703/2023

Syftet med denna lag är att förenhetliga behandlingen av kunduppgifter inom social- och hälsovården vid både ordnandet och tillhandahållandet av social- och hälsovårdstjänster.

Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen , vid behandlingen av kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag.

Bestämmelser om behandlingen av elektroniska recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns utöver i denna lag också i lagen om elektroniska recept (61/2007), nedan receptlagen .

Genom denna lag genomförs inom social- och hälsovården Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

I denna lag avses med

Kunduppgifterna inom social- och hälsovården är permanent sekretessbelagda.

En sekretessbelagd handling som innehåller kunduppgifter eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. Med utomstående avses i denna lag personer inom hälso- och sjukvården som inte är anställda hos den aktuella tjänstetillhandahållaren eller det aktuella apoteket eller som för tjänstetillhandahållarens eller apotekets räkning eller på uppdrag av tjänstetillhandahållaren eller apoteket deltar i ordnandet eller tillhandahållandet av hälso- och sjukvårdstjänster för patienten eller i uppgifter i samband med dem och inom socialvården personer som inte är anställda hos den aktuella tjänstetillhandahållaren eller som för tjänstetillhandahållarens räkning eller på uppdrag av den deltar i ordnandet eller tillhandahållandet av socialservice för socialvårdsklienten eller i uppgifter i samband med den.

Vid verksamhetsenheter inom hälso- och sjukvården får trots sekretessbestämmelserna sådana patientuppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för vården av patienten behandlas. Vid verksamhetsenheter inom socialvården får trots sekretessbestämmelserna sådana kunduppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för att tillhandahålla socialvård behandlas.

En tjänstetillhandahållare och en apotekare samt den som är anställd eller praktikant hos denna eller någon annan som handlar på uppdrag av tjänstetillhandahållaren eller apotekaren eller för dennas räkning liksom den som sköter ett förtroendeuppdrag inom socialvården eller en aktör som har fått kunduppgifter av tjänstetillhandahållaren eller apoteket har tystnadsplikt i fråga om de kunduppgifter de har fått och andra personliga uppgifter om kunden. En uppgift som omfattas av tystnadsplikt får inte heller röjas efter det att anställningsförhållandet eller uppdraget har upphört.

En person som avses i 1  mom. får inte obehörigen för utomstående röja uppgifter som han eller hon har fått eller använda uppgifterna för sin egen eller någon annans vinning.

En kund, kundens företrädare eller kundens biträde får inte för en utomstående röja en sekretessbelagd uppgift som fåtts på grundval av ställningen som kund och som gäller någon annan än kunden själv och inte heller använda uppgiften för sin egen eller någon annans vinning eller för att skada någon annan. En kund, kundens företrädare eller kundens biträde får dock använda uppgifter om andra än klienten själv när det är fråga om ett ärende som gäller den rätt, det intresse eller den skyldighet som klientens rätt att få information har grundat sig på.

Undantag från tystnadsplikten och sekretessen får göras med kundens samtycke eller om det föreskrivs om det i denna eller någon annan lag.

Den ansvariga föreståndaren hos en tjänstetillhandahållare och en apotekare ska meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter.

Vid behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, apoteket, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna och riksomfattande informationssystemtjänsterna identifieras på ett tillförlitligt sätt.

Tjänstetillhandahållaren, apoteket, Folkpensionsanstalten samt producenten av informationssystemtjänsten och tillverkaren av informationssystemet samt mellanhanden ska kontrollera att identifieringsverktygen för personer som behandlar kunduppgifter och som används för identifiering av informationstekniska enheter är i kraft med iakttagande av 25 § 4–6 mom. i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), nedan autentiseringslagen.

Rätten att använda kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar kunduppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har rätt att använda endast de nödvändiga kunduppgifter som personen behöver i sina arbetsuppgifter. Behandlingen av kunduppgifter ska grunda sig på en datatekniskt säkerställd kund- eller vårdrelation eller någon annan uppgift som anknyter till ordnandet och tillhandahållandet av kundens social- och hälsovårdstjänster.

Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet.

Tjänstetillhandahållare och apotek ska specificera vilka nödvändiga kunduppgifter yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har rätt att använda. Tjänstetillhandahållare och apotek ska föra register över dem som vid behandlingen av kunduppgifter använder tjänstetillhandahållarens eller apotekets informationssystem och kundregister samt över deras rätt att använda kunduppgifter.

En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje register samla in logguppgifter om all användning och allt utlämnande av kunduppgifter och uppgifter om välbefinnande. Apoteken ska samla in användningslogguppgifter om behandlingen av recept och andra anteckningar om läkemedelsbehandling som lagrats i det receptcenter som avses i 3 § 1 mom. 4 punkten i receptlagen.

I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, namnet och den unika identifikationskoden för den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen. I logguppgifterna för receptcentret ska det föras in uppgifter om vem som har läst, ändrat eller annars behandlat uppgifterna i ett recept eller någon annan anteckning om läkemedelsbehandling som lagrats i receptcentret samt tidpunkten för åtgärden.

I utlämningsloggregistret ska det föras in en beskrivning av utlämnade kunduppgifter samt uppgift om den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, mottagaren, tidpunkten för utlämnandet, det ändamål för vilket uppgifterna lämnades ut samt den bestämmelse som ligger till grund för utlämnandet eller tillstånd för utlämnandet eller uppgift om samtycke samt övriga uppgifter som behövs för tillsynen över och uppföljningen av utlämnandet.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll.

En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter och uppgifter om välbefinnande rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet.

Kunden har dock inte rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter eller om utlämnandet av dem kan äventyra förhindrande, avslöjande eller utredning av brott eller skyddet av den allmänna säkerheten eller den nationella säkerheten. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått.

Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillgång till logguppgifter med hjälp av det i 74 § avsedda medborgargränssnittet får dock ingen avgift tas ut.

Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket anser att logguppgifterna inte får lämnas ut till kunden, ska det meddelas ett skriftligt avslagsbeslut. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen.

Om en kund anser att hans eller hennes kunduppgifter eller uppgifter om välbefinnande har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare, Folkpensionsanstalten eller det apotek som använt eller fått uppgifterna på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren eller apoteket på eget initiativ vidta nödvändiga åtgärder.

Tjänstetillhandahållaren får vägra att tillgodose en kunds begäran om att begränsa behandlingen av sina personuppgifter med stöd av artikel 18 i dataskyddsförordningen, om en begränsning av behandlingen av uppgifterna kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.

Inom den offentliga social- och hälsovården är den tjänstetillhandahållare som svarar för ordnandet av tjänsterna personuppgiftsansvarig för kunduppgifterna, om inte något annat föreskrivs någon annanstans i lag. Inom den privata social- och hälsovården är den tjänstetillhandahållare personuppgiftsansvarig med vilken kunden har ingått ett avtal om tillhandahållande av tjänsten.

Personuppgiftsansvarig inom företagshälsovården är den tjänstetillhandahållare med vilken arbetsgivaren har ingått avtal om tillhandahållande av företagshälsovårdstjänster eller en arbetsgivare som i enlighet med 7 § i lagen om företagshälsovård själv ordnar företagshälsovården.

När en tjänsteproducent tillhandahåller social- eller hälsovårdstjänster för en annan tjänstetillhandahållares räkning, ansvarar tjänsteproducenten 

Tjänstetillhandahållaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och om tillgodoseendet av kundens rättigheter enligt 1 mom. 5 punkten samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor.

Om social- eller hälsovårdstjänster som ordnas av en tjänstetillhandahållare överförs till en annan tjänstetillhandahållares ansvar, ska de kundhandlingar som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna. Inom den offentliga social- och hälsovården överförs kundhandlingarna till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna från de tjänsteenheter som överförs till tjänstetillhandahållarens ansvar.

Om en arbetsgivare byter tjänstetillhandahållare inom företagshälsovården, kvarstår personuppgiftsansvaret för journalhandlingarna hos den tidigare tjänstetillhandahållaren.

När en tjänstetillhandahållares verksamhet har upphört, ska de kundhandlingar, logguppgifter och biologiska provmaterial som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för det välfärdsområde eller Helsingfors stad inom vars område tjänstetillhandahållaren har haft sin hemort. När verksamheten upphör ska tjänstetillhandahållaren se till att handlingarna utan ogrundat dröjsmål lämnas till Folkpensionsanstalten för bevarande. Om verksamheten har upphört på grund av tjänstetillhandahållarens död eller konkurs, svarar dödsboet eller konkursboet för att handlingarna överförs. De handlingar som gäller avslutad verksamhet ska hållas åtskilda från den personuppgiftsansvariges egna patientregister och klientregister inom socialvården.

Om flera tjänstetillhandahållare har avtalat om gemensamt personuppgiftsansvar i enlighet med dataskyddsförordningen, kan den tjänstetillhandahållare som fungerar som kontaktpunkt vara personuppgiftsansvarig för kunduppgifterna hos den tjänstetillhandahållare som har avslutat sin verksamhet.

Varje välfärdsområde och Helsingfors stad har var för sig gemensamt personuppgiftsansvar tillsammans med Folkpensionsanstalten. Folkpensionsanstalten ansvarar som gemensamt personuppgiftsansvarig för säkerställande av säkerhet i fråga om uppgifterna samt för bevarande och utplåning av uppgifter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Varje välfärdsområde och Helsingfors stad ansvarar för den personuppgiftsansvariges övriga skyldigheter enligt dataskyddsförordningen.

Elektroniska handlingar kan föras in i den riksomfattande informationsresurs för kunduppgifter som ingår i de riksomfattande informationssystemtjänster som avses i 65 §.

Yrkesutbildade personer inom social- och hälsovården och bistående personer som deltar i tillhandahållandet av tjänsterna ska i kundhandlingarna anteckna behövliga och tillräckliga uppgifter för att säkerställa ordnandet, planeringen, genomförandet, uppföljningen och övervakningen av servicen för en klient och vården av en patient.

Tjänstetillhandahållarens journalhandlingar, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i patientregistret och klienthandlingarna inom socialvården förs in i socialvårdens klientregister.

Journalhandlingarna inom företagshälsovården, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i företagshälsovårdens patientregister arbetsgivarspecifikt.

Det språk som används i kundhandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem.

Bestämmelser om de språkliga rättigheterna i social- och hälsovård som ordnas av myndigheter finns i språklagen (423/2003) och i samiska språklagen (1086/2003).

Kundhandlingarnas datastrukturer ska göra det möjligt att rikta, använda, lämna ut, bevara, skydda och utnyttja åtkomsträttigheterna till elektroniska kundhandlingar och kunduppgifter. Datastrukturerna ska göra det möjligt att utnyttja kunduppgifter även för sekundära användningsändamål med hjälp av de riksomfattande informationssystemtjänster som avses i 65 § och tjänstetillhandahållarnas andra informationssystem.

Institutet för hälsa och välfärd meddelar föreskrifter om kundhandlingarnas datastrukturer och datainnehåll samt om de kodsystem som överallt i landet ska användas i datastrukturerna.

En kundhandling ska utan dröjsmål upprättas och föras in i de riksomfattande informationssystemtjänster som avses i 65 § när handlingen är klar.

Remisser ska utan dröjsmål upprättas och sändas till platser för fortsatt vård. Sammanfattningen av den vård som getts, inklusive anvisningar om fortsatt vård, ska utan dröjsmål sändas till patienten samt till platsen för fortsatt vård eller till en annan plats, om vilken det avtalats med patienten. Sammanfattningen ska även i icke-brådskande fall sändas utan dröjsmål.

Handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas när kunduppgifter behandlas, överförs och bevaras.

Underskrift av yrkesutbildade personer inom hälso- och sjukvården i intyg, utlåtanden och andra handlingar som kräver underskrift kan vara en egenhändig eller elektronisk underskrift. Handlingar som förs in i de riksomfattande informationssystemtjänsterna ska säkerställas med elektronisk underskrift eller elektronisk stämpel. Bestämmelser om signering av recept finns i 7 § i receptlagen.

Vid elektronisk signering som görs av en fysisk person ska det användas minst en sådan avancerad elektronisk underskrift, och organisationer och informationsteknisk utrustning ska använda en sådan elektronisk stämpel med motsvarande tillförlitlighet, som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Kundhandlingar i original samt sådana prov och modeller av organ som uppkommer vid undersökning och vård av en patient och som innehåller biologiskt material ska bevaras den tid som anges i bilagan. Handlingar som är av medicinsk betydelse för medicinsk genetik och sällsynta sjukdomar ska bevaras varaktigt och prover och modeller av organ kan bevaras varaktigt, dock så att behovet att bevara dem ska bedömas vart femte år. Den personuppgiftsansvarige svarar för bevarandet. Folkpensionsanstalten svarar dock för bevarandet av de handlingar som förts in i de riksomfattande informationssystemtjänsterna.

Bestämmelser om arkivering finns i arkivlagen (831/1994).

När bevarandetiden för kundhandlingarna har gått ut och det inte har bestämts att en handling ska arkiveras, ska tjänstetillhandahållaren se till att de kundhandlingar och annat material som omfattas av dess personuppgiftsansvar förstörs omedelbart och på ett sådant sätt att utomstående inte får kännedom om dem.

Folkpensionsanstalten ska se till att kundhandlingar som har förts in i de riksomfattande informationssystemtjänsterna förstörs. När en tjänstetillhandahållares verksamhet har upphört ska den som ansvarar för förvaringen av handlingarna se till att de kundhandlingar som den förvarar förstörs.

Anteckningar i journalhandlingarna får göras av sådana yrkesutbildade personer inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsterna för patienten och i enlighet med de i 7 § avsedda anvisningarna av den ansvariga föreståndaren hos tjänstetillhandahållaren också av andra personer till den del de deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsten. Bestämmelser om uppgörande av recept finns i 5 § i receptlagen. Studerande inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av en hälso- och sjukvårdstjänst för patienten får göra anteckningar när de är verksamma i legitimerade yrkesutbildade personers uppgifter i enlighet med 2 § 3 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994). Anteckningar som i övrigt gjorts av en studerande inom hälso- och sjukvården ska godkännas av dennas förman eller handledare eller av någon annan person med fullmakt att godkänna anteckningarna.

En yrkesutbildad person inom hälso- och sjukvården som dikterat anteckningar i journalhandlingar ansvarar för anteckningarna.

Anteckningar i journalhandlingar kan dessutom bestå av utskrifter som har skrivits ut av medicintekniska produkter, programvara eller robotar för hälso- och sjukvård och som är behövliga i vården av en patient.

Till journalhandlingarna hör anteckningar som yrkesutbildade personer har gjort om servicehändelser, recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, upptagningar som hänför sig till diagnostik och utlåtanden i anslutning till dem och andra bild-, ljud- och videoupptagningar som hänför sig till tillhandahållandet av patientens hälsovårdstjänster, handlingar som hänför sig till ordnandet av hälso- och sjukvårdstjänster för patienten samt handlingar som kommit till hälso- och sjukvården någon annanstans ifrån.

Anteckningar i journalhandlingar i anslutning till medicinsk genetik och psykiatri och anteckningar i journalhandlingar i anslutning till motsvarande tjänster som kräver särskild konfidentialitet ska skyddas genom en separat begäran om bekräftelse eller ett motsvarande förfarande vid servicehändelser inom andra specialiteter eller tjänster än de nämnda. Kravet på skydd gäller dock inte medicineringsuppgifter eller riskinformation som eventuellt ingår i uppgifterna. Närmare bestämmelser om vilka anteckningar i journalhandlingarna som ska ges särskilt skydd utfärdas genom förordning av social- och hälsovårdsministeriet.

De journalhandlingar som förs in i de riksomfattande informationssystemtjänsterna ska bilda en sammanhängande dokumenthelhet med hjälp av specificerade koder för servicehändelserna.

Av journalhandlingarna ska alltid framgå

Av journalhandlingarna ska också framgå följande uppgifter, om uppgifterna behövs för att ordna eller tillhandahålla vård eller service för patienten eller med tanke på ställningen för ett minderårigt barn som patienten har vårdnaden om eller en person som patienten ger närståendevård:

Om den som gjort den tekniska registreringen av en anteckning som avses i 1 mom. 3 punkten är en annan person än den som svarar för anteckningens innehåll ska det av journalhandlingen också framgå uppgifter om den som gjort den tekniska registreringen av anteckningen. Av anteckningen ska framgå källan till uppgifterna, om en uppgift inte baserar sig på observationer som en yrkesutbildad person själv har gjort eller det i journalhandlingarna antecknas andra uppgifter än sådana som gäller patienten själv.

I journalhandlingarna ska anteckningar göras för varje servicehändelse. Av anteckningarna ska i behövlig omfattning framgå uppgifter om patientens hälsotillstånd, de tjänster som tillhandahållits och sjukdomsförloppet och genomförandet av vården samt grunderna för diagnosen, för den vård som valts och för de vårdavgöranden som fattats. I fråga om recept ska de uppgifter som avses i 6 § i receptlagen antecknas samt motiveringen till den valda läkemedelsbehandlingen till den del som uppgiften inte ingår i receptet.

Det ska vara möjligt att få reda på vilka yrkesutbildade personer och andra personer som har deltagit i tillhandahållandet av vården och tjänsterna.

Läkarutlåtanden och intyg ska antecknas enligt den tidpunkt då de utfärdats.

Om det med tanke på vården av en patient är nödvändigt att föra in uppgifter som någon annan har berättat om sig själv eller andra detaljerade känsliga uppgifter om någon annan person, ska dessa uppgifter antecknas i en separat handling i anslutning till patientens servicehändelse.

Av anteckningarna i journalhandlingarna ska i behövlig omfattning framgå orsaken, förhandsuppgifter (anamnes), status, observationer, undersökningsresultat, problem, diagnos eller hälsorisk, slutsatser samt planering, genomförande och uppföljning av vården, sjukdomsförloppet samt ett slututlåtande. Av anteckningarna ska framgå hur vården har genomförts, om någonting särskilt uppdagats under vården och vilka avgöranden som fattats om vården medan den pågått.

Om patienten genomgått en operation eller någon annan åtgärd vidtagits, ska över operationen eller åtgärden avfattas en berättelse som innehåller en tillräckligt detaljerad beskrivning av hur åtgärden utförts och de observationer som gjorts under åtgärden. Berättelsen ska innehålla motiveringar till de avgöranden som träffats under åtgärden.

Uppgifter om proteser, implantat, tandfyllningsmaterial och andra material som permanent opererats in i patienten, ska antecknas i journalhandlingarna med en sådan noggrannhet att de kan identifieras senare.

Om självbestämmanderätten för en patient begränsas med stöd av mentalvårdslagen (1116/1990), lagen om missbrukarvård (41/1986), lagen om smittsamma sjukdomar (1227/2016) eller någon annan lag, ska det göras en anteckning om detta, och av denna anteckning ska framgå orsaken till åtgärden, dess art och längd, en bedömning av hur åtgärden inverkar på vården av patienten samt namnet på den läkare som ordinerat åtgärden och de personer som vidtagit åtgärden.

Hos patienten känd läkemedelsallergi, materialallergi och överkänslighet samt andra liknande omständigheter som ska beaktas i vården ska antecknas i journalhandlingarna.

Uppgifter om sådana hälsorisker som en arbetstagare på grund av arbetet är utsatt för ska antecknas i eller fogas till företagshälsovårdens journalhandlingar som gäller arbetstagaren.

I patientjournalen ska det antecknas uppgifter om konstaterade skadliga verkningar av undersöknings- och vårdåtgärder samt om vård som inte haft någon effekt.

Misstänkta patient-, apparat- eller läkemedelsskador ska antecknas detaljerat i patientjournalen så att det av anteckningarna framgår en beskrivning av skadan, en redogörelse för de yrkesutbildade personer inom hälso- och sjukvården som deltagit i vården samt i fråga om apparat- och läkemedelsskador en beskrivning av vad som misstänks ha orsakat skadan. Identifikationsuppgifter för läkemedel och apparater ska antecknas specificerat. Anteckningarna ska göras omedelbart efter att misstanken om skada har uppstått.

Den yrkesutbildade person inom hälso- och sjukvården som bär ansvar för vården ska göra anteckningar i journalhandlingarna om sådana telefonförhandlingar som är av betydelse för patientens diagnos eller vård samt om andra liknande konsultationer och vårdförhandlingar. Av anteckningarna ska framgå tidpunkten för konsultationen eller förhandlingen, de personer som deltagit i behandlingen av ärendet samt de avgöranden som fattats och hur de verkställts.

Om en konsultation sker så att patienten kan identifieras, ska i de situationer som avses i 1 mom. även den som konsulterats göra anteckningar om sitt konsultationssvar i journalhandlingarna eller på annat sätt ha kvar uppgifter om svaret.

I fråga om en patient som omfattas av avdelningsvård eller långvarig vård ska det med tanke på vården av patienten tillräckligt ofta göras anteckningar om förändringar i patientens tillstånd, de undersökningar som gjorts och den vård som getts patienten. Det ska dagligen antecknas observationer, vårdåtgärder och motsvarande omständigheter som gäller patientens tillstånd.

I journalhandlingarna för en långtidssjuk patient i sjukhusvård ska läkaren med minst tre månaders mellanrum göra ett uppföljningssammandrag oberoende av om väsentliga förändringar har inträffat i patientens tillstånd.

Över varje vårdperiod ska det avfattas ett slututlåtande när vården upphör efter vårdperioden eller när ansvaret för vården av patienten överförs, om det inte finns särskilda skäl att avvika från detta.

Slututlåtandet ska utöver sammanfattningar av den vård som getts innehålla klara och detaljerade anvisningar för uppföljningen av patienten och för den fortsatta vården. I slututlåtandet ska dessutom beskrivas eventuella avvikelser i patientens återhämtning efter en åtgärd och patientens tillstånd när servicehändelsen avslutas.

När en minderårig person är kund inom hälso- och sjukvården, ska det för varje servicetillfälle antecknas om den minderårige själv har kunnat fatta beslut om sin vård på det sätt som avses i 7 § i patientlagen. Av anteckningarna ska även framgå om den minderårige patienten, som själv kan fatta beslut om sin vård, tillåter att uppgifter om hans eller hennes hälsotillstånd eller om vården ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifter eller om patienten med stöd av 51 § 1 mom. har förbjudit att uppgifter ges.

När ett barn under tolv år är kund kan informationssystemet som standard för handlingarna producera information om att barnet inte har kunnat fatta beslut om sin vård. En yrkesutbildad person inom social- och sjukvården ska vid behov ändra uppgiften, om barnet kan fatta beslut om sin vård.

Om en patient som uppnått myndighetsåldern i en situation som avses i 6 § 2 och 3 mom. i patientlagen i stället för i samförstånd med patienten själv vårdas i samförstånd med sin lagliga företrädare, en nära anhörig eller någon annan närstående, ska en anteckning om detta göras i journalhandlingarna.

Om patienten i en situation som avses i 4 § 1 mom. i patientlagen blir tvungen att vänta på vård, ska det i journalhandlingarna göras anteckningar om orsaken till dröjsmålet, om den tidpunkt som patienten meddelats att han eller hon får vård och om att de nämnda uppgifterna har meddelats patienten. I journalhandlingarna antecknas också om patienten har hänvisats till en annan vårdplats. Om den tidpunkt för vård som meddelats patienten ändras, ska det i journalhandlingarna föras in uppgifter om den nya tidpunkten och orsaken till ändringen samt uppgifter om att patienten har underrättats om ändringen.

I journalhandlingarna ska det göras anteckningar om upplysningar som enligt 5 § 1 mom. i patientlagen getts patienten om omständigheter som hänför sig till vården. Om upplysningar inte har getts, ska orsaken till detta antecknas i journalhandlingarna.

Om patienten vägrar genomgå undersökning eller ta emot vård, ska en anteckning om vägran göras i journalhandlingarna.

Om patienten med tanke på framtiden önskar uttrycka sin bestämda vilja i fråga om vården, ska uppgift om detta föras in i viljeyttringstjänsten samt vid behov en motsvarande anteckning göras i journalhandlingarna och till journalhandlingarna fogas en separat av patienten bekräftad handling som uttrycker patientens vilja. I journalhandlingarna ska dessutom göras anteckningar om att patienten getts tillräckliga upplysningar om följderna av att hans eller hennes vilja följs.

Skyldigheten att anteckna klientuppgifter inom socialvården börjar då tjänstetillhandahållaren har blivit informerad om att en person är i behov av service eller har börjat lämna socialservice.

Av varje klienthandling inom socialvården som förs in i socialvårdens klientregister ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter inom socialvården handlingen ansluter sig.

Av sådana klienthandlingar inom socialvården som har sparats i samband med socialvård eller socialservice som har producerats för någon annans räkning ska det framgå uppgifter om grunderna för behandlingen av dem samt vem som är serviceanordnare och tjänsteproducent. Om man har använt sig av underleverantörer ska hela leverantörskedjan framgå av klientuppgifterna inom socialvården.

Av en klienthandling inom socialvården ska alltid framgå 

I klienthandlingar inom socialvården ska följande uppgifter antecknas:

Vidare ska följande basuppgifter om berörda personer antecknas i en klienthandling inom socialvården om uppgifterna inverkar på de tjänster klienten får:

Om uppgifter om en socialvårdsklient fås av någon annan än klienten själv, ska mottagaren kunna verifiera

Om en minderårig socialvårdsklient med stöd av 51 § förbjuder att hans eller hennes klientuppgifter lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, ska förbudet och det vägande skäl som anges som grund för förbudet antecknas.

Om en minderårigs rätt att förbjuda utlämnande av sina klientuppgifter förvägras på grund av att den minderårige klienten inte har angett sådana vägande skäl för förbudet som avses i 1 mom., eller för att det anses att det klart skulle strida mot den minderårige klientens eget intresse om uppgifterna inte lämnades ut, ska också motiveringen för detta avgörande antecknas i klienthandlingen.

I klienthandlingar inom socialvården som gäller inledandet av ett ärende antecknas

Förutom vad som föreskrivs i 37 § och 39 § 2 mom. 1–3 och 5 punkten i socialvårdslagen (1301/2014) antecknas i handlingar som gäller bedömningen av servicebehovet för en socialvårdsklient vid behov den uppfattning som klientens lagliga företrädare, en anhörig, närstående eller någon annan person har om klientens behov av stöd.

I utvärderingen av en plan antecknas dessutom den uppfattning som klienten samt övriga personer som har deltagit i genomförandet av planen har om hur målen i planen har uppnåtts, liksom arbetstagarens bedömning av saken.

Förutom vad som föreskrivs i 39 § 2 mom. 4 och 6–9 punkten i socialvårdslagen antecknas i en klientplan

I klientrapporten antecknas både händelser i anslutning till klienten eller klientrelationen där klientens ärende har behandlats, tidpunkten för det stöd eller den service som klienten har fått samt vem som har deltagit i behandlingen av ärendet.

Bestämmelser om de uppgifter som ska antecknas i en beslutshandling finns i 44 § 1 mom. och 45 § 1 mom. i förvaltningslagen (434/2003).

Om social- och hälsovårdstjänster tillhandahålls gemensamt av socialvårdspersonal och hälso- och sjukvårdspersonal på ett verksamhetsställe för social- och hälsovård kan det för kunden göras en gemensam bedömning av servicebehovet, en gemensam kundplan och gemensamma anteckningar i kundrapporten för tjänsten i fråga samt utarbetas andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret. Kundrapporten förs in i klientregistret inom socialvården. Anteckningarna i journalhandlingarna förs in i patientregistret.

Om social- och hälsovårdspersonal i samarbete tillhandahåller social- och hälsovårdstjänster, kan det för kunden göras upp en gemensam bedömning av servicebehovet, en gemensam kundplan och andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret.

De som deltar i sektorsövergripande samarbete mellan social- och hälsovården och andra sektorer kan trots sekretessbestämmelserna

I fråga om skyldigheten att iaktta sekretess när det gäller sådana kunduppgifter som avses i 1 mom. tillämpas bestämmelserna i 4 § 1 mom. i denna lag och i 35 § i dataskyddslagen, oberoende av i vilken organisations handlingar uppgifterna ingår. Kunduppgifter får inte användas eller lämnas ut för andra ändamål än de för vilka uppgifterna har lagrats. Kunduppgifter får bevaras endast så länge det är nödvändigt med tanke på användningsändamålet.

En patients lagliga företrädare eller en nära anhörig eller någon annan närstående person har i de fall som avses i 6 § 2 och 3 mom. i patientlagen rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges.

En nära anhörig till patienten eller någon annan patienten närstående har rätt att få uppgifter om patientens person och hälsotillstånd då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta.

Den lagliga företrädaren eller en nära anhörig eller någon annan närstående person till en socialvårdsklient har i de fall som avses i 7 § 2 mom. i klientlagen och 30 § 2 mom. i barnskyddslagen (417/2007) rätt att få de uppgifter om klienten som behövs för att göra upp en klient-, service- eller vårdplan samt i de fall som avses i 9 § 1 mom. i klientlagen de uppgifter som behövs för att utreda klientens vilja.

En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) behandla uppgifter om en annan person. En vårdnadshavare har rätt att behandla sparade uppgifter om en person som vårdnadshavaren har vårdnaden om, om inte något annat följer av 51 §, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983).

En minderårig patient inom hälso- och sjukvården som med beaktande av ålder och utvecklingsnivå kan fatta beslut om vården har rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna.

Inom socialvården kan en minderårig med beaktande av ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, om inte detta klart strider mot den minderåriges intresse. Om den minderårige eller den lagliga företrädaren är parter i ett socialvårdsärende, har den lagliga företrädaren dock rätt att få uppgifter. Bestämmelser om rätt att få uppgifter finns i 11 § i offentlighetslagen.

Uppgifter om den social- eller hälsovård som en avliden person fått under sin livstid får på en motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose sina viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål.

När socialvården och hälso- och sjukvården tillhandahåller en gemensam tjänst på ett verksamhetsställe för social- och hälsovård har de som deltar i tillhandahållandet av tjänsten rätt att få och använda sådana kunduppgifter som är nödvändiga för tillhandahållandet av tjänsten.

En tjänstetillhandahållare inom socialvården har rätt att få och använda patientuppgifter för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka patientuppgifter en tjänstetillhandahållare inom socialvården har rätt att få och använda för att ordna och tillhandahålla socialservicen.

En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka klientuppgifter inom socialvården en tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda för att ordna och tillhandahålla hälso- och sjukvårdstjänsterna.

Närmare bestämmelser om hur det tillstånd som avses i 2 och 3 mom. ska gälla patientuppgifter och klientuppgifter inom socialvården får utfärdas genom förordning av social- och hälsovårdsministeriet.

En tjänstetillhandahållare inom socialvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter för att ordna eller tillhandahålla socialservice för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare. Dessutom har en myndighet inom socialvården rätt att av tjänstetillhandahållare inom hälso- och sjukvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till myndigheten.

En tjänstetillhandahållare inom hälso- och sjukvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare.

En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna och tillhandahålla hälso- och sjukvårdstjänster för en patient. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Tillståndet för utlämnande gäller patientens alla patientuppgifter och tillståndets omfattning kan begränsas med hjälp av förbud. Bestämmelser om utlämnande av uppgifter om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.

Om en patient på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om tillståndet för utlämnade inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna eller tillhandahålla nödvändig hälso- och sjukvård för patienten utan patientens tillstånd för utlämnande av uppgifter.

Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose rätten att få uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.

Tjänstetillhandahållaren får på eget initiativ eller på begäran av en utländsk tjänstetillhandahållare inom hälso- och sjukvården lämna ut nödvändiga patientuppgifter för ordnande eller tillhandahållande av hälso- och sjukvårdstjänster för en patient, om patienten på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om ett tillstånd för utlämnande inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak.

En tjänstetillhandahållare inom socialvården har rätt att få och använda klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna, om det är fråga om något annat fall än ett sådant som avses i 56 § 1 mom. eller om det inte föreskrivs om rätten att få uppgifter någon annanstans i lag. Tillståndet gäller klientens alla klientuppgifter inom socialvården och tillståndets omfattning kan begränsas med hjälp av förbud.

Om en socialvårdsklient på grund av minnessjukdom, mental störning eller utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialvårdsklientens nödvändiga socialservice. Dessutom har en myndighet inom socialvården rätt att av andra tjänstetillhandahållare inom socialvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till tjänstetillhandahållaren.

Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose tillgången till uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.

Om tillstånd för utlämnande av klientuppgifter enligt 55 § inte kan fås på grund av klientens minnessjukdom, mentala störning, utvecklingsstörning eller av någon annan motsvarande orsak eller om klienten eller dennes lagliga företrädare förbjuder att en uppgift utlämnas, får en tjänstetillhandahållare inom socialvården trots skyldigheten att iaktta sekretess ur handlingen lämna ut sådana uppgifter som är nödvändiga för att behovet av vård av, omsorg om eller utbildning för klienten ska kunna utredas, för att vården, omsorgen eller utbildningen ska kunna ordnas eller genomföras eller för att förutsättningarna för försörjningen ska kunna tryggas. Uppgifter får dock lämnas ut endast om

I de fall som avses i 1 mom. får uppgifter lämnas ut till en annan offentlig tjänstetillhandahållare inom socialvården och till en tjänsteproducent som handlar för dennas räkning eller till en person eller sammanslutning som sköter uppgifter inom socialvården på uppdrag av den offentliga tjänstetillhandahållaren samt till andra finländska eller utländska myndigheter.

Till en privat tjänstetillhandahållare inom social- och hälsovården får dock i de fall som avses i 1 mom. lämnas endast nödvändiga uppgifter för att en klient ska kunna få omedelbar vård eller omsorg eller av någon annan jämförbar orsak. Till någon annan person eller sammanslutning får nödvändiga uppgifter lämnas ut om det är nödvändigt att lämna uppgifterna för att utreda klientens vilja eller behov av socialvård eller för att genomföra en socialvårdsåtgärd.

Den rätt att få uppgifter som avses i 53–55 § får tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som är gemensamt för tjänstetillhandahållarna efter det att existensen av en vårdrelation eller klientrelation mellan patienten eller socialvårdsklienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. När rätten att få uppgifter tillgodoses med hjälp av det nämnda informationssystemet ska utöver det som föreskrivs i 53–55 § också det som föreskrivs om åtkomsträttigheter till nödvändiga kunduppgifter följas.

Ett tillstånd för eller förbud mot utlämnande av uppgifter ska vara frivilligt meddelat. Ett tillstånd för eller förbud mot utlämnande gäller tills vidare och kan återtas. En vårdnadshavare eller en annan laglig företrädare har inte rätt att förbjuda utlämnande av patientuppgifter för en minderårigs räkning i situationer som avses i 8 § i patientlagen.

Ett tillstånd för eller förbud mot utlämnande som gäller riksomfattande informationssystemtjänster ska grunda sig på tillräcklig information som ges i ett förfarande enligt 68 §. Meddelande av tillstånd för eller förbud mot utlämnande av uppgifter som gäller riksomfattande informationssystemtjänster lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssnitt. Tjänstetillhandahållaren ska utan dröjsmål föra in uppgift om det meddelade tillståndet för eller förbudet mot utlämnande som gäller riksomfattande informationssystemtjänster i viljeyttringstjänsten.

Den som tar emot ett tillstånd för eller ett förbud mot utlämnande ska på begäran ge kunden en utskrift av tillståndshandlingen eller förbudshandlingen eller så ska kunden ges handlingen i fråga på ett annat sätt som är tillgängligt.

Folkpensionsanstalten fastställer innehållet i en tillståndshandling och förbudshandling. Av tillståndshandlingen respektive förbudshandlingen ska tillståndets eller förbudets betydelse vid behandlingen av kunduppgifter framgå.

På återkallande av tillstånd för och förbud mot utlämnande tillämpas vad som i 1–3 mom. föreskrivs om meddelande av tillstånd och förbud.

En socialvårdsklients förbud mot utlämnande av sina klientuppgifter inom socialvården kan gälla en personuppgiftsansvarig inom socialvården, ett serviceuppdrag eller en enskild klienthandling inom socialvården.

En patients förbud mot utlämnande av sina patientuppgifter kan gälla patientens alla patientuppgifter, en personuppgiftsansvarig inom offentlig hälso- och sjukvård och dess register samt ett register eller en servicehändelse inom privat företagshälsovård.

Bestämmelser om inriktningen av förbud i fråga om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.

Patientuppgifter som ingår i den informationshanteringstjänst som avses i 71 § får med patientens samtycke lämnas ut till en utländsk producent av hälso- och sjukvårdstjänster via de riksomfattande informationssystemtjänsterna för ordnande och tillhandahållande av sådana hälso- och sjukvårdstjänster som avses i artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård. Bestämmelser om förutsättningarna för samtycke finns i artikel 7 i dataskyddsförordningen.

Folkpensionsanstalten är i Finland nationell teknisk och elektronisk kontaktpunkt mellan de riksomfattande informationssystemtjänsterna och den nationella kontaktpunkten i utlandet. Folkpensionsanstalten sammanställer ett patientsammandrag av patientuppgifterna i informationshanteringstjänsten.

Bestämmelser om utlämnande av patientuppgifter för klinisk prövning av läkemedel finns i 34 § i lagen om klinisk prövning av läkemedel (983/2021) och bestämmelser om utlämnande av patientuppgifter för medicinsk forskning finns i 21 c § i lagen om medicinsk forskning (488/1999).

En tjänstetillhandahållare eller en person som utför tjänstetillhandahållarens uppgifter får oberoende av skyldigheten att iaktta sekretess till polisen anmäla uppgifter som är nödvändiga för bedömningen av ett hot mot liv eller hälsa eller för förhindrande av en hotande gärning, om han eller hon vid fullgörandet av uppgifter enligt socialvårdslagen eller hälso- och sjukvårdslagen (1326/2010) har fått kännedom om omständigheter som ger skäl att misstänka att någon löper risk att bli utsatt för våld.

En tjänstetillhandahållare inom socialvården får, om det är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse, lämna ut sekretessbelagda kunduppgifter oberoende av klientens eller dennes lagliga företrädares samtycke till en domstol eller någon annan finländsk eller utländsk myndighet i ett ärende där tjänstetillhandahållaren har lagstadgad rätt eller skyldighet att anhängiggöra ett ärende eller att delta i behandlingen eller verkställandet av ett anhängigt ärende genom att avge ett utlåtande eller en utredning eller på något annat motsvarande sätt. Dessutom får sekretessbelagda kunduppgifter lämnas ut till en myndighet eller inrättning som behandlar sociala förmåner för utredande av oegentligheter som gäller en förmån, om det finns grundad anledning att misstänka oegentligheter.

En tjänstetillhandahållare inom socialvården ska på begäran oberoende av klientens eller den lagliga företrädarens samtycke lämna ut sekretessbelagda kunduppgifter till polisen, en åklagarmyndighet och en domstol, om det är nödvändigt för utredande av ett brott för vilket underlåtenhet att anmäla är straffbar enligt 15 kap. 10 § strafflagen (39/1889) eller för vilket det föreskrivna maximistraffet är fängelse i minst fyra år.

Sekretessbelagda kunduppgifter får lämnas ut av en tjänstetillhandahållare inom socialvården också på eget initiativ vid misstanke om ett brott som avses i 2 mom. eller om det föreligger misstanke om ett brott som är mindre grovt än vad som där nämns, om tjänstetillhandahållaren inom socialvården bedömer att utlämnandet är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse.

En offentlig tjänstetillhandahållare inom socialvården får utöver i de fall som avses i 1–3 mom. lämna ut sekretessbelagda kunduppgifter, om det är nödvändigt för kontroll av uppgifter som är av väsentlig betydelse för att tjänstetillhandahållaren inom socialvården ska kunna sköta sin lagstadgade uppgift i situationer där tjänstetillhandahållaren själv har rätt att få uppgifter.

En myndighet inom socialvården har trots sekretessbestämmelserna rätt att av statliga och kommunala myndigheter samt andra offentligrättsliga samfund, Folkpensionsanstalten, Pensionsskyddscentralen, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter och utbildningsanordnare på begäran avgiftsfritt få sådana uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för tjänstetillhandahållaren på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra åtgärder i anslutning till den samt för att kontrollera uppgifter som lämnats till myndigheten.

Vad som i 1 mom. föreskrivs om skyldighet att lämna uppgifter gäller också penninginstitut, om en myndighet inom socialvården inte får tillräckliga uppgifter och utredningar av dem som nämns i 1 mom. och om det finns grundad anledning att misstänka att de uppgifter som klienten eller dennes lagliga företrädare har lämnat är otillräckliga eller otillförlitliga. Begäran ska framställas skriftligen till penninginstitutet. En tjänsteinnehavare inom socialvården som tillförordnats av en behörig myndighet som ansvarar för ordnandet av socialservice är berättigad att fatta beslutet om att begäran ska framställas. Innan begäran framställs till penninginstitutet ska klienten underrättas om den.

En myndighet inom social- och hälsovården har rätt att på begäran avgiftsfritt av skattemyndigheten och Folkpensionsanstalten få sekretessbelagda personuppgifter oberoende av kundens samtycke för fastställande av avgift och kontroll av uppgifter. Myndigheten inom social- och hälsovården ska på förhand underrätta kunden om att uppgifter begärs.

För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster:

Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta en roll- och attributtjänst och anslutande kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ska förvalta en kodtjänst med vars hjälp de datastrukturer i kundhandlingarna som de riksomfattande informationssystemtjänsterna förutsätter underhålls och delas.

Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tjänstetillhandahållare inom social- och hälsovården samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat enligt 3 mom.

De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska alltid vara tillgängliga. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden.

Folkpensionsanstalten svarar

Folkpensionsanstalten har rätt

För att säkerställa informationssäkerheten upprätthåller Folkpensionsanstalten en övervakningscentral och vidtar behövliga åtgärder i samarbete med tjänstetillhandahållarna när den upptäcker avvikande verksamhet. Folkpensionsanstalten ska utan dröjsmål underrätta Transport- och kommunikationsverkets cybersäkerhetscenter om sådana kränkningar av informationssäkerheten och störningar i informationssäkerheten som den upptäcker och trots sekretessbestämmelserna lämna centret nödvändiga uppgifter.

Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Folkpensionsanstalten kan göra och till en tjänstetillhandahållare lämna ut sammanställningar som grundar sig på de kunduppgifter och logguppgifter i tjänstetillhandahållarens egna register som har sparats i de riksomfattande informationssystemtjänsterna och som är av betydelse för utvecklingen, uppföljningen, rapporteringen och övervakningen av tjänstetillhandahållarens verksamhet. Sammanställningarna får inte innehålla personuppgifter.

I skyddet av de riksomfattande informationssystemtjänsterna iakttas vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter. Folkpensionsanstalten får inte överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna eller av loggregister som hänför sig till sådana register till att utföras av utomstående.

Tjänstetillhandahållare och apotek ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna och ta i bruk de i 65 § 1 mom. avsedda informationssystemtjänster i vilka tjänstetillhandahållaren är skyldig att föra in kunduppgifter eller med hjälp av vilka kunduppgifter kan lämnas ut till tjänstetillhandahållaren.

Privata tjänstetillhandahållare inom social- och hälsovården ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av patientuppgifter eller av klientuppgifter inom socialvården.

Andra aktörer än tjänstetillhandahållare inom social- och hälsovården, beträffande vilkas tjänster och behandling av personuppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 65 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten.

Tjänstetillhandahållare inom social- och hälsovården i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna.

Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som hänför sig till hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten.

Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet.

Efter anslutningen till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original samt kopior av handlingar som förmedlas via informationsförfrågnings- och förmedlingsservicen i den riksomfattande informationsresursen för kunduppgifter, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret. Kundhandlingar som uppkommit före anslutningen kan sparas i den riksomfattande informationsresursen för kunduppgifter. I den riksomfattande informationsresursen för kunduppgifter får det utöver kundhandlingar även sparas andra handlingar som innehåller kunduppgifter samt handlingar som hänför sig till ordnandet av social- och hälsovården.

Av en elektronisk kundhandling får det i den riksomfattande informationsresursen för kunduppgifter finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning får det av kundhandlingen i original göras ett extra exemplar av vilket det ska framgå att det inte är originalet.

Varje i 13 § avsedd personuppgiftsansvarig för kunduppgifter är personuppgiftsansvarig för de handlingar som den fört in i den riksomfattande informationsresursen för kunduppgifter.

Tjänstetillhandahållaren ska i förvaringstjänsten för loggregister spara de logguppgifter om utlämnande av kunduppgifter som avses i 10 §. I förvaringstjänsten för loggregister får tjänstetillhandahållaren också spara logguppgifter om användningen av kunduppgifter.

Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 65 § avsedda riksomfattande informationssystemtjänsterna och som har lämnats ut via dem samla in och spara i förvaringstjänsten för loggregister dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk.

Varje tjänstetillhandahållare inom social- och hälsovården, varje apotek och Folkpensionsanstalten är personuppgiftsansvarig för de användningsloggar som uppkommer i dess verksamhet.

Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är en yrkesutbildad person inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av användningslogguppgifter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §.

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården. Tjänstetillhandahållarna, apoteken och Folkpensionsanstalten är gemensamt personuppgiftsansvariga för receptcentrets utlämningslogg. De tjänstetillhandahållare som för in uppgifter för förvaringstjänsten för loggregister ansvarar för riktigheten av de uppgifter som uppkommit i deras verksamhet och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen.

Informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga och aktuella för genomförandet av hälso- och sjukvården och producerar sammandrag av dem för tjänstetillhandahållare och apotek för genomförande av patientens vård. Viktiga patientuppgifter är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, anteckningar om läkemedelsbehandling, fysiologiska mätningar och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt i 4 a § i patientlagen avsedda planer för undersökning, vård och rehabilitering eller andra motsvarande planer. Informationshanteringstjänsten får också sammanställa andra anteckningar i journalhandlingarna. Tjänstetillhandahållaren har rätt att få och använda uppgifter i informationshanteringstjänsten på det sätt som föreskrivs i 53 och 54 §. Uppgifter som fåtts från informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 9 §.

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för informationshanteringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av uppgifter som lagrats i informationshanteringstjänsten.

I viljeyttringstjänsten ska det föras in uppgifter om information som en person har fått enligt denna lag och receptlagen samt om tillstånd för, samtycke till och förbud mot utlämnande som en person har meddelat i fråga om kunduppgifter.

I viljeyttringstjänsten kan det även föras in andra uppgifter än de som avses i 1 mom. om en persons

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för de i 1 mom. och 2 mom. 1 punkten avsedda viljeyttringar om social- och hälsovården som har förts in i viljeyttringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen som svarar för utlämnandet av uppgifter som lagrats i viljeyttringstjänsten.

En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i informationsresursen för egna uppgifter och via den använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från informationsresursen.

Folkpensionsanstalten är personuppgiftsansvarig för informationsresursen för egna uppgifter. Folkpensionsanstalten har dock inte rätt att behandla uppgifter i informationsresursen för egna uppgifter i större omfattning än vad som är nödvändigt för att administrera informationsresursen eller rätt att lämna ut uppgifter ur den för andra ändamål än de som anges i 3 mom.

En person kan ge sitt samtycke till att de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsovårdstjänster.

De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller tills högst fem år har förflutit från personens död.

En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt.

Personen får via medborgargränssnittet eller en välbefinnandeapplikation visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen, 34 § i dataskyddslagen eller enligt annan lagstiftning inte har rätt att få. För att få uppgifterna via välbefinnandeapplikationen ska kunden ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.

Trots det som föreskrivs i 2 mom. får en person visas namnet på en person som handlat för hans eller hennes räkning.

Folkpensionsanstalten ska tillhandahålla ett gränssnitt för professionellt bruk som gör det möjligt att göra upp och behandla elektroniska recept via informationsnäten.

En läkare kan med hjälp av gränssnittet för professionellt bruk uppgöra elektroniska recept med stöd av rätten att utöva yrke när läkaren inte agerar för tjänstetillhandahållarens räkning.

Bestämmelser om personuppgiftsansvaret för recept som görs upp via gränssnittet för professionellt bruk finns i receptlagen.

Med hjälp av de riksomfattande informationssystemtjänsterna får intyg, utlåtanden och andra handlingar som innehåller kunduppgifter förmedlas till en aktör utanför social- och hälsovården. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Handlingarna förmedlas med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna.

Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen.

Tjänstetillhandahållare, apotek, mellanhänder och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. I informationssäkerhetsplanen ska det redogöras för hur de krav som hänför sig till behandlingen av klient- och patientuppgifterna och informationssystemen säkerställs så att

Innan en tjänstetillhandahållare eller ett apotek ansluter sig som användare av de riksomfattande informationssystemtjänsterna, ska det i tjänstetillhandahållarens eller apotekets informationssäkerhetsplan också ingå en redogörelse för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten.

Den ansvariga föreståndaren hos en tjänstetillhandahållare inom social- och hälsovården och en apotekare ska se till att en informationssäkerhetsplan enligt 77 § utarbetas och iakttas. Tjänstetillhandahållare, apotek och Folkpensionsanstalten ska på eget initiativ vidta nödvändiga åtgärder om någon har behandlat kunduppgifter i strid med lagen.

För uppföljning och tillsyn i fråga om dataskyddet och informationssäkerheten har tjänstetillhandahållaren och apoteket rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i informationshanteringstjänsten och viljeyttringstjänsten och logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens eller apotekets anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig.

Folkpensionsanstalten och en mellanhand ska följa genomförandet av informationssäkerhetsplanen.

Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artiklarna 37–39 i dataskyddsförordningen.

Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen.

Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör

Andra informationssystem än de som avses i 2 mom. hör till klass B.

Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem. I oklara fall beslutar Institutet för hälsa och välfärd till vilken klass informationssystemet hör.

Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket för social- och hälsovården innan informationssystemen eller välbefinnandeapplikationerna tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål samt kontaktperson framgå. Anmälan ska vidare innehålla en utredning enligt 85 § över att kraven på funktionalitet uppfylls, ett i 86 § avsett intyg över interoperabilitetstestning och ett i 87 § avsett intyg över att de väsentliga kraven på informationssäkerhet uppfylls. Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om versionsstödet för ett informationssystem eller en välfärdsapplikation som är avsett att användas för produktion av tjänster upphör eller om en annan aktör övertagit ansvaret för informationssystemet eller välbefinnandeapplikationen.

Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket och som uppfyller kraven. Registret ska innehålla uppgifter om

Tillstånds- och tillsynsverket för social- och hälsovården får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.

Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna efter det att systemet eller applikationen har certifierats i enlighet med 85 §.

Ett informationssystem eller en välbefinnandeapplikation får inte tas i användning för produktion av tjänster, om det inte finns uppdaterade uppgifter om systemet eller applikationen i det i 80 § 2 mom. avsedda registret, eller om intyget över bedömning av informationssäkerhet för ett informationssystem eller en välbefinnandeapplikation som hör till klass A har gått ut. En förutsättning för att ett informationssystem som hör till klass A ska få tas i användning för produktion av tjänster är också att interoperabilitetstestningen har godkänts i fråga om de gällande kraven på interoperabilitet som motsvarar systemets användningsändamål.

En välbefinnandeapplikation får inte tas i användning för produktion av tjänster om den inte motsvarar det användningsändamål för främjande av hälsa och välfärd som avses i 84 § och som är en förutsättning för att kraven på funktionalitet ska uppfyllas.

Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare och apotek som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.

Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Tillstånds- och tillsynsverket för social- och hälsovården ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer. Bedömningsorganet för informationssäkerhet ska dessutom underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som har anslutits till de riksomfattande informationssystemtjänsterna. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering.

Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska bevara uppgifter om interoperabilitet och informationssäkerhet samt övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras.

Tillverkaren av ett informationssystem för social- och hälsovården ansvarar för planeringen och tillverkningen av informationssystemet, oberoende av om dessa åtgärder utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen.

Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.

De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska.

Tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter.

Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. En välbefinnandeapplikation ska uppfylla tillgänglighetskraven. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.

De informationssystem som tjänstetillhandahållare och apotek använder ska till sitt användningsändamål svara mot tjänstetillhandahållarnas och apotekens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarnas och apotekens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem.

Ett informationssystem och en välbefinnandeapplikation uppfyller de väsentliga kraven, om systemet eller applikationen har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av kunduppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. En förutsättning för att kraven på funktionalitet hos en välbefinnandeapplikation ska vara uppfyllda är att applikationen främjar medborgarnas hälsa och välfärd.

Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven, tidsfristerna för genomförande och om de väsentliga krav de informationssystem och välbefinnandeapplikationer som används i de olika tjänsterna ska uppfylla. Innan föreskrifter meddelas ska ett utlåtande om kraven på informationssäkerhet och förfarandena för verifiering av kraven på informationssäkerhet begäras av Transport- och kommunikationsverkets cybersäkerhetscenter och ett utlåtande om kraven på dataskydd begäras av dataombudsmannens byrå.

Överensstämmelse med kraven ska för ett informationssystem och en välbefinnandeapplikation som hör till klass A ska visas med certifiering, det vill säga en utredning från producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen om att systemet eller applikationen uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål samt med en godkänd interoperabilitetstestning och ett sådant intyg över bedömning av informationssäkerhet av ett bedömningsorgan för informationssäkerhet som avses i 87 §. Producenten av en informationssystemtjänst ansvarar för att informationssystemet är certifierat och tillverkaren av en välbefinnandeapplikation ansvarar för att applikationen är certifierad.

Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, drivits och använts på behörigt sätt. Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på informationssystem. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet.

Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifiering av interoperabiliteten i fråga om informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i receptlagen.

Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets eller välbefinnandeapplikationens funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten.

Ett informationssystem som hör till klass A och har tagits i användning för produktion av tjänster ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför för dem. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett intyg över uppfyllelsen av kraven på interoperabilitet när kraven har verifierats.

Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar eller av informationssystem som hör till klass A och som inte ansluts till de riksomfattande informationssystemtjänsterna.

Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för vare sig producenten av en informationssystemtjänst, tillverkaren av ett informationssystem eller användaren. Bedömningen av informationssäkerhet görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation.

Bedömningsorganet för informationssäkerhet ska utifrån sin bedömning av informationssäkerhet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport, om informationssystemet uppfyller de väsentliga kraven på informationssäkerhet. Bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets eller välbefinnandeapplikationens användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet.

Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Intyget är giltigt i högst tre år. Intygets giltighetstid får förlängas med högst tre år i sänder.

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla i 87 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Folkpensionsanstalten ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, bedömningsorganet för informationssäkerhet och Institutet för hälsa och välfärd om alla i 86 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats.

Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet.

Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens och välbefinnandeapplikationernas överensstämmelse med kraven.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. Inspektioner kan göras utan förhandsanmälan. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen iakttas. Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har Tillstånds- och tillsynsverket för social- och hälsovården rätt att få behövlig handräckning av polisen. Bestämmelser om handräckning av polisen finns i 9 kap. 1 § 1 mom. i polislagen (872/2011).

Vid inspektionen ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. En inspektion anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades.

Om en tjänstetillhandahållare eller ett apotek konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denna underrätta producenten av informationssystemtjänsten om saken. Om avvikelsen i informationssystemet eller välbefinnandeapplikationen kan innebära en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, tillverkaren av välbefinnandeapplikationen, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Bestämmelser om rapportering av personuppgiftsincidenter till dataombudsmannen finns i artikel 33 i dataskyddsförordningen.

En tjänstetillhandahållare, ett apotek, Folkpensionsanstalten och en producent av en informationssystemtjänst eller en tillverkare av ett informationssystem eller en mellanhand ska utan dröjsmål underrätta Tillstånds- och tillsynsverket för social- och hälsovården om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som aktören använder och till följd av vilka användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster kan äventyras avsevärt. Institutet för hälsa och välfärd får meddela närmare föreskrifter om när en sådan störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.

Om det ligger i allmänt intresse att det görs en anmälan om en sådan avvikelse eller störning i anslutning till informationssäkerheten som avses i 1 och 2 mom., får Tillstånds- och tillsynsverket för social- och hälsovården ålägga tjänstetillhandahållaren, apoteket, Folkpensionsanstalten, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet eller mellanhanden att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken.

Tillstånds- och tillsynsverket för social- och hälsovården ska bedöma om en sådan avvikelse eller störning i anslutning till informationssäkerheten inom den offentliga hälso- och sjukvården som avses i 1 och 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna.

För tillsynen över informationssystem och välbefinnandeapplikationer inom social- och hälsovården har Tillstånds- och tillsynsverket för social- och hälsovården rätt att avgiftsfritt och trots sekretessbestämmelserna få nödvändig information av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av informationssystems och välbefinnandeapplikationers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem och välbefinnandeapplikationer, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tillverkare av en välbefinnandeapplikation, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården genom sitt beslut meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid.

När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem eller välbefinnandeapplikationer med stöd av 89 § får verket samtidigt genom sitt beslut ålägga producenten av en informationssystemtjänst eller tillverkaren av ett informationssystem att avhjälpa brister i informationssystem som används för produktion av tjänster och tillverkaren av en välbefinnandeapplikation att avhjälpa brister i en välbefinnandeapplikation som används för produktion av tjänster.

Om ett informationssystem eller en välbefinnandeapplikation kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet eller välbefinnandeapplikationen till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare eller en välbefinnandeapplikation eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst, tillverkaren av en välfärdsapplikation eller en av någon av dessa befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet eller välbefinnandeapplikationen för produktion av tjänster.

Omprövning får begäras av ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).

Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt beslutsfattandet om finansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter.

Institutet för hälsa och välfärd svarar för planeringen, samordnandet av de datastrukturer som används, styrningen och uppföljningen när det gäller den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt när det gäller utförandet och användningen av de riksomfattande informationssystemtjänster som avses i 65 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden.

Dataombudsmannen, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.

Social- och hälsovårdsministeriet ska se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag.

Statsrådet kan tillsätta delegationer och andra samarbetsorgan som behövs för det samarbete som avses i 1 mom.

Folkpensionsanstalten ska se till att det har ordnats samarbetsformer och samarbetsförfaranden kring den produktionsverksamhet som gäller informationssystemtjänster med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten.

Användningen av de riksomfattande informationssystemtjänster enligt 65 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tjänstetillhandahållarna och apoteken efter det att tjänstetillhandahållaren eller apoteket har ålagts att ansluta sig till de riksomfattande informationssystemtjänsterna som användare. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den.

Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för avgifterna för de följande fyra åren och av investeringsbehoven under de fyra följande åren och kostnaderna för dem.

Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Det är avgiftsbelagt för producenter av informationssystemtjänster att anmäla sig till Folkpensionsanstaltens i 86 § avsedda interoperabilitetstestning. Registrering och införande av en i 80 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

Den som uppsåtligen eller av grov oaktsamhet

ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter.

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen.

Denna lag träder i kraft den 1 januari 2024.

Genom denna lag upphävs lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (784/2021) och lagen om klienthandlingar inom socialvården (254/2015).

De bevarandetider som avses i bilagan till denna lag tillämpas också på handlingar som upprättats före lagens ikraftträdande. Dessutom tillämpas vad som statsarkivet, arkivverket och Riksarkivet särskilt bestämt om arkivering av handlingar.

Lagens 16 § tillämpas också på handlingar som innehas av tjänstetillhandahållare som upphört med sin verksamhet före lagens ikraftträdande, dock så att de handlingar som innehafts av en tjänstetillhandahållare vars verksamhet har upphört och som tidigare har överförts till välfärdsområdet inte överförs till Riksarkivet för bevarande.

Lagens 18 § 1 mom. om lagring av journalhandlingar i patientregistret tillämpas också på journalhandlingar som upprättats inom socialvården före lagens ikraftträdande.

Den i 53 § avsedda rätten att få uppgifter mellan socialvården och hälso- och sjukvården ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026.

Det i 59 § 2 mom. avsedda förbudet som gäller alla patientuppgifter och företagshälsovården ska tas i bruk senast den 1 januari 2024.

Patientuppgifter som ska antecknas i samband med ordnandet och tillhandahållandet av socialservice ska föras in i patientregistret senast den 1 oktober 2026.

Det i 60 § avsedda utlämnandet av patientuppgifter till utlandet ska genomföras senast från och med den 1 januari 2025.

Tjänstetillhandahållare inom den offentliga socialvården ska ansluta sig till den i 65 § 1 mom. 1 punkten avsedda riksomfattande informationsresursen för kunduppgifter senast den 1 september 2024 och tjänstetillhandahållare inom den privata socialvården senast den 1 januari 2026. Om tidsfristen för skyldigheten enligt 7 mom. att spara handlingar som tjänstetillhandahållare för in infaller efter dessa tidpunkter, ska tjänstetillhandahållaren ansluta sig till den riksomfattande informationsresursen för kunduppgifter senast när skyldigheten att spara handlingar börjar.

Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom hälso- och sjukvården börja spara handlingarna enligt följande:

Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom socialvården börja spara klienthandlingar inom socialvården i den riksomfattande informationsresursen för kunduppgifter enligt följande:

Den i 73 § 3 mom. avsedda möjligheten att lämna ut uppgifter om välbefinnande till en tjänstetillhandahållare ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026.

Utlämnande av patientuppgifter till välbefinnandeapplikationer i enlighet med 74 § 2 mom. ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 december 2024, i fråga om recept som lagras i receptcentret dock senast den 1 oktober 2027.