159/2007

Tämän lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.

Tässä laissa säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä.

Tätä lakia sovelletaan julkisten ja yksityisten sosiaalihuollon ja terveydenhuollon palvelujen antajien järjestäessä taikka toteuttaessa sosiaalihuoltoa tai terveydenhuoltoa.

Jollei tästä tai muusta laista muuta johdu, asiakastietojen käsittelyyn sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992) , jäljempänä potilaslaki , sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000) , jäljempänä asiakaslaki , viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) , sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003) , vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) , väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994) tai näiden nojalla säädetään. Lisäksi asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä on noudatettava, mitä kielilaissa (423/2003) ja sen nojalla säädetään. Jos terveydenhuollon asiakas- ja potilastietoja käsittelevä tietojärjestelmä on terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010) tarkoitettu terveydenhuollon laite, tietojärjestelmään sovelletaan myös mainittua lakia ja sen mukaisia vaatimuksia. (29.11.2019/1197)

Tässä laissa tarkoitetaan:

Asiakastietojen sähköisessä käsittelyssä tulee turvata tietojen saatavuus ja käytettävyys. Asiakastietojen tulee säilyä eheinä ja muuttumattomina koko niiden säilytysajan.

Sähköisestä asiakasasiakirjasta tulee olla vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä ottaa jäljennös, josta tulee ilmetä asiakirjan olevan jäljennös.

Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiakasasiakirjojen yksilöimisestä sekä niiden jäljennösten säilyttämisestä.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista.

Palvelujen antajan tulee kerätä asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja jokaisesta asiakastietojen luovutuksesta seurantaa varten lokitiedot lokirekisteriin. Käyttölokirekisteriin tallennetaan tieto käytetyistä asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta. Luovutuslokirekisteriin tallennetaan tieto luovutetuista asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta ja luovutusajankohdasta. Kansaneläkelaitoksen tulee kerätä vastaavat tiedot 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennettujen ja sen kautta näytettyjen tietojen luovuttamisesta. (28.3.2014/250)

Terveydenhuollon palvelujen antajien potilasasiakirjatietojen luovuttamista koskevat lokitiedot tallennetaan 14 §:ssä tarkoitettuun arkistointipalveluun.

Asiakastietojen käyttäjien käyttöoikeustiedot ja lokitiedot tulee hävittää, kun ne eivät enää ole tarpeen asiakastietojen käytön ja luovutuksen lainmukaisuuden seuraamiseksi. Käyttöoikeus- ja lokitiedoista sekä tietojen vähimmäissäilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella.

Terveydenhuollon potilastietojärjestelmien ja potilasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten potilasasiakirjojen käyttö, luovuttaminen, säilyttäminen ja suojaaminen 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla. Terveydenhuollon palvelujen antajan tulee luokitella erityistä suojausta edellyttävät potilasasiakirjat ja potilastiedot erillisellä vahvistuspyynnöllä suojattaviin potilastietoihin.

Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin siitä, mitkä potilasasiakirjat tulee luokitella erityistä suojausta edellyttäviksi. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä potilastietojärjestelmien ja potilasasiakirjojen tietorakenteista sekä muusta kuin edellä tarkoitetusta tietojen luokittelusta.

Asiakastietojärjestelmästä tulee voida tuottaa sosiaalihuollon ja terveydenhuollon palvelujen antajan oman suunnittelun, johtamisen ja tilastoinnin, sekä valtakunnallisen tutkimus- ja tilastotoiminnan kannalta tarpeelliset tiedot ja hoidon tarpeen arviointia sekä hoitoon pääsyn ajankohtaa koskevat tiedot.

Asiakastietojen sähköisessä käsittelyssä asiakas, sosiaalihuollon ja terveydenhuollon palvelujen antaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet tulee tunnistaa luotettavasti. Potilastietoja käsittelevien henkilöiden, palvelujen antajien, tietoteknisten laitteiden sekä valtakunnallisten tietojärjestelmäpalvelujen tunnistaminen edellyttää lisäksi todentamista. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa siltä osin kuin asiassa on kysymys 14 §:ssä tarkoitetusta Digi- ja väestötietovirastolle kuuluvasta tehtävästä.

Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta.

Potilastietoja saa luovuttaa 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 §:n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. (21.12.2010/1227)

Sähköiseen luovutuspyyntöön perustuva potilastietojen sähköinen luovutus toiselle terveydenhuollon palvelujen antajalle toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu. Muut potilastietojen sähköiset luovutukset toiselle terveydenhuollon palvelujen antajalle toteutetaan joko valtakunnallisten tietojärjestelmäpalvelujen avulla tai terveydenhuollon palvelujen antajien välisenä luovutuksena.

3 momentti on kumottu L:lla 26.4.2019/558 .

Sen estämättä, mitä 1 momentissa säädetään, voidaan valtakunnallisten tietojärjestelmäpalvelujen avulla luovuttaa lisäksi todistukset ja lausunnot sille terveydenhuollon ulkopuoliselle toimijalle, jota varten asiakirja on laadittu. Todistukseen ja lausuntoon liitetty muu yksilöity asiakirja voidaan luovuttaa todistuksen mukana. Luovuttaminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan viestinvälitys- ja kyselypalvelun avulla, ja se edellyttää potilaan informoitua, yksilöityä suostumusta. Suostumuksen vastaanottajan on kirjattava tieto siitä osaksi luovutettavaa asiakirjaa. Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, mitkä asiakirjat saa luovuttaa viestinvälitys- ja kyselypalvelun avulla. (20.3.2015/255)

Muusta kuin valtakunnallisten tietojärjestelmäpalvelujen avulla tapahtuvasta potilastietojen luovutuksesta säädetään potilaslain 4 luvussa. Lisäksi sähköiseen lääkemääräykseen sisältyvien tietojen luovutuksesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007) . (21.12.2010/1227)

Edellä 10 §:n 1 momentissa tarkoitetun potilaan suostumuksen perusteella saa luovuttaa kaikki valtakunnallisissa tietojärjestelmäpalveluissa olevat potilastiedot. Suostumuksen antanut potilas saa kuitenkin kieltää määrittämiensä tietojen luovutuksen. Kiellon voi tehdä palvelutapahtuman tai palvelujen antajan perusteella. Suostumus ja kielto ovat voimassa toistaiseksi ja ne saa peruuttaa.

Suostumuksen ja kiellon voi antaa mille tahansa valtakunnalliseen tietojärjestelmäpalveluun liittyneelle terveydenhuollon palvelujen antajalle. Suostumuksen tai kiellon vastaanottajan tulee toimittaa tieto siitä viivytyksettä 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun. Potilaan tiedonhallintapalvelu on toteutettava siten, että suostumuksen ja kiellon voi tehdä milloin tahansa. Suostumuksen ja kiellon saa tehdä myös 19 §:ssä tarkoitetun katseluyhteyden välityksellä.

Mitä 2 momentissa säädetään suostumuksen ja kiellon tekemisestä koskee myös niiden peruuttamista.

Potilastietojen luovutusta koskevasta suostumuksesta ja kiellosta on laadittava potilaan allekirjoittama asiakirja. Suostumusasiakirjassa on oltava 17 §:ssä tarkoitetut tiedot valtakunnallisista tietojärjestelmäpalveluista ja niiden vaikutuksista potilasta koskevien tietojen käsittelyyn. Kieltoasiakirjassa tulee olla selvitys siitä, että terveyden- ja sairaanhoitoa annettaessa ei voida käyttää voimassa olevan kiellon kohteena olevia tietoja, vaikka ne olisivat hoidon kannalta merkityksellisiä. Kansaneläkelaitos laatii mallit suostumus- ja kieltoasiakirjalle. Suostumuksen ja kiellon vastaanottajan on annettava asiakirjasta jäljennös potilaalle. Potilaan antaessa suostumuksensa tai tehdessä kiellon katseluyhteyden välityksellä, hänelle on annettava vastaavat tiedot katseluyhteyden välityksellä.

Suostumuksen ja kiellon vastaanottajan on säilytettävä allekirjoitettu asiakirja rekisterinpitäjän lukuun. Näiden asiakirjojen säilyttämisaikaan sovelletaan, mitä potilaslaissa ja sen nojalla säädetään potilasasiakirjojen säilyttämisestä.

Mitä edellä säädetään suostumus- ja kieltoasiakirjasta koskee myös niiden peruuttamiseksi laadittavaa asiakirjaa.

Jos potilaalla ei ole edellytyksiä arvioida 10 §:n 1 momentissa tarkoitetun suostumuksen merkitystä, terveyden- ja sairaanhoidon kannalta välttämättömiä tietoja saa luovuttaa hänen laillisen edustajansa antaman suostumuksen perusteella. Potilaan laillisella edustajalla on oikeus salassapitovelvollisuuden estämättä saada suostumuksen antamista ja toteuttamista varten välttämättömät potilasta koskevat tiedot. Muutoin suostumuksen antamisessa on noudatettava mitä 11 §:ssä säädetään potilaan antamasta suostumuksesta.

Kansaneläkelaitos hoitaa terveydenhuollon palvelujen antajien lukuun potilasasiakirjojen säilytystä ja käyttöä varten olevaa arkistointipalvelua sekä sen osana potilasasiakirjojen luovutusta varten hakemistopalvelua ja potilaan tiedonhallintapalvelua. Arkistointipalveluun voidaan tallentaa potilasasiakirjojen lisäksi myös muita terveydenhuollon järjestämiseen ja tiedonhallintaan liittyviä asiakirjoja. Kansaneläkelaitos hoitaa sosiaalihuollon palvelunantajien lukuun arkistointipalvelua sosiaalihuollon asiakasasiakirjojen säilytystä varten. Lisäksi Kansaneläkelaitos hoitaa valtakunnallisiin tietojärjestelmäpalveluihin kuuluvina tehtävinä luovutuslokirekisterien säilytyksen osana arkistointipalvelua, 19 §:ssä tarkoitetun kansalaisen käyttöliittymän sekä palvelun, jonka avulla valtakunnallisia tietojärjestelmäpalveluja voi käyttää Internetin välityksellä sekä tietoliikenneverkkoja käyttävillä liikutettavilla laitteilla. Kansaneläkelaitos voi hoitaa myös muita sosiaali- ja terveydenhuollon tiedonhallintaan liittyviä valtakunnallisia palveluja siten kuin niistä erikseen muualla säädetään sekä huolehtia käyttölokirekisterien säilytyksestä. Kansaneläkelaitos voi tarvittaessa antaa ohjeita edellä mainittujen valtakunnallisten tietojärjestelmäpalveluiden toteuttamisen edellyttämistä teknisistä ja sanomaliikennemäärityksistä. (20.3.2015/255)

Terveyden ja hyvinvoinnin laitoksen tehtävänä on määrittää valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämät tietosisällöt, käsitemallit ja toimintaprosesseja tukevat tietorakenteet. Lisäksi se vastaa koodistopalvelun sisällöstä. Kansaneläkelaitos hoitaa koodistopalvelun tietoteknistä toteutusta. Koodistopalvelu sisältää kaikki koodistot, joita tarvitaan asiakasasiakirjojen käsittelyssä valtakunnallisten tietojärjestelmäpalvelujen avulla. (20.3.2015/255)

Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen edellä mainituin perustein myöntämistä varmenteista. (29.11.2019/1197)

Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla terveydenhuollon palvelujen antajille, apteekeille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten terveydenhuollon ammattihenkilöiden ammatinharjoittamisoikeuksia ja ammattinimikkeen käyttöoikeuksia sekä niiden voimassaoloa koskevat tiedot. Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on lisäksi antaa Digi- ja väestötietoviraston varmennepalveluille terveydenhuollon toimintaan sekä elinkeinon- ja ammatinharjoittamiseen liittyvää asiantuntemusta. (29.11.2019/1197)

Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien sosiaalihuollon henkilörekistereiden tai potilasrekistereiden taikka niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä toimeksiantotehtävänä ulkopuolisille. (20.3.2015/255)

Kansaneläkelaitos pitää yllä potilaan tiedonhallintapalvelua. Terveydenhuollon palvelujen antajat saavat käyttää potilaan tiedonhallintapalvelussa olevia ja sen kautta näkyviä tietoja potilaan terveyden- ja sairaanhoitoa järjestettäessä ja toteutettaessa.

Tiedonhallintapalveluun tallennetaan tiedot potilaiden 10–12 §:n perusteella antamista suostumuksista ja tekemistä kielloista sekä 17 §:n perusteella potilaalle annetuista tiedoista. Tiedonhallintapalveluun tallennetaan lisäksi potilaan ilmoittama kielto irrottaa elimiä, kudoksia tai soluja toisen ihmisen sairauden tai vamman hoitoon tai muu elinluovutusta koskeva tahdonilmaisu ja hänen ilmoittamansa hoitotahto. Tiedonhallintapalveluun voidaan tallentaa myös muita terveyden- tai sairaanhoitoon liittyviä potilaan tahdonilmaisuja.

Potilaan tiedonhallintapalvelun kautta voidaan lisäksi näyttää potilaan terveyden- ja sairaanhoidon tai niihin liittyvien palvelujen kannalta keskeiset tiedot. Sosiaali- ja terveysministeriön asetuksella voidaan säätää siitä, mitkä ovat tiedonhallintapalvelun kautta näytettäviä keskeisiä tietoja. Tiedonhallintapalvelun välityksellä ei saa kuitenkaan näyttää sellaisia tietoja, joiden luovutuksen potilas on kieltänyt 10–12 §:n perusteella. (28.3.2014/250)

Kansaneläkelaitos on potilaan tiedonhallintapalvelun rekisterinpitäjä. Kansaneläkelaitos vastaa tiedonhallintapalvelussa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. Tiedon tallentaja vastaa potilaan tiedonhallintapalveluun tallennettujen tietojen oikeellisuudesta ja palvelussa olevan virheellisen tiedon korjaamisesta. Tiedonhallintapalvelussa olevien virheellisten tietojen korjaamiseen sovelletaan, mitä henkilötietolain 29 §:ssä säädetään. Jos virheellinen tieto perustuu terveydenhuollon palvelujen antajan tekemään merkintään, on korjausvaatimus osoitettava virheellisen merkinnän tehneelle palvelujen antajalle. (28.3.2014/250)

Julkisen terveydenhuollon palvelujen antajan tulee liittyä 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Yksityisen terveydenhuollon palvelujen antajan tulee liittyä näiden tietojärjestelmäpalvelujen käyttäjäksi, jos sen potilasasiakirjojen pitkäaikaissäilytys toteutetaan sähköisesti. Ahvenanmaan maakunnan julkisen terveydenhuollon palvelujen antaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Tästä liittymisestä on kuitenkin säädettävä erikseen siten kuin Ahvenanmaan itsehallintolain (1144/1991) 32 §:ssä säädetään.

Liittymisen jälkeen valmistuneiden potilasasiakirjojen alkuperäiset kappaleet on tallennettava valtakunnalliseen arkistointipalveluun. Näiden potilasasiakirjojen luovutukseen liittyvät suostumus- ja kieltoasiakirjat tallennetaan vastaavasti potilaan tiedonhallintapalveluun. Ennen liittymistä valmistuneet potilasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. (21.12.2010/1227)

Sosiaali- ja terveysministeriön asetuksella voidaan säätää rajoituksia siihen, mitkä 2 momentissa tarkoitetut alkuperäiset asiakirjat tulee tallentaa ja missä laajuudessa ne tallennetaan valtakunnalliseen arkistointipalveluun. (21.12.2010/1227)

Valtakunnallisten tietojärjestelmäpalvelujen ja potilastietojen tulee olla käytettävissä ympärivuorokautisesti siten, että potilastiedot ovat aina saatavilla potilasturvallisuutta vaarantamatta. Tietojärjestelmäpalveluilla tulee olla tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.

Kansaneläkelaitos vastaa arkistointipalvelun teknisenä toteuttajana ja ylläpitäjänä arkistointipalvelun yleisestä toiminnasta ja toiminnan lainmukaisuudesta, huolehtii potilaalle annettavan 19 §:ssä tarkoitetun katseluyhteyden teknisestä toteuttamisesta sekä huolehtii valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja käyttää päätösvaltaa järjestelmän tietotekniseen toimintaan liittyvissä kysymyksissä, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu. Lisäksi Kansaneläkelaitos huolehtii valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle. (21.12.2010/1227)

Arkistointipalveluun liittynyt terveydenhuollon palvelujen antaja vastaa potilastietojen rekisterinpitäjänä järjestelmään tallennettujen potilastietojen ja niiden käsittelyyn liittyvien lokitietojen sisällöstä ja virheettömyydestä sekä tietojen luovuttamisen ja muun käsittelyn lainmukaisuudesta.

Kansaneläkelaitos vastaa hoitamiensa tietojärjestelmäpalvelujen osalta potilastietojen käytettävyydestä, eheydestä, muuttumattomuudesta, suojaamisesta, säilyttämisestä ja hävittämisestä. Kansaneläkelaitos vastaa siitä, että arkistointipalvelu toimii teknisesti siten, että potilastietoja ei sen kautta voida luovuttaa lain vastaisesti sekä siitä, että luovutuksesta tallentuu lokitieto luovutuslokirekisteriin. Kansaneläkelaitoksella ei ole oikeutta määrätä arkistointipalveluun kuuluvista potilastiedoista eikä luovuttaa niitä, ellei tässä laissa toisin säädetä. Potilastietoja ei saa muutoinkaan käsitellä laajemmin kuin mitä ylläpitoon kuuluvat tehtävät välttämättä edellyttävät. Arkistointipalvelu on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti.

Kansaneläkelaitos voi laatia ja luovuttaa arkistointipalvelussa olevien asiakirjojen kuvailutiedoista yhteenvetoja, joilla voi olla merkitystä valtakunnallisten tietojärjestelmäpalvelujen kehittämisessä, seurannassa tai raportoinnissa. Lisäksi Kansaneläkelaitos voi luovuttaa potilaan tiedonhallintapalvelussa olevia 14 a §:n 2 momentin mukaisia tietoja potilaan tahdonilmaisuista potilaslain 13 §:n 2–5 momentissa säädetyillä perusteilla. (28.3.2014/250)

Valtakunnallisiin tietojärjestelmäpalveluihin liittyneen terveydenhuollon palvelujen antajan on annettava tiedot potilaalle valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista ja niihin liittyvistä potilaan oikeuksista. Tiedot tulee antaa ennen ensimmäistä palvelutapahtumaa tai sen yhteydessä. Lisäksi potilaalle tulee antaa tiedot tietojärjestelmäpalvelujen järjestäjästä, potilastietojen luovutuksen edellytyksistä, tietojen suojaamisesta sekä muista potilaan kannalta merkityksellisistä tietojen käsittelyyn liittyvistä seikoista.

Terveydenhuollon palvelujen antajan tulee antaa tiedot potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tiedot voidaan antaa myös potilaan yksilöivän sähköisen palvelun välityksellä. Jos tiedot annetaan muulla tavalla kuin kirjallisesti, on potilaalla oltava mahdollisuus saada tiedot myös kirjallisena. Annetuista tiedoista tulee tehdä merkintä edellä 14 a §:ssä todettuun potilaan tiedonhallintapalveluun. Jos potilas on jo saanut edellä tarkoitetut tiedot, voidaan tiedonantovelvollisuudesta poikkeamiseen soveltaa, mitä henkilötietolain 24 §:ssä säädetään.

Tietojen antamisen menettelytavoista ja sisällöstä voidaan tarvittaessa antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella.

Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta säädetään henkilötietolain 26–28 §:ssä.

Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tieto 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennettujen ja sen kautta näytettävien tietojen luovuttamisesta. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.

Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja tai Kansaneläkelaitos voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoitetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.

Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tai Kansaneläkelaitoksen tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.

Potilaalle annetaan kansalaisen käyttöliittymän avulla valtakunnalliseen arkistointipalveluun hänestä tallennetut seuraavat tiedot:

Potilaalle voidaan antaa kansalaisen käyttöliittymän avulla myös ajanvaraustiedot sekä laboratoriotulokset, kuvantamistulokset ja muut vastaavat tutkimustulokset. Käyttöliittymään voidaan 1 momentissa mainittujen toimintojen lisäksi liittää muita potilaan tiedonsaantia sekä hoidon ja terveydenhuoltoon muutoin liittyvien tehtävien toteuttamista ja seuraamista mahdollistavia toimintoja.

Sen estämättä, mitä 1 ja 2 momentissa säädetään, käyttöliittymä on toteutettava siten, ettei potilaalla ole pääsyä niihin tietoihin, joiden luovuttamisesta voi terveydenhuollon ammattihenkilön harkinnan mukaan aiheutua vakavaa vaaraa potilaan terveydelle tai hoidolle taikka jonkun muun oikeuksille.

Käyttöliittymä tulee toteuttaa siten, että potilas voi antaa 11 §:ssä tarkoitetun suostumuksen ja tehdä 12 §:ssä tarkoitetun kiellon sekä tehdä elinluovutuskiellon, hoitotahdon ja muun terveyden- ja sairaanhoitoa koskevan tahdonilmaisun käyttöliittymän välityksellä. Lisäksi käyttöliittymää toteutettaessa tulee varmistaa, että potilaan yksityisyyden suoja ei vaarannu. Alaikäisen potilaan tiedot saa luovuttaa käyttöliittymän kautta potilaan lisäksi hänen huoltajalleen tai muulle lailliselle edustajalleen. Tietojen luovutuksessa on tällöin otettava huomioon, mitä potilaan asemasta ja oikeuksista annetun lain 9 §:n 2 momentissa säädetään alaikäisen potilaan oikeudesta kieltää terveydentilaansa koskevien tietojen antaminen potilaan huoltajalle tai muulle lailliselle edustajalle. Tietojen saanti käyttöliittymän avulla ei vaikuta potilaan henkilötietolain mukaiseen tarkastusoikeuteen.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä tiedonsaantia, hoidon toteuttamista ja seurantaa koskevien tietojen sisällöstä ja niiden liittämisestä käyttöliittymään sekä siitä, miten tiedot annetaan käyttöliittymän kautta ja miten alaikäisen potilaan huoltajan tai laillisen edustajan oikeus saada tietoja toteutetaan.

Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.

Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Ennen määräyksen antamista Terveyden ja hyvinvoinnin laitoksen on kuultava sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa tarkoitettuihin terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jäljempänä Kanta-palvelut , liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.

Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat Kansaeläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta. Luokkaan A kuuluu myös 3 §:n 6 kohdassa tarkoitettu välityspalvelu. Muut tietojärjestelmät kuuluvat luokkaan B.

Jos on epäselvää, mihin luokkaan tietojärjestelmä kuuluu, Terveyden ja hyvinvoinnin laitos päättää kumpaan luokkaan tietojärjestelmä kuuluu.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietojärjestelmien luokkien määräytymisestä.

Valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta, valmistuksesta ja luokittelusta riippumatta siitä, suorittaako valmistaja nämä toimet itse vai tekeekö joku muu ne hänen lukuunsa.

Valmistajan on annettava tietojärjestelmän yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta. Tietojärjestelmän mukana olevien tietojen ja ohjeiden on oltava suomen, ruotsin tai englannin kielellä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on kuitenkin oltava suomen ja ruotsin kielellä.

Lisäksi valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen.

Luokkaan A kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmän valmistajan antamalla selvityksellä siitä, että järjestelmä täyttää kaikki toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteistestauksella ja tietoturvallisuuden arviointilaitoksen antamalla vaatimustenmukaisuustodistuksella.

Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava valmistajan antamalla kirjallisella selvityksellä siitä, että järjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käyttötarkoituksensa mukaan käytettynä täyttää 19 a §:ssä säädetyt olennaiset vaatimukset.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä.

Luokkaan A kuuluvan tietojärjestelmän on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteistestauksessa. Yhteistestauksen toteuttamisen edellytyksenä on, että tietojärjestelmän valmistaja antaa Kansaneläkelaitokselle selvityksen siitä, miten tietojärjestelmän toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteistestauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.

Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteistestaukseen. Yhteistestaukseen osallistuvien tietojärjestelmien valmistajat vastaavat itse testauksen niille aiheuttamista kustannuksista.

Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille keskitetyille tietojärjestelmille ei suoriteta erillistä yhteistestausta.

Luokkaan A kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön ja liittää Kanta-palveluihin, kun tietoturvallisuuden arviointilaitos on antanut sitä koskevan vaatimustenmukaisuustodistuksen. Luokkaan B kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön sen jälkeen, kun järjestelmän valmistaja on antanut 19 d §:ssä tarkoitetun kirjallisen selvityksen.

Valmistajan on ilmoitettava tuotantokäyttöön otettavasta tietojärjestelmästä Sosiaali- ja terveysalan lupa ja valvontavirastolle. Ilmoituksessa on oltava tieto tietojärjestelmän valmistajasta ja käyttötarkoituksesta. Lisäksi valmistajan on ilmoitettava tietojärjestelmän tuotantokäytön päättymisestä. Lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä.

Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa tarkempia määräyksiä ilmoituksen sisällöstä ja rekisteriin merkittävistä tiedoista.

Valmistajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelujen antajille. Lisäksi luokkaan A kuuluvien tietojärjestelmien merkittävistä poikkeamista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietojärjestelmän valmistajan on lisäksi seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tehtävä tietojärjestelmiin muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Vaatimustenmukaisuustodistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia vaatimuksia on muutettu.

Valmistajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellyttämät tiedot vähintään viiden vuoden ajan tietojärjestelmän tuotantokäytön päättymisestä.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:

Jos palvelujen antaja on liittynyt Kanta-palvelujen käyttäjäksi, on omavalvontasuunnitelmassa selvitettävä myös, miten näiden valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu. Lisäksi 3 §:n 6 kohdassa tarkoitetun välityspalvelun tuottajan on laadittava omavalvontasuunnitelma välityspalvelusta ja Kansaneläkelaitoksen on laadittava suunnitelma ylläpitämistään Kanta-palveluista.

Palvelujen antajan, välityspalvelun tuottajan ja Kansaneläkelaitoksen on seurattava omavalvontasuunnitelman toteutumista.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista.

Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietoturvallisuuden arviointilaitoksen hyväksymiseen ja toimintaan sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.

Luokkaan A kuuluvan sosiaali- ja terveydenhuollon tietojärjestelmän vaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Vaatimustenmukaisuuden arviointi tehdään tietojärjestelmän valmistajan hakemuksesta.

Jos luokkaan A kuuluva tietojärjestelmä täyttää vaatimustenmukaisuusedellytykset ja Kansaneläkelaitos on antanut yhteistestaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan vaatimustenmukaisuuden arvioinnista valmistajalle vaatimustenmukaisuustodistus sekä siihen liittyvä tarkastusraportti. Vaatimustenmukaisuustodistus on voimassa enintään viisi vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään viideksi vuodeksi kerrallaan. Tietoturvallisuuden arviointilaitos voi vaatia valmistajalta kaikki arvioinnin edellyttämät tiedot vaatimustenmukaisuustodistuksen laatimiseksi ja ylläpitämiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään.

Tietoturvallisuuden arviointilaitoksen on tarvittaessa, kotirauha huomioon ottaen, suoritettava tarkastuksia ja arviointeja varmistaakseen, että valmistaja ylläpitää kehitystyössään tietojärjestelmän vaatimustenmukaisuuden varmistavia menettelyjä, sekä annettava valmistajalle arviointikertomus. Tietoturvallisuuden arviointilaitoksen on otettava huomioon tietojärjestelmän tuotannon aikana suoritetuista arviointi- ja tarkastustoimista saadut tulokset.

Jos tietoturvallisuuden arviointilaitos toteaa, ettei tietojärjestelmä ole täyttänyt tai enää täytä tässä laissa tai sen nojalla säädettyjä vaatimuksia tai että vaatimustenmukaisuustodistusta ei muutoin olisi tullut myöntää, laitoksen on kehotettava tietojärjestelmän valmistajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei valmistaja korjaa puutteellisuuksia arviointilaitoksen asettamassa määräajassa. Määräajan pituutta määritettäessä on otettava huomioon tietojärjestelmän korjaamiseksi tarvittava kohtuullinen aika.

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja Kansaneläkelaitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä vaatimustenmukaisuustodistuksista. Lisäksi tietotuvallisuuden arviointilaitoksen on pyydettäessä annettava lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.

Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tietohallinnon yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tietohallintohankkeiden kokonaisrahoituksesta kuuluvat sosiaali- ja terveysministeriölle. Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. (29.11.2019/1197)

Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. (21.12.2010/1227)

Tietosuojavaltuutettu, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Sosiaalihuollon ja terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston ja Digi- ja väestötietoviraston on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Jos joku on lainvastaisesti käsitellyt asiakastietoja, tulee asianomaisen palvelujen antajan sekä Kansaneläkelaitoksen oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin. Seurannan ja valvonnan toteuttamiseksi palvelujen antajalla on oikeus saada Kansaneläkelaitokselta omien potilasrekisteriensä lokitiedot sekä 14 a §:ssä tarkoitetussa potilaan tiedonhallintapalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot siltä osin kuin asianomaisen palvelujen antajan henkilökunta on katsellut ja käsitellyt potilaan tiedonhallintapalvelussa olevia tietoja. (29.11.2019/1197)

Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta. Lisäksi jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. (28.3.2014/250)

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:n 1 momentissa säädetään tarkastuksen toteuttamisesta.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston tulee säilyttää tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen suorittamisesta lukien.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys.

Ulkopuoliset asiantuntijat eivät saa luvatta ilmaista, mitä he asemansa, tehtävänsä tai työnsä vuoksi ovat saaneet tietää toisen terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistuvista sosiaali- ja terveydenhuollon toimenpiteistä tai muista vastaavista seikoista. Vaitiolovelvollisuus säilyy tehtävän päättymisen jälkeen. Ulkopuoliseen asiantuntijaan sovelletaan virkamiehen esteellisyyttä koskevia hallintolain säännöksiä sekä rikosoikeudellista virkavastuuta hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä.

Poliisin antamasta virka-avusta säädetään poliisilaissa (872/2011) .

Jos sosiaali- tai terveydenhuollon tietojärjestelmän valmistaja, sosiaalihuollon tai terveydenhuollon palvelujen antaja, välityspalvelun tuottaja taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi antaessaan 20 d §:n nojalla tietojärjestelmää koskevan päätöksen samalla määrätä valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet.

Jos tietojärjestelmä voi vaarantaa tietosuojan taikka asiakas- tai potilasturvallisuuden, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, voi lupa- ja valvontavirasto kieltää tietojärjestelmän käytön, kunnes turvallisuuden vaarantava ominaisuus on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjäorganisaatio vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa valmistajan tai valtuutetun edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta päätöksestä lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän luvun nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990) .

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta tai oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa hakea muutosta hallinto-oikeudelta siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla korkeimpaan hallinto-oikeuteen, jos korkein hallinto-oikeus myöntää valitusluvan.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen ei saa hakea muutosta valittamalla. Päätökseen saa hakea oikaisua lupa- ja valvontavirastolta 30 päivän kuluessa tarkastuksen päättymisestä. Päätökseen on liitettävä ohjeet oikaisuvaatimuksen saattamiseksi lupa- ja valvontaviraston ratkaistavaksi. Päätöksen mukaisiin toimenpiteisiin on ryhdyttävä oikaisuvaatimuksesta huolimatta. Sosiaali- ja terveysalan lupa- ja valvontaviraston oikaisuvaatimuksen johdosta antamaan päätökseen saa hakea muutosta valittamalla siten kuin 1 momentissa säädetään.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.

Sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa koskevien periaatekysymysten käsittelyä, 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen toteutusta sekä palvelujen käyttäjien tietojärjestelmien yhtenäistämistä ja kehittämistä varten on sosiaali- ja terveysministeriön yhteydessä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunta. Neuvottelukunnan tehtävistä ja kokoonpanosta säädetään tarkemmin valtioneuvoston asetuksella.

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelujen antajille maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla. (29.11.2019/1197)

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista. (29.11.2019/1197)

Tietojärjestelmän valmistaja vastaa vaatimustenmukaisuuden osoittamisen aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 19 e §:ssä tarkoitetusta yhteistestauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle tämän lain 19 f §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

Joka tahallaan tai törkeästä huolimattomuudesta rikkoo 8 §:ssä säädettyä tunnistamis- tai todentamisvelvoitetta, luovuttaa hakutietoja 12 §:n, 15 §:n 2 momentin tai 25 §:n 3 momentin vastaisesti, luovuttaa potilastietoja ilman 13 §:ssä edellytettyä potilaan suostumusta tai luovutuksen oikeuttavaa lain säännöstä taikka laiminlyö 17 §:n 2 momentin mukaisen informointivelvoitteen ja siten vaarantaa asiakkaan yksityisyyden suojaa tai muutoin hänen oikeuksiaan, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon.

Rangaistus tietomurrosta säädetään rikoslain (39/1889) 38 luvun 8 §:ssä ja rangaistus henkilörekisteririkoksesta rikoslain 38 luvun 9 §:ssä . Rangaistus salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2007.

Edellä 24 §:ssä säädetystä poiketen 15 §, jossa säädetään velvollisuudesta liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, tulee voimaan 1 päivänä syyskuuta 2014. Yksityisiä terveydenhuollon palvelujen antajia koskeva velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi tulee kuitenkin voimaan 1 päivänä syyskuuta 2015. Jos terveydenhuollon palvelujen antaja on kuitenkin liittynyt tässä laissa tarkoitettujen tietojärjestelmäpalvelujen käyttäjäksi ennen 15 §:n voimaantuloa, koskevat tämän lain säännökset niitä terveydenhuollon palvelujen antajan asiakirjoja, jotka on liitetty mainittuihin tietojärjestelmäpalveluihin. Muutoin terveydenhuollon palvelujen antajien on noudatettava potilastietojen sähköistä käsittelyä koskevia säännöksiä 1 päivästä syyskuuta 2014 lukien. Lain 14 §:ssä tarkoitetut valtakunnalliset tietojärjestelmäpalvelut voidaan ottaa käyttöön vaiheittain jo ennen liittymisvelvollisuuden voimaantuloa. Tällöin näiden palvelujen avulla tapahtuvaan potilastietojen käsittelyyn sovelletaan tämän lain säännöksiä. Sosiaalihuollon palvelujen antajien on noudatettava sosiaalihuollon asiakastietojen sähköistä käsittelyä koskevia säännöksiä 1 päivästä syyskuuta 2014 lukien. (21.12.2010/1227)

Lain 22 §:ssä tarkoitettuja maksuja aletaan periä julkisilta terveydenhuollon palvelujen antajilta 1 päivästä tammikuuta 2014 lukien ja yksityisiltä terveydenhuollon palvelujen antajilta 1 päivästä tammikuuta 2015 lukien. Digi- ja väestötietovirasto voi kuitenkin periä 14 §:n mukaisesti tuottamistaan suoritteista palvelujen tuottamisesta aiheutuvia kustannuksia vastaavia maksuja Sosiaali- ja terveysalan lupa- ja valvontavirastolta siihen saakka kunnes terveydenhuollon palvelujen antajat ryhtyvät suorittamaan Digi- ja väestötietovirastolle 22 §:n mukaisia maksuja. (29.11.2019/1197)

Sosiaali- ja terveydenhuollon saumattoman palveluketjun kokeilusta annetun lain (811/2000) mukaisesti toteutettuihin viitetietojärjestelmiin tallennetut tiedot voidaan liittää valtakunnalliseen arkistointipalveluun ilman potilaan suostumusta. Arkistointipalveluun liitettyjen viitetietojen ja niiden avulla tapahtuva potilastietojen luovutus tapahtuu tämän lain mukaisesti hakutietojen avulla. Näitä hakutietoja ei kuitenkaan saa luovuttaa ilman potilaan kirjallista suostumusta.

Sosiaali- ja terveysalan lupa- ja valvontaviraston varmennejärjestelmä toimii Väestörekisterikeskuksen tämän lain 14 §:n ja sähköisestä lääkemääräyksestä annetun lain (61/2007) 7 §:n nojalla terveydenhuoltoa ja sähköistä lääkemääräystä varten tuottamien varmennepalvelujen varajärjestelmänä enintään 30 päivään kesäkuuta 2012. Sosiaali- ja terveysalan lupa- ja valvontavirasto vastaa tästä varajärjestelmästä varmentajana siten kuin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa säädetään. (19.11.2010/981)

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.