159/2007

Syftet med denna lag är att främja datasäker elektronisk behandling av klientuppgifter inom social- och hälsovården. Genom lagen genomförs ett enhetligt elektroniskt behandlings- och arkiveringssystem för patientuppgifter för effektiv produktion av hälso- och sjukvårdstjänster så att patientsäkerheten beaktas samt för främjande av patientens möjligheter att få information.

I denna lag föreskrivs om elektronisk behandling av klientuppgifter inom social- och hälsovården.

Denna lag tillämpas när tillhandahållare av offentliga och privata socialvårdstjänster och hälso- och sjukvårdstjänster ordnar eller genomför socialvård eller hälso- och sjukvård.

Om inte något annat följer av denna eller någon annan lag tillämpas på behandlingen av klientuppgifter vad som bestäms i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, personuppgiftslagen (523/1999), lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om elektroniska signaturer (14/2003) och arkivlagen (831/1994) eller med stöd av dem.

I denna lag avses med

Vid elektronisk behandling av klientuppgifter skall uppgifternas tillgänglighet och användbarhet tryggas. Klientuppgifterna skall förvaras så att de behåller sin integritet och oförvanskade form under hela förvaringstiden.

Av en elektronisk klienthandling skall det finnas endast ett original som är specificerat med en identifikation. För att tillhandahålla en tjänst eller av någon annan grundad anledning kan av originalet tas en kopia av vilken det skall framgå att handlingen är en kopia.

Närmare bestämmelser om specificeringen av klienthandlingar samt om förvaringen av kopior av dem kan utfärdas genom förordning av social- och hälsovårdsministeriet.

En tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster skall föra ett register över dem som använder tillhandahållarens egna klientdatasystem och klientregister samt över användarnas behörigheter.

En tillhandahållare av tjänster skall för uppföljningen särskilt för varje klientregister samla in logguppgifter om all användning och om varje utlämnande av klientuppgifter i ett loggregister. I användningsloggregistret lagras uppgifter om använda klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter används, vem som har använt klientuppgifterna, användningsändamålet och användningstidpunkten. I utlämningsloggregistret lagras uppgifter om utlämnade klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter utlämnas, vem som lämnat ut klientuppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten.

Logguppgifter som gäller utlämnande av journalhandlingsuppgifter och som innehas av tillhandahållare av hälso- och sjukvårdstjänster lagras i den arkiveringstjänst som avses i 14 §.

Behörighetsuppgifter och logguppgifter över dem som använder klientuppgifter skall förstöras när de inte längre behövs för tillsynen av om klientuppgifter används eller utlämnas i enlighet med lag. Närmare bestämmelser om behörighetsuppgifter och logguppgifter samt den tid som dessa uppgifter åtminstone skall bevaras kan utfärdas genom förordning av social- och hälsovårdsministeriet.

Hälso- och sjukvårdens patientdatasystem och journalhandlingarnas datastrukturer skall möjliggöra användning, utlämnande, förvaring och skydd av elektroniska journalhandlingar med hjälp av de riksomfattande informationssystemstjänster som avses i 14 §.

De uppgifter som används vid en servicehändelse skall med hjälp av journalhandlingarnas datastrukturer kunna begränsas till enbart de uppgifter som behövs för den aktuella servicehändelsen. En tillhandahållare av hälso- och sjukvårdstjänster skall klassificera de journalhandlingar och patientuppgifter som kräver särskilt skydd som patientuppgifter som skall skyddas genom separat begäran om bekräftelse.

Närmare bestämmelser om patientdatasystemens och journalhandlingarnas datastrukturer samt om klassificeringen av uppgifter kan utfärdas genom förordning av social- och hälsovårdsministeriet.

Klientdatasystemet skall kunna producera de uppgifter som behövs för den planering, ledning och statistikföring som tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster själv sköter och de uppgifter som behövs för den riksomfattande forsknings- och statistikverksamheten samt uppgifter om bedömning av vårdbehovet och om tidpunkten för intagning för vård.

Vid elektronisk behandling av klientuppgifter skall klienten, tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, andra parter i behandlingen av klientuppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. Identifieringen av de personer som behandlar patientuppgifter, tillhandahållarna av tjänster, de datatekniska enheterna samt de riksomfattande informationssystemstjänsterna förutsätter verifiering. Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen kan utfärdas genom förordning av social- och hälsovårdsministeriet.

Klientuppgifternas integritet, oförvanskade form och oavvislighet skall säkerställas med en elektronisk signatur vid elektronisk behandling, överföring och förvaring av uppgifterna. Vid elektronisk signering som görs av en fysisk person skall användas en avancerad elektronisk signatur enligt lagen om elektroniska signaturer. Vid signering som görs av en organisation och datatekniska enheter skall användas en elektronisk signatur av motsvarande tillförlitlighet.

Patientuppgifter får utlämnas med hjälp av i 14 § avsedda riksomfattande informationssystemtjänster och endast till andra tillhandahållare av hälso- och sjukvårdstjänster. Utlämnandet skall ske antingen med patientens samtycke eller med stöd av en bestämmelse i lag som ger rätt till utlämnande.

Elektroniskt utlämnande av patientuppgifter på grundval av en elektronisk begäran om utlämnande till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs med hjälp av riksomfattande informationssystemtjänster efter det att existensen av en vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Annat utlämnande av patientuppgifter på elektronisk väg till en annan tillhandahållare av hälso- och sjukvårdstjänster genomförs antingen med hjälp av de riksomfattande informationssystemtjänsterna eller i form av utlämnande mellan tillhandahållarna av hälso- och sjukvårdstjänster.

Med hjälp av de riksomfattande informationssystemtjänsterna kan, trots vad som sägs i 1 mom., utlämnandet av uppgifter till riksomfattande personregister för hälsovården enligt lagen om riksomfattande personregister för hälsovården (556/1989) och de bestämmelser som utfärdats med stöd av den utföras åt de tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten.

Sökuppgifter är uppgifter som används vid elektronisk sökning i journalhandlingar och som specificerar handlingen. Ändamålet med sökuppgifterna är att med hjälp av den katalogtjänst som avses i 14 § 1 mom. möjliggöra utlämnande av journalhandlingar till en annan tillhandahållare av hälso- och sjukvårdstjänster. Till en elektronisk journalhandling och en handling med uppgifter om patientens samtycke ( samtyckeshandling ) skall fogas sökuppgifter. Sökuppgifterna utgör en del av patientregistret hos respektive tillhandahållare av hälso- och sjukvårdstjänster.

Sökuppgifter i en journalhandling är patientens personbeteckning, tillhandahållaren av hälso- och sjukvårdstjänster, patientregistret, vårdperiod på avdelning eller uppgift om besök inom öppenvården och dagen då dessa börjat och avslutats, information om huruvida journalhandlingen innehåller uppgifter om laboratorieundersökningar, diagnostiska avbildningsundersökningar eller andra motsvarande undersökningar samt servicehelhetsbeteckning. I en samtyckeshandling lagras som sökuppgifter dessutom information om samtycke som patienten gett, tiden då samtycket getts samt den servicehelhetsbeteckning som hänför sig till samtycket. Om patienten saknar personbeteckning, kan som sökuppgift lagras en kombination av namn och födelsetid.

Det skall vara möjligt att söka i patientuppgifter med hjälp av sökuppgifterna särskilt i fråga om den offentliga eller den privata hälso- och sjukvården, olika tillhandahållare av tjänster samt olika patientregister.

Patienten har rätt att förbjuda att hans eller hennes sökuppgifter utlämnas i fråga om en viss tillhandahållare av hälso- och sjukvårdstjänster eller ett visst patientregister och i fråga om en viss servicehändelse eller en servicehelhet hos en viss tillhandahållare av tjänster. Patienten har rätt att återta förbudet mot att utlämna sökuppgifter och att ändra det. Förbudet samt en ändring och ett återtagande av det skall undertecknas egenhändigt eller undertecknas med en elektronisk signatur som vad säkerheten beträffar motsvarar en avancerad elektronisk signatur, och de skall riktas till den tillhandahållare av tjänster som för det patientregister vars uppgifter förbudet gäller.

Trots förbudet får sökuppgifter utlämnas med ett samtycke av patientens som är undertecknat på ett sätt som avses i 1 mom. samt i de fall som avses i 13 § 3 mom. 3 punkten i patientlagen.

Patientens samtycke kan ges för en servicehändelse eller för en servicehelhet. Samtycket skall undertecknas egenhändigt eller undertecknas med en elektronisk signatur som vad säkerheten beträffar motsvarar en avancerad elektronisk signatur. De uppgifter som avses i 13 § 3 mom. 2 punkten i patientlagen och de sökuppgifter vars utlämnande patienten inte har förbjudit på det sätt som avses i 12 § kan dock utlämnas till en annan tillhandahållare av hälso- och sjukvårdstjänster med patientens muntliga samtycke.

En samtyckeshandling skall upprättas över ett skriftligt samtycke. I samband med att samtycket ges skall en kopia av samtyckeshandlingen skrivas ut för patienten. Samtyckeshandlingarna är en del av det elektroniska patientregistret hos respektive tillhandahållare av tjänster som begärt samtycke. Ett muntligt samtycke antecknas i patientregistret. Patienten har rätt att återta samtycket eller att ändra det. Samtycke som getts för en servicehelhet upphör att gälla när det har gått ett år sedan en servicehändelse som ingår i servicehelheten föregående gång avslutades.

När en patient saknar förutsättningar att bedöma betydelsen av samtycke får uppgifter som behövs för en servicehändelse eller en servicehelhet lämnas med samtycke av patientens lagliga företrädare. Patientens lagliga företrädare kan då på patientens vägnar även på det sätt som avses i 12 § förbjuda att sökuppgifter utlämnas. Patientens lagliga företrädare har rätt att utan hinder av tystnadsplikten få de uppgifter om patienten som behövs för att ge samtycke, genomföra ett förbud eller ändra samtycket eller förbudet.

För tillhandahållarna av social- och hälsovårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen och användningen av journalhandlingar samt som en del därav en katalogtjänst och samtyckeshanteringstjänst för utlämnandet av journalhandlingar. Folkpensionsanstalten sköter förvaringen av utlämningsloggregistren som en del av arkiveringstjänsten. Folkpensionsanstalten kan också sköta förvaringen av användningsloggregistren som en del av arkiveringstjänsten. Folkpensionsanstalten sköter den förbindelse för åtkomst till uppgifter som avses i 19 §.

Forsknings- och utvecklingscentralen för social- och hälsovården svarar för kodtjänstens innehåll. Folkpensionsanstalten sköter den datatekniska realiseringen av kodtjänsten. Kodtjänsten omfattar alle de kodsystem som behövs i behandling av journalhandlingar med hjälp av de riksomfattande informationssystemtjänsterna.

Rättsskyddscentralen för hälsovården administrerar certifikattjänsten för tillhandahållarna av hälso- och sjukvårdstjänster samt de personer och datatekniska enheter som deltar i tillhandahållandet av deras tjänster. Certifikattjänsten omfattar de certifikat som behövs vid identifiering och verifiering samt elektronisk signering och tjänster i anslutning till dem.

Folkpensionsanstalten får inte ge en utomstående i uppdrag att behandla eller förvara patientregister som har samband med tillhandahållandet av de riksomfattande informationssystemtjänsterna eller loggregister som hänför sig till dem.

Tillhandahållare av offentliga hälso- och sjukvårdstjänster skall ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 14 §. Tillhandahållare av privata hälso- och sjukvårdstjänster skall ansluta sig som användare av dessa informationssystemtjänster, om långtidsförvaringen av deras journalhandlingar genomförs elektroniskt. Tillhandahållare av offentliga hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Om denna anslutning skall dock föreskrivas särskilt på det sätt som bestäms i 32 § i självstyrelselagen för Åland (1144/1991).

Alla original av färdiga journalhandlingar som uppkommit efter anslutningen skall lagras i den riksomfattande arkiveringstjänsten. Samtyckeshandlingar som hänför sig till dessa journalhandlingar lagras på motsvarande sätt i samtyckeshanteringstjänsten. Journalhandlingar som uppkommit före anslutningen samt samtyckeshandlingar som gäller dem kan lagras i den riksomfattande arkiveringstjänsten. Sökuppgifterna för de sistnämnda handlingarna får emellertid inte lämnas ut utan patientens skriftliga samtycke. Sökuppgifter som gäller ofullständiga journalhandlingar skall lagras i katalogtjänsten. Närmare bestämmelser om hur ofullständiga journalhandlingar skall lagras kan utfärdas genom förordning av social- och hälsovårdsministeriet.

De riksomfattande informationssystemtjänsterna och patientuppgifterna skall vara tillgängliga dygnet runt så att man alltid har tillgång till patientuppgifterna utan att patientsäkerheten äventyras. Informationssystemtjänsterna skall ha nödvändiga reservsystem med tanke på funktionsstörningar och undantagsförhållanden.

Folkpensionsanstalten är tekniskt ansvarig för arkiveringstjänsten samt dess administratör och svarar i den egenskapen för tjänsten rent generellt och för dess lagenlighet. Vidare ansvarar Folkpensionsanstalten för det tekniska genomförandet av den elektroniska förbindelse enligt 19 § som patienten tillhandahålls, och den har beslutanderätt i frågor som gäller systemets informationstekniska funktion. Detta gäller om inget annat följer av denna lag eller bestämmelser som utfärdats med stöd av den.

En tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till arkiveringstjänsten ansvarar i egenskap av registerförare av patientuppgifter för innehållet i de införda patientuppgifterna och de logguppgifter som anknyter till deras behandling samt för att uppgifterna är korrekta. Vidare ansvarar tillhandahållaren för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas.

Folkpensionsanstalten ansvarar för patientuppgifternas användbarhet, integritet, oförvansklighet, skydd, förvaring och utplåning i fråga om de informationssystemtjänster som den sköter. Folkpensionsanstalten ansvarar vidare för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i utlämningsloggregistret. Folkpensionsanstalten har inte bestämmanderätt över patientuppgifterna i arkiveringstjänsten eller rätt att lämna ut uppgifter, om inte annat bestäms i denna lag. Inte heller i övrigt får patientuppgifter behandlas i större utsträckning än vad som är nödvändigt för administrationen. Arkiveringstjänsten skall skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.

Rättsskyddscentralen för hälsovården ansvarar för att hälso- och sjukvårdens certifikattjänster fungerar tillförlitligt. Rättsskyddscentralen för hälsovården skall hålla sådana uppgifter om certifikat och certifikatverksamheten allmänt tillgängliga med hjälp av vilka dess verksamhet och tillförlitlighet kan bedömas samt trygga konfidentialiteten i fråga om signaturframställningsdata när den själv producerar data. Centralen får inte lagra eller spåra signaturframställningsdata som utlämnats till undertecknaren. Centralen skall föra ett register över de certifikat den beviljar. Centralen skall dessutom hålla ett register över återkallade certifikat tillgängligt för parter som förlitar sig på certifikat.

Folkpensionsanstalten skall ta fram en skriftlig beskrivning med information om de riksomfattande informationssystemtjänsterna, de allmänna verksamhetsprinciper som gäller för dem samt de instanser som ansvarar för dessa informationssystemtjänster, lagringen av sökuppgifter och ändamålet med dem samt deras behandling, förutsättningarna för utlämnande av patientuppgifter, patientens rätt att påverka behandlingen av patientuppgifterna, skydd av patientuppgifter samt andra omständigheter i anslutning till behandlingen av uppgifter som är av betydelse för patienten. Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig som användare av riksomfattande informationssystemtjänster skall ge patienten denna beskrivning.

De tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig som användare av riksomfattande informationssystemtjänster skall i samband med servicehändelser informera patienterna om rätten att förbjuda utlämnande av sökuppgifter.

Om en patient redan informerats enligt 1 och 2 mom. kan undantag göras från upplysningsplikten i enlighet med 24 § i personuppgiftslagen. En anteckning om den information som lämnats skall göras i patientregistret.

I fråga om klientens rätt att kontrollera uppgifter i klientregistret och om förverkligandet av denna rätt bestäms i 26―28 § i personuppgiftslagen.

För utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina klientuppgifter har en klient rätt att på grundval av en skriftlig begäran utan dröjsmål av tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster på grundval av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har utlämnat uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Klienten har dock inte rätt att få logguppgifter i de fall som avses i 27 § 1 mom. 1―4 punkten i personuppgiftslagen. Klienten får inte använda eller vidareutlämna logguppgifter som han eller hon erhållit för något annat ändamål.

Om en klient för andra gången begär logguppgifter som gäller samma tidsperiod kan tillhandahållaren av tjänster ta ut en skälig ersättning för lämnandet av dessa logguppgifter som inte får överstiga de direkta kostnaderna för lämnandet av informationen. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 19 § får dock inte någon separat avgift tas ut.

Om en klient anser att hans eller hennes klientuppgifter har använts eller utlämnats utan tillräckliga grunder skall den tillhandahållare av tjänster som använt eller fått uppgifterna på begäran ge klienten en utredning om grunderna för användningen eller utlämnandet av uppgifterna.

En myndig patient ges med hjälp av en elektronisk förbindelse möjlighet att se följande patientuppgifter som gäller honom eller henne och som är lagrade i den riksomfattande arkiveringstjänsten och uppgifter som ansluter sig till utlämnandet av dessa patientuppgifter:

Med hjälp av en sådan elektronisk förbindelse kan patienten också ges uppgifter om tidsbeställningar samt, när villkoren enligt 1 mom. 3 punkten är uppfyllda, diagnostiska avbildningsresultat och andra motsvarande undersökningsresultat.

Utan hinder av 1 och 2 mom. skall förbindelsen realiseras så att patienten inte har åtkomst till de uppgifter vilkas utlämnande en yrkesutbildad person inom hälso- och sjukvården bedömer kunna medföra allvarlig fara för patientens hälsa eller vård eller någon annans rättigheter.

Förbindelsen skall realiseras så att skyddet för patientens privatliv inte äventyras. Patientens rätt till insyn enligt personuppgiftslagen påverkas inte av att han eller hon får uppgifter med en sådan förbindelse. Närmare bestämmelser om hur uppgifter ges via förbindelsen kan utfärdas genom förordning av social- och hälsovårdsministeriet.

Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av klientuppgifter inom social- och hälsovården, informationsadministrationen i anslutning därtill och skötseln och tillhandahållandet av de riksomfattande informationssystemtjänster som avses i 14 § ankommer på social- och hälsovårdsministeriet.

Dataombudsmannen, Rättsskyddscentralen för hälsovården samt länsstyrelsen inom sitt område styr och övervakar i enlighet med sin behörighet iakttagandet av denna lag.

Tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster, Folkpensionsanstalten och Rättsskyddscentralen för hälsovården skall för egen del följa och övervaka att det dataskydd som hänför sig till den service som den lämnar förverkligas. Om någon har behandlat klientuppgifter i strid med lagen skall behörig tillhandahållare av tjänster samt Folkpensionsanstalten på eget initiativ vidta nödvändiga åtgärder. För uppföljningen och övervakningen har tillhandahållaren rätt att få de egna patientregistrens logguppgifter från Folkpensionsanstalten.

Den ansvariga föreståndaren för en verksamhet för socialvård eller hälso- och sjukvård skall meddela skriftliga instruktioner om hur klientuppgifterna skall hanteras och om de förfaringssätt som skall iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av klientuppgifter. Dessutom skall varje tillhandahållare av tjänster, Folkpensionsanstalten och Rättsskyddscentralen för hälsovården ha en dataskyddsansvarig för uppföljnings- och övervakningsuppgifter.

För behandlingen av principfrågor som gäller elektronisk informationsadministration inom social- och hälsovården, för realiseringen av de riksomfattande informationssystemtjänsterna som avses i 14 § samt för förenhetligande och utveckling av serviceanvändarnas informationssystem finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården. Närmare bestämmelser om delegationens uppgifter och sammansättning utfärdas genom förordning av statsrådet.

Användningen av de riksomfattande informationssystemtjänster som avses i 14 § och som administreras av Folkpensionsanstalten och Rättsskyddscentralen för hälsovården är avgiftsbelagd för tillhandahållarna av hälso- och sjukvårdstjänster. Genom förordning av social- och hälsovårdsministeriet föreskrivs om sådana användningsavgifter att de motsvarar beloppet av kostnaderna för skötseln av tjänsterna.

Folkpensionsanstalten och Rättsskyddscentralen för hälsovården skall årligen tillställa social- och hälsovårdsministeriet samt delegationen för elektronisk informationsadministration inom social- och hälsovården en utredning om de faktorer som påverkar kostnaderna samt en bedömning av de totalkostnader som ligger till grund för följande års användningsavgifter.

Den som uppsåtligen eller av grov oaktsamhet bryter mot identifierings- och verifieringsskyldigheten i 8 §, lämnar ut sökuppgifter i strid med 12 §, 15 § 2 mom. eller 25 § 3 mom., lämnar ut patientuppgifter utan patientens samtycke enligt 13 § eller utan att en bestämmelse i lag tillåter det eller försummar upplysningsplikten enligt 17 § 2 mom. och på så sätt äventyrar klientens integritetsskydd eller hans eller hennes rättigheter i övrigt skall, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av klientuppgifter inom social- och hälsovården dömas till böter.

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 38 kap. 9 § i strafflagen. Straff för brott mot sekretess döms enligt 38 kap. 1 och 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Denna lag träder i kraft den 1 juli 2007.

Med avvikelse från 24 § träder 15 §, som gäller skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster, i kraft fyra år efter lagens ikraftträdande. Om det emellertid är så att en tillhandahållare av hälso- och sjukvårdstjänster har anslutit sig som användare av i denna lag avsedda informationssystemtjänster innan 15 § träder i kraft, gäller bestämmelserna i denna lag de av tillhandahållarens handlingar som är kopplade till informationssystemtjänsterna. De riksomfattande informationssystemtjänster som avses i 14 § kan införas stegvis redan innan skyldigheten att ansluta sig inträtt. I så fall tillämpas denna lag på den behandling av patientuppgifter som sker med hjälp av de tjänsterna.

Avgifter enligt 22 § börjar tas ut fyra år efter lagens ikraftträdande.

Uppgifter som lagrats i de referensdatasystem som förverkligats i enlighet med lagen om försök med obrutna servicekedjor inom social- och hälsovården (811/2000) kan anslutas till den riksomfattande arkiveringstjänsten utan patientens samtycke. Utlämnandet av referensuppgifter som anslutits till arkiveringstjänsten och det utlämnande av patientuppgifter som sker med hjälp av dem sker i enlighet med denna lag med hjälp av sökuppgifter. Dessa sökuppgifter får emellertid inte lämnas ut utan patientens skriftliga samtycke.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.