767/2025

Bestämmelser om tjänster som behövs för behandling av kunduppgifter inom social- och hälsovården samt av andra sådana personuppgifter som avses i denna lag och som ska samköras med kunduppgifterna för användningsändamål enligt 2 § finns i 3 kap. Ansvaret för produktionen av dessa tjänster ligger på Tillståndsmyndigheten och på följande myndigheter och organisationer:

Bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 27 §. Dessutom ska bedömningsorgan för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket all behövlig ytterligare information i ärendet.

Tillstånds- och tillsynsverket ska övervaka och främja att informationssäkra driftmiljöer uppfyller kraven på dataskydd och informationssäkerhet. Tillstånds- och tillsynsverket för ett offentligt register över driftmiljöer som uppfyller kraven och som anmälts till verket.

Tillstånds- och tillsynsverket har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur.

Tillstånds- och tillsynsverket ska bevara inspektionsprotokollet i tio år efter det att inspektionen utfördes.

Tillstånds- och tillsynsverket har rätt att anlita utomstående experter för bedömning av informationssäkra driftmiljöers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa driftmiljöer. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver.

Tillstånds- och tillsynsverket har rätt att, avgiftsfritt och trots sekretessbestämmelserna, för tillsynen över driftmiljöer få nödvändiga uppgifter av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser som utfärdats med stöd av den.

Tillstånds- och tillsynsverket får med anledning av en inspektion som gjorts med stöd av 30 § ålägga tjänsteleverantören att avhjälpa brister i driftmiljöer som används för produktion.

Om en informationssäker driftmiljö kan äventyra dataskyddet, eller om systemet inte uppfyller de krav som ställs på det i denna lag, och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket har satt ut, får verket förbjuda användningen av driftmiljön till dess att bristerna har avhjälpts. Vidare får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till sina informationssystem, om den som använder dem äventyrar eller ett utomstående system som anslutits till dem kan äventyra en ändamålsenlig användning av informationssystemet.

Tillstånds- och tillsynsverket får ålägga tjänsteleverantören eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av driftmiljön för produktion.

Tillstånds- och tillsynsverket kan förena beslut som fattats med stöd av 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten om sitt beslut.

Om en tjänsteleverantör, en myndighet som avses i 6 § eller någon som annars behandlar personuppgifter i enlighet med denna lag har underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning, får Tillstånds- och tillsynsverket meddela ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.

Dessutom får Tillståndsmyndigheten eller någon annan myndighet som avses i 6 § stänga av förbindelsen till informationssystem som den förvaltar, om tjänsteleverantören, en myndighet enligt 6 § eller någon annan som behandlar personuppgifter enligt denna lag, trots den tid som Tillstånds- och tillsynsverket satt ut, underlåtit att fullgöra sin skyldighet enligt denna lag när det gäller informationssystem eller deras användning.

Tillstånds- och tillsynsverket får förena ett föreläggande som det meddelat enligt 1 mom. med vite eller med hot om att verksamheten helt eller delvis avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Tillstånds- och tillsynsverket ska underrätta Tillståndsmyndigheten om sitt beslut.

Registrering och införande av en i 30 § 1 mom. avsedd anmälan till Tillstånds- och tillsynsverket i det offentliga registret är avgiftsbelagt.

Dataombudsmannen, Tillstånds- och tillsynsverket samt Tillståndsmyndigheten styr och övervakar inom sitt verksamhetsområde i enlighet med sin behörighet efterlevnaden av denna lag.

Tillståndsmyndigheten och övriga myndigheter som beviljar dataanvändningstillstånd i enlighet med denna lag samt Tillstånds- och tillsynsverket ska för sin del följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras tjänster förverkligas och att villkoren i tillstånd som de beviljat iakttas. Om någon har behandlat personuppgifter i strid med lag, ska den behöriga myndigheten på eget initiativ vidta behövliga åtgärder. Om uppgifter med stöd av 20 § 3 mom. behandlas i någon annan driftmiljö än Tillståndsmyndighetens informationssäkra driftmiljö, ska logguppgifterna enligt 19 § och uppgifterna i ett användarregister enligt 22 § 2 mom. på Tillståndsmyndighetens begäran lämnas till denna utan obefogat dröjsmål för genomförande av uppföljningen och övervakningen.

I fråga om ett sådant i 45 § avsett beslut om en begäran om information och ett sådant beslut om en ansökan om dataanvändningstillstånd eller återkallelse av tillstånd som fattas av Tillståndsmyndigheten eller en i 6 § avsedd personuppgiftsansvarig samt i fråga om ett beslut som fattas av Tillstånds- och tillsynsverket med stöd av denna lag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen.