703/2023

Tämän lain tarkoituksena on yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveydenhuollossa sekä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa.

Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679, jäljempänä tietosuoja-asetus , täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä.

Sähköisen lääkemääräyksen ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen käsittelystä säädetään tämän lain lisäksi sähköisestä lääkemääräyksestä annetussa laissa (61/2007), jäljempänä lääkemääräyslaki .

Tällä lailla pannaan sosiaali- ja terveydenhuollossa täytäntöön toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148.

Tässä laissa tarkoitetaan:

Sosiaali- ja terveydenhuollon asiakastiedot ovat pysyvästi salassa pidettäviä.

Salassa pidettävää asiakastietoa sisältävää asiakirjaa taikka sen kopiota tai tulostetta ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi. Sivullisella tarkoitetaan tässä laissa terveydenhuollossa muita kuin asianomaisen palvelunantajan tai apteekin palveluksessa, lukuun tai sen toimeksiannosta potilaan terveyspalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä ja sosiaalihuollossa muita kuin asianomaisen palvelunantajan palveluksessa, lukuun tai sen toimeksiannosta sosiaalihuollon asiakkaan sosiaalipalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä.

Terveydenhuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja salassapitosäännösten estämättä. Sosiaalihuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia sosiaalihuollon toteuttamisen kannalta välttämättömiä asiakastietoja salassapitosäännösten estämättä.

Palvelunantaja ja apteekkari sekä niiden palveluksessa tai harjoittelijana oleva tai muu palvelunantajan ja apteekkarin toimeksiannosta tai sen lukuun toimiva taho samoin kuin sosiaalihuollon luottamustehtävää hoitava tai asiakastietoja palvelunantajalta tai apteekilta saanut taho ovat saamiensa asiakastietojen ja muiden asiakasta koskevien henkilökohtaisten tietojen osalta vaitiolovelvollisia. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde tai tehtävä on päättynyt.

Edellä 1 momentissa tarkoitettu henkilö ei saa oikeudettomasti ilmaista sivulliselle saamiaan tietoja eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Asiakas, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asiakkuuden perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asiakasta itseään eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi. Asiakas, hänen edustajansa tai avustajansa saa kuitenkin käyttää muitakin kuin häntä itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asiakkaan tiedonsaantioikeus on perustunut.

Vaitiolovelvollisuudesta ja salassapidosta saa poiketa asiakkaan suostumuksella tai jos siitä on tässä tai muussa laissa säädetty.

Palvelunantajan vastaavan johtajan ja apteekkarin on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä.

Asiakastietojen käsittelyssä asiakas, palvelunantaja, apteekki, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava luotettavasti.

Palvelunantajan, apteekin, Kansaneläkelaitoksen sekä tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan ja välittäjän on tarkistettava asiakastietoja käsittelevien henkilöiden sekä tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo noudattaen, mitä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009), jäljempänä tunnistus- ja luottamuspalvelulaki , 25 §:n 4–6 momentissa säädetään.

Oikeuden käyttää asiakastietoja on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on oikeus käyttää vain työtehtävissään tarvitsemiansa välttämättömiä asiakastietoja. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä.

Sosiaali- ja terveysministeriön asetuksella säädetään, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää.

Palvelunantajan ja apteekin on määriteltävä, mitä välttämättömiä asiakastietoja sosiaali- ja terveydenhuollon ammattihenkilöllä ja muulla asiakastietoja käsittelevällä henkilöllä on oikeus käyttää. Palvelunantajan ja apteekin on pidettävä rekisteriä asiakastietojen käsittelyssä käytettävien tietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden oikeuksista käyttää asiakastietoja.

Palvelunantajan on kerättävä lokitiedot rekisterikohtaisesti kaikesta asiakastietojen ja hyvinvointitietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. Apteekin on kerättävä käyttölokitiedot lääkemääräysten ja muiden lääkemääräyslain 3 §:n 1 momentin 4 kohdassa tarkoitettuun reseptikeskukseen tallennettujen lääkehoitoa koskevien merkintöjen käsittelystä.

Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjän nimestä ja yksilöivästä tunnisteesta, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytönvalvontaa ja seurantaa varten tarvittavista tiedoista. Reseptikeskusta koskeviin lokitietoihin on tallennettava tiedot siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tai muun reseptikeskukseen tallennetun lääkehoitoa koskevan merkinnän tietoja sekä toimenpiteen ajankohta.

Luovutuslokirekisteriin on tallennettava kuvaus luovutetuista asiakastiedoista sekä tieto siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, luovutuksen saajasta, luovutusajankohdasta, käyttötarkoituksesta, johon tiedot on luovutettu sekä luovutuksen perusteena oleva säännös taikka luovutuslupaa tai suostumusta koskevat tiedot sekä muut luovutusten valvontaa ja seurantaa varten tarvittavat tiedot.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.

Asiakkaalla on oikeus saada asiakastietojensa ja hyvinvointitietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta, Kansaneläkelaitokselta tai apteekilta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.

Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja, Kansaneläkelaitos tai apteekki voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 74 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua.

Jos palvelunantaja, Kansaneläkelaitos tai apteekki katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.

Jos asiakas katsoo, että hänen asiakastietojaan tai hyvinvointitietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan, Kansaneläkelaitoksen tai apteekin on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja, Kansaneläkelaitos tai apteekki arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.

Palvelunantaja saa kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, jos tietojen käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.

Julkisessa sosiaali- ja terveydenhuollossa palvelun järjestämisestä vastaava palvelunantaja on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Yksityisessä sosiaali- ja terveydenhuollossa asiakastietojen rekisterinpitäjä on se palvelunantaja, jonka kanssa asiakas on tehnyt sopimuksen palvelun toteuttamisesta.

Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon.

Kun palveluntuottaja antaa sosiaali- tai terveyspalveluja toisen palvelunantajan lukuun, vastaa palveluntuottaja:

Palvelunantajan ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista.

Jos palvelunantajan järjestämä sosiaali- tai terveyspalvelu siirretään toisen palvelunantajan vastuulle, on palvelunantajan rekisterinpidossa olevat asiakasasiakirjat siirrettävä palvelua jatkavan palvelunantajan rekisterinpitoon. Julkisessa sosiaali- ja terveydenhuollossa palvelua jatkavan palvelunantajan rekisterinpitoon siirretään asiakasasiakirjat niistä palveluyksiköistä, jotka siirtyvät sen vastuulle.

Jos työnantaja vaihtaa työterveyshuollon palvelunantajaa, potilasasiakirjat jäävät aiemman palvelunantajan rekisterinpitoon.

Kun palvelunantajan toiminta on päättynyt, on palvelunantajan rekisterinpidossa olevat asiakasasiakirjat, lokitiedot ja biologinen näytemateriaali siirrettävä sen hyvinvointialueen tai Helsingin kaupungin rekisterinpitoon, jonka alueella palvelunantajan kotipaikka on sijainnut. Toiminnan päätyttyä palvelunantajan on huolehdittava asiakirjojen toimittamisesta Kansaneläkelaitoksen säilytettäväksi ilman aiheetonta viivytystä. Jos toiminta on päättynyt palvelunantajan kuoleman tai konkurssin takia, asiakirjojen toimittamisesta vastaa kuolinpesä tai konkurssipesä. Päättyneen toiminnan asiakirjat on pidettävä erillään rekisterinpitäjän omasta potilasrekisteristä ja sosiaalihuollon asiakasrekisteristä.

Jos palvelunantajat ovat sopineet tietosuoja-asetuksen mukaisesta yhteisrekisterinpitäjyydestä, voi yhteyspisteenä toimiva palvelunantaja toimia rekisterinpitäjänä toimintansa päättäneen palvelunantajan asiakastiedoille.

Kukin hyvinvointialue tai Helsingin kaupunki ja Kansaneläkelaitos ovat yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. Kukin hyvinvointialue tai Helsingin kaupunki vastaa muista tietosuoja-asetuksen mukaisista rekisterinpitäjän vastuista.

Sähköiset asiakirjat voidaan tallentaa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen valtakunnalliseen asiakastietovarantoon.

Sosiaali- ja terveydenhuollon ammattihenkilön ja palvelun antamiseen osallistuvan avustavan henkilön tulee kirjata asiakasasiakirjoihin asiakkaan palvelun ja potilaan hoidon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan turvaamiseksi tarpeelliset ja riittävät tiedot.

Palvelunantajan potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan potilasrekisteriin ja sosiaalihuollon asiakasasiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin.

Työterveyshuollon potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan työterveyshuollon potilasrekisteriin työnantajittain.

Asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä.

Kielellisistä oikeuksista viranomaisen järjestämässä sosiaali- ja terveydenhuollossa säädetään kielilaissa (423/2003) ja saamen kielilaissa (1086/2003).

Asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttöoikeuksien kohdistaminen, käyttö, luovuttaminen, säilyttäminen ja suojaaminen sekä hyödyntäminen. Tietorakenteiden tulee mahdollistaa asiakastietojen hyödyntäminen myös toissijaisissa käyttötarkoituksissa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen sekä palvelunantajien muiden tietojärjestelmien avulla.

Terveyden ja hyvinvoinnin laitos antaa määräykset asiakasasiakirjojen tietorakenteista ja tietosisällöistä sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista.

Asiakasasiakirja tulee laatia ja tallentaa 65 §:n mukaisiin valtakunnallisiin tietojärjestelmäpalveluihin viivytyksettä, kun asiakirja on valmistunut.

Lähetteet tulee laatia ja toimittaa jatkohoitopaikkaan viivytyksettä. Yhteenveto potilaalle annetusta hoidosta jatkohoito-ohjeineen tulee toimittaa viivytyksettä potilaalle sekä jatkohoitopaikkaan tai muuhun paikkaan, josta on potilaan kanssa sovittu. Yhteenveto tulee myös kiireettömässä tapauksessa lähettää viivytyksettä.

Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava asiakastietojen käsittelyssä, tiedonsiirrossa ja säilytyksessä.

Sosiaali- ja terveydenhuollon ammattihenkilön allekirjoitus todistuksissa, lausunnoissa ja muissa allekirjoitusta edellyttävissä asiakirjoissa voi olla omakätinen tai sähköinen allekirjoitus. Sähköisellä allekirjoituksella tai sähköisellä leimalla on varmistettava valtakunnallisiin tietojärjestelmäpalveluihin tallennettavat asiakirjat. Lääkemääräysten allekirjoittamisesta säädetään lääkemääräyslain 7 §:ssä.

Luonnollisen henkilön sähköisessä allekirjoituksessa on käytettävä vähintään kehittynyttä sähköistä allekirjoitusta ja organisaatioiden ja tietoteknisten laitteiden on käytettävä luotettavuudeltaan vastaavaa sähköistä leimaa, joista säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014.

Alkuperäisiä asiakasasiakirjoja sekä potilaan tutkimuksessa ja hoidossa syntyviä biologista materiaalia sisältäviä näytteitä ja elinmalleja on säilytettävä liitteessä tarkoitettu aika. Perinnöllisyyslääketieteen ja harvinaisten sairauksien kannalta lääketieteellisesti merkittävät asiakirjat säilytetään pysyvästi ja näytteet ja elinmallit voidaan säilyttää pysyvästi, kuitenkin niin että säilyttämistarvetta on arvioitava viiden vuoden välein. Säilyttämisestä vastaa rekisterinpitäjä. Valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen säilyttämisestä vastaa kuitenkin Kansaneläkelaitos.

Arkistoinnista säädetään arkistolaissa (831/1994).

Kun asiakasasiakirjojen säilytysaika on päättynyt eikä asiakirjaa ole määrätty arkistoitavaksi, on palvelunantajan huolehdittava siitä, että sen rekisterinpidossa olevat asiakasasiakirjat ja muu materiaali tuhotaan välittömästi ja siten, että sivulliset eivät saa niistä tietoa.

Kansaneläkelaitoksen on huolehdittava valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen tuhoamisesta. Palvelunantajan toiminnan päättymisen jälkeen asiakirjojen säilyttämisestä vastaavan tahon on huolehdittava sen säilytettävänä olevien asiakasasiakirjojen tuhoamisesta.

Potilasasiakirjoihin saavat tehdä merkintöjä potilaan terveyspalvelujen järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon ammattihenkilöt ja palvelunantajan vastaavan johtajan 7 §:ssä tarkoitettujen ohjeiden mukaisesti myös muut henkilöt siltä osin kuin he osallistuvat terveyspalvelun järjestämiseen ja toteuttamiseen. Lääkemääräyksen laatimisesta säädetään lääkemääräyslain 5 §:ssä. Potilaan terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon opiskelijat saavat tehdä merkintöjä toimiessaan laillistetun ammattihenkilön tehtävässä terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 2 §:n 3 momentin mukaisesti. Muutoin terveydenhuollon opiskelijan tekemät merkinnät hyväksyy hänen esimiehensä tai ohjaajansa taikka muu hyväksymiseen valtuutettu henkilö.

Terveydenhuollon ammattihenkilö vastaa sanelunsa perusteella tehdyistä potilasasiakirjamerkinnöistä.

Potilasasiakirjamerkinnät voivat lisäksi koostua terveydenhuollon lääkinnällisten laitteiden, ohjelmistojen ja robottien tuottamista hoidon kannalta tarpeellisista merkinnöistä.

Potilasasiakirjoihin kuuluvat ammattihenkilöiden palvelutapahtumista kirjaamat merkinnät, lääkemääräykset ja muut reseptikeskukseen tallennettavat lääkehoitoa koskevat merkinnät, diagnostiikkaan liittyvät tallenteet ja niihin liittyvät lausunnot ja muut potilaan terveyspalvelujen toteuttamiseen liittyvät kuva-, ääni- ja videotallenteet, potilaan terveyspalveluiden järjestämiseen liittyvät asiakirjat sekä terveydenhuoltoon muualta saapuneet asiakirjat.

Perinnöllisyyslääketieteen ja psykiatrian potilasasiakirjamerkinnät ja vastaaviin erityistä luottamuksellisuutta edellyttäviin palveluihin liittyvät potilasasiakirjamerkinnät tulee suojata erillisellä vahvistuspyynnöllä tai vastaavalla menettelyllä muiden kuin kyseisten erikoisalojen tai palveluiden palvelutapahtumissa. Suojausvaatimus ei kuitenkaan koske näihin tietoihin mahdollisesti sisältyviä lääkitystietoja ja riskitietoja. Sosiaali- ja terveysministeriön asetuksella säädetään tarkemmin, mitkä potilasasiakirjamerkinnät ovat erityissuojattavia.

Valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien potilasasiakirjojen tulee muodostaa ehyt asiakirjakokonaisuus yksilöityjen palvelutapahtumatunnusten avulla.

Potilasasiakirjoista tulee aina käydä ilmi:

Potilasasiakirjoista tulee ilmetä myös seuraavat tiedot, jos tieto on tarpeen potilaan hoidon tai palvelun järjestämisen tai toteuttamisen taikka potilaan huollossa olevan alaikäisen lapsen tai potilaan omaishoidettavana olevan aseman kannalta:

Jos 1 momentin 3 kohdassa tarkoitetun merkinnän tekninen kirjaaja on eri kuin merkinnän sisällöstä vastaava merkinnän tekijä, potilasasiakirjasta tulee ilmetä myös merkinnän teknisen kirjaajan tiedot. Merkinnästä tulee ilmetä tietojen lähde, jos tieto ei perustu ammattihenkilön omiin havaintoihin tai jos potilasasiakirjoihin merkitään muita kuin potilasta itseään koskevia tietoja.

Potilasasiakirjoihin on kirjattava jokaisesta palvelutapahtumasta potilasasiakirjamerkinnät. Merkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi potilaan terveydentilaa, annettua palvelua ja sairauden ja hoidon kulkua koskevat tiedot sekä taudinmäärityksen, valitun hoidon ja tehtyjen hoitoratkaisujen perusteet. Lääkemääräyksistä on kirjattava lääkemääräyslain 6 §:n mukaiset tiedot sekä valitun lääkehoidon perustelut siltä osin kuin tieto ei sisälly lääkemääräykseen.

Hoidon ja palvelun toteuttamiseen osallistuneet ammattihenkilöt ja muut henkilöt on kyettävä selvittämään.

Annetuista lääkärinlausunnoista ja todistuksista tulee tehdä merkinnät niiden antamisajankohdan mukaisesti.

Jos potilaan hoidon kannalta on välttämätöntä kirjata toisen henkilön itsestään kertomia tai muita muun henkilön yksityiskohtaisia arkaluonteisia tietoja, nämä tiedot kirjataan potilaan palvelutapahtuman asiakirjoihin kuuluvaan erilliseen asiakirjaan.

Potilasasiakirjamerkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi tulosyy, esitiedot, nykytila, havainnot, tutkimustulokset, ongelmat, taudinmääritys tai terveysriski, johtopäätökset, hoidon suunnittelu, toteutus ja seuranta, sairauden kulku sekä loppulausunto. Merkinnöistä tulee käydä ilmi, miten hoito on toteutettu, onko hoidon aikana ilmennyt jotakin erityistä ja millaisia hoitoa koskevia ratkaisuja sen kuluessa on tehty.

Potilaalle suoritetusta leikkauksesta ja muusta toimenpiteestä tulee laatia leikkaus- tai toimenpidekertomus, joka sisältää riittävän yksityiskohtaisen kuvauksen toimenpiteen suorittamisesta ja sen aikana tehdyistä havainnoista. Kertomuksessa tulee esittää perustelut toimenpiteen aikana tehdyille ratkaisuille.

Tiedot potilaaseen pysyvästi asetetuista proteeseista, implanteista, hampaiden täytemateriaaleista ja muista materiaaleista tulee merkitä potilasasiakirjoihin sellaisella tarkkuudella, että ne ovat myöhemmin tunnistettavissa.

Jos potilaan itsemääräämisoikeutta rajoitetaan mielenterveyslain (1116/1990), päihdehuoltolain (41/1986), tartuntatautilain (1227/2016) tai muun lain nojalla, siitä tulee tehdä merkintä, josta käy ilmi toimenpiteen syy, luonne ja kesto sekä arvio sen vaikutuksesta potilaan hoitoon samoin kuin toimenpiteen määränneen lääkärin ja suorittajien nimet.

Potilasasiakirjoihin tulee tehdä merkinnät tiedossa olevasta potilaan lääkeaineallergiasta, materiaaliallergiasta, yliherkkyydestä sekä muista vastaavista hoidossa huomioon otettavista seikoista.

Työntekijälle työstä aiheutuvia terveysvaaroja koskevat tiedot tulee merkitä tai liittää häntä koskeviin työterveyshuollon potilasasiakirjoihin.

Potilaskertomukseen tulee merkitä tiedot todetuista tutkimus- ja hoitotoimenpiteiden haitallisista vaikutuksista ja hoidon tehottomuudesta.

Epäillyistä potilas-, laite- ja lääkevahingoista tulee tehdä potilaskertomukseen yksityiskohtaiset merkinnät, joista käy ilmi kuvaus vahingosta, selvitys hoidossa mukana olleista terveydenhuollon ammattihenkilöistä sekä laite- ja lääkevahinkojen osalta kuvaus vahingon epäillystä syystä. Lääkkeiden ja laitteiden tunnistetiedot tulee merkitä yksilöidysti. Merkinnät tulee tehdä välittömästi sen jälkeen, kun vahinkoepäily on syntynyt.

Hoitovastuussa olevan terveydenhuollon ammattihenkilön tulee tehdä potilasasiakirjoihin merkinnät potilaan taudinmäärityksen tai hoidon kannalta merkittävästä puhelinneuvottelusta sekä muusta vastaavasta konsultaatiosta ja hoitoneuvottelusta. Merkinnöistä tulee käydä ilmi konsultaation tai neuvottelun ajankohta, asian käsittelyyn osallistuneet sekä tehdyt hoitoratkaisut ja niiden toteuttaminen.

Jos konsultaatio tapahtuu siten, että potilas voidaan tunnistaa, myös konsultaation antajan tulee 1 momentissa tarkoitetuissa tilanteissa tehdä potilasasiakirjoihin merkinnät antamastaan konsultaatiovastauksesta tai hänelle tulee muutoin jäädä antamansa vastauksen tiedot.

Osastohoidossa ja pitkäaikaisen hoidon piirissä olevasta potilaasta tulee tehdä potilaan hoidon kannalta riittävän usein merkinnät hänen tilansa muutoksista, hänelle tehdyistä tutkimuksista ja hänelle annetusta hoidosta. Päivittäin on tehtävä merkinnät potilaan tilaan liittyvistä huomioista, hoitotoimista ja vastaavista seikoista.

Lääkärin tulee tehdä sairaalahoidossa olevan pitkäaikaispotilaan potilasasiakirjoihin vähintään kolmen kuukauden välein seurantayhteenveto riippumatta siitä, onko potilaan tilassa tapahtunut olennaisia muutoksia.

Jokaisesta hoitojaksosta on laadittava loppulausunto, kun hoitojakson loputtua hoito päättyy taikka hoitovastuu siirtyy, jollei tästä poikkeamiseen ole erityistä syytä.

Loppulausuntoon on sisällytettävä annettua hoitoa koskevien yhteenvetojen lisäksi selkeät ja yksityiskohtaiset ohjeet potilaan seurannan ja jatkohoidon toteuttamiseksi. Loppulausunnossa tulee lisäksi kuvata mahdolliset poikkeavuudet potilaan toimenpiteen jälkeisessä toipumisessa ja potilaan tila palvelutapahtuman päättyessä.

Kun alaikäinen henkilö on terveydenhuollon asiakkaana, on palvelutapahtumakohtaisesti kirjattava tieto siitä, onko alaikäinen ollut kykenevä itse päättämään hoidostaan potilaslain 7 §:n tarkoittamalla tavalla. Merkinnöistä tulee käydä ilmi myös, salliiko hoidostaan päättämään kykenevä alaikäinen potilas terveydentilaansa tai kyseistä hoitoa koskevien tietojen antamisen hänen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle vai onko hän 51 §:n 1 momentin mukaisesti kieltänyt tietojen antamisen.

Alle 12-vuotiaan lapsen ollessa asiakkaana tietojärjestelmä voi tuottaa oletusarvoisesti asiakirjoille tiedon, ettei lapsi ole ollut kykenevä päättämään hoidostaan. Terveydenhuollon ammattihenkilön on tarvittaessa muutettava tieto, jos lapsi on kykenevä päättämään hoidostaan.

Jos täysi-ikäistä potilasta hoidetaan potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tilanteissa yhteisymmärryksessä hänen itsensä sijasta hänen laillisen edustajansa, lähiomaisensa tai muun läheisensä kanssa, tästä tulee tehdä merkintä potilasasiakirjoihin.

Jos potilas potilaslain 4 §:n 1 momentissa tarkoitetussa tilanteessa joutuu odottamaan hoitoon pääsyä, potilasasiakirjoihin tulee tehdä merkinnät viivästyksen syystä, potilaalle ilmoitetusta hoitoonpääsyajasta ja siitä, että mainitut tiedot on ilmoitettu potilaalle. Potilasasiakirjoihin merkitään myös tieto potilaan ohjaamisesta muuhun hoitopaikkaan. Jos ilmoitettu hoitoonpääsyaika muuttuu, potilasasiakirjoihin merkitään tiedot uudesta ajankohdasta, muutoksen syystä ja siitä, että muutoksesta on ilmoitettu potilaalle.

Potilasasiakirjoihin tulee tehdä merkinnät potilaslain 5 §:n 1 momentissa tarkoitetun potilaan hoitoon liittyviä seikkoja koskevan selvityksen antamisesta. Jos selvitystä ei ole annettu, peruste siihen tulee merkitä potilasasiakirjoihin.

Jos potilas kieltäytyy tutkimuksesta tai hoidosta, kieltäytymisestä tulee tehdä merkintä potilasasiakirjoihin.

Jos potilas haluaa ilmaista hoitoa koskevan vakaan tahtonsa tulevaisuuden varalle, tästä tulee tallentaa tieto tahdonilmaisupalveluun sekä tarvittaessa tehdä vastaava merkintä potilasasiakirjoihin ja liittää potilasasiakirjoihin erillinen potilaan itsensä varmentama potilaan tahdon ilmaiseva asiakirja. Potilasasiakirjoihin tulee lisäksi tehdä merkinnät siitä, että potilaalle on annettu riittävä selvitys hänen tahtonsa noudattamisen vaikutuksista.

Velvollisuus kirjata sosiaalihuollon asiakastiedot alkaa, kun palvelunantaja on saanut tiedon henkilön palveluntarpeesta tai ryhtynyt toteuttamaan sosiaalipalvelua.

Kaikista sosiaalihuollon asiakasrekisteriin tallennettavista sosiaalihuollon asiakasasiakirjoista on käytävä ilmi, mihin sosiaalihuollon palvelutehtävään tai palvelutehtäviin se liittyy.

Toisen lukuun tuotetussa sosiaalihuollossa tai sosiaalipalveluissa tallennetuista sosiaalihuollon asiakasasiakirjoista on ilmettävä niiden käsittelyperuste, palvelunjärjestäjä ja palveluntuottaja. Alihankintatilanteissa sosiaalihuollon asiakastiedoista on ilmettävä hankintaketju kokonaisuudessaan.

Sosiaalihuollon asiakasasiakirjasta tulee aina käydä ilmi:

Sosiaalihuollon asiakasasiakirjoihin on kirjattava seuraavat tiedot:

Lisäksi sosiaalihuollon asiakasasiakirjoihin kirjataan seuraavat asianosaisia koskevat perustiedot, jos ne vaikuttavat asiakkaan palveluun:

Jos sosiaalihuollon asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tietojen vastaanottajan on voitava todentaa:

Jos alaikäinen sosiaalihuollon asiakas kieltää 51 §:n perusteella asiakastietojensa luovutuksen huoltajalle, muulle lailliselle edustajalle tai muulle tiedonsaantiin oikeutetulle henkilölle, on kielto ja sen perusteeksi esitetty painava syy kirjattava.

Jos alaikäisen oikeus kieltää asiakastietojensa luovutus evätään siksi, ettei alaikäinen asiakas ole esittänyt 1 momentissa tarkoitettua painavaa syytä kiellolle, tai siksi, että tietojen antamatta jättämisen katsotaan olevan selvästi vastoin alaikäisen asiakkaan omaa etua, on asiakasasiakirjaan kirjattava myös ratkaisun perustelut.

Asian vireilletuloa koskeviin sosiaalihuollon asiakasasiakirjoihin kirjataan:

Sen lisäksi, mitä sosiaalihuoltolain (1301/2014) 37 §:ssä ja 39  §:n 2 momentin 1–3 ja 5 kohdassa säädetään, asiakkaan palvelutarpeen arviointia koskeviin sosiaalihuollon asiakirjoihin kirjataan tarvittaessa asiakkaan laillisen edustajan, omaisen, läheisen tai muun henkilön käsitys asiakkaan tuen tarpeesta.

Suunnitelmaa koskevaan arvioon kirjataan lisäksi asiakkaan ja muiden suunnitelman toteuttamiseen osallistuneiden käsitys ja työntekijän arvio siitä, miten suunnitelmassa esitetyt tavoitteet ovat toteutuneet.

Sen lisäksi, mitä sosiaalihuoltolain 39 §:n 2  momentin 4 ja 6–9 kohdassa säädetään, asiakassuunnitelma-asiakirjaan kirjataan:

Asiakaskertomukseen kirjataan sekä asiakkaaseen tai asiakkuuteen liittyvät tapahtumat, joissa asiakkaan asiaa on käsitelty, asiakkaan saaman tuen tai palvelun ajankohta sekä tieto siitä, ketkä ovat osallistuneet asian käsittelyyn.

Tiedoista, jotka on kirjattava päätösasiakirjaan, säädetään hallintolain (434/2003) 44  §:n 1 momentissa sekä 45  §:n 1 momentissa.

Jos sosiaali- ja terveyspalvelua toteuttaa sosiaali- ja terveydenhuollon toimipisteessä sosiaali- ja terveydenhuollon henkilöstö yhdessä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arvio, asiakassuunnitelma ja kyseistä palvelua koskevat asiakaskertomusmerkinnät sekä muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi ja asiakassuunnitelma sekä muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin. Asiakaskertomus tallennetaan sosiaalihuollon asiakasrekisteriin. Potilasasiakirjamerkinnät tallennetaan potilasrekisteriin.

Jos sosiaali- ja terveyspalveluita antavat sosiaali- ja terveydenhuollon henkilöstö yhteistyössä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arviointi, asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi, asiakassuunnitelma ja muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin.

Sosiaali- ja terveydenhuollon ja muiden toimialojen monialaiseen yhteistyöhön osallistuvat henkilöt voivat salassapitosäännösten estämättä:

Edellä 1 momentissa tarkoitettuja asiakastietoja koskeviin salassapitovelvoitteisiin sovelletaan, mitä 4 §:n 1 momentissa ja tietosuojalain 35 §:ssä säädetään, riippumatta siitä, minkä organisaation asiakirjoihin ne sisältyvät. Asiakastietoja ei saa käyttää eikä luovuttaa muihin tarkoituksiin, kuin mitä varten tiedot on tallennettu. Asiakastietoja saa säilyttää ainoastaan sen aikaa, kuin käyttötarkoituksen kannalta on välttämätöntä.

Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tapauksissa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta.

Tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaisella tai muulla hänen läheisellään on oikeus saada tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä.

Sosiaalihuollon asiakkaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on asiakaslain 7 §:n 2 momentissa ja lastensuojelulain (417/2007) 30 §:n 2 momentissa tarkoitetuissa tapauksissa oikeus saada asiakas-, palvelu- tai hoitosuunnitelman tekemistä varten tarpeelliset tiedot sekä asiakaslain 9 §:n 1 momentissa tarkoitetuissa tapauksissa oikeus saada asiakkaan tahdon selvittämistä varten tarpeelliset asiakasta koskevat tiedot.

Henkilöllä on oikeus käsitellä toista henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta tallennettuja tietoja, ellei 51 §:stä, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu.

Jos terveydenhuollossa alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää potilastietojensa antaminen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle.

Sosiaalihuollossa alaikäinen voi ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu painavasta syystä kieltää antamasta itseään koskevia tietoja huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle, jollei se ole selvästi alaikäisen edun vastaista. Jos alaikäinen tai hänen laillinen edustajansa ovat asianosaisena sosiaalihuoltoa koskevassa asiassa, laillisella edustajalla on kuitenkin oikeus tiedonsaantiin. Tiedonsaannista säädetään julkisuuslain 11 §:ssä.

Kuolleen henkilön elinaikana annettua sosiaali- tai terveyspalvelua koskevia tietoja saa luovuttaa perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksiensa selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi. Luovutuksensaaja ei saa käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen.

Sosiaali- terveydenhuollon yhteistä palvelua sosiaali- ja terveydenhuollon toimipisteessä toteutettaessa palvelun toteuttamiseen osallistuvilla henkilöillä on oikeus saada ja käyttää palvelun toteuttamisen kannalta välttämättömiä asiakastietoja.

Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä potilastietoja sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää sosiaalipalvelun järjestämiseksi ja toteuttamiseksi.

Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä sosiaalihuollon asiakastietoja terveydenhuollon palvelunantajalla on oikeus saada ja käyttää terveyspalvelun järjestämiseksi ja toteuttamiseksi.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä 2 ja 3 momentissa tarkoitetun luvan kohdentamisesta potilastietoihin ja sosiaalihuollon asiakastietoihin.

Sosiaalihuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa. Lisäksi sosiaalihuollon viranomaisella on oikeus saada terveydenhuollon palvelunantajilta sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä viranomaiselle annettujen tietojen tarkistamista varten.

Terveydenhuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa.

Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää muiden terveydenhuollon palvelunantajien potilastietoja potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa. Luovutuslupa koskee kaikkia potilaan potilastietoja, ja sen laajuutta voi rajata kieltojen avulla. Reseptikeskukseen tallennettujen lääkemääräysten ja muiden lääkehoitoa koskevia merkintöjen luovuttamisesta säädetään lääkemääräyslain 13 §:ssä.

Jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää muiden terveydenhuollon palvelunantajien välttämättömiä potilastietoja potilaan välttämättömän terveyspalvelun järjestämiseksi tai toteuttamiseksi ilman potilaan antamaa luovutuslupaa.

Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantioikeutta ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan se toteuttaa muulla tavoin.

Palvelunantaja saa omasta aloitteestaan tai ulkomaalaisen terveydenhuollon palvelunantajan pyynnöstä luovuttaa välttämättömiä potilastietoja potilaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.

Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää muiden sosiaalihuollon palvelunantajien sosiaalihuollon asiakastietoja asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa, jos kyse on muista kuin 56 §:n 1 momentissa tarkoitetuista tapauksista tai jollei muualla laissa ole säädetty tiedonsaantioikeudesta. Lupa koskee kaikkia sosiaalihuollon asiakkaan sosiaalihuollon asiakastietoja, ja sen laajuutta voi rajata kieltojen avulla.

Jos sosiaalihuollon asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää muiden sosiaalihuollon palvelunantajien välttämättömiä sosiaalihuollon asiakastietoja sosiaalihuollon asiakkaan välttämättömän sosiaalipalvelun järjestämiseksi tai toteuttamiseksi. Lisäksi sosiaalihuollon viranomaisella on oikeus saada muilta sosiaalihuollon palvelunantajilta sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä palvelunantajalle annettujen tietojen tarkistamista varten.

Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantia ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan tiedonsaanti toteuttaa muulla tavoin.

Jos 55 §:ssä tarkoitettua asiakastietojen luovutusta koskevaa luovutuslupaa ei voida saada asiakkaan muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia taikka jos asiakas tai hänen laillinen edustajansa kieltää tiedon luovuttamisen, sosiaalihuollon palvelunantaja saa luovuttaa asiakirjasta salassapitovelvollisuuden estämättä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, hoidon, huollon tai koulutuksen järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi. Tietoja saa kuitenkin luovuttaa vain, jos:

Edellä 1 momentissa tarkoitetuissa tapauksissa tietoja saa luovuttaa toiselle sosiaalihuollon julkiselle palvelunantajalle ja sen lukuun toimivalle palveluntuottajalle tai sen toimeksiannosta sosiaalihuollon tehtäviä suorittavalle henkilölle tai yhteisölle sekä muulle suomalaiselle tai ulkomaiselle viranomaiselle.

Yksityiselle sosiaali- tai terveydenhuollon palvelunantajalle saa kuitenkin luovuttaa 1 momentissa tarkoitetuissa tapauksissa vain välttämättömät tiedot asiakkaan välittömän hoidon tai huollon toteuttamiseksi tai muusta tähän rinnastettavasta syystä. Muulle yksityiselle henkilölle tai yhteisölle saa luovuttaa välttämättömän tiedon, jos tiedon antaminen on välttämätöntä asiakkaan tahdon tai sosiaalihuollon tarpeen selvittämiseksi tai sosiaalihuollon toimenpiteen toteuttamiseksi.

Edellä 53–55 §:ssä tarkoitetun tiedonsaantioikeuden saa toteuttaa valtakunnallisten tietojärjestelmäpalvelujen tai muun palvelunantajien yhteisen tietojärjestelmän avulla sen jälkeen, kun hoitosuhteen tai asiakassuhteen olemassaolo potilaan tai sosiaalihuollon asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu. Tiedonsaantioikeuden toteuttamisessa mainitun tietojärjestelmän avulla on 53–55 §:n sääntelyn lisäksi noudatettava, mitä säädetään käyttöoikeudesta välttämättömään asiakastietoon.

Tietojen luovuttamista koskevan luovutusluvan tai kiellon on oltava vapaaehtoisesti annettu. Luovutuslupa tai kielto on voimassa toistaiseksi ja sen voi peruuttaa. Huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen puolesta potilastietojen luovutusta potilaslain 8 §:n tarkoitetuissa tilanteissa.

Valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan tai kiellon on perustuttava 68 §:n mukaisessa menettelyssä annettavaan riittävään tietoon. Valtakunnallisia tietojärjestelmäpalveluja koskeva luovutuslupa tai kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta valtakunnallisia tietojärjestelmäpalveluita koskevasta luovutusluvasta tai kiellosta tahdonilmaisupalveluun viivytyksettä.

Luovutusluvan tai kiellon vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste luovutuslupa-asiakirjasta tai kieltoasiakirjasta taikka kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla.

Kansaneläkelaitos määrittelee luovutuslupa-asiakirjan ja kieltoasiakirjan tietosisällön. Luovutuslupa-asiakirjasta ja kieltoasiakirjasta on käytävä ilmi luovutusluvan ja kiellon merkitys asiakastietojen käsittelyssä.

Luovutusluvan ja kiellon peruuttamiseen sovelletaan, mitä 1–3 momentissa säädetään niiden antamisesta.

Sosiaalihuollon asiakas voi kohdistaa sosiaalihuollon asiakastietojensa luovutusta koskevan kiellon sosiaalihuollon rekisterinpitäjään, palvelutehtävään tai yksittäiseen sosiaalihuollon asiakasasiakirjaan.

Potilas voi kohdistaa potilastietojensa luovutusta koskevan kiellon kaikkiin potilastietoihinsa, julkisen terveydenhuollon rekisterinpitäjään ja sen rekisteriin, yksityisen työterveyshuollon rekisteriin tai palvelutapahtumaan.

Lääkemääräysten ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen kiellon kohdentamisesta säädetään lääkemääräyslain 13 §:ssä.

Jäljempänä 71 §:ssä tarkoitettuun tiedonhallintapalveluun sisältyviä potilastietoja saadaan luovuttaa ulkomaiselle terveydenhuollon palveluntuottajalle valtakunnallisten tietojärjestelmäpalvelujen välityksellä potilaan antaman suostumuksen perusteella potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU 14 artiklassa tarkoitettujen sähköisten terveyspalvelujen järjestämistä ja toteuttamista varten. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa.

Kansaneläkelaitos toimii Suomessa kansallisena teknisenä sähköisenä yhteyspisteenä valtakunnallisten tietojärjestelmäpalvelujen ja ulkomaan kansallisen yhteyspisteen välillä. Kansaneläkelaitos koostaa tiedonhallintapalveluun sisältyvistä potilastiedoista potilasyhteenvedon.

Potilastietojen luovuttamisesta kliiniseen lääketutkimukseen säädetään kliinisestä lääketutkimuksesta annetun lain (983/2021) 34 §:ssä ja potilastietojen luovuttamisesta lääketieteelliseen tutkimukseen säädetään lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c §:ssä.

Palvelunantaja tai sen tehtäviä suorittava henkilö saa salassapitovelvollisuuden estämättä ilmoittaa poliisille henkeen tai terveyteen kohdistuvan uhkan arviointia ja uhkaavan teon estämistä varten välttämättömät tiedot, jos henkilö sosiaalihuoltolain tai terveydenhuoltolain (1326/2010) mukaisia tehtäviä hoitaessaan on saanut tietoja olosuhteista, joiden perusteella hänellä on syytä epäillä jonkun olevan vaarassa joutua väkivallan kohteeksi.

Sosiaalihuollon palvelunantaja saa, jos se on välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi, antaa salassa pidettävää asiakastietoa asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta tuomioistuimelle tai muulle suomalaiselle tai ulkomaalaiselle viranomaiselle asiassa, jossa palvelunantajalle on laissa säädetty oikeus tai velvollisuus panna asia vireille taikka osallistua vireillä olevan asian käsittelyyn tai toimeenpanoon antamalla lausunto tai selvitys taikka muulla vastaavalla tavalla. Lisäksi salassa pidettävää asiakastietoa saa antaa sosiaalietuuksia käsittelevälle viranomaiselle tai laitokselle etuutta koskevan väärinkäytöksen selvittämiseksi, jos väärinkäytöstä on perusteltua syytä epäillä.

Sosiaalihuollon palvelunantajan tulee pyydettäessä antaa asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta salassa pidettävää asiakastietoa poliisille, syyttäjäviranomaiselle ja tuomioistuimelle, jos se on tarpeen sellaisen rikoksen selvittämiseksi, jonka ilmoittamatta jättäminen on rangaistavaa rikoslain (39/1889) 15 luvun 10 §:n nojalla, taikka jonka enimmäisrangaistus on vähintään neljä vuotta vankeutta.

Salassa pidettävää asiakastietoa saa sosiaalihuollon palvelunantaja antaa oma-aloitteisestikin tiedon, jos epäillään 2 momentissa tarkoitettua rikosta taikka silloin, jos epäillään jonkun syyllistyneen siinä mainittua vähäisempään rikokseen, jos sosiaalihuollon palvelunantaja arvioi sen olevan välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi.

Sosiaalihuollon julkinen palvelunantaja saa 1–3 momentissa tarkoitettujen tapausten lisäksi antaa salassa pidettävää asiakastietoa, jos se on välttämätöntä tarkistettaessa sosiaalihuollon palvelunantajalle laissa säädetyn tehtävän hoitamiseksi olennaisen tärkeää tietoa tilanteissa, joissa palvelunantajalla itsellään on oikeus saada tieto.

Sosiaalihuollon viranomaisella on oikeus saada salassapitosäännösten estämättä pyynnöstä maksutta valtion ja kunnan viranomaiselta sekä muulta julkisoikeudelliselta yhteisöltä, Kansaneläkelaitokselta, Eläketurvakeskukselta, eläkesäätiöltä ja muulta eläkelaitokselta, vakuutuslaitokselta sekä koulutuksen järjestäjältä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä viranomaiselle annettujen tietojen tarkistamista varten.

Mitä 1 momentissa säädetään velvollisuudesta antaa tietoja, koskee myös rahalaitosta, jos sosiaalihuollon viranomainen ei saa riittäviä tietoja ja selvityksiä 1 momentissa mainituilta tahoilta ja jos on perusteltua syytä epäillä asiakkaan tai hänen laillisen edustajansa antamien tietojen riittävyyttä tai luotettavuutta. Pyyntö tulee esittää kirjallisena rahalaitokselle. Pyynnön esittämistä koskevan päätöksen on oikeutettu tekemään sosiaalipalveluiden järjestämisestä vastaavan toimivaltaisen viranomaisen määräämä sosiaalihuollon viranhaltija. Ennen kuin pyyntö tehdään rahalaitokselle, on asiakkaalle annettava siitä tieto.

Sosiaali- ja terveydenhuollon viranomaisella on oikeus saada pyynnöstä maksutta veroviranomaiselta ja Kansaneläkelaitokselta salassa pidettäviä henkilötietoja asiakkaan suostumuksesta riippumatta maksun määräämistä ja tietojen tarkistamista varten. Sosiaali- ja terveydenhuollon viranomaisen tulee etukäteen ilmoittaa asiakkaalle tietojen pyytämisestä.

Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut:

Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja siihen liittyviä koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitoksen on ylläpidettävä koodistopalvelua, jonka avulla ylläpidetään ja jaetaan valtakunnallisten tietojärjestelmäpalvelujen edellyttämät asiakasasiakirjojen tietorakenteet.

Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden tunnistus- ja luottamuspalvelulaissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista.

Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.

Kansaneläkelaitos vastaa:

Kansaneläkelaitoksella on oikeus:

Tietoturvallisuuden varmistamiseksi Kansaneläkelaitos ylläpitää valvontakeskusta sekä ryhtyy tarvittaviin toimenpiteisiin yhteistyössä palvelunantajien kanssa poikkeavaa toimintaa havaitessaan. Kansaneläkelaitoksen on viipymättä ilmoitettava Liikenne- ja viestintäviraston kyberturvallisuuskeskukselle havaitsemistaan tietoturvallisuusloukkauksista ja tietoturvallisuuden häiriöistä ja salassapitosäännösten estämättä annettava sille välttämättömät tiedot.

Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa. Kansaneläkelaitos voi laatia ja luovuttaa palvelunantajalle sen omassa rekisterissä oleviin, valtakunnallisiin tietojärjestelmäpalveluihin tallennettuihin asiakastietoihin ja lokitietoihin perustuvia yhteenvetoja, joilla on merkitystä palvelunantajan toiminnan kehittämisessä, seurannassa, raportoinnissa ja valvonnassa. Yhteenvedot eivät saa sisältää henkilötietoja.

Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisten tehtäväksi.

Palvelunantajan ja apteekin on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, ja otettava käyttöön ne 65 §:n 1 momentissa tarkoitetut tietojärjestelmäpalvelut, joihin sillä on velvoite tallentaa asiakastietoja tai jonka avulla sille voidaan luovuttaa asiakastietoja.

Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään potilastietojen tai sosiaalihuollon asiakastietojen käsittelyyn tarkoitettu tietojärjestelmä.

Muut sosiaali- ja terveysalan toimijat kuin palvelunantajat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 65 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi.

Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi.

Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä.

Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista.

Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet sekä jäljennökset kysely- ja välityspalvelun kautta välitettävistä asiakirjoista valtakunnalliseen asiakastietovarantoon lukuun ottamatta lääkemääräyksiä ja muita reseptikeskukseen tallennettavia lääkehoitoa koskevia merkintöjä. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen asiakastietovarantoon. Valtakunnalliseen asiakastietovarantoon voidaan tallentaa asiakasasiakirjojen lisäksi myös muita asiakastietoja sisältäviä asiakirjoja sekä sosiaali- ja terveydenhuollon järjestämiseen liittyviä asiakirjoja.

Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa asiakastietovarannossa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakasasiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja.

Kukin 13 §:ssä tarkoitettu asiakastietojen rekisterinpitäjä on valtakunnalliseen asiakastietovarantoon tallentamiensa asiakirjojen rekisterinpitäjä.

Palvelunantajan on tallennettava 10 §:ssä tarkoitetut asiakastietojen luovutusta koskevat lokitiedot lokirekisterien säilytyspalveluun. Palvelunantaja voi tallentaa lokirekisterien säilytyspalveluun myös asiakastietojen käyttöä koskevat lokitiedot.

Kansaneläkelaitoksen on kerättävä ja tallennettava lokirekisterien säilytyspalveluun seurantaa ja valvontaa varten 65 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot.

Kukin sosiaali- ja terveydenhuollon palvelunantaja, apteekki ja Kansaneläkelaitos ovat toiminnassaan syntyneiden käyttölokien rekisterinpitäjiä.

Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös käyttölokitietojen luovuttamisesta. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien yhteisrekisterinpitäjiä. Reseptikeskuksen luovutuslokin yhteisrekisterinpitäjiä ovat palvelunantajat, apteekit ja Kansaneläkelaitos. Lokirekisterien säilytyspalvelun tietoja tallentavat palvelunantajat vastaavat toiminnassaan syntyneiden tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä.

Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset ajantasaiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille ja apteekeille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkehoitoa koskevat merkinnät, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:ssä tarkoitettu suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelu saa koostaa myös muita potilasasiakirjamerkintöjä. Palvelunantajalla on oikeus saada ja käyttää tiedonhallintapalvelun tietoja siten kuin 53 ja 54 §:ssä säädetään. Tiedonhallintapalvelusta saatuja tietoja saa käsitellä 9 §:ssä säädettyjen käyttöoikeuksien puitteissa.

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tiedonhallintapalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös tiedonhallintapalveluun tallennettujen tietojen luovuttamisesta.

Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja lääkemääräyslain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista.

Tahdonilmaisupalveluun voidaan tallentaa myös tieto muista kuin 1 momentissa tarkoitetuista henkilön:

Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tahdonilmaisupalveluun tallennettujen sosiaali- ja terveydenhuoltoa koskevien 1 momentin ja 2 momentin 1 kohdassa tarkoitettujen tahdonilmausten yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa tahdonilmaisupalveluun tallennettujen tietojen luovuttamisesta.

Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta.

Kansaneläkelaitos on omatietovarannon rekisterinpitäjä. Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 3 momentin mukaisiin käyttötarkoituksiin.

Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi.

Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta.

Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä.

Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän tai hyvinvointisovelluksen välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin, tietosuojalain 34 §:n tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja.

Sen estämättä, mitä 2 momentissa säädetään, henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi.

Kansaneläkelaitoksen tulee toteuttaa ammattilaisen käyttöliittymä, joka mahdollistaa sähköisten lääkemääräysten laatimisen ja käsittelyn tietoverkkojen välityksellä.

Lääkäri voi laatia ammattilaisen käyttöliittymän avulla sähköisiä lääkemääräyksiä ammattioikeuden perusteella muulloin kuin palvelunantajan lukuun toimiessaan.

Ammattilaisen käyttöliittymällä laadittavien lääkemääräysten rekisterinpitäjyydestä säädetään lääkemääräyslaissa.

Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla.

Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla.

Palvelunantajan, apteekin, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on selvitettävä, miten asiakas- ja potilastietojen käsittelyyn ja tietojärjestelmiin liittyvät vaatimukset varmistetaan:

Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan ja apteekin tietoturvasuunnitelmassa esitettävä myös selvitys siitä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta.

Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan ja apteekkarin on huolehdittava, että 77 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Palvelunantajan, apteekin ja Kansaneläkelaitoksen tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti käsitellyt asiakastietoja.

Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla ja apteekilla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan tai apteekin henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi.

Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista.

Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37–39 artiklassa.

Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset.

Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat:

Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B.

Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa tietojärjestelmän luokasta.

Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä yhteyshenkilöstä. Lisäksi ilmoituksessa on oltava 85 §:n mukainen selvitys toiminnallisuutta koskevien vaatimusten toteutumisesta, 86 §:ssä tarkoitettu todistus yhteentoimivuuden testauksesta ja 87 §:ssä tarkoitettu todistus tietoturvallisuutta koskevien olennaisten vaatimusten täyttämisestä. Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän tai hyvinvointisovelluksen siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle.

Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava ajantasainen tieto:

Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.

Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 85 §:n mukaisesti.

Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole ajantasaisia tietoja 80 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut. Luokkaan A kuuluvan tietojärjestelmän tuotantokäyttöönoton edellytyksenä on myös hyväksytty yhteentoimivuuden testaus niiden voimassa olevien yhteentoimivuutta koskevien vaatimusten osalta, jotka vastaavat järjestelmän käyttötarkoitusta.

Hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, jos se ei vastaa 84 §:ssä tarkoitettua toiminnallisten vaatimusten täyttymisen edellytyksenä olevaa terveyden ja hyvinvoinnin edistämisen käyttötarkoitusta.

Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on lisäksi ilmoitettava tietoturvallisuuden arviointilaitokselle ja valtakunnallisiin tietojärjestelmäpalveluihin liitetyn tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia.

Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.

Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta.

Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta.

Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä.

Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla.

Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa.

Palvelunantajan ja apteekin käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan ja apteekin toimintaa ja täytettävä palvelunantajan ja apteekin toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Tietojärjestelmä tai hyvinvointisovellus täyttää olennaiset vaatimukset, jos se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot. Hyvinvointisovelluksen toiminnallisuutta koskevien vaatimusten täyttymisen edellytyksenä on, että hyvinvointisovellus edistää kansalaisten terveyttä ja hyvinvointia.

Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä, toimeenpanon määräajoista ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa. Ennen määräyksen antamista on pyydettävä Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta lausunto tietoturvaa ja tietoturvavaatimusten todentamisen menettelyjä koskevista vaatimuksista ja tietosuojavaltuutetun toimistolta tietosuojaa koskevista vaatimuksista.

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, sekä hyväksytyllä yhteentoimivuuden testauksella ja 87 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu.

Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen.

Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai lääkemääräyslaissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.

Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan todistuksen yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu.

Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille luokkaan A kuuluville tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei suoriteta erillistä yhteentoimivuuden testausta.

Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta.

Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti, jos tietojärjestelmä täyttää tietoturvallisuutta koskevat olennaiset vaatimukset. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti.

Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan.

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 87 §:ssä tarkoitetuista todistuksista. Kansaneläkelaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, tietoturvallisuuden arviointilaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 86 §:ssä tarkoitetuista todistuksista.

Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava hallintolain 39 §:ää. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on Sosiaali- ja terveysalan lupa- ja valvontavirastolla oikeus saada tarpeellista poliisin virka-apua. Poliisin antamasta virka-avusta säädetään poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä.

Jos palvelunantaja tai apteekki havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos tietojärjestelmän tai hyvinvointisovelluksen poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan, hyvinvointisovelluksen valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetulle säädetään tietosuoja-asetuksen 33 artiklassa.

Palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai välittäjän on ilmoitettava viipymättä Sosiaali- ja terveysalan lupa- ja valvontavirastolle sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena tietojärjestelmien käyttö ja sosiaali- ja terveyspalveluiden toteuttaminen voi merkittävästi vaarantua. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta.

Jos 1 ja 2 momentissa tarkoitetusta tietoturvallisuuteen liittyvästä poikkeamasta tai häiriöstä ilmoittaminen on yleisen edun mukaista, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa palvelunantajan, apteekin, Kansaneläkelaitoksen, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan taikka välittäjän tiedottamaan yleisölle asiasta taikka kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.

Sosiaali- ja terveysalan lupa- ja valvontaviraston on arvioitava, koskeeko 1 ja 2 momentissa tarkoitettu julkista terveydenhuoltoa koskeva tietoturvallisuuteen liittyvä poikkeama tai häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten valvontaa varten välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä ja hyvinvointisovelluksia, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, hyvinvointisovelluksen valmistaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi päätöksellään määrätä velvollisuuden täytettäväksi määräajassa.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 89 §:n nojalla tietojärjestelmää tai hyvinvointisovellusta koskevan valvonnan ja tarkastuksen samalla päätöksellään määrätä tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan korjaamaan tuotantokäytössä olevaa tietojärjestelmää koskevat puutteet ja hyvinvointisovelluksen valmistajan korjaamaan tuotantokäytössä olevaa hyvinvointisovellusta koskevat puutteet.

Jos tietojärjestelmä tai hyvinvointisovellus voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän tai hyvinvointisovelluksen käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho taikka hyvinvointisovellus tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan, hyvinvointisovelluksen valmistajan tai niiden valtuuttaman edustajan tiedottamaan tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).

Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden rahoituksesta kuuluvat sosiaali- ja terveysministeriölle.

Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen toteuttamisen ja käytön suunnittelusta, käytettävien tietorakenteiden yhteensovittamisesta, ohjauksesta ja seurannasta.

Tietosuojavaltuutettu, Lääkealan turvallisuus- ja kehittämiskeskus, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista.

Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.

Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa.

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille ja apteekeille maksullista sen jälkeen, kun palvelunantaja tai apteekki on velvoitettu liittymään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden maksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista.

Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksen 86 §:n tarkoitettuun yhteentoimivuuden testaukseen ilmoittautuminen on tietojärjestelmäpalvelun tuottajille maksullinen. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 80 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksuista säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

Joka tahallaan tai törkeästä huolimattomuudesta

on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon.

Rangaistus tietomurrosta säädetään rikoslain 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä.

Tämä laki tulee voimaan 1 päivänä tammikuuta 2024.

Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (784/2021) sekä sosiaalihuollon asiakasasiakirjoista annettu laki (254/2015).

Tämän lain liitteessä tarkoitettuja säilytysaikoja sovelletaan myös ennen lain voimaantuloa laadittuihin asiakirjoihin. Lisäksi sovelletaan, mitä valtionarkisto, arkistolaitos ja Kansallisarkisto ovat erikseen määränneet asiakirjojen arkistoinnista.

Lain 16 §:ää sovelletaan myös ennen lain voimaantuloa toimintansa päättäneiden palvelunantajien asiakirjoihin, kuitenkin niin, ettei hyvinvointialueille aiemmin toimitettuja toiminnan päättäneiden palvelunantajien asiakirjoja siirretä Kansaneläkelaitoksen säilytettäviksi.

Lain 18 §:n 1 momenttia potilasasiakirjojen tallentamisesta potilasrekisteriin sovelletaan myös ennen lain voimaantuloa sosiaalihuollossa laadittuihin potilasasiakirjoihin.

Lain 53 §:ssä tarkoitettu tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.

Lain 59 §:n 2 momentissa tarkoitettua kaikkiin potilastietoihin ja työterveyshuoltoon kohdistuvaa kielto on otettava käyttöön viimeistään 1 päivänä tammikuuta 2024.

Sosiaalihuollon palveluiden järjestämisen ja toteuttamisen yhteydessä kirjattavat potilastiedot tulee tallentaa potilasrekisteriin viimeistään 1 päivänä lokakuuta 2026.

Lain 60 §:ssä tarkoitettu potilastietojen luovuttaminen ulkomaille on toteutettava viimeistään 1 päivästä tammikuuta 2025.

Julkisen sosiaalihuollon palvelunantajan on liityttävä 65 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietovarantoon viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026. Jos palvelunantajien tallentamien asiakirjojen 7 momentin mukainen tallentamisvelvoitteen määräaika on näiden ajankohtien jälkeen, on sen liityttävä valtakunnalliseen asiakastietovarantoon viimeistään silloin, kun tallentamisvelvoite alkaa.

Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen terveydenhuollon palvelunantajan tulee aloittaa asiakirjojen tallentaminen seuraavasti:

Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen sosiaalihuollon palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen asiakastietovarantoon seuraavasti:

Lain 73 §:n 3 momentissa tarkoitettu mahdollisuus luovuttaa hyvinvointitietoja palvelunantajalle on toteutettava valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.

Potilastietojen luovuttaminen hyvinvointisovelluksille lain 74 §:n 2 momentin mukaisesti tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä joulukuuta 2024, reseptikeskukseen tallennettavien lääkemääräystä osalta kuitenkin viimeistään 1 päivänä lokakuuta 2027.