Viimeksi julkaistu 1.7.2021 11.43

Eduskunnan vastaus EV 71/2021 vp HE 212/2020 vp  Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi

HE 212/2020 vp
StVM 11/2021 vp

Asia

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi (HE 212/2020 vp). 

Valiokuntakäsittely

Valiokunnan mietintö: Sosiaali- ja terveysvaliokunta (StVM 11/2021 vp). 

Päätös

Eduskunta on hyväksynyt seuraavan lausuman: 

Eduskunta edellyttää, että hallitus kiirehtii sosiaali- ja terveydenhuollon tiedonhallintaa koskevan sääntelyn kokonaisuudistuksen valmistelua.  

Eduskunta on hyväksynyt seuraavat lait: 

Laki  sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 

Eduskunnan päätöksen mukaisesti säädetään: 
1 luku 
Yleiset säännökset 
1 § 
Lain tarkoitus 
Tämän lain tarkoituksena on edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Lain tarkoituksena on myös edistää asiakkaan tiedonsaantimahdollisuuksia asiakastietojensa käsittelystä. 
2 § 
Soveltamisala ja suhde muuhun lainsäädäntöön 
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sähköisesti terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä. 
Siltä osin kuin asiakastietojen käsittelystä ei säädetä tässä laissa, säädetään siitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019), tietosuojalaissa, sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019), väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994). Kielellisistä oikeuksista asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä säädetään kielilaissa (423/2003). Terveydenhuollon laitteista säädetään eräistä EU-direktiiveissä säädetyistä lääkinnällisistä laitteista annetussa laissa (629/2010). 
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
1) asiakkaalla asiakaslaissa tarkoitettua sosiaalihuollon asiakasta sekä potilaslaissa tarkoitettua potilasta; 
2) asiakasasiakirjalla asiakaslaissa ja sosiaalihuollon asiakasasiakirjoista annetussa laissa (254/2015), jäljempänä asiakasasiakirjalaki, tarkoitettua sosiaalihuollon asiakasasiakirjaa sekä potilaslaissa tarkoitettua potilasasiakirjaa; 
3) sosiaalihuollon asiakastiedolla asiakasta koskevaa henkilötietoa, joka sisältyy asiakaslaissa ja asiakasasiakirjalaissa tarkoitettuun asiakirjaan; 
4) potilastiedolla potilasta koskevaa henkilötietoa, joka sisältyy potilaslaissa tarkoitettuun potilasasiakirjaan; 
5) asiakastiedolla 3 ja 4 kohdassa tarkoitettua sosiaalihuollon asiakastietoa ja potilastietoa; 
6) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja; 
7) palvelunantajalla sosiaali- ja terveyspalvelujen järjestäjää ja sosiaali- ja terveyspalveluntuottajaa; 
8) palvelunjärjestäjällä palvelunantajaa, jolla on: 
a) viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; ja 
b) yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun; 
9) palveluntuottajalla palvelunantajaa, joka: 
a) palvelunjärjestäjän asemassa tuottaa itse sosiaali- tai terveyspalvelua; ja 
b) palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua; 
10) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella suorittamaan tietoturvallisuuden arviointeja; 
11) hyvinvointitiedolla henkilön itsensä tuottamia terveyttään ja hyvinvointiaan koskevia tietoja, jotka henkilö on tallentanut 12 kohdassa tarkoitettuun omatietovarantoon; 
12) omatietovarannolla hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä sähköistä tietovarantoa; 
13) hyvinvointisovelluksella yksityishenkilön käyttämää omatietovarantoon liittyvää sovellusta, jolla käsitellään hyvinvointitietoja, ja johon henkilö voi saada asiakastietonsa arkistointipalvelusta, reseptikeskuksesta ja tiedonhallintapalvelusta; 
14) arkistointipalvelulla tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakastietoa tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa ja johon hyväksytyt tietojärjestelmät voidaan liittää; 
15) tiedonhallintapalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja; 
16) tahdonilmaisupalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, muita terveyden ja sairaudenhoitoon ja sosiaalipalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia; 
17) tietojärjestelmäpalvelun tuottajalla tahoa, joka tarjoaa tai toteuttaa palvelunantajalle tietojärjestelmää, jossa käsitellään asiakas- tai hyvinvointitietoa, ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista; 
18) tietojärjestelmän valmistajalla tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta; 
19) välittäjällä palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä salaamattomia asiakastietoja, esimerkiksi ylläpitotoimien yhteydessä; sekä 
20) sertifioinnilla menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset. 
2 luku  
Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpito 
4 § 
Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpitäjä 
Kansaneläkelaitos on omatietovarannon, luovutuslokirekisterin lokitietojen säilytyspalvelun ja sen omaan toimintaansa liittyvien käyttölokien rekisterinpitäjä. Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 13 §:n 2 momentin mukaisiin käyttötarkoituksiin siten kuin mainitussa momentissa säädetään. 
Kukin sosiaali- ja terveydenhuollon palvelunantaja on toiminnassaan syntyneiden käyttölokien rekisterinpitäjä. 
Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien ja tiedonhallintapalvelun sekä tahdonilmaisupalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 14 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat ja tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. 
Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii käyttöliittymän käyttölokien yhteyspisteenä. 
Reseptikeskuksen rekisterinpitäjästä säädetään sähköisestä lääkemääräyksestä annetun lain (61/2007) 18 §:ssä. 
5 § 
Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa 
Kun palveluntuottaja antaa sosiaali- ja terveyspalveluja palvelunjärjestäjän lukuun, vastaa palveluntuottaja: 
1) asiakastietojen kirjaamisesta ja tallentamisesta palvelunjärjestäjän lukuun; 
2) käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan; 
3) henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan; 
4) alkuperäisten asiakasasiakirjojen toimittamisesta palvelunjärjestäjälle viipymättä; sekä 
5) tietosuoja-asetuksessa ja julkisuuslaissa säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa. 
Palvelunjärjestäjän ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista. 
3 luku  
Valtakunnallisten sosiaali- ja terveydenhuollon tietojärjestelmäpalvelujen toteuttaminen 
6 §  
Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut 
Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut: 
1) valtakunnallinen asiakastietojen arkistointipalvelu; 
2) lokirekisterien säilytyspalvelu; 
3) ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn; 
4) kansalaisen käyttöliittymä; 
5) omatietovaranto; 
6) tiedonhallintapalvelu; 
7) tahdonilmaisupalvelu; 
8) reseptikeskus; 
9) lääketietokanta; sekä 
10) kysely- ja välityspalvelu. 
Lisäksi valtakunnallisten tietojärjestelmäpalvelujen toteuttaminen edellyttää koodistopalvelua ja rooli- ja attribuuttipalvelua. Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitos vastaa koodistopalvelun sisällöstä. 
Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista. 
7 §  
Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi 
Palvelunantajan on liityttävä 6 §:n 1 momentin 1, 6, 7 ja 8 kohdassa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. 
Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään asiakas- ja potilastietojen käsittelyyn tarkoitettu tietojärjestelmä. 
Muut sosiaali- ja terveysalan toimijat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 6 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi. 
Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. 
8 § 
Valtakunnalliseen arkistointipalveluun tallennettavat asiakirjat 
Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa arkistointipalvelussa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja. 
Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. Arkistointipalveluun voidaan tallentaa asiakasasiakirjojen lisäksi myös muita sosiaali- ja terveydenhuollon järjestämiseen ja tiedonhallintaan liittyviä asiakirjoja. 
Sosiaalihuollon asiakasasiakirjojen säilytysajoista säädetään asiakasasiakirjalain 27 §:ssä. Potilasasiakirjojen säilytysajoista säädetään potilaslain 12 §:ssä. 
9 §  
Valtakunnallisiin tietojärjestelmäpalveluihin liittyvien tietojärjestelmien ja asiakasasiakirjojen tietorakenteet 
Tietojärjestelmien ja asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttö, luovuttaminen, säilyttäminen ja suojaaminen 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla. 
Terveyden ja hyvinvoinnin laitos antaa määräykset valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämistä tietojärjestelmien asiakasasiakirjojen tietosisällöistä ja tietorakenteista sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista. 
10 §  
Asiakirjan sähköinen allekirjoittaminen  
Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. 
Luonnollisen henkilön sähköisessä allekirjoittamisessa on käytettävä kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93 EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa säädetään sähköisestä allekirjoituksesta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta. 
11 §  
Tiedonhallintapalvelu 
Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja, jotka tiedonhallintapalvelu voi koostaa, ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkitystiedot, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:n mukainen suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelun kautta saa luovuttaa tietoja siten kuin 20 §:ssä säädetään. Tiedonhallintapalvelussa olevia tietoja saa käsitellä 15 §:ssä säädettyjen käyttövaltuuksien puitteissa. 
12 § 
Tahdonilmaisupalvelu 
Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja sähköisestä lääkemääräyksestä annetun lain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista. 
Tahdonilmaisupalveluun voidaan tallentaa myös tieto: 
1) muista kuin 1 momentissa tarkoitetuista henkilön terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista; 
2) muista kuin 1 momentissa tarkoitetuista henkilön sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista. 
13 §  
Omatietovaranto 
Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta. 
Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi. 
Hoitoon tai palveluun vaikuttavien tietojen kirjaamisesta asiakas- tai potilasasiakirjoihin säädetään potilaslaissa, asiakaslaissa ja asiakasasiakirjalaissa. 
Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta. 
14 §  
Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa 
Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle. 
Kansaneläkelaitos vastaa: 
1) valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista; 
2) valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen, hyvinvointitietojen ja muiden tietojen turvallisuuden varmistamisesta siten kuin julkisen hallinnon tiedonhallinnasta annetun lain 14 §:ssä säädetään sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen; 
3) vastuullaan  olevien  valtakunnallisten  tietojärjestelmäpalvelujen  toteutuksista  siten,  että asiakas- tai hyvinvointietoja ja muita valtakunnalliseen tietojärjestelmäpalveluihin tallennettuja tietoja luovutetaan vain siten kuin tässä laissa ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa säädetään; 
4) asiakas- ja hyvinvointitiedon käytön ja luovutuksen tallentumisesta lokirekisteriin; 
5) koodistopalvelun tietoteknisestä toteuttamisesta; 
6) valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle; 
7) valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta. 
Kansaneläkelaitoksella on oikeus: 
1) saada Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtävien hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä; 
2) käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin valtakunnallisten tietojärjestelmänpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät; 
3) päättää järjestelmän tietotekniseen toimintaan liittyvistä asioista, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu; 
4) luovuttaa Kansaneläkelaitoksen rekisterinpidossa olevia asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutuksen seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista; 
5) suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön kohdentuvaa valvontaa tietoturvan lisäämiseksi; 
6) salassapitovelvoitteiden estämättä saada Digi- ja väestötietovirastolta valtakunnallisia tietojärjestelmäpalveluita koskevien tehtävien hoitamiseksi tarvittavat välttämättömät tiedot. 
Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa. 
Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisille. 
4 luku  
Asiakastietojen käsittely sosiaali- ja terveydenhuollossa 
15 § 
Käyttöoikeus asiakastietoon 
Käyttöoikeuksien  on  perustuttava  sosiaali-  tai  terveydenhuollon  ammattihenkilön  ja  muun asiakas- ja potilastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on käyttöoikeus vain työtehtävissään tarvitsemiinsa välttämättömiin asiakastietoihin, joihin hänellä on tiedonsaantioikeus. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu lakiin perustuva oikeus. 
Sosiaali- ja terveysministeriön asetuksella säädetään, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää. 
Palvelunantajan on määriteltävä sosiaali- ja terveydenhuollon ammattihenkilön tai muun asiakastietoja käsittelevän henkilön oikeus käyttää asiakastietoja. Palvelunantajan on pidettävä rekisteriä asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista. 
16 §  
Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista 
Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä. 
Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista. 
17 §  
Asiakastietojen käsittelijöiden tunnistaminen 
Asiakastietojen sähköisessä käsittelyssä asiakas, palvelunantaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet on tunnistettava luotettavasti. Asiakastietoja käsittelevät henkilöt, palvelunantajat, tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava todentamalla. 
Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa. 
18 § 
Luovutuslupa, suostumus ja kielto 
Asiakas voi antaa 20 ja 21 §:ssä tarkoitetut luovutusluvat ja suostumukset valtakunnallisten tietojärjestelmäpalvelujen välityksellä. 
Jäljempänä 20 §:n 1 momentissa ja 21 §:n 1 momentissa tarkoitettujen luovutuslupien on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja niiden on oltava vapaaehtoisesti annettuja. Luovutuslupa on voimassa toistaiseksi ja sen voi peruuttaa. Jäljempänä 20 §:n 2 momentissa ja 21 §:n 2 momentissa tarkoitetusta suostumuksesta säädetään tietosuoja-asetuksessa. 
Jos asiakkaalla ei ole edellytyksiä arvioida luovutusluvan tai suostumuksen merkitystä, asiakastietoja saa luovuttaa hänen laillisen edustajansa antaman luovutusluvan tai suostumuksen perusteella. Asiakkaan laillisella edustajalla on oikeus salassapitovelvollisuuden estämättä saada luovutusluvan tai suostumuksen antamista ja toteuttamista varten välttämättömät asiakasta koskevat tiedot. 
Asiakkaalla on oikeus kieltää sosiaalihuollon rekisterinpitäjää luovuttamasta itseään koskevia sosiaalihuollon asiakastietoja toiselle sosiaalihuollon rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Potilaalla on oikeus kieltää terveydenhuollon rekisterinpitäjää luovuttamasta häntä koskevia potilastietoja toiseen terveydenhuollon rekisteriin tai toiselle terveydenhuollon  rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen puolesta potilastietojen luovutusta potilaslain 13 §:n 3 momentin 3 kohdan mukaisissa tilanteissa. 
Asiakas tai potilas voi kohdistaa kiellon kaikkiin sosiaalihuollon asiakastietoihinsa ja potilastietoihinsa. Kiellon voi kohdentaa julkiseen sosiaali- ja terveydenhuollon rekisterinpitäjään ja sen rekisteriin sekä yksityisessä sosiaalihuollossa rekisterinpitäjään ja yksityisessä terveydenhuollossa työterveyshuollon rekisteriin. Sosiaalihuollossa kiellon voi kohdentaa sosiaalihuollon palvelutehtävään tai yksittäiseen asiakasasiakirjaan. Terveydenhuollossa kiellon voi kohdentaa palvelutapahtumaan.  
Kiellolla ei voi estää ammattihenkilön tai viranomaisen lakiin perustuvaa ja asiakkaan tai potilaan tahdonilmaisusta riippumatonta tiedonsaantioikeutta tietoon. 
Kiellon on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja sen on oltava vapaaehtoisesti annettu. Kielto on voimassa toistaiseksi ja sen saa peruuttaa. 
19 §  
Luovutusluvan, suostumuksen tai kiellon antaminen ja peruuttaminen 
Asiakastietojen luovuttamista koskeva luovutuslupa, suostumus ja kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta luovutusluvasta, suostumuksesta ja kiellosta tahdonilmaisupalveluun viivytyksettä. 
Luovutusluvan, suostumuksen ja kiellon vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta tai kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla. 
Kansaneläkelaitos määrittelee luovutuslupa-asiakirjan, suostumusasiakirjan ja kieltoasiakirjan tietosisällön. Luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta on käytävä ilmi luovutusluvan, suostumuksen ja kiellon merkitys asiakastietojen käsittelyssä. 
Luovutusluvan, suostumuksen ja kiellon peruuttamiseen sovelletaan, mitä 1—3 momentissa säädetään niiden antamisesta. 
20 §  
Potilastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla 
Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle terveydenhuollon palvelunantajalle tai toiseen saman palvelunantajan potilasrekisteriin potilaan terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Potilastietoja ei kuitenkaan saa luovuttaa ilman potilaan antamaa luovutuslupaa tai potilaslain 13 §:n 3 momentin 3 kohdassa taikka muussa luovutuksen oikeuttavassa laissa säädettyä perustetta. 
Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä sosiaalihuollon palvelunantajalle sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi potilaan antaman suostumuksen perusteella. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. 
Potilasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun potilasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei potilas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin potilastietoihin säädetään 15 §:ssä. 
Potilastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen potilaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
21 §  
Sosiaalihuollon asiakastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla   
Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle sosiaalihuollon palvelunantajalle asiakkaan sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Asiakastietoja ei kuitenkaan saa luovuttaa ilman asiakkaan antamaa luovutuslupaa tai muussa luovutuksen oikeuttavassa laissa säädettyä perustetta. 
Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä terveydenhuollon palvelunantajalle terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi asiakkaan antaman suostumuksen perusteella. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. 
Luovutuspyyntöön perustuva asiakasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun asiakasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei asiakas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin asiakastietoihin säädetään 15 §:ssä. 
Sosiaalihuollon asiakastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
22 §  
Asiakastietojen välittäminen valtakunnallisten tietojärjestelmäpalveluiden avulla sosiaali- ja terveydenhuollon ulkopuolelle 
Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakasasiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla. 
Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla. 
23 §  
Sähköinen asiointi ja tietojen käsittely toisen puolesta  
Henkilöllä on oikeus käsitellä toisen henkilön puolesta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja kyseistä henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja tietoja, ellei asiakaslain 11 §:n 3 momentista, potilaslain 9 §:n 2 momentista, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu. 
24 §  
Kansalaisen käyttöliittymä ja sen välityksellä näytettävät asiakastiedot ja tahdonilmaisut 
Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä. 
Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja. 
Sen estämättä, mitä 2 momentissa säädetään, henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi. 
25 §  
Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta 
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. 
Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytön valvontaa ja seurantaa varten tarvittavista tiedoista. 
Luovutuslokirekisteriin on tallennettava tieto luovutetuista asiakastiedoista, siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta, luovutusajankohdasta sekä muista luovutusten valvontaa ja seurantaa varten tarvittavista tiedoista. 
Kansaneläkelaitoksen on kerättävä seurantaa ja valvontaa varten 6 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta, muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot. Edellä 6 §:ssä tarkoitettuun lokirekisterien säilytyspalveluun tallennetaan palvelunantajan asiakasasiakirjojen luovuttamista koskevat lokitiedot. Lokirekisterin säilytyspalveluun voidaan tallentaa käyttöä koskevat lokitiedot. 
Lokitietojen säilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä. 
26 § 
Asiakkaan tiedonsaantioikeus tietojensa käsittelystä 
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tiedonhallintapalvelun, tahdonilmaisupalvelun, reseptikeskuksen ja omatietovarannon lokitiedot, käytettyjen tai luovutettujen asiakas- ja hyvinvointitietojen lokitiedot sekä tiedot käyttö- ja luovutusajankohdasta siltä osin kuin tiedot kuuluvat Kansaneläkelaitoksen rekisterinpitoon. 
Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten. 
Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja tai Kansaneläkelaitos voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 24 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua. 
Jos palvelunantaja tai Kansaneläkelaitos katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti. 
Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan tai Kansaneläkelaitoksen on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin. 
5 luku  
Tietoturvallisuuden ja tietosuojan omavalvonta 
27 § 
Tietoturvasuunnitelma  
Palvelunantajan, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on oltava selvitykset, miten seuraavat asiakas- ja potilastietojen ja järjestelmien käsittelyyn liittyvät vaatimukset varmistetaan: 
1) henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus; 
2) tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet; 
3) tietojärjestelmiä käytetään tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti; 
4) tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti; 
5) tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön; 
6) tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia; 
7) tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus; 
8) 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset 34 §:ssä säädetyt olennaiset vaatimukset; sekä 
9) palvelunantajalla, välittäjällä ja Kansaneläkelaitoksella on suunnitelma siitä, miten omavalvonta järjestetään ja toteutetaan sen toiminnassa. 
Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan tietoturvasuunnitelmassa selvitettävä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu. 
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta. 
28 §  
Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu 
Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan on huolehdittava, että 27 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Vastaavan johtajan on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. 
Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi. 
Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista. 
Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37—39 artiklassa. 
6 luku  
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto 
29 § 
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu 
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset. 
Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat: 
1) Kansaneläkelaitoksen ylläpitämät valtakunnalliset tietojärjestelmäpalvelut; 
2) valtakunnallisiin tietojärjestelmäpalveluihin liitettäviksi tarkoitetut asiakastietoja käsittelevät tietojärjestelmät ja hyvinvointisovellukset; 
3) muut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät, hyvinvointisovellukset ja välittäjien palvelut. 
Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B. 
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa, kuuluuko tietojärjestelmä luokkaan A tai B. 
30 § 
Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti 
Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä 35 ja 36 §:n mukaiset selvitykset ja 37 §:ssä tarkoitettu todistus käyttötarkoituksen mukaisten olennaisten vaatimusten täyttämisestä. Jos tietojärjestelmäpalvelun tuottaja on eri taho kuin valmistaja, ilmoituksessa on oltava tieto myös tietojärjestelmäpalvelun tuottajasta. Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmän tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava tieto: 
1) tuotantokäyttöön tarkoitetuista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista; 
2) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista; 
3) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arvioinnista saadun tietoturvallisuuden arviointia koskevan todistuksen voimassaolosta; sekä 
4) tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan. 
Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista. 
31 §  
Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön  
Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 35 §:n mukaisesti. 
Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja 30 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut. 
32 §  
Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta  
Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle. 
Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia. 
Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.  
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään. 
7 luku  
Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset  
33 § 
Tietojärjestelmäpalvelun tuottajan ja valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet  
Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta. 
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta. 
Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä. 
Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla. 
34 §  
Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset  
Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa. 
Palvelunantajan  käyttämien  tietojärjestelmien  on  vastattava  käyttötarkoitukseltaan  palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta. 
Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot. 
Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa. 
35 §  
Vaatimustenmukaisuuden osoittaminen  
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteentoimivuuden testauksella ja 37 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu. 
Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten toiminnallisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen. 
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä. 
36 §  
Yhteentoimivuuden testaaminen 
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa. 
Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu. 
Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille A-luokan tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei suoriteta erillistä yhteentoimivuuden testausta. 
37 §  
Tietoturvallisuuden arviointi 
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta. 
Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti. 
Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan. 
38 §  
Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus  
Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä todistuksista. 
Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen. 
8 luku  
Ohjaus ja valvonta 
39 §  
Ohjaus, valvonta ja seuranta  
Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden kokonaisrahoituksesta kuuluvat sosiaali- ja terveysministeriölle. Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. 
Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista. 
40 §  
Tietojärjestelmien valvonta ja tarkastukset  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:ssä säädetään. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on valvontaviranomaisella oikeus saada poliisin virka-apua siten kuin poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa säädetään. 
Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista. 
Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä lukien. 
41 §  
Ilmoittaminen tietojärjestelmän olennaisten vaatimusten poikkeamista 
Jos palvelunantaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos poikkeama voi aiheuttaa merkittävän riskin asiakasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Jos palvelunantaja tai muu taho havaitsee tietojärjestelmän olennaisten vaatimusten täyttymisessä tietosuojapoikkeamia, sen on ilmoitettava asiasta tietosuojavaltuutetulle. 
42 §  
Tiedonsaantioikeus  
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat. 
43 §  
Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). 
44 § 
Määräys velvollisuuksien täyttämiseksi  
Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, palvelunantaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa. 
45 §  
Käytössä oleviin tietojärjestelmiin kohdistuvat velvollisuudet  
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 40 §:n nojalla tietojärjestelmää koskevan valvonnan ja tarkastuksen samalla määrätä tietojärjestelmäpalvelun tuottajan tai valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet. 
Jos tietojärjestelmä voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan tai sen valtuuttaman edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla. 
9 luku  
Erinäiset säännökset 
46 §  
Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö  
Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista. 
Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä. 
Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa. 
47 §  
Maksut  
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla. 
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden käyttömaksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista. 
Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 36 §:ssä tarkoitetusta yhteentoimivuuden testauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 30 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä. 
48 § 
Rangaistussäännökset 
Joka tahallaan tai törkeästä huolimattomuudesta  
1) rikkoo 17 §:n 1 momentissa säädettyä tunnistamisvelvollisuutta, 
2) luovuttaa asiakastietoja 20—22 §:n vastaisesti ilman asiakkaan luovutuslupaa, suostumusta tai laissa säädettyä oikeutta taikka 
3) laiminlyö 16 §:n 1 momentissa säädetyn informointivelvollisuuden ja siten vaarantaa asiakkaan yksityisyyden suojaa,  
on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon. 
Rangaistus tietomurrosta säädetään rikoslain (39/1889) 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä. 
49 § 
Uhkasakko  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990). 
50 §  
Muutoksenhaku  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun määräykseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää. 
10 luku  
Voimaantulo- ja siirtymäsäännökset 
51 §  
Voimaantulo 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (159/2007). 
52 §  
Siirtymäsäännökset 
Julkisen sosiaalihuollon palvelunantajan on liityttävä 6 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietojen arkistointipalveluun viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026. 
Lain 13 §:n 2 momenttia, 18 §:n 5 momentin mukaista kaikkiin asiakas- ja potilastietoihin kohdistuvaa kieltoa ja työterveyshuoltoon kohdistuvaa kieltoa, 20 §:n 2 momenttia ja 21 §:n 2 momenttia sovelletaan viimeistään 1 päivänä tammikuuta 2024. 
Lain 18 §:ää sovelletaan kaikkiin asiakas- ja potilastietoihin ja työterveyshuollon rekisteriin kohdistettavaa kieltoa lukuun ottamatta viimeistään silloin, kun asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta. 
Lain 19 §:ää sovelletaan sosiaalihuollossa 1 päivästä tammikuuta 2023 tai viimeistään silloin, kun sosiaalihuollon asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta. 
Lain 20 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä joulukuuta 2023. 
Lain 21 §:n 1 ja 3 momenttia sovelletaan viimeistään 1 päivänä tammikuuta 2023. 
Lain 21 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä toukokuuta 2025. 
Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2026 seuraavien asiakirjojen tallentaminen: 
1) ajanvarausasiakirja asiakkaalle varatuista ja hänelle ilmoitettavista terveydenhuollon ajanvarauksista;
2) seulontatutkimuksista syntyvät kuvantamistutkimukseen liittyvät asiakirjat ja laboratoriotulokset;
3) ajoterveyteen liittyvät todistukset ja lomakkeet;
4) tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet;
5) lääkärinlausunto terveydentilasta (T-todistus);
6) lääkärintodistus (TOD);
7) lääkärintodistus C; sekä
8) kuolintodistus.
 
Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa seuraavien kuvantamistutkimuksiin liittyvien asiakirjojen tallentaminen viimeistään 1 päivänä lokakuuta 2029: 
1) säteilyrasitustiedot;
2) video- ja äänitallenteet sekä valokuvat;
3) patologian kuva-aineistot;
4) biosignaalit;
5) suun terveydenhuollon yksiköiden tallentamat kuvat; sekä
6) muut kuvat: piirustukset ja havainnekuvat.
 
Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2029 hoitotyön päivittäismerkintöjen tallentaminen. 
Julkisen sosiaalihuollon ja sen lukuun toimivan palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen arkistointipalveluun seuraavasti: 
1) lapsiperheiden, työikäisten ja iäkkäiden palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä syyskuuta 2024;
2) lastensuojelun palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2025;
3) vammaispalvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2025;
4) päihdehuollon palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä maaliskuuta 2026; sekä
5) perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2026.
 
Palveluntuottajan ja asiakkaan väliseen sopimukseen perustuvassa yksityisessä sosiaalihuollossa syntyvien asiakasasiakirjojen tallentaminen valtakunnallisiin tietojärjestelmäpalveluihin on aloitettava seuraavasti: 
1) lapsiperheiden, työikäisten, iäkkäiden ja vammaispalvelujen palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä tammikuuta 2026;
2) päihdehuollon palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2026.
 
Sosiaalihuollon palvelutehtävissä syntyvien video- ja äänitallenteiden tallentaminen tulee kuitenkin aloittaa viimeistään 1 päivänä lokakuuta 2029. 
 Lakiehdotus päättyy 

Laki sosiaalihuollon asiakasasiakirjoista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 3 §:n 9 kohta, 21 §, 23 §:n 2 momentti, 24 §, 25 §:n 1 ja 2 momentti ja 27 §:n 2 momentti sekä  
muutetaan 2 §:n 2 ja 3 momentti, 3 §:n 6 kohta, 6 §:n 1 momentti, 7 ja 9—11 §, 13 §:n 1 momentti, 22 §, 23 §:n otsikko ja 1 momentti, 26 § ja 27 §:n 1 momentti, 
sellaisina kuin niistä ovat 2 §:n 2 ja 3 momentti laissa 1202/2019, seuraavasti: 
2 § 
Soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan sosiaalihuollon, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tarkoitettujen asiakastietojen käsittelyyn julkisessa ja yksityisessä sosiaalihuollossa. 
Asiakastietojen käsittelystä säädetään lisäksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (   /   ), jäljempänä asiakastietolaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, hallintolaissa (434/2003), tietosuojalaissa (1050/2018), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019), väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009), arkistolaissa (831/1994), julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992). 
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6) asiakastiedolla sosiaalihuollossa saatua henkilötietoa, joka on kirjattu tai on tämän lain mukaan kirjattava sosiaalihuollon asiakasasiakirjaan; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 § 
Asiakirjoissa käytettävä kieli 
Asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
7 § 
Sosiaali- ja terveydenhuollon asiakastietojen kirjaaminen sosiaalihuollon toimintayksikön sisäisessä yhteistyössä 
Jos sosiaalipalvelua toteuttaa sosiaalihuollon toimintayksikössä sosiaali- ja terveydenhuollon henkilöstö yhdessä, asiakkaasta laaditaan yhteinen toteuttamiskertomus. Lisäksi asiakkaalle voidaan laatia yhteinen asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Tässä momentissa tarkoitetut yhteiset asiakasasiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin. 
Henkilöllä, joka osallistuu 1 momentissa tarkoitetun yhteisen palvelun toteuttamiseen, on oltava pääsy tehtävissään tarvitsemiinsa yhteisiin asiakasasiakirjoihin. Yhteisestä asiakassuunnitelmasta voidaan tallentaa tarvittaessa kopio potilasrekisteriin. 
Lisäksi terveydenhuollon ammattihenkilön terveyden- ja sairaanhoitoa koskevat potilastiedot merkitään potilasasiakirjoihin ja tallennetaan potilasrekisteriin siten kuin siitä erikseen säädetään. 
9 § 
Asiakasasiakirjoihin kirjattavat perustiedot 
Asiakasasiakirjoihin kirjataan aina seuraavat perustiedot: 
1) asiakirjan nimi; 
2) asiakkaan nimi sekä henkilötunnus tai, jollei se ole tiedossa, hänet väliaikaisesti yksilöivä tunnus tai syntymäaika; 
3) palvelunjärjestäjän, palveluntuottajan ja tarvittaessa palveluntoteuttajan nimi ja yksilöintitunnus; 
4) asiakirjan laatijan tai kirjauksen tehneen henkilön nimi sekä virka-asema tai tehtävä toimintayksikössä; 
5) asiakirjan laatimisen tai kirjaamisen ajankohta; sekä 
6) mahdollinen tieto asiakkaan tai hänen laillisen edustajansa yhteystietoja koskevasta turvakiellosta. 
Lisäksi asiakirjoihin kirjataan seuraavat asianosaisia koskevat perustiedot, jos ne vaikuttavat asiakkaan palveluun tai asiakirjassa esitettyihin ratkaisuihin: 
1) asiakkaan äidinkieli ja asiointikieli sekä yhteystiedot ja kotikunta; 
2) huoltajan tai muun laillisen edustajan nimi, yhteystiedot ja toimivalta ja huoltajuudesta erotetun vanhemman mahdollinen tiedonsaantioikeus, jos asiakirja koskee alaikäistä asiakasta; 
3) täysi-ikäiselle asiakkaalle määrätyn laillisen edustajan tai asiakkaan valtuuttaman henkilön nimi, yhteystiedot ja toimivalta; sekä 
4) tarvittaessa asiakkaan omaisen, läheisen tai muun asiakkaan hoitoon tai huolenpitoon osallistuvan henkilön nimi, yhteystiedot ja rooli asiassa. 
10 § 
Merkinnät tietojen luovuttamisesta 
Jos asiakasta koskevia tietoja luovutetaan sivulliselle, tietojen luovuttajan on voitava todentaa: 
1) mitä tietoja on luovutettu; 
2) kenelle tiedot on luovutettu; 
3) milloin tiedot on luovutettu; 
4) kuka tiedot on luovuttanut; 
5) luovutuksen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä 
6) käyttötarkoitus, johon tiedot on luovutettu. 
11 §  
Merkinnät tietojen saamisesta 
Jos asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tietojen vastaanottajan on voitava todentaa: 
1) mitä tietoja on hankittu tai saatu; 
2) keneltä tiedot on saatu; 
3) milloin tiedot on saatu; 
4) henkilö, joka tiedot on pyytänyt, jos ne on hankittu oma-aloitteisesti; 
5) tiedon hankkimisen tai saamisen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä 
6) käyttötarkoitus, johon tiedot on hankittu tai saatu. 
13 § 
Asiakastietojen korjaaminen 
Asiakasasiakirjoissa olevien tietojen korjaamisesta säädetään tietosuoja-asetuksen 16 artiklassa. Tietojen korjaaminen tulee aina tehdä alkuperäiseen asiakirjaan. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 § 
Tietojen tallentaminen sosiaalihuollon asiakasrekisteriin 
Sosiaalihuollon viranomaisen velvollisuudesta huolehtia asiakirjojen tallentamisesta säädetään asiakastietolain 8 §:ssä. 
Sosiaalihuollon viranomaisen on tallennettava asiakasasiakirjat sosiaalihuollon asiakasrekisteriin. 
Kaikista asiakasrekisteriin tallennettavista asiakasasiakirjoista on käytävä ilmi, mihin sosiaalihuollon palvelutehtävään tai palvelutehtäviin se liittyy. 
Terveyden ja hyvinvoinnin laitos antaa määräykset sosiaalihuollon palvelutehtävien luokituksesta. 
23 § 
Sähköisesti tallennettujen asiakastietojen käyttöoikeudet 
Sähköisesti tallennettujen asiakastietojen käyttöoikeuksista säädetään asiakastietolain 15 §:ssä. Sosiaali- ja terveydenhuollon ammatillisen henkilöstön käyttöoikeudet sähköisesti tallennettuihin sosiaalihuollon asiakastietoihin on määriteltävä sosiaalihuollon palvelutehtävittäin ja ottaen huomioon kunkin henkilön tehtävät. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
26 §  
Asiakastietojen käytön ja luovutuksen seuranta 
Sosiaali- ja terveydenhuollon palvelunantajan asiakastietojen sähköisen käytön ja luovutuksen seurantaan liittyvistä lokitiedoista, käyttöloki- ja luovutuslokirekistereistä sekä niiden säilytysajoista säädetään asiakastietolain 25 §:ssä. 
27 § 
Asiakastietojen säilyttäminen 
Sosiaalihuollon asiakasasiakirjoja on säilytettävä liitteessä tarkoitettu aika. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki sähköisestä lääkemääräyksestä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 5 kohta, 13 §:n 2 momentti, 19 §:n 2 momentti ja 28 §:n 3 momentti, 
sellaisina kuin niistä ovat 3 §:n 5 kohta, 13 §:n 2 momentti ja 19 §:n 2 momentti laissa 251/2014, 
muutetaan 1 §, 3 §:n 4 kohta, 4 §:n 1 ja 2 momentti, 5 §:n 1 momentti, 6 §:n 2 momentti, 7 §:n otsikko ja 2 momentti, 10 §:n otsikko sekä 4 ja 5 momentti, 11 §:n 1 momentin 3 kohta, 12 §:n otsikko sekä 2 ja 4 momentti, 13 §:n 1 ja 3 momentti, 4 momentin 5 ja 6 kohta sekä 5 momentti, 14 §,  15 §:n  1  momentin  johdantokappale  ja  3—5  momentti,  16  §:n  otsikko  ja  1—3 momentti, 16 a §, 17 §:n 1 momentti, 2 momentin 2 kohta ja 4 momentti, 18 §, 19 §:n 1 momentti, 22 a ja 22 b §, 23 §:n 1 momentti, 23 a §:n 1 momentti ja 3 momentin 2 kohta, 24 §:n 1, 4 ja 5 momentti sekä 25 §:n 1 momentti, 
sellaisina kuin niistä ovat 3 §:n 4 kohta, 4 §:n 1 ja 2 momentti, 5 §:n 1 momentti, 10 §:n otsikko sekä 4 ja 5 momentti, 12 §:n 4 momentti, 13 §:n 1 ja 3 momentti, 4 momentin 5 ja 6 kohta sekä 5 momentti, 14 §, 16 §:n 3 momentti, 16 a §, 17 §:n 1 momentti, 2 momentin 2 kohta ja 4 momentti, 22 a ja 22 b §, 23 §:n 1 momentti, 23 a §:n 1 momentti ja 3 momentin 2 kohta sekä 24 §:n 4 ja 5 momentti laissa 251/2014, 7 §:n 2 momentti, 24 §:n 1 momentti ja 25 §:n 1 momentti laissa 1196/2019, 15 §:n 1 momentin johdantokappale laissa 937/2019 sekä 15 §:n 4 ja 5 momentti laissa 557/2019, sekä 
lisätään 3 §:ään, sellaisena kuin se on osaksi laeissa 436/2010 ja 251/2014, uusi 8 a kohta, 10 §:ään, sellaisena kuin se on laissa 251/2014, uusi 4 momentti, jolloin muutettu 4 ja muutettu 5 momentti siirtyvät 5 ja 6 momentiksi, 11 §:ään, sellaisena kuin se on osaksi laissa 251/2014, uusi 3 momentti, 13 §:n 4 momenttiin, sellaisena kuin se on laissa 251/2014, uusi 4 a ja 7 kohta ja 13 §:ään, sellaisena kuin se on laissa 251/2014, uusi 6 momentti seuraavasti: 
1 §  
Lain tarkoitus 
Tämän lain tarkoituksena on parantaa potilas- ja lääketurvallisuutta sekä helpottaa ja tehostaa lääkkeen määräämistä ja toimittamista toteuttamalla järjestelmä, jossa potilaan lääkemääräykset voidaan tallettaa sähköisesti valtakunnalliseen reseptikeskukseen ja jossa reseptikeskukseen tallennettujen lääkemääräysten perusteella lääkkeet voidaan toimittaa potilaalle hänen haluamanaan ajankohtana hänen valitsemastaan apteekista. Lain tarkoituksena on lisäksi mahdollistaa potilaan kokonaislääkityksen selvittäminen sekä huomioon ottaminen lääkehoitoa toteutettaessa sekä reseptikeskukseen koottujen tietojen hyödyntäminen terveydenhuollon viranomaistoiminnassa. 
3 §  
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4) reseptikeskuksella tietokantaa, joka koostuu lääkkeen määrääjien tallentamista sähköisistä lääkemääräyksistä, apteekkien 12 §:ssä säädetyillä perusteilla tallentamista lääkemääräyksistä, sosiaali- ja terveydenhuollon palvelunantajien 23 §:ssä säädetyillä perusteilla potilaille luovutettuja lääkkeitä koskevista tiedoista, lääkemääräyksiin liitetyistä toimitustiedoista ja lääkehoidon arviointiin liittyvistä merkinnöistä; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
8 a) pro auctore -lääkemääräyksellä kirjallista lääkemääräystä, jolla lääkäri, hammaslääkäri, optikko tai suuhygienisti määrää ammattinsa harjoittamisen yhteydessä tarvittavaa lääkettä; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 §  
Potilaan informoiminen 
Potilaalle on annettava tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Lisäksi potilaalle tulee antaa tiedot sähköiseen lääkemääräykseen liittyvistä valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista sekä näiden tietojärjestelmäpalvelujen järjestäjästä. 
Terveydenhuollon palvelunantajan tulee antaa tiedot potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tiedot voidaan antaa myös potilaan yksilöivän sähköisen palvelun välityksellä. Jos tiedot annetaan muulla tavalla kuin kirjallisesti, potilaalla on oltava mahdollisuus saada tiedot myös kirjallisena. Annetuista tiedoista tulee tehdä merkintä 16 a §:ssä tarkoitettuun tahdonilmaisupalveluun. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
5 § 
Lääkemääräyksen laatiminen 
Lääkemääräys on laadittava sähköisesti lukuun ottamatta pro auctore -lääkemääräystä ja lääkkeellisiä kaasuja koskevia lääkemääräyksiä, jotka voidaan laatia kirjallisesti sekä potilaskohtaisen erityisluvan edellyttäviä lääkevalmisteita koskevia lääkemääräyksiä, jotka voidaan laatia joko kirjallisesti tai sähköisesti. Jos sähköinen määrääminen ei ole teknisen häiriön vuoksi mahdollista, lääkemääräyksen voi tehdä myös kirjallisesti tai puhelinlääkemääräyksenä. Kirjallisen tai puhelinlääkemääräyksen voi tehdä myös apteekin pyynnöstä, jos apteekki ei pysty toimittamaan sähköistä lääkemääräystä teknisen häiriön takia. Lisäksi lääkemääräyksen voi laatia kirjallisesti tai puhelimitse, jos lääkehoidon tarve on kiireellinen eikä lääkemääräystä voi olosuhteiden poikkeuksellisuuden vuoksi tai muusta erityisestä syystä laatia sähköisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 § 
Lääkemääräyksen tietosisältö 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Lääkemääräyksessä saa olla 1 momentissa tarkoitettujen tietojen lisäksi muuta lääkkeen määräämisen, käytön ja toimittamisen sekä lääkehoidon toteuttamisen ja seurannan kannalta merkityksellistä tietoa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
7 § 
Lääkemääräyksen allekirjoittaminen ja järjestelmävarmenteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Digi- ja väestötietovirasto vastaa varmennepalvelusta sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (    /    ), jäljempänä asiakastietolaki, 6 §:n mukaisesti. Sosiaali- ja terveysministeriön asetuksella annetaan tarkemmat säännökset siitä, miten lääkemääräyksen laatijan oikeus lääkkeen määräämiseen varmennetaan ja varmennepalvelu toteutetaan. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa siltä osin kuin asiassa on kysymys edellä tarkoitetusta Digi- ja väestötietovirastolle kuuluvasta tehtävästä. 
10 § 
Lääkemääräyksen korjaaminen, lopettaminen, mitätöiminen ja uudistaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos lääkkeen määrääjä päättää potilaalla käytössä olevan lääkkeen käytön lopettamisesta, tästä tulee tallentaa merkintä reseptikeskukseen. 
Tehtäessä lääkemääräykseen 1—3 momentissa tarkoitettu korjaus, mitätöinti, uudistamisen estäminen tai lopettaminen on lääkemääräykseen liitettävä perustelu toimenpiteelle. Lääkemääräyksen korjaaminen, mitätöiminen, uudistamisen estäminen ja lopettaminen on allekirjoitettava sähköisesti.  
Sähköisen lääkemääräyksen korjaamisesta, mitätöimisestä, uudistamisesta ja uudistamisen estämisestä sekä lääkkeen käytön lopettamismerkinnästä voidaan antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella. 
11 §  
Apteekin tiedonsaantioikeus 
Potilaan tai hänen puolestaan toimivan henkilön (lääkkeen ostaja) suullisesta pyynnöstä apteekilla on oikeus saada reseptikeskuksesta potilaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
3) muut reseptikeskuksessa olevat tiedot potilaan lääkemääräyksistä; jos lääkkeen noutaa joku muu kuin potilas tai hänen laillinen edustajansa, tulee lääkkeen ostajalla olla tällöin potilaan tai hänen laillisen edustajansa allekirjoittama valtuutus.
 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Apteekilla on oikeus saada tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niiden toimitustiedoista niin pitkältä ajalta kuin ne ovat apteekin tehtävien hoitamisen kannalta välttämättömiä, kuitenkin enintään 42 kuukautta lääkemääräyksen laatimisesta. 
12 § 
Lääkemääräyksen toimittaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Lääkkeen luovutuksen yhteydessä lääkkeen ostajalle on annettava kirjallinen selvitys toimitetusta lääkkeestä sekä tieto lääkemääräyksen toimittamatta olevasta osasta, jollei ostaja ilmoita, että hän ei halua selvitystä. Selvityksessä saa potilaan suostumuksella olla tiedot kaikista reseptikeskukseen tallennetuista potilaan lääkemääräyksistä. Jos lääkkeen noutaa joku muu kuin potilas itse tai hänen laillinen edustajansa, saadaan kaikki lääkemääräystiedot sisältävä selvitys antaa kuitenkin vain, jos potilas tai hänen laillinen edustajansa on antanut siihen valtuutuksen. Valtuutuksesta säädetään varallisuusoikeudellisista oikeustoimista annetussa laissa (228/1929). Valtuutuksen voi tehdä myös hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016) tarkoitetussa asiointivaltuutuspalvelussa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos lääkemääräys on annettu 5 §:n 1 momentissa tarkoitetun teknisen häiriön tai muun syyn takia kirjallisesti tai puhelimitse eikä lääkemääräystä ole tallennettu reseptikeskukseen, apteekin on tallennettava lääkemääräys ja siihen liittyvät toimitustiedot reseptikeskukseen lääkemääräystä toimitettaessa tai teknisen häiriön estäessä välittömän tallennuksen, niin pian kuin se on mahdollista. Samassa yhteydessä myös muiden kirjallisesti annettujen lääkemääräysten tiedot voidaan tallentaa reseptikeskukseen. Apteekki voi myös samassa yhteydessä tallentaa sellaiset asiakkaan paperi- ja puhelinreseptit reseptikeskukseen, joita ei toimiteta samalla kertaa. Lääkemääräykseen merkityllä lääkkeen määrääjällä on hoitosuhteesta riippumatta oikeus hakea reseptikeskuksesta tiedot niistä apteekin tallentamista lääkemääräyksistä, joihin hänet on merkitty lääkkeen määrääjäksi. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kirjallisen tai puhelinlääkemääräyksen ja sen toimitustietojen tallentamisesta reseptikeskukseen sekä hakutoiminnosta, jolla lääkkeen määrääjä voi saada tiedon apteekin tallentamista lääkemääräyksistä. 
13 § 
Potilaan oikeus määrätä tietojen luovutuksesta 
Reseptikeskuksessa olevia tietoja potilaan lääkemääräyksistä, niiden toimitustiedoista, uudistamispyynnöistä ja lopettamisesta saa luovuttaa salassapitosäädösten estämättä terveydenhuollon ja sosiaalihuollon palvelunantajille ja lääkkeen määrääjälle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Potilas voi kuitenkin kieltää yksilöimiensä lääkemääräysten luovutuksen edellä tarkoitetuille tahoille ja apteekeille. Kiellon saa peruuttaa milloin tahansa. Kiellon sekä sen peruutuksen voi ilmoittaa mille tahansa sähköiseen lääkemääräykseen liittyneelle terveydenhuollon tai sosiaalihuollon palvelunantajalle. Kiellon sekä sen peruutuksen saa tehdä myös 17 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä. Tieto potilaan antamasta kiellosta tallennetaan asiakastietolain 12 §:ssä tarkoitettuun tahdonilmaisupalveluun. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos alaikäinen potilas kykenee potilaan asemasta ja oikeuksista annetun lain (785/1992), jäljempänä potilaslaki, 7 §:n 1 momentissa tarkoitetulla tavalla ikänsä ja kehitystasonsa perusteella itse päättämään hoidostaan, hän voi päättää myös 1 momentissa tarkoitetun kiellon tekemisestä ja sen peruuttamisesta. Alaikäisen huoltajalla tai laillisella edustajalla ei ole oikeutta tehdä luovutuskieltoa. Potilaslain 9 §:n 2 momentissa tarkoitetulla alaikäisellä on lisäksi oikeus kieltää sähköisen lääkemääräyksen tietojen luovuttaminen huoltajalleen tai muulle lailliselle edustajalleen. 
Sen estämättä, mitä 1 momentissa säädetään, saadaan luovuttaa: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 a) hoitosuhteen jatkuessa reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niiden perusteella tehtyjen toimitusten toimitustiedoista; 
5) terveydenhuollon tai sosiaalihuollon palvelunantajalle taikka terveydenhuollon ammattihenkilölle tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niiden toimitustiedoista ja lopettamisista potilaslain 8 §:n kiireellisissä tilanteissa; jos lääkemääräystietojen luovutus on kielletty 1 momentin mukaisesti, tietoja saa luovuttaa vain, jos potilas on erikseen ilmoittanut, että niitä saadaan kuitenkin luovuttaa edellä tarkoitetussa tilanteessa; 
6) sähköisen lääkemääräyksen toiminnasta vastaavalle terveydenhuollon palvelunantajan, Kansaneläkelaitoksen tai tietojärjestelmän toimittajan palveluksessa olevalle tekniselle henkilöstölle tietoja häiriö- ja virhetilanteiden selvittämisen edellyttämässä laajuudessa; sekä 
7) valvonta-asiaan liittyviä selvityksiä varten reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niiden perusteella tehtyjen toimitusten toimitustiedoista. 
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kieltomenettelystä sekä 4 momentin 6 kohdassa tarkoitetun tiedonsaantioikeuden toteuttamisesta ja teknisen henkilöstön oikeuksien selvittämisestä. 
Sähköisen lääkemääräyksen tiedot voidaan luovuttaa potilaalle asiakastietolain 3 §:n 13 kohdassa tarkoitetun hyvinvointisovelluksen tai tämän lain 17 §:ssä tarkoitetun kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen potilaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
14 §  
Kieltoasiakirja  
Kiellon vastaanottajan on annettava asiakkaalle hänen pyynnöstään tuloste hänen tekemästään kiellosta. Tulosteesta on käytävä ilmi kiellon merkitys asiakastietojen käsittelyyn. Tulosteessa on oltava 13 §:ssä tarkoitetut tiedot kielletyistä yksilöidyistä lääkemääräyksistä sekä kiellon merkityksestä. Tulosteessa tulee olla selvitys siitä, että terveyden- ja sairaanhoitoa annettaessa ei voida käyttää voimassa olevan kiellon kohteena olevia tietoja, vaikka ne olisivat hoidon kannalta merkityksellisiä, jollei kieltoa peruuteta tai luovutuksen saajalla ole lakisääteistä tiedonsaantioikeutta tai kieltoon ole tehty poikkeusta potilaslain 8 §:ssä tarkoitetun tilanteen varalta. 
Kansaneläkelaitos määrittelee kieltoasiakirjan tietosisällön. Potilaan tehdessä kiellon 17 §:ssä tarkoitetun käyttöliittymän välityksellä hänelle on annettava vastaavat tiedot käyttöliittymän välityksellä. 
15 § 
Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen  
Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kansaneläkelaitos saa reseptikeskuksen yhteisrekisterinpitäjänä luovuttaa reseptikeskuksesta pyynnöstä sen lisäksi, mitä muualla lainsäädännössä säädetään: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Kansaneläkelaitoksen oikeudesta saada reseptikeskuksessa olevia tietoja säädetään sairausvakuutuslain (1224/2004) 19 luvun 1 §:ssä. Kansaneläkelaitos ei saa antaa tietoja edelleen sille muussa laissa säädetyn tiedonantovelvollisuuden tai tiedonanto-oikeuden perusteella. 
Sosiaali- ja terveysalan tietolupaviranomaisella on oikeus käsitellä ja luovuttaa reseptikeskuksessa olevia tietoja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) mukaisesti. 
Kansaneläkelaitos saa yhteisrekisterinpitäjänä laatia ja luovuttaa 1 momentissa mainituille viranomaisille sellaisia yhteenvetoja reseptikeskuksessa olevista tiedoista, joilla voi olla merkitystä lääketurvallisuuden tai lääkehoidon hyötyjen tai kustannusten selvittämisessä taikka Kansaneläkelaitoksen toiminnan ja palvelujen kehittämisessä. 
16 § 
Potilaan tiedonsaantioikeus ja reseptikeskuksessa olevien virheellisten tietojen oikaiseminen 
Potilaan oikeudesta tutustua häntä itseään koskeviin reseptikeskuksessa oleviin tietoihin säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 15 artiklassa ja tietosuojalain (1050/2018) 34 §:ssä. 
Reseptikeskuksessa olevien virheellisten tietojen oikaisemisesta säädetään 10 §:ssä ja tietosuoja-asetuksen 16 artiklassa. Jos potilas tai hänen laillinen edustajansa vaatii tiedon oikaisua tietosuoja-asetuksen 16 artiklan perusteella ja virheellinen tieto perustuu lääkkeen määrääjän tai lääkkeen toimittajan tekemään merkintään, vaatimus oikaisemisesta on osoitettava virheellisen merkinnän tehneelle henkilölle tai sille organisaatiolle, jonka palveluksessa virheen tehnyt henkilö on ollut virheen tehdessään. 
Potilaalla on oikeus pyynnöstä saada lokitietojen perusteella tieto siitä, ketkä ovat käsitelleet ja katselleet häntä koskevia reseptikeskuksessa tai asiakastietolain 12 §:ssä tarkoitetussa tahdonilmaisupalvelussa olevia tietoja. Potilaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa potilaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, ellei siihen ole erityistä syytä. Potilas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun käyttötarkoitukseen. Kansaneläkelaitoksen on annettava tiedot viivytyksettä. Tietojen antamisesta ei saa periä maksua. Jos potilas pyytää uudelleen tietoja, jotka hän on jo saanut, hänellä on oikeus saada tiedot vain, jos siihen on perusteltu syy hänen etujensa tai oikeuksiensa toteuttamiseksi. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti. Kansaneläkelaitos saa periä uudelleen annettavista tiedoista maksun, joka ei saa ylittää tietojen antamisesta aiheutuvia kustannuksia. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
16 a §  
Tahdonilmaisupalvelu  
Asiakastietolain 12 §:ssä tarkoitettuun tahdonilmaisupalveluun tallennetaan tiedot potilaan tekemistä kielloista, informoinneista ja suostumuksista.  
17 § 
Kansalaisen käyttöliittymä 
Potilaalle annetaan kansalaisen käyttöliittymän avulla tiedot hänen reseptikeskukseen tallennetuista lääkemääräyksistä ja niihin liitetyistä korjaus- ja toimitusmerkinnöistä, tiedot lopetetuista lääkemääräyksistä, tiedot kielloista sekä luovutuslokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja sekä niitä luovutuslokitietoja, joita potilaalla ei 16 §:n 3 momentin mukaan ole oikeutta saada. Sähköisestä asioinnista ja tietojen käsittelystä toisen puolesta säädetään asiakastietolain 23 §:ssä. Henkilölle annetaan käyttöliittymän avulla hänen puolestaan asioineen henkilön nimi. 
Potilas voi lisäksi käyttöliittymän välityksellä: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2) antaa ja peruuttaa 13 §:ssä tarkoitetun kiellon; sekä  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Kansalaisen käyttöliittymä tulee toteuttaa siten, että potilaan yksityisyyden suoja ei vaarannu. Alaikäisen potilaan tiedot saa luovuttaa käyttöliittymän kautta potilaan lisäksi hänen huoltajalleen tai muulle lailliselle edustajalleen. Tietojen luovutuksessa on tällöin otettava huomioon, mitä potilaslain 9 §:n 2 momentissa säädetään alaikäisen potilaan oikeudesta kieltää terveydentilaansa koskevien tietojen antaminen potilaan huoltajalle tai muulle lailliselle edustajalle. Tietojen saanti käyttöliittymän avulla ei saa vaikuttaa potilaan oikeuteen tutustua häntä itseään koskeviin tietoihin. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
18 § 
Reseptikeskuksen rekisterinpitäjyys 
Reseptikeskus on Kansaneläkelaitoksen, apteekkien ja sähköisiä lääkemääräyksiä laativien palvelunantajien ja itsenäisten lääkkeen määrääjien yhteisrekisteri. 
Kansaneläkelaitos vastaa reseptikeskuksessa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. 
Sähköisiä lääkemääräyksiä laativa palvelunantaja ja itsenäinen lääkkeen määrääjä vastaavat reseptikeskukseen tallennettavan lääkemääräyksen tietojen oikeellisuudesta. Lääkkeen toimittanut apteekki vastaa reseptikeskukseen tallennettavien toimitustietojen oikeellisuudesta.  
Kansaneläkelaitos vastaa tietosuoja-asetuksessa rekisterinpitäjälle säädetyistä muista kuin tässä laissa apteekeille ja sähköisiä lääkemääräyksiä laativille palvelunantajille ja itsenäisille lääkkeen määrääjille asetetuista velvoitteista. Kansaneläkelaitos toimii lisäksi tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena rekisteröidyn yhteyspisteenä. 
19 § 
Tietojen säilyttäminen 
Reseptikeskukseen tallennetut asiakirjat ja niitä koskevat tiedot säilytetään reseptikeskuksessa 20 vuotta. Terveydenhuollon palvelunantajien ja apteekkien velvollisuudesta säilyttää tietoja lääkemääräyksistä säädetään erikseen. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 a § 
Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto 
Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi asiakastietolain 6 ja 7 luvun mukaisesti. 
22 b § 
Tietoturvasuunnitelma 
Sähköisiä lääkemääräyksiä laativien palvelunantajien, apteekkien ja Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava tietoturvasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi asiakastietolain 27 §:n mukaisesti sekä seurattava toimintaa ja ilmoitettava poikkeamista mainitun lain 41 §:n mukaisesti. 
23 §  
Sosiaali- tai terveydenhuollossa luovutettavat lääkkeet 
Sosiaali- tai terveydenhuollon palvelunantajan potilaalle luovuttamia lääkkeitä koskevat tiedot saa tallentaa reseptikeskukseen. Näitä lääkkeitä koskevien tietojen tallentamisessa reseptikeskukseen sovelletaan muutoin, mitä tässä laissa säädetään sähköisestä lääkemääräyksestä. Sosiaali- tai terveydenhuollon palvelunantaja vastaa potilaalle luovuttamiensa lääkkeitä koskevien tietojen oikeellisuudesta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
23 a §  
Rajat ylittävä sähköinen lääkemääräys 
Muualla kuin Suomessa laadittu sähköinen lääkemääräys saadaan hyväksyä ja toimittaa Suomessa toimivassa apteekissa, vaikka lääkemääräys ei täyttäisi kaikkia tässä laissa sähköiselle lääkemääräykselle säädettyjä vaatimuksia. Hyväksymisen edellytyksenä on kuitenkin, että se täyttää Euroopan unionissa hyväksytyt tai Euroopan unionin jäsenvaltioiden ja Euroopan talousalueeseen kuuluvien valtioiden kesken sovitut vaatimukset ja lääkemääräys välitetään suomalaiseen apteekkiin lääkemääräyksen oikeellisuuden varmistavan ulkomaisen ja Suomen kansallisen yhteyspisteen kautta. Edellytyksenä lääkemääräyksen luovuttamiselle ulkomaille on, että luovutus tapahtuu Suomen ja vastaanottajamaan kansallisen yhteyspisteen kautta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2) sähköisen lääkemääräyksen luovuttamisesta toisen valtion kansalliselle yhteyspisteelle; sekä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
24 §  
Ohjaus, seuranta ja valvonta 
Sähköisen lääkemääräyksen ja tässä laissa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle. Asiakastietolain 6 §:ssä tarkoitetun Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rekisterinpitäjän, toimintayksikön ja apteekin tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut reseptikeskuksessa olevia tietoja. Seurannan ja valvonnan toteuttamiseksi sosiaali- ja terveydenhuollon palvelunantajilla ja apteekilla on oikeus saada Kansaneläkelaitokselta lokitiedot siltä osin kuin asianomaisen toimintayksikön ja apteekin henkilökunta on katsellut ja käsitellyt reseptikeskuksessa olevia tietoja.  
Palvelunantajan vastaavan johtajan, apteekkarin sekä Kansaneläkelaitoksen tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilastietoja käsiteltäessä. Palvelunantajan ja apteekin seuranta- ja valvontatehtävää varten nimettävästä tietosuojavastaavasta säädetään tietosuoja-asetuksen 37 artiklassa. 
25 § 
Maksut 
Sähköisen lääkemääräyksen ja sen toimitustietojen tallentamisesta, tässä laissa tarkoitetusta varmentamisesta sekä reseptikeskuksen ja lääketietokannan tietojen käytöstä peritään palvelun tuottamisesta aiheutuvien kustannusten määrää vastaava maksu. Maksun tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Maksun perii Kansaneläkelaitos. Kunnallisen terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Sen estämättä, mitä valtion maksuperustelain (150/1992) 10 §:ssä säädetään, Kansaneläkelaitoksen perimistä maksuista säädetään sosiaali- ja terveysministeriön asetuksella siten, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Asiakastietolain 6 §:ssä tarkoitetuista Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
Lain 13 §:n 5 momentin mukaista tietojen luovuttamista hyvinvointisovelluksen kautta sovelletaan viimeistään 1 joulukuuta 2022. 
Lain 23 a §:ää sovelletaan 1 päivästä tammikuuta 2023. 
 Lakiehdotus päättyy 

Laki terveydenhuoltolain 9 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan terveydenhuoltolain (1326/2010) 9 §:n 4 momentti seuraavasti: 
9 §  
Potilastietorekisteri ja potilastietojen käsittely 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Käytettäessä toisen terveydenhuollon palvelunantajan tietoja tietojärjestelmien välityksellä, potilastietojen käyttöä on seurattava sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (   /   ) 25 §:ssä edellytetyllä tavalla. Hoitosuhde potilaan ja luovutuspyynnön tekijän välillä on varmistettava tietoteknisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki lastensuojelulain 25 b §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lastensuojelulain (417/2007) 25 b §, sellaisena kuin se on laissa 1302/2014, seuraavasti: 
25 b §  
Lastensuojeluilmoitusten tallentaminen sosiaalihuollon asiakasrekisteriin 
Lastensuojeluilmoitukset talletetaan sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 22 §:n mukaisesti mainitussa laissa tarkoitettuun sosiaalihuollon asiakasrekisteriin. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki potilaan asemasta ja oikeuksista annetun lain 13 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 a §, sellaisena kuin se on laissa 1230/2010, seuraavasti: 
13 a §  
Valtakunnalliset tietojärjestelmäpalvelut 
Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (   /   ). Kansaneläkelaitoksen ylläpitämään reseptikeskukseen tallennettujen lääkemääräysten tietojen luovuttamisesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007). 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 2 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 2 §:n 1 momentin 1 kohta, sellaisena kuin se on laissa 1481/2019, seuraavasti: 
2 §  
Tehtävät 
Viraston tehtävänä on huolehtia: 
1) terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994), sosiaalihuollon ammattihenkilöistä annetussa laissa (817/2015), kansanterveyslaissa (66/1972), työterveyshuoltolaissa (1383/2001), erikoissairaanhoitolaissa (1062/1989), terveydenhuoltolaissa (1326/2010), mielenterveyslaissa (1116/1990), yksityisestä terveydenhuollosta annetussa laissa (152/1990), tartuntatautilaissa (1227/2016), terveydenhuollon järjestämisestä puolustusvoimissa annetussa laissa (322/1987), sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (   /   ), sähköisestä lääkemääräyksestä annetussa laissa (61/2007), sosiaalihuoltolaissa (1301/2014), yksityisistä sosiaalipalveluista annetussa laissa (922/2011), kehitysvammaisten erityishuollosta annetussa laissa (519/1977), terveydensuojelulaissa (763/1994), alkoholilaissa (1102/2017), tupakkalaissa (549/2016) ja Vankiterveydenhuollon yksiköstä annetussa laissa (1635/2015) sille säädetystä lupahallinnosta, ohjauksesta ja valvonnasta; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
lisätään sosiaalihuollon asiakkaan asemasta ja oikeuksista annettuun lakiin (812/2000) uusi 14 a §, seuraavasti: 
14 a §  
Valtakunnalliset tietojärjestelmäpalvelut 
Sosiaalihuollon asiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (   /   ). 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 55 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 55 §:n 5 momentti seuraavasti: 
55 §  
Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Potilaalla on oikeus kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kielto kirjataan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (    /    ) 12 §:ssä tarkoitettuun tahdonilmaisupalveluun. Potilas voi tehdä kiellon kirjallisesti missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä taikka sähköisesti mainitun lain 24 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan       päivänä           kuuta 20  . 
 Lakiehdotus päättyy 
Helsingissä 28.5.2021 

Eduskunnan puolesta

puhemies   
pääsihteeri