekisterinpitäjänä. Se vastaa henkilötietolain mukaan rekisterinpitäjälle säädetyistä velvoitteista ja tehtävistä. Kansaneläkelaitos ylläpitää kansallisen yhteyspisteen toimintaa varten riittävää tietoteknistä valmiutta ja huolehtii, että tiedonvaihdon tietoturvataso on riittävä. Kansaneläkelaitos vastaa yhteyspisteen yleisestä toiminnasta ja toiminnan lainmukaisuudesta sekä vastaa kansalliseen yhteyspisteeseen tallennettujen tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta, muokkaamiensa tietojen oikeellisuudesta sekä tietojen suojaamisesta, säilyttämisestä ja hävittämisestä.

Edellä mainittujen 1 ja 2 momenttien mukaisista asioista voidaan ehdotuksen 3 momentin mukaan antaa tarkempia säännöksi sosiaali- ja terveysministeriön asetuksella. Tarkoituksena on, että asetuksella säädettäisiin ainakin muualla kuin Suomessa laaditun lääkemääräyksen vähimmäissisällöstä ja sen välittämisestä apteekkiin. Lisäksi ministeriön asetuksella voitaisiin säätää Suomessa laaditun lääkemääräyksen luovuttamisesta toisen valtion kansalliselle yhteyspisteelle, toimitustietojen tallentamisesta reseptikeskukseen ja potilaan suostumuksesta. Asetuksella voitaisiin lisäksi antaa tarkempia määräyksiä rajat ylittävien sähköisten lääkemääräysten käsittelyyn liittyvien lokitietojen tallentamisesta ja käsittelystä. Lääkkeen apteekista toimittamiseen sovelletaan lääkelain perusteella annettuja Lääkealan turvallisuus- ja kehittämiskeskuksen määräyksiä.

24 §.Ohjaus, seuranta ja valvonta. Pykälässä säädetään sähköisen lääkemääräyksen toteuttamiseen ja toimintaan liittyvistä ohjaus-, seuranta- ja valvontavastuista ja siihen liittyvästä viranomaisten välisestä työnjaosta. Pykälän 4 ja 5 momenttia ehdotetaan muutettavaksi siten, että niissä todetaan myös sosiaalihuollon toimintayksiköt. Muutoksella otetaan huomioon, että myös sosiaalihuollon toimintayksiköissä voidaan laatia sähköisiä lääkemääräyksiä.

25 §.Maksut. Pykälässä säädetään sähköisen lääkemääräyksen käyttöön liittyvistä maksuista. Periaatteena on, että Kansaneläkelaitoksen ja Väestörekisterikeskuksen ylläpitämistä keskitetyistä palveluista aiheutuvat kustannukset peritään sähköistä lääkemääräystä käyttäviltä apteekeilta sekä lääkkeitä määrääviltä toimintayksiköiltä ja ammatinharjoittajilta. Säännöstä ehdotetaan muutettavaksi siten, että se on tekstiltään mahdollisimman pitkälle yhdenmukainen asiakastietolaissa olevan säännöksen kanssa. Tähän liittyy säännös maksuvalmiuden ylläpitämiseksi kerättävästä puskurista. Lisäksi kunnallisten toimijoiden osalta esitetään, että maksuista vastaisivat keskitetysti sairaanhoitopiirit omasta ja jäsenkuntiensa puolesta. Menettely yksinkertaistaisi laskutusmenettelyä.

Pykälän uudessa 2 momentissa olevan säännöksen perusteella Kansaneläkelaitoksen ja Väestörekisterikeskuksen on toimitettava sosiaali- ja terveysministeriölle vuosittain sähköisen lääkemääräyksen niille aiheuttamista kustannuksista ja kustannuksiin vaikuttavista tekijöistä sekä arvion seuraavan vuoden käyttömaksujen perusteena olevista kokonaiskustannuksista. Näiden selvitysten perusteella voidaan määritellä 1 momentin mukaiset maksut. Ehdotettu säännös on uusi, asiakastietolaissa on kuitenkin ollut vastaava säännös, johon nyt tällä esityksellä ehdotetaan tehtäväksi eräitä muutoksia. Nyt tähän lääkemääräyslakiin lisättäväksi ehdotettava säännös on sisällöllisesti sama kuin asiakastietolain muutettu säännös.

Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.

Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Ennen määräyksen antamista Terveyden ja hyvinvoinnin laitoksen on kuultava sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa (61/2007) tarkoitettuihin terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jäljempänä Kanta-palvelut, liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.

Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat Kansaeläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta. Luokkaan A kuuluu myös 3 §:n 6 kohdassa tarkoitettu välityspalvelu. Muut tietojärjestelmät kuuluvat luokkaan B.

Jos on epäselvää, mihin luokkaan tietojärjestelmä kuuluu, Terveyden ja hyvinvoinnin laitos päättää kumpaan luokkaan tietojärjestelmä kuuluu.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietojärjestelmien luokkien määräytymisestä.

Valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta, valmistuksesta ja luokittelusta riippumatta siitä, suorittaako valmistaja nämä toimet itse vai tekeekö joku muu ne hänen lukuunsa.

Valmistajan on annettava tietojärjestelmän yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta. Tietojärjestelmän mukana olevien tietojen ja ohjeiden on oltava suomen, ruotsin tai englannin kielellä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on kuitenkin oltava suomen ja ruotsin kielellä.

Lisäksi valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen.

Luokkaan A kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmän valmistajan antamalla selvityksellä siitä, että järjestelmä täyttää kaikki toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteistestauksella ja tietoturvallisuuden arviointilaitoksen antamalla vaatimustenmukaisuustodistuksella.

Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava valmistajan antamalla kirjallisella selvityksellä siitä, että järjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käyttötarkoituksensa mukaan käytettynä täyttää 19 a §:ssä säädetyt olennaiset vaatimukset.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä.

Luokkaan A kuuluvan tietojärjestelmän on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteistestauksessa. Yhteistestauksen toteuttamisen edellytyksenä on, että tietojärjestelmän valmistaja antaa Kansaneläkelaitokselle selvityksen siitä, miten tietojärjestelmän toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteistestauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.

Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän, on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmät, joiden tulee osallistua yhteistestaukseen. Yhteistestaukseen osallistuvien tietojärjestelmien valmistajat vastaavat itse testauksen niille aiheuttamista kustannuksista.

Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille keskitetyille tietojärjestelmille ei suoriteta erillistä yhteistestausta.

Luokkaan A kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön ja liittää Kanta-palveluihin, kun tietoturvallisuuden arviointilaitos on antanut sitä koskevan vaatimustenmukaisuustodistuksen. Luokkaan B kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön sen jälkeen kun järjestelmän valmistaja on antanut 19 d §:ssä tarkoitetun kirjallisen selvityksen.

Valmistajan on ilmoitettava tuotantokäyttöön otettavasta tietojärjestelmästä Sosiaali- ja terveysalan lupa ja valvontavirastolle. Ilmoituksessa on oltava tieto tietojärjestelmän valmistajasta ja käyttötarkoituksesta. Lisäksi valmistajan on ilmoitettava tietojärjestelmän tuotantokäytön päättymisestä. Lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä.

Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa tarkempia määräyksiä ilmoituksen sisällöstä ja rekisteriin merkittävistä tiedoista.

Valmistajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista, on ilmoitettava kaikille järjestelmää käyttäville palvelujen antajille. Lisäksi luokkaan A kuuluvien tietojärjestelmien merkittävistä poikkeamista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietojärjestelmän valmistajan on lisäksi seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tehtävä tietojärjestelmiin muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Vaatimustenmukaisuustodistus on uudistettava jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia vaatimuksia on muutettu.

Valmistajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellyttämät tiedot vähintään viiden vuoden ajan tietojärjestelmän tuotantokäytön päättymisestä.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvittävä miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:

Jos palvelujen antaja on liittynyt Kanta-palvelujen käyttäjäksi, on omavalvontasuunnitelmassa selvitettävä myös, miten näiden valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu. Lisäksi 3 §:n 6 kohdassa tarkoitetun välityspalvelun tuottajan on laadittava omavalvontasuunnitelma välityspalvelusta ja Kansaneläkelaitoksen on laadittava suunnitelma ylläpitämistään Kanta-palveluista.

Palvelujen antajan, välityspalvelun tuottajan ja Kansaneläkelaitoksen on seurattava omavalvontasuunnitelman toteutumista.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista.

Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietoturvallisuuden arviointilaitoksen hyväksymiseen ja toimintaan sovelletaan muutoin mitä tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.

Tietoturvallisuuden arviointilaitos suorittaa tietojärjestelmien vaatimustenmukaisuuden arviointiin liittyviä tehtäviä tämän lain, tietoturvallisuuden arviointilaitoksista annetun lain ja viranomaisen tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Vaatimustenmukaisuuden arviointi tehdään tietojärjestelmän valmistajan hakemuksesta.

Jos luokkaan A kuuluva tietojärjestelmä täyttää vaatimustenmukaisuusedellytykset ja Kansaneläkelaitos on antanut yhteistestaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan vaatimustenmukaisuuden arvioinnista valmistajalle vaatimustenmukaisuustodistus sekä siihen liittyvä tarkastusraportti. Vaatimustenmukaisuustodistus on voimassa enintään viisi vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään viideksi vuodeksi kerrallaan. Tietoturvallisuuden arviointilaitos voi vaatia valmistajalta kaikki arvioinnin edellyttämät tiedot vaatimustenmukaisuustodistuksen laatimiseksi ja ylläpitämiseksi. Todistuksen antamiseen sovelletaan muutoin mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään.

Tietoturvallisuuden arviointilaitoksen on tarvittaessa, kotirauha huomioon ottaen suoritettava tarkastuksia ja arviointeja varmistaakseen, että valmistaja ylläpitää kehitystyössään tietojärjestelmän vaatimustenmukaisuuden varmistavia menettelyjä, sekä annettava valmistajalle arviointikertomus. Tietoturvallisuuden arviointilaitoksen on otettava huomioon tietojärjestelmän tuotannon aikana suoritetuista arviointi- ja tarkastustoimista saadut tulokset.

Jos tietoturvallisuuden arviointilaitos toteaa, ettei tietojärjestelmä ole täyttänyt tai enää täytä tässä laissa tai sen nojalla säädettyjä vaatimuksia tai että vaatimustenmukaisuustodistusta ei muutoin olisi tullut myöntää, laitoksen on kehotettava tietojärjestelmän valmistajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei valmistaja korjaa puutteellisuuksia arviointilaitoksen asettamassa määräajassa. Määräajan pituutta määritettäessä on otettava huomioon tietojärjestelmän korjaamiseksi tarvittava kohtuullinen aika.

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja Kansaneläkelaitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä vaatimustenmukaisuustodistuksista. Lisäksi tietotuvallisuuden arviointilaitoksen on pyydettäessä annettava lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston ja Väestörekisterikeskuksen on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Jos joku on lainvastaisesti käsitellyt asiakastietoja, tulee asianomaisen palvelujen antajan sekä Kansaneläkelaitoksen oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin. Seurannan ja valvonnan toteuttamiseksi palvelujen antajalla on oikeus saada Kansaneläkelaitokselta omien potilasrekisteriensä lokitiedot sekä 14 a §:ssä tarkoitetussa potilaan tiedonhallintapalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot siltä osin kuin asianomaisen palvelujen antajan henkilökunta on katsellut ja käsitellyt potilaan tiedonhallintapalvelussa olevia tieto.

Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia, 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta. Lisäksi jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa.. Lisäksi tarkastusta toteutettaessa on noudatettava mitä hallintolain (434/2003) 39 §:n 1 momentissa säädetään tarkastuksen toteuttamisesta.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston tulee säilyttää tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen suorittamisesta lukien.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys.

Ulkopuoliset asiantuntijat eivät saa luvatta ilmaista mitä he asemansa, tehtävänsä tai työnsä vuoksi ovat saaneet tietää toisen terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistuvista sosiaali- ja terveydenhuollon toimenpiteistä tai muista vastaavista seikoista. Vaitiolovelvollisuus säilyy tehtävän päättymisen jälkeen. Ulkopuoliseen asiantuntijaan sovelletaan virkamiehen esteellisyyttä koskevia hallintolain säännöksiä sekä rikosoikeudellista virkavastuuta hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä.

Poliisin antamasta virka-avusta säädetään poliisilain (493/1995) 40 §:ssä.

Jos sosiaali- tai terveydenhuollon tietojärjestelmän valmistaja, sosiaalihuollon tai terveydenhuollon palvelujen antaja, välityspalvelun tuottaja taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi antaessaan 20 d §:n nojalla tietojärjestelmää koskevan päätöksen samalla määrätä valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet.

Jos tietojärjestelmä voi vaarantaa tietosuojan taikka asiakas- tai potilasturvallisuuden, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, voi lupa- ja valvontavirasto kieltää tietojärjestelmän käytön kunnes turvallisuuden vaarantava ominaisuus on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjäorganisaatio vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa valmistajan tai valtuutetun edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta päätöksestä lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän luvun nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990) .

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta tai oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa hakea muutosta hallinto-oikeudelta siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen ei saa hakea muutosta valittamalla. Päätökseen saa hakea oikaisua lupa- ja valvontavirastolta 30 päivän kuluessa päätöksen tiedoksisaannista tai tarkastuksen päättymisestä. Päätökseen on liitettävä ohjeet oikaisuvaatimuksen saattamiseksi lupa- ja valvontaviraston ratkaistavaksi. Päätöksen mukaisiin toimenpiteisiin on ryhdyttävä oikaisuvaatimuksesta huolimatta. Sosiaali- ja terveysalan lupa- ja valvontaviraston oikaisuvaatimuksen johdosta antamaan päätökseen saa hakea muutosta valittamalla siten kuin 1 momentissa säädetään.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.

Kansaneläkelaitoksen ja Väestörekisterikeskuksen hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelujen antajille maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista.

Tietojärjestelmän valmistaja vastaa vaatimustenmukaisuuden osoittamisen aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 19 e §:ssä tarkoitetusta yhteistestauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 19 f §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottamalla huomioon mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.