EDUSKUNNAN VASTAUS 10/2014 vp

EV 10/2014 vp - HE 219/2013 vp

Hallituksen esitys eduskunnalle laeiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain sekä sähköisestä lääkemääräyksestä annetun lain muuttamisesta

Asia

Hallitus on vuoden 2013 valtiopäivillä antanut eduskunnalle esityksensä laeiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain sekä sähköisestä lääkemääräyksestä annetun lain muuttamisesta (HE 219/2013 vp).

Valiokuntakäsittely

Sosiaali- ja terveysvaliokunta on antanut asiasta mietinnön (StVM 1/2014 vp).

Päätös

Nyt koolla oleva eduskunta on hyväksynyt seuraavat lait:

Laki

sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 2 §:n 3 momentti, 3 §:n 7 ja 8 kohta, 5 §:n 2 momentti, 14 §:n 1 momentti, 14 a §:n 3 ja 4 momentti, 17—19 §, 20 §:n 4 ja 5 momentti ja 22 §,

sellaisina kuin niistä ovat 2 §:n 3 momentti, 20 §:n 4 ja 5 momentti ja 22 § laissa 981/2010, 3 §:n 8 kohta laissa 928/2011 sekä 14 §:n 1 momentti, 14 a §:n 3 ja 4 momentti sekä 17 ja 19 § laissa 1227/2010, sekä

lisätään 3 §:ään, sellaisena kuin se on osaksi laeissa 1227/2010 ja 928/2011, siitä lailla 1227/2010 kumotun 6 kohdan tilalle uusi 6 kohta, sekä uusi 9 ja 10 kohta, 16 §:ään, sellaisena kuin se on osaksi laeissa 981/2010 ja 1227/2010, siitä lailla 981/2010 kumotun 5 momentin tilalle uusi 5 momentti sekä lakiin uusi 5 a—5 c luku ja 20 a—20 h § seuraavasti:

2 §

Soveltamisala

- - - - - - - - - - - - - - - - - - -

Jollei tästä tai muusta laista muuta johdu, asiakastietojen käsittelyyn sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, henkilötietolaissa (523/1999), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994) tai näiden nojalla säädetään. Lisäksi asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä on noudatettava, mitä kielilaissa (423/2003) ja sen nojalla säädetään. Jos terveydenhuollon asiakas- ja potilastietoja käsittelevä tietojärjestelmä on terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010) tarkoitettu terveydenhuollon laite, tietojärjestelmään sovelletaan myös mainittua lakia ja sen mukaisia vaatimuksia.

3 §

Määritelmät

Tässä laissa tarkoitetaan:

- - - - - - - - - - - - - - - - - - -

6) tietojärjestelmällä sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin;

7) terveydenhuollon palvelujen antajalla potilaslain 2 §:n 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, työterveyshuoltolain (1383/2001) 7 §:n 2 kohdassa tarkoitettua työnantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä;

8) sosiaalihuollon palvelujen antajalla asiakaslain 3 §:n 2 kohdassa tarkoitettua sosiaalihuoltoa järjestävää viranomaista, julkista sosiaalipalvelujen tuottajaa sekä yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tarkoitettua palvelujen tuottajaa;

9) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella suorittamaan tietojärjestelmien vaatimustenmukaisuuden arviointeja; sekä

10) yhteentoimivuudella tietojärjestelmien teknistä ja tietosisällöllistä yhteentoimivuutta muiden tietojärjestelmien kanssa silloin, kun järjestelmät käyttävät samoja tietoja.

5 §

Käytön ja luovutuksen seuranta

- - - - - - - - - - - - - - - - - - -

Palvelujen antajan tulee kerätä asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja jokaisesta asiakastietojen luovutuksesta seurantaa varten lokitiedot lokirekisteriin. Käyttölokirekisteriin tallennetaan tieto käytetyistä asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja käytetään, asiakastietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta. Luovutuslokirekisteriin tallennetaan tieto luovutetuista asiakastiedoista, siitä palvelujen antajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta ja luovutusajankohdasta. Kansaneläkelaitoksen tulee kerätä vastaavat tiedot 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennettujen ja sen kautta näytettyjen tietojen luovuttamisesta.

- - - - - - - - - - - - - - - - - - -

14 §

Valtakunnalliset tietojärjestelmäpalvelut

Kansaneläkelaitos hoitaa terveydenhuollon palvelujen antajien lukuun potilasasiakirjojen säilytystä ja käyttöä varten olevaa arkistointipalvelua sekä sen osana potilasasiakirjojen luovutusta varten hakemistopalvelua ja potilaan tiedonhallintapalvelua. Arkistointipalveluun voidaan tallentaa potilasasiakirjojen lisäksi myös muita terveydenhuollon järjestämiseen ja tiedonhallintaan liittyviä asiakirjoja. Lisäksi Kansaneläkelaitos hoitaa valtakunnallisiin tietojärjestelmäpalveluihin kuuluvina tehtävinä luovutuslokirekisterien säilytyksen osana arkistointipalvelua, 19 §:ssä tarkoitetun kansalaisen käyttöliittymän sekä palvelun, jonka avulla valtakunnallisia tietojärjestelmäpalveluja voi käyttää Internetin välityksellä sekä tietoliikenneverkkoja käyttävillä liikutettavilla laitteilla. Kansaneläkelaitos voi hoitaa myös muita sosiaali- ja terveydenhuollon tiedonhallintaan liittyviä valtakunnallisia palveluja siten kuin niistä erikseen muualla säädetään sekä huolehtia käyttölokirekisterien säilytyksestä. Kansaneläkelaitos voi tarvittaessa antaa ohjeita edellä mainittujen valtakunnallisten tietojärjestelmäpalveluiden toteuttamisen edellyttämistä teknisistä ja sanomaliikennemäärityksistä.

- - - - - - - - - - - - - - - - - - -

14 a §

Potilaan tiedonhallintapalvelu

- - - - - - - - - - - - - - - - - - -

Potilaan tiedonhallintapalvelun kautta voidaan lisäksi näyttää potilaan terveyden- ja sairaanhoidon tai niihin liittyvien palvelujen kannalta keskeiset tiedot. Sosiaali- ja terveysministeriön asetuksella voidaan säätää siitä, mitkä ovat tiedonhallintapalvelun kautta näytettäviä keskeisiä tietoja. Tiedonhallintapalvelun välityksellä ei saa kuitenkaan näyttää sellaisia tietoja, joiden luovutuksen potilas on kieltänyt 10—12 §:n perusteella.

Kansaneläkelaitos on potilaan tiedonhallintapalvelun rekisterinpitäjä. Kansaneläkelaitos vastaa tiedonhallintapalvelussa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. Tiedon tallentaja vastaa potilaan tiedonhallintapalveluun tallennettujen tietojen oikeellisuudesta ja palvelussa olevan virheellisen tiedon korjaamisesta. Tiedonhallintapalvelussa olevien virheellisten tietojen korjaamiseen sovelletaan, mitä henkilötietolain 29 §:ssä säädetään. Jos virheellinen tieto perustuu terveydenhuollon palvelujen antajan tekemään merkintään, on korjausvaatimus osoitettava virheellisen merkinnän tehneelle palvelujen antajalle.

16 §

Vastuut tietojärjestelmäpalvelujen hoidossa

- - - - - - - - - - - - - - - - - - -

Kansaneläkelaitos voi laatia ja luovuttaa arkistointipalvelussa olevien asiakirjojen kuvailutiedoista yhteenvetoja, joilla voi olla merkitystä valtakunnallisten tietojärjestelmäpalvelujen kehittämisessä, seurannassa tai raportoinnissa. Lisäksi Kansaneläkelaitos voi luovuttaa potilaan tiedonhallintapalvelussa olevia 14 a §:n 2 momentin mukaisia tietoja potilaan tahdonilmaisuista potilaslain 13 §:n 2—5 momentissa säädetyillä perusteilla.

17 §

Potilaan informointi

Valtakunnallisiin tietojärjestelmäpalveluihin liittyneen terveydenhuollon palvelujen antajan on annettava tiedot potilaalle valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista ja niihin liittyvistä potilaan oikeuksista. Tiedot tulee antaa ennen ensimmäistä palvelutapahtumaa tai sen yhteydessä. Lisäksi potilaalle tulee antaa tiedot tietojärjestelmäpalvelujen järjestäjästä, potilastietojen luovutuksen edellytyksistä, tietojen suojaamisesta sekä muista potilaan kannalta merkityksellisistä tietojen käsittelyyn liittyvistä seikoista.

Terveydenhuollon palvelujen antajan tulee antaa tiedot potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tiedot voidaan antaa myös potilaan yksilöivän sähköisen palvelun välityksellä. Jos tiedot annetaan muulla tavalla kuin kirjallisesti, on potilaalla oltava mahdollisuus saada tiedot myös kirjallisena. Annetuista tiedoista tulee tehdä merkintä edellä 14 a §:ssä todettuun potilaan tiedonhallintapalveluun. Jos potilas on jo saanut edellä tarkoitetut tiedot, voidaan tiedonantovelvollisuudesta poikkeamiseen soveltaa, mitä henkilötietolain 24 §:ssä säädetään.

Tietojen antamisen menettelytavoista ja sisällöstä voidaan tarvittaessa antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella.

18 §

Asiakkaan tiedonsaantioikeus

Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta säädetään henkilötietolain 26—28 §:ssä.

Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tieto 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennettujen ja sen kautta näytettävien tietojen luovuttamisesta. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.

Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja tai Kansaneläkelaitos voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoitetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.

Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tai Kansaneläkelaitoksen tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.

19 §

Kansalaisen käyttöliittymä

Potilaalle annetaan kansalaisen käyttöliittymän avulla valtakunnalliseen arkistointipalveluun hänestä tallennetut seuraavat tiedot:

1) tiedot suostumuksesta ja kielloista sekä luovutuslokitiedot lukuun ottamatta luovuttajan ja luovutuksensaajan henkilötietoja sekä niitä luovutuslokitietoja, joita potilaalla ei henkilötietolain 27 §:n 1 momentin 1—4 kohdan mukaan ole oikeutta saada;

2) tieto potilaan tiedonhallintapalveluun merkitystä elinluovutuskiellosta, hoitotahdosta ja muusta potilaan terveyden- ja sairaanhoitoa tai elinluovutusta koskevasta tahdonilmaisusta;

3) tiedot palvelutapahtumien paikoista ja ajoista, hoidon kannalta keskeiset tiedot, lääkemääräystiedot ja hoito-ohjeet; sekä

4) lähetteet, yhteenvedot annetuista hoidoista, hoitojen loppulausunnot sekä lääkärintodistukset ja -lausunnot.

Potilaalle voidaan antaa kansalaisen käyttöliittymän avulla myös ajanvaraustiedot sekä laboratoriotulokset, kuvantamistulokset ja muut vastaavat tutkimustulokset. Käyttöliittymään voidaan 1 momentissa mainittujen toimintojen lisäksi liittää muita potilaan tiedonsaantia sekä hoidon ja terveydenhuoltoon muutoin liittyvien tehtävien toteuttamista ja seuraamista mahdollistavia toimintoja.

Sen estämättä, mitä 1 ja 2 momentissa säädetään, käyttöliittymä on toteutettava siten, ettei potilaalla ole pääsyä niihin tietoihin, joiden luovuttamisesta voi terveydenhuollon ammattihenkilön harkinnan mukaan aiheutua vakavaa vaaraa potilaan terveydelle tai hoidolle taikka jonkun muun oikeuksille.

Käyttöliittymä tulee toteuttaa siten, että potilas voi antaa 11 §:ssä tarkoitetun suostumuksen ja tehdä 12 §:ssä tarkoitetun kiellon sekä tehdä elinluovutuskiellon, hoitotahdon ja muun terveyden- ja sairaanhoitoa koskevan tahdonilmaisun käyttöliittymän välityksellä. Lisäksi käyttöliittymää toteutettaessa tulee varmistaa, että potilaan yksityisyyden suoja ei vaarannu. Alaikäisen potilaan tiedot saa luovuttaa käyttöliittymän kautta potilaan lisäksi hänen huoltajalleen tai muulle lailliselle edustajalleen. Tietojen luovutuksessa on tällöin otettava huomioon, mitä potilaan asemasta ja oikeuksista annetun lain 9 §:n 2 momentissa säädetään alaikäisen potilaan oikeudesta kieltää terveydentilaansa koskevien tietojen antaminen potilaan huoltajalle tai muulle lailliselle edustajalle. Tietojen saanti käyttöliittymän avulla ei vaikuta potilaan henkilötietolain mukaiseen tarkastusoikeuteen.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä tiedonsaantia, hoidon toteuttamista ja seurantaa koskevien tietojen sisällöstä ja niiden liittämisestä käyttöliittymään sekä siitä, miten tiedot annetaan käyttöliittymän kautta ja miten alaikäisen potilaan huoltajan tai laillisen edustajan oikeus saada tietoja toteutetaan.

5 a luku

Tietojärjestelmien olennaiset vaatimukset ja niiden osoittaminen

19 a §

Olennaiset vaatimukset

Sosiaali- tai terveydenhuollon asiakastietojen käsittelyssä käytettävän tietojärjestelmän tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset.

Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmä on käyttötarkoitukseensa sopiva ja sillä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot ja sen suorituskyky on valmistajan ilmoittama. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Ennen määräyksen antamista Terveyden ja hyvinvoinnin laitoksen on kuultava sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukuntaa. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa tarkoitettuihin terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jäljempänä Kanta-palvelut, liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.

19 b §

Luokitus

Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat Kansaeläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta. Luokkaan A kuuluu myös 3 §:n 6 kohdassa tarkoitettu välityspalvelu. Muut tietojärjestelmät kuuluvat luokkaan B.

Jos on epäselvää, mihin luokkaan tietojärjestelmä kuuluu, Terveyden ja hyvinvoinnin laitos päättää kumpaan luokkaan tietojärjestelmä kuuluu.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietojärjestelmien luokkien määräytymisestä.

19 c §

Tietojärjestelmän valmistajan yleiset velvollisuudet

Valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta, valmistuksesta ja luokittelusta riippumatta siitä, suorittaako valmistaja nämä toimet itse vai tekeekö joku muu ne hänen lukuunsa.

Valmistajan on annettava tietojärjestelmän yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta. Tietojärjestelmän mukana olevien tietojen ja ohjeiden on oltava suomen, ruotsin tai englannin kielellä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on kuitenkin oltava suomen ja ruotsin kielellä.

Lisäksi valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen.

19 d §

Vaatimustenmukaisuuden osoittaminen

Luokkaan A kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmän valmistajan antamalla selvityksellä siitä, että järjestelmä täyttää kaikki toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteistes-tauksella ja tietoturvallisuuden arviointilaitoksen antamalla vaatimustenmukaisuustodistuksella.

Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava valmistajan antamalla kirjallisella selvityksellä siitä, että järjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käyttötarkoituksensa mukaan käytettynä täyttää 19 a §:ssä säädetyt olennaiset vaatimukset.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä.

19 e §

Yhteistestaus

Luokkaan A kuuluvan tietojärjestelmän on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteistestauksessa. Yhteistestauksen toteuttamisen edellytyksenä on, että tietojärjestelmän valmistaja antaa Kansaneläkelaitokselle selvityksen siitä, miten tietojärjestelmän toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteistestauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.

Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteistestaukseen. Yhteistestaukseen osallistuvien tietojärjestelmien valmistajat vastaavat itse testauksen niille aiheuttamista kustannuksista.

Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille keskitetyille tietojärjestelmille ei suoriteta erillistä yhteistestausta.

19 f §

Tietojärjestelmän käyttöönotto

Luokkaan A kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön ja liittää Kanta-palveluihin, kun tietoturvallisuuden arviointilaitos on antanut sitä koskevan vaatimustenmukaisuustodistuksen. Luokkaan B kuuluvan tietojärjestelmän saa ottaa tuotantokäyttöön sen jälkeen, kun järjestelmän valmistaja on antanut 19 d §:ssä tarkoitetun kirjallisen selvityksen.

Valmistajan on ilmoitettava tuotantokäyttöön otettavasta tietojärjestelmästä Sosiaali- ja terveysalan lupa ja valvontavirastolle. Ilmoituksessa on oltava tieto tietojärjestelmän valmistajasta ja käyttötarkoituksesta. Lisäksi valmistajan on ilmoitettava tietojärjestelmän tuotantokäytön päättymisestä. Lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä.

Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa tarkempia määräyksiä ilmoituksen sisällöstä ja rekisteriin merkittävistä tiedoista.

19 g §

Käyttöönoton jälkeinen seuranta

Valmistajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelujen antajille. Lisäksi luokkaan A kuuluvien tietojärjestelmien merkittävistä poikkeamista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

Tietojärjestelmän valmistajan on lisäksi seurattava tietojärjestelmien olennaisten vaatimusten muutoksia ja tehtävä tietojärjestelmiin muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Vaatimustenmukaisuustodistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia vaatimuksia on muutettu.

Valmistajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellyttämät tiedot vähintään viiden vuoden ajan tietojärjestelmän tuotantokäytön päättymisestä.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.

5 b luku

Palvelujen antajan omavalvonta

19 h §

Omavalvontasuunnitelma

Sosiaalihuollon ja terveydenhuollon palvelujen antajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Siinä on selvitettävä, miten seuraavat järjestelmien käyttöön liittyvät asiat varmistetaan:

1) henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus ja kokemus;

2) tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet;

3) tietojärjestelmiä käytetään valmistajan antaman ohjeistuksen mukaisesti;

4) tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeistuksen mukaisesti;

5) käyttöympäristö soveltuu tietojärjestel-mien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön;

6) tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia; sekä

7) tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus.

Jos palvelujen antaja on liittynyt Kanta-palvelujen käyttäjäksi, on omavalvontasuunnitelmassa selvitettävä myös, miten näiden valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu. Lisäksi 3 §:n 6 kohdassa tarkoitetun välityspalvelun tuottajan on laadittava omavalvontasuunnitelma välityspalvelusta ja Kansaneläkelaitoksen on laadittava suunnitelma ylläpitämistään Kanta-palveluista.

Palvelujen antajan, välityspalvelun tuottajan ja Kansaneläkelaitoksen on seurattava omavalvontasuunnitelman toteutumista.

Terveyden ja hyvinvoinnin laitos voi tarvittaessa antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista.

19 i §

Poikkeamista ilmoittaminen

Jos sosiaali- tai terveydenhuollon palvelujen antaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, on palvelujen antajan ilmoitettava siitä tietojärjestelmän valmistajalle. Jos poikkeama voi aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle, on siitä ilmoitettava myös Sosiaali- ja terveysalan lupa- ja valvontavirastolle.

5 c luku

Tietojärjestelmien vaatimustenmukaisuuden arviointi

19 j §

Tietoturvallisuuden arviointilaitoksen hyväksyminen

Tietoturvallisuuden arviointilaitoksen hyväksymiseen ja toimintaan sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.

19 k §

Tietojärjestelmien arviointi

Luokkaan A kuuluvan sosiaali- ja terveydenhuollon tietojärjestelmän vaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Vaatimustenmukaisuuden arviointi tehdään tietojärjestelmän valmistajan hakemuksesta.

Jos luokkaan A kuuluva tietojärjestelmä täyttää vaatimustenmukaisuusedellytykset ja Kansaneläkelaitos on antanut yhteistestaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan vaatimustenmukaisuuden arvioinnista valmistajalle vaatimustenmukaisuustodistus sekä siihen liittyvä tarkastusraportti. Vaatimustenmukaisuustodistus on voimassa enintään viisi vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään viideksi vuodeksi kerrallaan. Tietoturvallisuuden arviointilaitos voi vaatia valmistajalta kaikki arvioinnin edellyttämät tiedot vaatimustenmukaisuustodistuksen laatimiseksi ja ylläpitämiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään.

Tietoturvallisuuden arviointilaitoksen on tarvittaessa, kotirauha huomioon ottaen, suoritettava tarkastuksia ja arviointeja varmistaakseen, että valmistaja ylläpitää kehitystyössään tietojärjestelmän vaatimustenmukaisuuden varmistavia menettelyjä, sekä annettava valmistajalle arviointikertomus. Tietoturvallisuuden arviointilaitoksen on otettava huomioon tietojärjestelmän tuotannon aikana suoritetuista arviointi- ja tarkastustoimista saadut tulokset.

19 l §

Vaatimustenmukaisuustodistuksen peruuttaminen

Jos tietoturvallisuuden arviointilaitos toteaa, ettei tietojärjestelmä ole täyttänyt tai enää täytä tässä laissa tai sen nojalla säädettyjä vaatimuksia tai että vaatimustenmukaisuustodistusta ei muutoin olisi tullut myöntää, laitoksen on kehotettava tietojärjestelmän valmistajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei valmistaja korjaa puutteellisuuksia arviointilaitoksen asettamassa määräajassa. Määräajan pituutta määritettäessä on otettava huomioon tietojärjestelmän korjaamiseksi tarvittava kohtuullinen aika.

19 m §

Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja Kansaneläkelaitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä vaatimustenmukaisuustodistuksista. Lisäksi tietotuvallisuuden arviointilaitoksen on pyydettäessä annettava lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.

20 §

Ohjaus, valvonta ja seuranta

- - - - - - - - - - - - - - - - - - -

Sosiaalihuollon ja terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston ja Väestörekisterikeskuksen on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Jos joku on lainvastaisesti käsitellyt asiakastietoja, tulee asianomaisen palvelujen antajan sekä Kansaneläkelaitoksen oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin. Seurannan ja valvonnan toteuttamiseksi palvelujen antajalla on oikeus saada Kansaneläkelaitokselta omien potilasrekisteriensä lokitiedot sekä 14 a §:ssä tarkoitetussa potilaan tiedonhallintapalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot siltä osin kuin asianomaisen palvelujen antajan henkilökunta on katsellut ja käsitellyt potilaan tiedonhallintapalvelussa olevia tietoja.

Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan tulee myös huolehtia 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta. Lisäksi jokaisella palvelujen antajalla ja Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava.

20 a §

Tietojärjestelmien valvonta ja tarkastukset

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:n 1 momentissa säädetään tarkastuksen toteuttamisesta.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston tulee säilyttää tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen suorittamisesta lukien.

20 b §

Oikeus ulkopuolisen asiantuntijan käyttöön

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys.

Ulkopuoliset asiantuntijat eivät saa luvatta ilmaista, mitä he asemansa, tehtävänsä tai työnsä vuoksi ovat saaneet tietää toisen terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistuvista sosiaali- ja terveydenhuollon toimenpiteistä tai muista vastaavista seikoista. Vaitiolovelvollisuus säilyy tehtävän päättymisen jälkeen. Ulkopuoliseen asiantuntijaan sovelletaan virkamiehen esteellisyyttä koskevia hallintolain säännöksiä sekä rikosoikeudellista virkavastuuta hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä.

20 c §

Poliisin virka-apu

Poliisin antamasta virka-avusta säädetään poliisilaissa (872/2011).

20 d §

Määräys velvollisuuksien täyttämiseksi

Jos sosiaali- tai terveydenhuollon tietojärjestelmän valmistaja, sosiaalihuollon tai terveydenhuollon palvelujen antaja, välityspalvelun tuottaja taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.

20 e §

Käytössä oleviin tietojärjestelmiin kohdistuvat velvollisuudet

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi antaessaan 20 d §:n nojalla tietojärjestelmää koskevan päätöksen samalla määrätä valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet.

Jos tietojärjestelmä voi vaarantaa tietosuojan taikka asiakas- tai potilasturvallisuuden, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, voi lupa- ja valvontavirasto kieltää tietojärjestelmän käytön, kunnes turvallisuuden vaarantava ominaisuus on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjäorganisaatio vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa valmistajan tai valtuutetun edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta päätöksestä lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.

20 f §

Uhkasakko

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän luvun nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).

20 g §

Tiedonsaantioikeus

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta tai oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.

20 h §

Muutoksenhaku

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa hakea muutosta hallinto-oikeudelta siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla korkeimpaan hallinto-oikeuteen, jos korkein hallinto-oikeus myöntää valitusluvan.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen ei saa hakea muutosta valittamalla. Päätökseen saa hakea oikaisua lupa- ja valvontavirastolta 30 päivän kuluessa tarkastuksen päättymisestä. Päätökseen on liitettävä ohjeet oikaisuvaatimuksen saattamiseksi lupa- ja valvontaviraston ratkaistavaksi. Päätöksen mukaisiin toimenpiteisiin on ryhdyttävä oikaisuvaatimuksesta huolimatta. Sosiaali- ja terveysalan lupa- ja valvontaviraston oikaisuvaatimuksen johdosta antamaan päätökseen saa hakea muutosta valittamalla siten kuin 1 momentissa säädetään.

Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.

22 §

Maksut

Kansaneläkelaitoksen ja Väestörekisterikeskuksen hoitamien 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelujen antajille maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista.

Tietojärjestelmän valmistaja vastaa vaatimustenmukaisuuden osoittamisen aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 19 e §:ssä tarkoitetusta yhteistestauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle tämän lain 19 f §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

_______________

Tämä laki tulee voimaan      päivänä      kuuta 20    .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Luokan A tietojärjestelmällä on oltava tämän lain mukainen vaatimustenmukaisuustodistus viimeistään 1 päivänä tammikuuta 2015. Ennen mainittua ajankohtaa tietojärjestelmä, jolla ei ole vaatimustenmukaisuustodistusta, voidaan liittää valtakunnallisiin tietojärjestelmäpalveluihin Kansaneläkelaitoksen päätöksellä enintään kahden vuoden ajaksi. Jos luokan A tietojärjestelmä on liitetty valtakunnallisiin tietojärjestelmäpalveluihin ennen tämän lain voimaantuloa, saa tietojärjestelmää käyttää ilman vaatimustenmukaisuustodistusta liittymisen yhteydessä todetun määräajan loppuun saakka. Jos määräaika päättyy vuoden 2014 aikana, tietojärjestelmää saa kuitenkin käyttää Kansaneläkelaitoksen antaman päätöksen perusteella enintään 2 vuoden ajan.

Luokkaan B kuuluvan tietojärjestelmän on täytettävä 19 a §:ssä säädetyt olennaiset vaatimukset, jos se otetaan käyttöön 1 päivänä tammikuuta 2017 tai sen jälkeen. Sitä ennen käyttöön otettu luokan B tietojärjestelmä on saatettava vastaamaan olennaisia vaatimuksia, jos tietojärjestelmää muutetaan olennaisesti ja muutettu tietojärjestelmä otetaan käyttöön 1 päivänä tammikuuta 2017 tai sen jälkeen. Jos ennen tämän lain voimaantuloa tehty luokan B tietojärjestelmää koskeva palvelusopimus päättyy 1 päivänä tammikuuta 2017 tai sen jälkeen, on tietojärjestelmä kuitenkin muutettava vastaamaan olennaisia vaatimuksia palvelusopimuksen päättymisestä lukien.

Kansaneläkelaitos toteuttaa 14 §:n 1 momentissa tarkoitetun palvelun, jolla valtakunnallisia tietojärjestelmäpalveluja voi käyttää Internetin välityksellä sekä tietoliikenneverkkoja käyttäen 1 päivään tammikuuta 2017 mennessä.

Lain 19 h §:n mukainen omavalvontasuunnitelma tulee olla:

1) Kansaneläkelaitoksella, palvelujen antajalla ja välityspalvelun tuottajalla, joka on liittynyt valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaan tullessa, viimeistään 1 päivänä tammikuuta 2015;

2) terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin tämän lain voimaantulon jälkeen liittyvällä liittymisestä lukien; jos liittyminen tapahtuu 1 päivään tammikuuta 2015 mennessä, suunnitelman on kuitenkin oltava viimeistään mainittuna ajankohtana; sekä

3) muilla sosiaalihuollon ja terveydenhuollon tietojärjestelmiä käyttävillä palvelujen antajilla viimeistään 1 päivänä huhtikuuta 2015.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla tulee olla 19 f §:n 2 momentissa tarkoitettu julkinen rekisteri sosiaali- ja terveydenhuollon tietojärjestelmistä viimeistään 31 päivänä joulukuuta 2016.

_______________

Laki

sähköisestä lääkemääräyksestä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 8 §,

muutetaan 2 §, 3 §:n 1 ja 4—7 kohta, 4, 5, 9 ja 10 §, 12 §:n 1 momentti, 13 ja 14 §, 15 §:n otsikko sekä 1 momentin 2 kohta ja 4 momentti, 16 §:n 3 momentti, 17 §, 19 §:n 2 momentti, 22 §:n 2 momentti, 23 §, 24 §:n 4 ja 5 momentti, 25 § sekä 28 §:n 1 momentti,

sellaisina kuin niistä ovat 10 ja 13 § osaksi laissa 436/2010, 15 §:n 1 momentin 2 kohta laissa 781/2009, 24 §:n 4 ja 5 momentti sekä 28 §:n 1 momentti laissa 1229/2010 ja 25 § laissa 982/2010, sekä

lisätään 3 §:ään, sellaisena kuin se on osaksi laissa 436/2010, uusi 8 ja 9 kohta, 11 §:ään uusi 2 momentti, 12 §:ään uusi 4 momentti, lakiin uusi 16 a §, 20 §:ään uusi 2 momentti, jolloin nykyinen 2 momentti siirtyy 3 momentiksi, 22 §:ään, sellaisena kuin se on osaksi laissa 781/2009, uusi 3 momentti sekä lakiin uusi 22 a, 22 b ja 23 a § seuraavasti:

2 §

Lain soveltamisala

Tässä laissa säädetään sähköisestä lääkemääräyksestä.

Jollei tästä laista muuta johdu, sähköistä lääkemääräystä laadittaessa, toimitettaessa ja käsiteltäessä on noudatettava, mitä muualla säädetään potilaan asemasta ja oikeuksista, potilaan kielellisistä oikeuksista, lääkkeen määräämisestä ja toimittamisesta, henkilötietojen käsittelystä, viranomaisten toiminnan julkisuudesta, sähköisestä viestinnästä ja asioinnista sekä sähköisistä allekirjoituksista.

3 §

Määritelmät

Tässä laissa tarkoitetaan:

1) sähköisellä lääkemääräyksellä tietojenkäsittelylaitteella laadittua lääkemääräystä, joka siirretään tietoverkkoja käyttäen reseptikeskukseen;

- - - - - - - - - - - - - - - - - - -

4) reseptikeskuksella tietokantaa, joka koostuu lääkkeen määrääjien lähettämistä sähköisistä lääkemääräyksistä, apteekkien 12 §:ssä mainituin perustein tallentamista lääkemääräyksistä ja terveydenhuollon palvelujen antajien 23 §:ssä mainituin perustein potilaille luovutettuja lääkkeitä koskevista tiedoista sekä lääkemääräyksiin liitetyistä toimitustiedoista;

5) reseptiarkistolla tietokantaa, johon reseptikeskuksessa olevat tiedot siirretään tässä laissa säädetyn säilytysajan päätyttyä;

6) lääketietokannalla tietokantaa, joka sisältää lääkkeen määräämisen ja toimittamisen kannalta tarpeelliset tiedot lääkkeestä, sen hinnasta ja korvattavuudesta, keskenään vaihtokelpoisista lääkevalmisteista, korvattavista perusvoiteista ja kliinisistä ravintovalmisteista sekä sosiaali- ja terveysministeriön asetuksella määritellyistä muista valmisteryhmistä;

7) sähköisellä allekirjoituksella sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamiseen ja sähköisen viestin muuttumattomuuden varmistamisen välineenä;

8) pkv-lääkkeellä lääkevalmistetta:

a) joka on myyntiluvassa määritelty pkv-lääkkeeksi;

b) joka on mainittu Lääkealan turvallisuus- ja kehittämiskeskuksen vahvistamassa luettelossa pkv-lääkeistä; ja

c) jonka sisältämät pääasiallisesti vaikuttavat aineet on mainittu Lääkealan turvallisuus- ja kehittämiskeskuksen vahvistamassa luettelossa niistä lääkeaineista, joita saa toimittaa vain lääkemääräyksellä ja jotka on kyseisessä luettelossa varustettu etuliitteillä Z, ZA, P ja PA; sekä

9) huumausainelääkkeellä huumausainelain (373/2008) 3 §:n 1 momentin 1 kohdan a alakohdassa tarkoitetun vuoden 1961 huumausaineyleissopimuksen luetteloihin I, II ja IV sekä mainitun kohdan b alakohdassa tarkoitetun psykotrooppisia aineita koskevan vuoden 1971 yleissopimuksen luetteloihin I ja II kuuluvia aineita sekä huumausainelain 3 §:n 1 momentin 5 kohdan e alakohdassa tarkoitettuja aineita sisältäviä lääkkeitä.

4 §

Potilaan informoiminen

Potilaalle on annettava tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Lisäksi potilaalle tulee antaa tiedot sähköiseen lääkemääräykseen liittyvistä valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista sekä näiden tietojärjestelmäpalvelujen järjestäjästä, lääkemääräystietojen luovutuksen edellytyksistä, tietojen suojaamisesta sekä muista potilaan kannalta merkityksellisistä tietojen käsittelyyn liittyvistä seikoista.

Terveydenhuollon palvelujen antajan tulee antaa tiedot potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tiedot voidaan antaa myös potilaan yksilöivän sähköisen palvelun välityksellä. Jos tiedot annetaan muulla tavalla kuin kirjallisesti, on potilaalla oltava mahdollisuus saada tiedot myös kirjallisena. Annetuista tiedoista tulee tehdä merkintä 16 a §:ssä todettuun potilaan tiedonhallintapalveluun. Jos potilas on jo saanut edellä mainitut tiedot, voidaan tietojenantovelvollisuudesta poiketa siten kuin henkilötietolain (523/1999) 24 §:ssä säädetään.

Tietojen antamisen menettelytavoista ja sisällöstä voidaan antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella.

5 §

Lääkemääräyksen laatiminen

Lääkemääräys on laadittava sähköisesti. Jos sähköinen määrääminen ei ole teknisen häiriön vuoksi mahdollista, lääkemääräyksen voi tehdä myös kirjallisesti tai puhelinlääkemääräyksenä. Kirjallisen tai puhelinlääkemääräyksen voi tehdä myös apteekin pyynnöstä, jos apteekki ei pysty toimittamaan sähköistä lääkemääräystä teknisen häiriön takia. Lisäksi lääkemääräyksen voi laatia kirjallisesti tai puhelimitse, jos lääkehoidon tarve on kiireellinen eikä lääkemääräystä voi olosuhteiden poikkeuksellisuuden vuoksi tai muusta erityisestä syystä laatia sähköisesti.

Ulkomailla tapahtuvaa ostoa varten sähköisestä lääkemääräyksestä voidaan antaa allekirjoitettu kirjallinen jäljennös. Jos lääkemääräyksestä annetaan jäljennös ulkomailla tapahtuvaa ostoa varten, lääkkeen toimittaminen sähköisellä lääkemääräyksellä estetään samalla teknisesti. Toimitetusta sähköisestä lääkemääräyksestä saa lisäksi antaa potilaalle lääkkeen määrääjän tai apteekin allekirjoituksella vahvistetun jäljennöksen, jos se on tarpeen potilaan ulkomaan matkan takia.

Kirjallisessa ja puhelinlääkemääräyksessä on perusteltava, miksi sitä ei ole annettu sähköisesti. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kirjallisen tai puhelinlääkemääräyksen perusteista ja sisällöstä, niillä määrättävistä lääkkeistä ja ulkomailla tapahtuvaa ostoa tai ulkomaan matkaa varten annettavasta jäljennöksestä.

9 §

Potilasohje

Sähköisestä lääkemääräyksestä on annettava potilaalle erillinen selvitys (potilasohje). Potilasohjetta ei kuitenkaan tarvitse antaa, jos potilas ei ole lääkkeen määrääjän vastaanotolla lääkemääräystä laadittaessa. Potilasohjetta ei myöskään tarvitse antaa, jos sen antaminen ei ole teknisistä syistä mahdollista tai jos sähköinen lääkemääräys on laadittu laitteella, jolla ei ole kiinteää sijaintia. Potilasohjeessa tulee olla ainakin potilaan nimi ja syntymäaika, lääkevalmisteen nimi ja lääkeaine sekä sen vahvuus ja lääkemuoto, käyttötarkoitus ja annostus, tieto lääkkeen määrästä, lääkemääräyksen tunniste, lääkkeen määrääjän tai terveydenhuollon toimintayksikön yhteystiedot, lääkemääräyksen laatimispäivä sekä tieto 13 §:n mukaisesta kiellosta, jos potilas on tehnyt sen. Potilasohjeeseen voidaan merkitä tiedot kaikista potilaalle samalla kerralla määrätyistä lääkkeistä. Lisäksi potilaalle voidaan antaa yhteenveto reseptikeskuksessa olevista lääkemääräyksistä.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä potilasohjeen ja yhteenvedon sisällöstä sekä syistä, joiden perusteella potilasohjetta ei tarvitse antaa potilaalle.

10 §

Lääkemääräyksen korjaaminen, mitätöiminen ja uudistaminen

Jos reseptikeskuksessa oleva lääkemääräys on virheellinen, voi lääkemääräyksen saanutta henkilöä hoitava lääkkeen määrääjä tehdä lääkemääräykseen tarpeelliset korjaukset. Lääkettä apteekista toimittava proviisori ja farmaseutti voi lisäksi tehdä toimituksen yhteydessä tarpeelliset tekniset korjaukset. Jos lääkemääräyksen sisältö on epäselvä tai puutteellinen, on korjaukseen saatava lääkkeen määrääjän suullinen suostumus.

Potilasta hoitava lääkkeen määrääjä ja lääkkeen toimittaja voi yhteisymmärryksessä potilaan kanssa mitätöidä reseptikeskuksessa olevan toimittamattoman tai osittain toimitetun lääkemääräyksen. Lääkemääräyksen laatija ja 12 §:n 4 momentissa tarkoitetun lääkemääräyksen tallentamisen tehnyt proviisori tai farmaseutti voi tehdä mitätöinnin ilman potilaan suostumusta, jos lääkemääräys on laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla. Lisäksi lääkemääräys mitätöityy määräyksen saaneen henkilön kuoltua.

Sähköinen lääkemääräys uudistetaan laatimalla uusi lääkemääräys reseptikeskuksessa olevan lääkemääräyksen perusteella. Potilas tai potilaan pyynnöstä apteekki voi tehdä lääkemääräyksen uudistamispyynnön lääkkeen määrääjälle ja terveydenhuollon toimintayksikölle. Lääkkeen määräämiseen oikeutettu voi kuitenkin estää reseptikeskukseen tallennetun lääkemääräyksen uudistamisen lääketieteellisillä perusteilla sekä silloin, kun lääkemääräys on laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla.

Tehtäessä lääkemääräykseen 1—3 momentissa tarkoitettu korjaus, mitätöinti tai uudistamisen estäminen on lääkemääräykseen liitettävä perustelu toimenpiteelle. Lääkemääräyksen korjaaminen, mitätöiminen ja uudistamisen estäminen on allekirjoitettava sähköisesti.

Sähköisen lääkemääräyksen korjaamisesta, mitätöimisestä, uudistamisesta ja sen estämisestä sekä niihin liittyvistä merkinnöistä voidaan antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella.

11 §

Apteekin tiedonsaantioikeus

- - - - - - - - - - - - - - - - - - -

Apteekilla on oikeus saada lääkkeen toimittamiseksi tiedot lääkemääräyksestä vaikka potilas on tehnyt 13 §:n 1 tai 3 momentissa tarkoitetun kiellon, jos lääkkeen ostaja esittää määräyksestä annetun potilasohjeen tai tulostetun yhteenvedon.

12 §

Sähköisen lääkemääräyksen toimittaminen

Kun lääke toimitetaan sähköisen lääkemää-räyksen perusteella, on lääkkeen ostajan osoitettava luotettavasti, että hänellä on oikeus vastaanottaa lääke. Jos potilaalla ei ole henkilötunnusta, lääkkeen toimittaminen edellyttää, että apteekissa esitetään potilasohje.

- - - - - - - - - - - - - - - - - - -

Jos lääkemääräys on annettu 5 §:n 1 momentissa tarkoitetun teknisen häiriön takia kirjallisesti tai puhelimitse, apteekin on tallennettava lääkemääräys ja siihen liittyvät toimitustiedot reseptikeskukseen lääkemääräystä toimitettaessa tai teknisen häiriön estäessä välittömän tallennuksen, niin pian kuin se on mahdollista. Lääkemääräykseen merkityllä lääkkeen määrääjällä on hoitosuhteesta riippumatta oikeus hakea reseptikeskuksesta tiedot niistä apteekin tallentamista lääkemääräyksistä, joihin hänet on merkitty lääkkeen määrääjäksi. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kirjallisen tai puhelinlääkemääräyksen ja sen toimitustietojen tallentamisesta reseptikeskukseen sekä hakutoiminnosta, jolla lääkkeen määrääjä voi saada tiedon apteekin tallentamista lääkemääräyksistä.

13 §

Potilaan oikeus määrätä tietojen luovutuksesta

Reseptikeskuksessa ja reseptiarkistossa olevia tietoja potilaan lääkemääräyksistä, niiden toimitustiedoista ja uudistamispyynnöistä saa luovuttaa terveydenhuollon ja sosiaalihuollon toimintayksikölle ja lääkkeen määrääjälle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi, jos potilas on antanut siihen kirjallisen suostumuksensa 14 §:n mukaisesti. Suostumus on voimassa toistaiseksi ja se käsittää kaikki reseptikeskuksessa ja reseptiarkistossa olevat tiedot. Potilas voi kuitenkin kieltää yksilöimiensä lääkemääräysten luovutuksen edellä tarkoitetuille tahoille ja apteekeille. Suostumuksen ja kiellon saa peruuttaa milloin tahansa. Suostumuksen ja kiellon sekä niiden peruutuksen voi ilmoittaa mille tahansa sähköiseen lääkemääräykseen liittyneelle terveydenhuollon tai sosiaalihuollon toimintayksikölle taikka liittyneelle itsenäisenä ammatinharjoittajana toimivalle lääkkeen määrääjälle. Suostumuksen ja kiellon sekä niiden peruutuksen saa tehdä myös 17 §:ssä tarkoitetun käyttöliittymän välityksellä.

Jos täysi-ikäinen potilas ei kykene itse päättämään hoidostaan mielenterveyden häiriön, kehitysvammaisuuden tai muun syyn vuoksi, 1 momentissa tarkoitetun suostumuksen voi antaa hänen laillinen edustajansa, lähiomaisensa tai muu läheinen. Potilaan laillisella edustajalla, lähi-omaisella tai muulla läheisellä ei ole oikeutta peruuttaa annettua suostumusta eikä tehdä luovutuskieltoa.

Jos alaikäinen potilas kykenee potilaan asemasta ja oikeuksista annetun lain (785/1992), jäljempänä potilaslaki, 7 §:n 1 momentissa tarkoitetulla tavalla ikänsä ja kehitystasonsa perusteella itse päättämään hoidostaan, hän voi päättää myös tämän pykälän 1 momentissa tarkoitetun suostumuksen antamisesta ja kiellon tekemisestä. Muutoin suostumuksen voi antaa alaikäisen potilaan huoltaja tai laillinen edustaja. Alaikäisen huoltajalla tai laillisella edustajalla ei ole oikeutta peruuttaa annettua suostumusta eikä tehdä luovutuskieltoa. Potilaslain 9 §:n 2 momentissa tarkoitetulla alaikäisellä on lisäksi oikeus kieltää sähköisen lääkemääräyksen tietojen luovuttaminen huoltajalleen tai muulle lailliselle edustajalleen.

Sen estämättä, mitä 1 momentissa säädetään, saadaan luovuttaa:

1) edellä 1 momentissa tarkoitettuja tietoja, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty;

2) pkv- ja huumausainelääkettä määräävälle tiedot kaikista potilaalle määrätyistä pkv- ja huumausainelääkkeistä ja niiden toimitustiedoista;

3) lääkemääräyksen uudistamisesta vastaavalle terveydenhuollon tai sosiaalihuollon toimintayksikölle taikka lääkkeen määrääjälle potilaan uudistettavaksi pyytämän lääkemääräyksen tiedot;

4) lääkkeen määrääjälle hoitosuhteen jatkuessa tiedot hänen reseptikeskukseen tallentamistaan lääkemääräyksistä ja niiden toimitustiedoista sekä hoitosuhteesta riippumatta niistä apteekin 12 §:n 3 momentin perusteella reseptikeskukseen tallentamista lääkemääräyksistä, joihin hänet on merkitty lääkkeen määrääjäksi sekä näihin lääkemääräyksiin liittyvistä toimitustiedoista;

5) terveydenhuollon tai sosiaalihuollon toimintayksikölle taikka terveydenhuollon ammattihenkilölle tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niiden toimitustiedoista potilaslain 8 §:ssä tarkoitetuissa kiireellisissä tilanteissa; jos lääkemääräystietojen luovutus on kielletty 1 momentin mukaisesti, tietoja saa luovuttaa vain, jos potilas on erikseen ilmoittanut, että niitä saadaan kuitenkin luovuttaa edellä tarkoitetussa tilanteessa; sekä

6) sähköisen lääkemääräyksen toiminnasta vastaavalle terveydenhuollon palvelujen antajan, Kansaneläkelaitoksen tai tietojärjestelmän toimittajan palveluksessa olevalle tekniselle henkilöstölle tietoja häiriö- ja virhetilanteiden selvittämisen edellyttämässä laajuudessa.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä 1—3 momenteissa tarkoitetusta suostumus- ja kieltomenettelystä sekä 4 momentin 6 kohdassa tarkoitetun tiedonsaantioikeuden toteuttamisesta ja teknisen henkilöstön oikeuksien selvittämisestä.

14 §

Suostumus- ja kieltoasiakirja

Reseptikeskuksessa olevien tietojen luovuttamista koskevasta suostumuksesta ja kiellosta on laadittava potilaan allekirjoittama asiakirja. Suostumusasiakirjassa on oltava 4 §:ssä tarkoitetut tiedot sähköisestä lääkemääräyksestä sekä suostumuksen ja kiellon merkityksestä. Kieltoasiakirjassa tulee olla selvitys siitä, että terveyden- ja sairaanhoitoa annettaessa ei voida käyttää voimassa olevan kiellon kohteena olevia tietoja, vaikka ne olisivat hoidon kannalta merkityksellisiä, jollei kieltoa peruta tai kieltoon ole erikseen tehty poikkeusta potilaslain 8 §:ssä tarkoitetun tilanteen varalta. Kansaneläkelaitos laatii mallit suostumus- ja kieltoasiakirjalle. Suostumuksen ja kiellon vastaanottajan on annettava asiakirjasta jäljennös suostumuksen tai kiellon antajalle. Potilaan antaessa suostumuksensa tai tehdessä kiellon 17 §:ssä tarkoitetun käyttöliittymän välityksellä hänelle on annettava vastaavat tiedot käyttöliittymän välityksellä. Jos suostumuksen antaa 13 §:n 2 tai 3 momentissa tarkoitetussa tilanteessa muu kuin potilas itse, on suostumuksen antajan allekirjoitettava suostumusasiakirja.

Suostumuksen ja kiellon tai niiden peruutuksen vastaanottajan on säilytettävä allekirjoitettu asiakirja Kansaneläkelaitoksen lukuun tai tallennettava alkuperäisestä asiakirjasta otettu jäljennös valtakunnalliseen tietojärjestelmäpalveluun. Asiakirjojen säilytykseen sovelletaan, mitä potilaslain 12 §:n 2 momentin perusteella säädetään potilasasiakirjojen säilyttämisestä. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä teknisestä menetelmästä, jolla edellä tarkoitettu jäljennös otetaan ja tallennetaan valtakunnalliseen tietojärjestelmäpalveluun.

15 §

Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kansaneläkelaitos saa rekisterinpitäjänä luovuttaa reseptikeskuksesta ja reseptiarkistosta pyynnöstä myös teknisen käyttöyhteyden avulla sen lisäksi, mitä muualla lainsäädännössä säädetään:

- - - - - - - - - - - - - - - - - - -

2) Lääkealan turvallisuus- ja kehittämiskeskukselle lääkelain (395/1987) 21 f §:ssä tarkoitetun erityisluvan hakemiseksi laaditun lääkemääräyksen, turvallisen ja tarkoituksenmukaisen lääkkeiden käytön ohjauksessa tarvittavat tiedot sekä lääkelain ja huumausainelain mukaisessa valvonnassa tarvittavat tiedot lääkemääräyksistä ja niiden toimittamisesta.

- - - - - - - - - - - - - - - - - - -

Kansaneläkelaitos saa luovuttaa reseptikeskuksessa ja reseptiarkistossa olevia tietoja tieteelliseen tutkimukseen viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 28 §:n mukaisesti. Luovutus edellyttää kuitenkin aina Terveyden ja hyvinvoinnin laitoksen lupaa.

- - - - - - - - - - - - - - - - - - -

16 §

Potilaan tiedonsaantioikeus

- - - - - - - - - - - - - - - - - - -

Potilaalla on oikeus pyynnöstä saada lokitietojen perusteella tieto siitä, ketkä ovat käsitelleet ja katselleet häntä koskevia reseptikeskuksessa, reseptiarkistossa tai potilaan tiedonhallintapalvelussa olevia tietoja. Potilaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen. Kansaneläkelaitoksen on annettava tiedot viivytyksettä. Tietojen antamisesta ei saa periä maksua. Jos potilas pyytää uudelleen samoja tietoja, on hänellä oikeus saada samoihin lokitietoihin perustuvat tiedot vain, jos siihen on perusteltu syy hänen etujensa tai oikeuksiensa toteuttamiseksi. Kansaneläkelaitos saa periä uudelleen annettavista tiedoista maksun, joka ei saa ylittää tietojen antamisesta aiheutuvia kustannuksia.

- - - - - - - - - - - - - - - - - - -

16 a §

Potilaan tiedonhallintapalvelu

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennetaan tiedot potilaan antamista suostumuksista ja tekemistä kielloista sekä potilaalle annetuista tiedoista. Lisäksi tiedonhallintapalvelun kautta voidaan näyttää tiedot reseptikeskuksessa ja reseptiarkistossa olevista lääkemääräyksistä ja niiden toimitustiedoista siinä laajuudessa kuin tämän lain 13 §:ssä säädetään. Tietoja saa käyttää määrättäessä potilaalle lääkettä sekä järjestet-täessä ja toteutettaessa potilaan terveyden- ja sairaanhoitoa.

17 §

Kansalaisen käyttöliittymä

Potilaalle annetaan kansalaisen käyttöliittymän avulla tiedot hänen reseptikeskukseen ja reseptiarkistoon tallennetuista lääkemääräyksistä sekä niihin liitetyistä korjaus- ja toimitusmerkinnöistä, tiedot suostumuksista ja kielloista sekä luovutuslokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja sekä niitä luovutuslokitietoja, joita potilaalla ei 16 §:n 3 momentin mukaan ole oikeutta saada.

Potilas voi lisäksi käyttöliittymän välityksellä:

1) vastaanottaa 4 §:ssä tarkoitetut tiedot;

2) antaa ja peruuttaa 13 §:ssä tarkoitetun suostumuksen sekä tehdä ja peruuttaa mainitussa pykälässä tarkoitetun kiellon; sekä

3) tehdä 10 §:ssä tarkoitetun uudistamispyynnön.

Käyttöliittymään voidaan 1 momentissa mainittujen toimintojen lisäksi liittää muita potilaan tiedonsaantia sekä lääkehoidon toteuttamista ja seuraamista mahdollistavia toimintoja.

Kansalaisen käyttöliittymä tulee toteuttaa siten, että potilaan yksityisyyden suoja ei vaarannu. Alaikäisen potilaan tiedot saa luovuttaa käyttöliittymän kautta potilaan lisäksi hänen huoltajalleen tai muulle lailliselle edustajalleen. Tietojen luovutuksessa on tällöin otettava huomioon, mitä potilaan asemasta ja oikeuksista annetun lain 9 §:n 2 momentissa säädetään alaikäisen potilaan oikeudesta kieltää terveydentilaansa koskevien tietojen antaminen potilaan huoltajalle tai muulle lailliselle edustajalle. Tietojen saanti käyttöliittymän avulla ei vaikuta potilaan henkilötietolain mukaiseen tarkastusoikeuteen.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä 2 momentissa tarkoitetuista toiminnoista sekä siitä, miten tiedot annetaan kansalaisen käyttöliittymän kautta ja miten alaikäisen potilaan huoltajan tai laillisen edustajan oikeus saada tietoja toteutetaan.

19 §

Tietojen säilyttäminen

- - - - - - - - - - - - - - - - - - -

Reseptikeskuksessa olevat tiedot siirretään 1 momentissa säädetyn määräajan jälkeen erilliseen reseptiarkistoon. Edellä 11 §:ssä säädetty tiedonsaantioikeus ei koske reseptiarkistossa olevia tietoja. Reseptiarkistossa olevat tiedot säilytetään 20 vuotta.

20 §

Sähköisen lääkemääräyksen tietotekninen toteutus

- - - - - - - - - - - - - - - - - - -

Kansaneläkelaitoksen tulee lisäksi toteuttaa käyttöliittymäpalvelu, joka mahdollistaa sähköisten lääkemääräysten laatimisen ja käsittelyn Internetin välityksellä sekä puhelin- ja tietoliikenneverkkoja käyttävillä liikutettavilla laitteilla.

- - - - - - - - - - - - - - - - - - -

22 §

Lääketietokanta

- - - - - - - - - - - - - - - - - - -

Lääketietokantaan voidaan sisällyttää myös muiden kuin edellä 1 momentissa mainittujen sähköisellä lääkemääräyksellä määrättävien valmisteryhmien tietoja.

Lääketietokannan tarkemmasta tietosisällöstä, lääketietokantaan mahdollisesti lisättävistä valmisteryhmistä ja tietojen ilmoittamisesta Kansaneläkelaitokselle voidaan tarvittaessa antaa tarkempia määräyksiä sosiaali- ja terveysministeriön asetuksella.

22 a §

Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto

Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 3, 19 a—19 g, 20 a—20 h ja 22 §:ssä säädetään.

22 b §

Omavalvonta

Sähköisiä lääkemääräyksiä laativien toimintayksiköiden, apteekkien ja itsenäisten ammatinharjoittajien sekä Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava omavalvontasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi, seurattava toimintaa ja ilmoitettava poikkeamista siten kuin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 19 h ja 19 i §:ssä säädetään.

23 §

Sosiaali- tai terveydenhuollossa luovutettavat lääkkeet

Sosiaali- tai terveydenhuollon toimintayksikön potilaalle luovuttamia lääkkeitä koskevat tiedot saa tallentaa reseptikeskukseen. Näitä lääkkeitä koskevien tietojen tallentamisesta reseptikeskukseen noudatetaan soveltuvin osin, mitä tässä laissa muutoin säädetään sähköisestä lääkemääräyksestä.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä sosiaali- tai terveydenhuollossa potilaalle luovutettujen lääkkeiden tietojen tallentamisesta reseptikeskukseen.

23 a §

Rajat ylittävä sähköinen lääkemääräys

Muualla kuin Suomessa laadittu sähköinen lääkemääräys voidaan hyväksyä ja toimittaa Suomessa toimivassa apteekissa, vaikka lääkemääräys ei täytä kaikkia tässä laissa sähköiselle lääkemääräykselle säädettyjä vaatimuksia. Hyväksymisen edellytyksenä on kuitenkin, että se täyttää Euroopan unionissa hyväksytyt tai Euroopan unionin ja Euroopan talousalueen jäsenvaltioiden kesken sovitut vaatimukset ja lääkemääräys välitetään suomalaiseen apteekkiin lääkemääräyksen oikeellisuuden varmistavan ulkomaisen ja Suomen kansallisen yhteyspisteen kautta. Tämän lain mukainen sähköinen lääkemääräys voidaan vastaavasti luovuttaa potilaan suostumuksella toimitettavaksi muualla kuin Suomessa. Edellytyksenä lääkemääräyksen luovuttamiselle ulkomaille on, että luovutus tapahtuu Suomen ja vastaanottajamaan kansallisen yhteyspisteen kautta.

Kansaneläkelaitos toimii Suomessa kansallisena yhteyspisteenä reseptikeskuksen, apteek-kien ja ulkomaan kansallisen yhteyspisteen välillä. Kansaneläkelaitos on kansalliseen yhteyspisteeseen tallennettavien tietojen rekisterinpitäjä.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä:

1) muualla kuin Suomessa laaditun sähköisen lääkemääräysten vähimmäissisällöstä ja lääkemääräyksen välittämisestä apteekkiin;

2) sähköisen lääkemääräyksen luovuttamisesta toisen valtion kansalliselle yhteyspisteelle ja luovutuksen edellyttämästä potilaan suostumuksesta; sekä

3) rajat ylittävien sähköisten lääkemääräysten käsittelyyn liittyvien lokitietojen tallentamisesta ja käsittelystä.

24 §

Ohjaus, seuranta ja valvonta

- - - - - - - - - - - - - - - - - - -

Reseptikeskuksen rekisterinpitäjän on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja toteutuu siten kuin siitä säädetään tässä laissa, henkilötietolaissa ja muualla lainsäädännössä. Lisäksi terveydenhuollon toimintayksikön, sosiaalihuollon toimintayksikön ja apteekin on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain tämän lain mukaan siihen oikeutetut ja että tietojen katselu ja käsittely tapahtuu tässä laissa säädetyillä perusteilla. Rekisterinpitäjän, toimintayksikön ja apteekin tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut reseptikeskuksessa olevia tietoja. Seurannan ja valvonnan toteuttamiseksi terveydenhuollon toimintayksiköllä, sosiaalihuollon toimintayksiköllä ja apteekilla on oikeus saada Kansaneläkelaitokselta lokitiedot siltä osin kuin asianomaisen toimintayksikön ja apteekin henkilökunta on katsellut ja käsitellyt reseptikeskuksessa olevia tietoja.

Rekisterinpitäjän, terveydenhuollon toimintayksikön ja sosiaalihuollon toimintayksikön vastaavan johtajan sekä apteekkarin tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilastietoja käsiteltäessä. Lisäksi rekisterinpitäjällä, terveydenhuollon toimintayksiköllä, sosiaalihuollon toimintayksiköllä ja apteekilla on oltava seuranta- ja valvontatehtävää varten nimettynä tietosuojavastaava.

25 §

Maksut

Sähköisen lääkemääräyksen ja sen toimitustietojen tallentamisesta, tässä laissa tarkoitetusta varmentamisesta sekä reseptikeskuksen, reseptiarkiston ja lääketietokannan tietojen käytöstä peritään palvelun tuottamisesta aiheutu-vien kustannusten määrää vastaava maksu. Maksun tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Maksun perii Kansaneläkelaitos. Kunnallisen terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:n estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutu-vien kustannusten määrää. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 14 §:ssä tarkoitetuista Väestörekisterikeskuksen suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.

Kansaneläkelaitoksen ja Väestörekisterikeskuksen tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan vuoden käyttömaksujen perustana olevista kokonaiskustannuksista.

28 §

Siirtymäsäännös

Lain 5 §:n mukainen velvollisuus laatia lääkemääräykset sähköisesti tulee voimaan yksityisen terveydenhuollon toimintayksiköiden ja niiden tiloissa toimivien itsenäisten ammatinharjoittajien osalta 1 päivänä tammikuuta 2015. Lisäksi Ahvenanmaan maakunnassa sekä sosiaalihuollon palvelujen antajien ja muiden kuin 23 §:n 1 momentissa tarkoitettujen itsenäisenä ammatinharjoittajana toimivien lääkärien ja hammaslääkärien sekä sellaisten yksityisten palvelujen antajien, jotka laativat enintään 5 000 lääkemääräystä vuodessa, lääkemääräykset voidaan laatia kirjallisesti, puhelimitse ja telefax-lääkemääräyksenä 1 päivään tammikuuta 2017 saakka. Lain 5 §:ssä säädetystä poiketen potilaalla on niin halutessaan oikeus saada sähköisen lääkemääräyksen sijasta kirjallinen, puhelin- tai telefax-lääkemääräys 1 päivään tammikuuta 2017 saakka. Oikeus ei kuitenkaan koske 1 päivästä tammikuuta 2015 lukien lääkemääräystä, joka koskee 3 §:n 8 ja 9 kohdassa tarkoitettuja pkv- ja huumausainelääkkeitä.

- - - - - - - - - - - - - - - - - - -

_______________

Tämä laki tulee voimaan      päivänä      kuuta 20    .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Tämän lain 4 §:n 2 momentissa säädetystä poiketen potilaalle annetusta tiedoista tulee tehdä merkintä tiedonhallintapalvelun sijasta potilaasta laadittavaan potilaskertomukseen 1 päivään tammikuuta 2017 saakka.

Lain 10 §:ssä tarkoitetut muutokset sähköisen lääkemääräyksen korjaamiseen, mitätöintiin ja uudistamiseen toteutetaan 1 päivään tammikuuta 2015 mennessä.

Lain 12 §:n 4 momentista poiketen apteekilla ei ole velvollisuutta tallentaa kirjallista, puhelin- tai telefax-lääkemääräystä reseptikeskukseen ennen 1 päivää tammikuuta 2017.

Lain 13 §:n 1 momentin mukaisen potilaan kielto-oikeuden mahdollistavat tietotekniset toteutukset tulee toteuttaa siten, että potilas voi tehdä kiellon 17 §:ssä tarkoitetun käyttöliittymän kautta viimeistään 1 päivänä tammikuuta 2015. Kielto on voitava tehdä terveydenhuollon palvelujen antajan käyttämän tietojärjestelmän kautta viimeistään 1 päivänä tammikuuta 2017.

Kansaneläkelaitos toteuttaa 20 §:n 2 momentissa tarkoitetun käyttöliittymäpalvelun 1 päivään tammikuuta 2017 mennessä.

Ennen lain voimaantuloa käytössä olleiden tietojärjestelmien ja ohjelmistojen, joita käytetään sähköisen lääkemääräyksen laatimiseksi ja toimittamiseksi, tulee olla tämän lain 22 a §:ssä mainittujen säännösten mukaisia viimeistään 1 päivänä tammikuuta 2015. Ennen mainittua ajankohtaa tietojärjestelmä, jolla ei ole vaatimustenmukaisuustodistusta, voidaan liittää reseptikeskukseen Kansaneläkelaitoksen päätöksellä enintään kahden vuoden ajaksi. Jos tietojärjestelmä on liitetty reseptikeskukseen ennen tämän lain voimaantuloa, saa tietojärjestelmää käyttää ilman vaatimustenmukaisuustodistusta liittymisen yhteydessä todetun määräajan loppuun saakka.

_______________

Helsingissä 4 päivänä maaliskuuta 2014