7.1
Lagen om behandling av kunduppgifter inom social- och hälsovården
AVDELNING I. Behandling av kunduppgifter och lagens tillämpningsområde
1 kap. Allmänna bestämmelser
1 §. Lagens syfte. Enligt paragrafen är syftet med lagen att förenhetliga behandlingen av kunduppgifter vid ordnandet och tillhandahållandet av social- och hälsovårdstjänster. En del av tillhandahållandet av hälso- och sjukvårdstjänster är expediering av läkemedel på apotek för genomförande av en patients läkemedelsbehandling. Behandlingen av kunduppgifter för ordnandet och tillhandahållandet av social- och hälsovårdstjänster behövs enligt artikel 9.2 h i dataskyddsförordningen för medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling eller social omsorg eller för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas nationella rätt. Forskningsändamål och statistiska ändamål har fastställts vara förenliga i dataskyddsförordningen.
Å ena sidan eftersträvas enhetlighet mellan socialvården och hälso- och sjukvården och å andra sidan mellan olika sätt att behandla kunduppgifter, så att lagstiftningen är så likartad som möjligt inom social- och hälsovården oberoende av i vilket format och med vilka informationssystem kunduppgifter behandlas.
2 §. Tillämpningsområde. I paragrafen föreslås bestämmelser om lagens tillämpningsområde och förhållande till annan lagstiftning. Lagen innehåller bestämmelser som kompletterar och preciserar dataskyddsförordningen när social- och hälsovårdens kunduppgifter och uppgifter som kunden själv producerar om sitt välbefinnande behandlas i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster, inklusive expediering av läkemedel på apotek. Lagen innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag.
Enligt paragrafen ska lagen tillämpas på behandlingen av kunduppgifter inom social- och hälsovården och av de uppgifter som kunden själv producerar om sitt välbefinnande. Lagen ska tillämpas när en offentlig eller privat tjänstetillhandahållare ordnar eller tillhandahåller social- och hälsovårdstjänster.
Med behandling av kunduppgifter avses att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter samt att vidta andra åtgärder som gäller kunduppgifter. Behandlingen av kunduppgifter sker numera i huvudsak elektroniskt med hjälp av olika informationssystem, men bestämmelserna gäller också andra förfaranden, såsom kunduppgifter som antecknas för hand på papper.
Med uppgifter om välbefinnande avses sådana uppgifter om personens hälsa och välbefinnande som personen själv eller en anordning som personen använder producerar och som förs in i informationsresursen för egna uppgifter i de riksomfattande informationssystemtjänsterna.
Enligt dataskyddsförordningen ska behandling av personuppgifter ha en rättslig grund i enlighet med artikel 6 i förordningen. Det får utfärdas nationell lagstiftning som förtydligar dataskyddsförordningen bland annat när behandlingen av personuppgifterna har sin grund i artikel 6.1 c i förordningen, enligt vilken behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Eftersom behandlingen av personuppgifter baserar sig på artikel 6.1 c i dataskyddsförordningen har en registrerad ingen sådan rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen.
Den personuppgiftsansvariges lagstadgade skyldighet i fråga om kunduppgifterna inom social- och hälsovården är behandling av personuppgifterna för att ordna och tillhandahålla social- och hälsovårdstjänster, och detta utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 c i dataskyddsförordningen. De offentliga tjänstetillhandahållarna har en lagstadgad skyldighet att ordna och tillhandahålla social- och hälsovårdstjänster. Även om aktörerna inom den privata social- och hälsovården inte har någon lagstadgad skyldighet att ordna social- och hälsovårdstjänster, kan lagstiftningen om behandling av personuppgifter trots detta även i fråga om privata aktörer anses grunda sig på det nationella handlingsutrymme som ingår i artikel 6.1 c i dataskyddsförordningen. När en privat eller offentlig aktör inom social- eller hälsovården tillhandahåller social- eller hälsovårdstjänster ska aktören iaktta de särskilda bestämmelserna om behandlingen av klient- och patientuppgifter. Aktörerna har ingen prövningsrätt i fråga om huruvida de följer bestämmelserna om behandlingen av kunduppgifter när de tillhandahåller social- eller hälsovårdstjänster.
Eftersom behandlingen av kunduppgifter bygger på en lagstadgad skyldighet kan närmare lagstiftning om behandlingen av kunduppgifter utfärdas nationellt. Enligt artikel 6.3 i dataskyddsförordningen kan den nationella lagstiftningen innehålla mera detaljerade bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom mera exakta bestämmelser om särskilda krav för behandling av uppgifter och för andra åtgärder, till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Enligt artikel 9 i dataskyddsförordningen ingår hälsouppgifter i de särskilda kategorierna av personuppgifter som det i princip är förbjudet att behandla. I artikel 9.2 föreskrivs det om de grunder på vilka behandlingen av dem är möjlig. Behandlingen är möjlig enligt artikel 9.2 a på grundval av den registrerades samtycke, enligt artikel 9.2 c för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller enligt artikel 9.2 g om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, eller enligt artikel 9.2 h när behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt.
I denna proposition grundar sig behandlingen på artikel 9.2 h, och således ska också bestämmelsen i artikel 9.3 beaktas i propositionen, enligt vilken känsliga personuppgifter får behandlas för de ändamål som anges i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en person som omfattas av tystnadsplikt. Enligt artikel 9.2 h i den allmänna dataskyddsförordningen förutsätts det dessutom att behandlingen grundar sig på lagstiftning eller på ett avtal med en yrkesverksam på hälsoområdet och att skyddsåtgärderna iakttas.
Enligt 6 § 1 mom. i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte bland annat
- när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård (4 punkten),
- när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade (5 punkten).
Enligt dataskyddsförordningen bör sådana personuppgifter som är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd. Dessutom betonas det i dataskyddsförordningen att avvikelser från förbud mot behandling av särskilda kategorier av personuppgifter kan göras ifall detta baserar sig på unionsrätten eller medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder. Den personuppgiftsansvarige ska vidta behövliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst och för att de inte oavsiktligt eller lagstridigt förstörs, ändras, utlämnas, överförs eller behandlas lagstridigt på något annat sätt.
Enligt 6 § 2 mom. i dataskyddslagen förutsätter behandlingen av särskilda kategorier av personuppgifter att den personuppgiftsansvarige och personuppgiftsbiträdet vidtar lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter.
I artikel 25.2 i dataskyddsförordningen föreskrivs det att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
I paragrafens 2 mom. preciseras lagens tillämpningsområde och förhållande till annan lagstiftning. Till den del lagen inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det enligt momentet i fråga om offentliga tjänstetillhandahållare om behandlingen i offentlighetslagen, informationshanteringslagen, lagen om tillhandahållande av digitala tjänster och lagen om elektronisk kommunikation i myndigheternas verksamhet. Bestämmelser om digitala tjänsters tillgänglighet finns i Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer. Vid behandlingen av kunduppgifter och ordnandet av tjänster och verksamhet enligt den föreslagna lagen ska iakttas det som föreskrivs i och med stöd av språklagen (423/2003).
Bestämmelser om behandling av kunduppgifter i fråga om alla både offentliga och privata tjänstetillhandahållare finns i dataskyddslagen och lagen om sekundär användning. Bestämmelser om arkiveringen av handlingar finns i arkivlagen, dock så att begreppet permanent bevarande används om arkivering. Bestämmelser om behandlingen av elektroniska recept och andra anteckningar om läkemedelsbehandling som ska lagras i receptcentret föreslås ingå förutom i den föreslagna lagen också i receptlagen.
I 3 mom. anges de bestämmelser där det föreskrivs om identifiering och certifikat. Dessa författningar är eIDAS-förordningen, lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) och lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009).
I 4 mom. anges andra lagar med bestämmelser om informationssystem och välbefinnandeapplikationer samt tillsynen över dem. Bestämmelser om skyldigheter för leverantörer av och aktörer inom kritisk samhällsinfrastruktur i fråga om informationssäkerhet samt om rapportering av störningar i informationssäkerheten finns i Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (det så kallade NIS-direktivet, nätverks- och informationssäkerhetsdirektivet). Bestämmelser om genomförandet av direktivet finns i olika lagar, såsom lagen om tjänster inom elektronisk kommunikation (917/2014). Bestämmelser om stödtjänster för e-tjänster finns i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). Om det informationssystem där klient- och patientuppgifter inom hälso- och sjukvården behandlas eller en del av det eller en välbefinnandeapplikation är en sådan medicinteknisk produkt som avses i Europaparlamentets och rådets förordning (EU) 2017/745 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG samt i den nationella lagen om medicintekniska produkter (719/2021), ska även den EU-förordningen och den lagen och kraven enligt dem tillämpas på informationssystemet, delen av informationssystemet eller välbefinnandeapplikationen.
3 §. Definitioner. I paragrafen definieras de centrala begrepp som används i lagen.
I 1 punkten definieras begreppet kund. Med kund avses en sådan klient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. I klientlagen avses med klient den som ansöker om eller anlitar socialvård. I patientlagen avses med patient den som anlitar hälso- och sjukvårdstjänster eller som annars är föremål för sådana tjänster. Därmed innefattar definitionen av patient också till exempel personer som använder rådgivningsbyråtjänster och andra hälso- och sjukvårdstjänster, för vilka begreppet kund kan användas i andra sammanhang. Det är ändamålsenligt att använda bara en term för de personer som använder antingen socialvårdstjänster eller hälso- och sjukvårdstjänster eller bägge, eller tjänster som produceras av social- och hälsovården gemensamt. Om lagens bestämmelser tillämpas endast på hälso- och sjukvården ska termen patient användas, vilket avser endast en patient som avses i patientlagen.
I 2 punkten definieras begreppet handling. Med handling avses en framställning i skrift eller bild och ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel, En handling kan utöver en handling i form av ett dokument också vara en teknisk upptagning eller en datamängd som lagrats i en databas. Definitionen av handling motsvarar således definitionen av handling i 5 § i offentlighetslagen.
I 3 punkten definieras begreppet kundhandling. Med kundhandling avses en handling som har upprättats eller tagits emot eller som innehåller uppgifter för bedömning av en kunds behov av social- eller hälsovårdstjänster, för ordnande eller tillhandahållande av behövliga tjänster eller för expediering av läkemedel. En handling kan således vara en handling som antecknats av en yrkesutbildad person eller en upptagning som innehåller uppgifter som producerats av produkter för hälso- och sjukvård. Med en handling som upprättas för expediering av ett läkemedel avses ett recept. Andra uppgifter som behandlas i apoteksverksamheten omfattas således inte av definitionen. Sådana är till exempel uppgifter som behandlas vid dosdispensering eller i uppgifter som krävs enligt läkemedelslagen (395/1987) och narkotikalagen (373/2008), till exempel en förteckning över läkemedelsordinationer och redovisningsmaterial om narkotika.
I 4 punkten definieras begreppet journalhandling. Med journalhandling avses en kundhandling som gäller en patient.
I 5 punkten definieras begreppet klienthandling inom socialvården. Med klienthandling inom socialvården avses en kundhandling som gäller en socialvårdsklient.
I 6 punkten definieras begreppet kunduppgift. Med klientuppgifter avses patientuppgifter och klientuppgifter inom socialvården, det vill säga begreppet kunduppgift används i den föreslagna lagen alltid när bestämmelserna gäller behandling på samma sätt av både patientuppgifter och klientuppgifter inom socialvården.
I 7 punkten definieras begreppet patientuppgift. Med patientuppgift avses kunduppgifter som ingår i journalhandlingar och andra handlingar som utarbetats inom hälso- och sjukvården och som gäller en patients hälsotillstånd eller funktionsförmåga eller hälso- och sjukvårdstjänster som patienten har fått. Patientuppgifter är således också de patientuppgifter som ingår i intyg och utlåtanden som inom hälso- och sjukvården görs upp för andra myndigheter och aktörer.
I 8 punkten definieras begreppet klientuppgift inom socialvården. Med klientuppgift inom socialvården avses uppgifter som ingår i klienthandlingar inom socialvården och andra handlingar som utarbetats inom socialvården och som gäller behovet av stöd för en socialvårdsklient, behandlingen av klientens ärende eller kunduppgifter som gäller den socialservice som ges till klienten. Klientuppgifter inom socialvården är således också de klientuppgifter inom socialvården som ingår i intyg och utlåtanden som inom socialvården görs upp för andra myndigheter och aktörer.
I 9 punkten definieras begreppet uppgifter om välbefinnande. Med uppgifter om välbefinnande avses sådana uppgifter som en person producerat och administrerar om sin hälsa och sitt välbefinnande och som personen själv har fört in i den i 18 punkten avsedda informationsresursen för egna uppgifter. Dessa uppgifter om välbefinnande kan till exempel bestå av olika uppföljnings-, mätnings-, tränings-, bedömnings- eller planeringsuppgifter som gäller välbefinnandet eller hälsan.
Enligt 10 punkten avses i denna lag med tjänstetillhandahållare myndigheter och enskilda näringsidkare som ordnar eller tillhandahåller socialservice eller hälso- och sjukvårdstjänster.
Inom hälso- och sjukvården avses med tjänstetillhandahållare en organisation som driver en verksamhetsenhet för hälso- och sjukvård enligt 2 § 4 punkten i patientlagen, andra statliga myndigheter som ordnar och producerar hälso- och sjukvårdstjänster, såsom statens specialskolor, arbetsgivare som själv eller tillsammans med andra arbetsgivare ordnar sina företagshälsovårdstjänster enligt 7 § 2 och 3 punkten i lagen om företagshälsovård (1383/2001) samt självständiga yrkesutövare.
I lagstiftningen om socialvården avses enligt 3 § 2 punkten i klienthandlingslagen med tillhandahållare av service en myndighet som ordnar, producerar eller lämnar socialvård eller socialservice, eller en sådan serviceproducent som avses i lagen om privat socialservice (922/2011).
Enligt 11 punkten avses med serviceanordnare en tjänstetillhandahållare som har ansvar för att ordna social- och hälsovård eller en privat tjänstetillhandahållare när denna direkt kommer överens med kunden om att ordna socialservice eller hälso- och sjukvårdstjänster. Serviceanordnaren är i egenskap av myndighet skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut. Inom den offentliga social- och hälsovården är serviceanordnaren således den statliga myndighet eller myndighet i välfärdsområdet som är behörig och som ansvarar för ordnandet av social- och hälsovårdstjänster. Med serviceanordnare avses dessutom en privat tjänstetillhandahållare som är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna.
Enligt 12 punkten avses med tjänsteproducent en tjänstetillhandahållare som producerar social- eller hälsovårdstjänster antingen för en annan serviceanordnares räkning eller som själv agerar också i rollen som serviceanordnare. En tjänsteproducent kan tillhandahålla social- eller hälsovårdstjänster själv eller beställa tjänster av en underleverantör.
Enligt 13 punkten avses med apotek ett i 38 § 1 punkten i läkemedelslagen avsett apotek, det vill säga en verksamhetsenhet inom läkemedelsförsörjningen vars ansvarsområde omfattar detaljhandel, distribution och tillverkning av läkemedel samt rådgivning och service som gäller läkemedel. Ett apotek kan också ha filialapotek och serviceställen. Med apoteksrörelse avses således apotek som bedriver detaljhandel med läkemedel, men inte sjukhusapotek, som är en del av tjänstetillhandahållarnas verksamhet.
I 14 punkten avses med apotekare en i 38 § 6 punkten i läkemedelslagen avsedd person som har beviljats tillstånd att hålla apotek. Med apotekare avses dessutom föreståndare för ett universitetsapotek och för dess filialapotek. I 42 § i läkemedelslagen föreskrivs det om universitetsapotek och deras föreståndare. Helsingfors universitet har rätt att hålla ett apotek i Helsingfors och Östra Finlands universitet ett apotek i Kuopio. Apoteksföreståndaren ska vara legitimerad provisor. Anmälan om föreståndaren för apoteket ska göras till Säkerhets- och utvecklingscentret för läkemedelsområdet.
I 15 punkten avses med den riksomfattande informationsresursen för kunduppgifter en informationsresurs som hör till de riksomfattande informationssystemtjänsterna och där kundhandlingar, andra handlingar som innehåller kunduppgifter eller andra uppgifter som behövs för social- och hälsovården bevaras och utnyttjas. De uppgifter som förts in i informationsresursen för kunduppgifter ska användas aktivt inom kundernas social- och hälsovårdstjänster. För informationsresursen för kunduppgifter användes tidigare begreppet riksomfattande arkiveringstjänst. En arkiveringstjänst hänvisar dock till permanent bevarande av handlingar, det vill säga arkivering, och beskriver därför inte informationsresursens roll i bevarandet av kundhandlingar inom ramen för bevarandetiden och inte heller för betydelsen av utlämnandet av uppgifter till kunden och mellan tjänstetillhandahållarna.
I 16 punkten avses med informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken sammandrag av patientuppgifter kan produceras. På så sätt får tjänstetillhandahållaren tillgång till de patientuppgifter som är viktiga med tanke på hälso- och sjukvårdstjänsterna på ett tillgängligt sätt.
I 17 punkten definieras viljeyttringstjänst.Genom viljeyttringstjänsten förvaltas handlingar som gäller information, tillstånd för, samtycke till och förbud mot utlämnande av uppgifter, andra viljeyttringar med anknytning till hälso- och sjukvård och socialtjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården.
I viljeyttringstjänsten ska det föras in uppgifter om information som en kund har fått enligt denna lag och receptlagen samt om tillstånd för, samtycke till och förbud mot utlämnande som en kund har meddelat i fråga om kunduppgifter. I viljeyttringstjänsten får det dessutom föras in uppgift om en kunds övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialservice samt om andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården.
Med social- och hälsovården avses förutom social- och hälsovårdstjänster även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank, det vill säga en i biobankslagen avsedd provinfrastruktur, som främjar vetenskaplig forskning på prover från människor. I viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank eller invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat. I viljeyttringstjänsten kan det föras in invändning mot att genomuppgifter sparas i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret.
Enligt 18 punkten avses med informationsresursen för egna uppgifter en inom de riksomfattande informationssystemtjänsterna upprättad riksomfattande elektronisk informationsresurs för bevarande av sådana uppgifter om välbefinnande som en person själv producerar. Personen kan läsa och radera de uppgifter som personen själv har producerat och om han eller hon så önskar bevilja en yrkesutbildad person inom social- och hälsovården tillstånd att behandla uppgifterna.
Enligt 19 punkten avses med välbefinnandeapplikation en applikation i anslutning till informationsresursen för egna uppgifter med vilken uppgifter om välbefinnande behandlas, samt en applikation till vilken personen kan få sina kunduppgifter från den riksomfattande informationsresursen för kunduppgifter, receptcentret och informationshanteringstjänsten. Med hjälp av applikationerna kan en person producera och registrera sina egna uppgifter om välbefinnande i den informationsresurs för egna uppgifter som nämns i punkt 18. Definitionen av välbefinnandeapplikation beaktar endast behandlingen av uppgifter om välbefinnande med hjälp av applikationen, och i bestämmelserna om välbefinnandeapplikationer i den föreslagna lagen ingår inte några andra bestämmelser som till exempel apotekens webbtjänster förutsätter. Därmed kan nätapotek inte inrättas enbart med stöd av den föreslagna lagen.
I 20 punkten i paragrafen definieras informationssystem.Med det avses en programvara eller ett system eller delsystem som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kundhandlingar som uppkommer i samband med ordandet och tillhandahållandet av social- och hälsovård, för registrering av handlingarna i de riksomfattande informationssystemtjänsterna eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- eller hälsovården kan använda uppgifter om välbefinnande. Definitionen avviker från definitionen i 2 § i informationshanteringslagen, eftersom det i denna lag med informationssystem uttryckligen avses program och informationssystem som kan användas som självständiga installationer i olika tjänstetillhandahållares driftmiljöer. Ett informationssystem kan också vara en helhet som består av flera informationssystem och som producenten av en informationssystemtjänst tillhandahåller eller genomför för tjänstetillhandahållaren.
Informationssystem som avses i bestämmelserna är i enlighet med detta utöver de riksomfattande informationssystemtjänsterna till exempel klientdatasystemen inom socialvården, patientdatasystemen och de program som används i de laboratorie- och röntgensystem där uppgifter som gäller patienter behandlas. Också de informationssystem från vilka andra än egentliga kundhandlingar registreras i de riksomfattande informationssystemtjänsterna omfattas av definitionen. Sådana är till exempel informationssystem som är avsedda för upprättande av intyg och utlåtanden och för införande av dessa i de riksomfattande informationssystemtjänsterna. De dataprogram som styr anordningars funktioner och som inte behandlar kunduppgifter hör däremot inte till de informationssystem som avses i lagen. Inte heller allmänna program såsom textbehandlings- eller kalkylprogram eller program för personal- eller ekonomiförvaltning hör till de informationssystem som avses i lagen.
Som kundhandlingar definieras enligt 3 punkten handlingar som upprättas för expedieringen av läkemedel, det vill säga recept. De informationssystem som används vid expediering av läkemedel omfattas således av definitionen av informationssystem, men inte av andra informationssystem som apoteket använder, till exempel system som används vid dosdispensering.
De informationssystem som avses i lagen omfattar även de förmedlingstjänster som används för att förmedla kunduppgifterna inom social- och hälsovården till de i lagen avsedda riksomfattande informationssystemtjänster som Folkpensionsanstalten ska upprätthålla. Med informationssystem avses dessutom de applikationer som används av yrkesutbildade personer inom social- och hälsovården för att läsa uppgifter om välbefinnande.
Enligt 21 punkten avses med producent av informationssystemtjänst en instans som tillhandahåller eller genomför ett i punkt 20 avsett informationssystem. Producenten av informationshanteringstjänsten ska i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvara för de krav som ställs på informationssystemet. Informationssystemen ska ha rätt funktioner med avseende på användningsändamålet, tillräckliga dataskyddsegenskaper samt kunna anslutas till det informationsutbyte som sker via de riksomfattande informationssystemtjänsterna.
I 22 punkten definieras tillverkare av informationssystem.Med det avses den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården.
Enligt 23 punkten avses med mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll har en möjlighet att se okrypterade kunduppgifter, exempelvis i samband med underhåll. I dessa situationer kan underhåll av informationshanteringstjänsten inte utföras på korrekt sätt utan att man ser sekretessbelagda uppgifter. Mellanhanden ska ansvara för uppfyllandet av de krav som gäller informationssystemets driftmiljö eller den helhetsservice för informationshantering som erbjuds en tjänstetillhandahållare.
Om det på basis av ett avtal är mellanhanden eller producenten av informationssystemtjänsten som ansvarar för uppfyllandet av de krav som ställs på tjänstetillhandahållaren, omfattas mellanhanden eller producenten av informationssystemtjänsten av den registreringsskyldighet som avses i 80 § i den föreslagna lagen.
Enligt 24 punkten avses med certifiering förfarandet genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion. Verifieringen sker genom en utredning av hur de funktionella kraven uppfylls, en interoperabilitetstestning och en bedömning av informationssäkerheten. Med informationssystems interoperabilitet avses två eller flera informationssystems förmåga att utbyta information och att använda sådan information. Certifiering är alltså en process för att påvisa överensstämmelse med kraven med resultatet att de villkor uppfylls som krävs för att informationssystemet eller välbefinnandeapplikationen ska kunna få intyg och antecknas i tillsynsmyndighetens register över informationssystem och välbefinnandeapplikationer som uppfyller kraven. Med definitionen avses dock inte certifiering enligt artikel 42 i dataskyddsförordningen. Den certifiering som definitionen avser omfattar inte heller sådan bedömning av medicintekniska produkters överenskommelse med kraven som utförs i enlighet medföreskrifterna om medicintekniska produkter (bland annat direktiv 93/42/EEG, EGT L 169, 12.7.1993 och direktiv 2007/47/EG, EUT L 247, 21.9.2007, s. 21–55), eftersom de väsentliga kraven främst gäller de krav som uppfylls genom de nationella informationssystemtjänsterna enligt den föreslagna lagen. I den föreslagna lagen är det inte fråga om bedömning och klassificering av produkter i förhållande till föreskrifterna om medicintekniska produkter som tillverkarna av medicintekniska produkter ska utföra med stöd av övriga bestämmelser.
I 25 punkten definieras bedömningsorgan för informationssäkerhet.Enligt bestämmelsen avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) och som Transport- och kommunikationsverket har godkänt. De allmänna förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet anges i 5 § i den lagen. Bedömningsorganet ska dessutom ha god sakkunskap om de krav på informationssystem inom social- och hälsovård som det föreskrivs om i 84 § i lagförslaget och med stöd av den. Bedömningsorganet för informationssäkerhet har till uppgift att kontrollera om ett planerat informationssystem som ska anslutas direkt till Folkpensionsanstaltens riksomfattande informationssystemtjänster uppfyller informationssäkerhetskraven och de inkluderade väsentliga kraven för dataskydd.
För att kunna bli ett bedömningsorgan för informationssäkerhet måste det lämnas en särskild ansökan. Bedömningsorganet ska uppfylla kraven enligt 5 § i lagen om bedömningsorgan för informationssäkerhet och den föreslagna kunduppgiftslagen. Mätteknikcentralens nationella ackrediteringsenhet (Finnish Accreditation Service, FINAS) ska ha konstaterat att bedömningsorganets kompetens är tillräcklig enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Efter detta kan Transport- och kommunikationsverket Traficom utse bedömningsorganet för uppdraget enligt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.
2 kap. Allmänna principer för behandling av kunduppgifter
4 §. Sekretess för kunduppgifter. I paragrafen föreslås det att kunduppgifterna inom social- och hälsovården ska vara permanent sekretessbelagda.
Behandlingen enligt detta förslag grundar sig utöver på artikel 6.1 c också på artikel 9.2 h i dataskyddsförordningen. Enligt artikel 9.3 i dataskyddsförordningen får personuppgifter som avses i artikel 9.1 behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
Enligt 24 § 1 mom. 25 punkten i offentlighetslagen är handlingar som innehåller uppgifter om en klient hos socialvården samt de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit sekretessbelagda. Sekretessbelagda handlingar är också handlingar som innehåller uppgifter om en persons hälsotillstånd eller handikapp eller den hälsovård eller rehabilitering som denne har erhållit.
Sekretessbeläggningen av kunduppgifter säkerställer att kunduppgifter inte får behandlas utan lagstadgad rätt, inklusive utlämnande av kunduppgifter till utomstående. Sekretessen är absolut, vilket innebär att kunduppgifterna permanent är sekretessbelagda oberoende av bestämmelserna om upphörande av sekretess i 31 § i offentlighetslagen. Eftersom kunduppgifterna inom social- och hälsovården är sådana särskilda personuppgifter som avses i dataskyddsförordningen och vars behandling i regel är förbjuden, är det ändamålsenligt att föreskriva att sekretessen ska vara permanent, det vill säga att sekretessen inte upphör efter någon viss tid.
I 2 mom. föreskrivs att en sekretessbelagd handling som innehåller kunduppgifter eller en kopia eller utskrift av en sådan handling inte får visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. Med utomstående avses inom hälso- och sjukvården personer som inte är än anställda hos den aktuella serviceanordnaren eller det aktuella apoteket, som inte för seviceanordnaren eller apotekets räkning eller på uppdrag av serviceanordnaren eller apoteket deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänster för patienten eller i andra uppgifter i samband med dem. På motsvarande sätt avses inom socialvården med utomstående personer som inte är anställda hos den aktuella serviceanordnaren, som inte för serviceanordnarens räkning eller på uppdrag av den deltar i ordnandet och tillhandahållandet av socialservice för klienten eller i andra uppgifter i samband med dem. Med ordnande av hälso- och sjukvårdstjänster för patienten och ordnande av tjänster för socialvårdsklienter avses i denna proposition deltagande i ordnandet av personlig service för en patient eller socialvårdsklient där en yrkesutbildad person eller någon annan har en klientrelation eller vårdrelation till kunden. De personer som deltar i ordnandet av tjänster på befolkningsnivå är således utomstående.
Även andra än yrkesutbildade personer inom social- och hälsovården kan sköta uppgifter i anslutning till ordnandet och tillhandahållandet av tjänster. Exempelvis administrativa uppgifter såsom skötseln av kundfakturering hänför sig till de uppgifter inom ordnandet och tillhandahållandet av tjänster där kunduppgifter ska kunna behandlas.
Om en kund är kund hos samma tjänstetillhandahållare inom både socialservice och hälso- och sjukvård och det är fråga om något annat än socialvårdens och hälso- och sjukvårdens gemensamma service, är de som arbetar inom socialservicen utomstående i förhållande till hälso- och sjukvården och de som arbetar inom hälso- och sjukvården utomstående i förhållande till socialservicen. Rätten att få uppgifter mellan socialvården och hälso- och sjukvården förutsätter således kundens tillstånd eller en bestämmelse i lag. I denna proposition föreslås bestämmelser om rätten att få uppgifter mellan socialvården och hälso- och sjukvården i 53 §.
Definitionen av utomstående ska vara bunden till serviceanordnaren och verksamhet som genomförs för serviceanordnarens räkning. I den gällande patientlagen kopplas en utomstående till en verksamhetsenhet, som kan avse en hälsovårdscentral, ett sjukhus eller motsvarande. Den föreslagna definitionen av utomstående gör det således möjligt att behandla kunduppgifter i serviceanordnarens verksamhet i den omfattning som användningsändamålet förutsätter, utan att det är fråga om utlämnande av uppgifter till utomstående. Om begreppet utomstående fortfarande kopplas till en verksamhetsenhet, uppstår det en situation där kundens tillstånd behövs för att till exempel i välfärdsområdets verksamhet lämna ut uppgifter mellan olika verksamhetsenheter.
I 3 mom. föreskrivs det för tydlighetens skull att man vid verksamhetsenheter inom hälso- och sjukvården trots sekretessbestämmelserna får behandla sådana patientuppgifter som ingår i serviceanordnarens register och som är nödvändiga för vården av patienten. På motsvarande sätt får vid verksamhetsenheter inom socialvården trots sekretessbestämmelserna behandlas sådana kunduppgifter som ingår i serviceanordnarens register och som är nödvändiga för att tillhandahålla socialvård. Momentet stämmer överens med definitionen av utomstående i 2 mom., men för att bestämmelserna ska vara begripliga är det motiverat att tydligt konstatera rätten att behandla patientuppgifter och klientuppgifter inom socialvården hos serviceanordnaren, det vill säga den personuppgiftsansvarige, vid alla verksamhetsenheter.
5 §. Tystnadsplikt och förbud mot utnyttjande. Enligt paragrafens 1 mom. har en tjänstetillhandahållare och en apotekare samt den som är anställd eller praktikant hos denna eller någon annan som handlar på uppdrag av tjänstetillhandahållaren eller apotekaren eller för dennas räkning liksom den som sköter ett förtroendeuppdrag inom socialvården eller en aktör som har fått kunduppgifter av tjänstetillhandahållaren eller apoteket tystnadsplikt i fråga om de kunduppgifter de har fått och andra personliga uppgifter om kunden. Bestämmelsen omfattar alla personer och aktörer som med stöd av olika löne- eller avtalsförfaranden biträder en tjänstetillhandahållare eller apotekare och som kan få kännedom om sekretessbelagda kunduppgifter. Bestämmelserna gäller också dem som fått kunduppgifter av tjänstetillhandahållare, till exempel myndigheter eller andra aktörer som fått klientuppgifter inom socialvården med stöd av 63 § i den föreslagna lagen. Enligt 35 § i dataskyddslagen får den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan.
Eftersom kunduppgifterna är uppgifter om en persons egenskaper och personliga förhållanden, täcker bestämmelsen i dataskyddslagen i princip den tystnadsplikt som hänför sig till kunduppgifterna. I 1 mom. i den föreslagna paragrafen preciseras det att tystnadsplikten gäller alla som deltar i ordnandet eller tillhandahållandet av social- och hälsovårdstjänster, inklusive praktikanter, personer som sköter förtroendeuppdrag inom socialvården och personer som agerar på uppdrag av en tjänstetillhandahållare, inklusive producenter och förmedlare av informationssystemtjänster. Tystnadsplikten gäller också andra personliga uppgifter än egentliga kunduppgifter som fåtts i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Till exempel uppgifter om välbefinnande omfattas av tystnadsplikt.
I momentet preciseras det också att uppgifter som omfattas av tystnadsplikt inte får röjas ens efter det att anställningsförhållandet eller uppdraget har upphört.
I 2 mom. föreskrivs det om tystnadsplikt för kunden, kundens företrädare och kundens biträde. En kund, kundens företrädare eller kundens biträde får inte för en utomstående röja en sekretessbelagd uppgift som erhållits på grundval av ställningen som kund och som gäller någon annan. Bestämmelsen gör det dock möjligt att en kund, kundens företrädare eller kundens biträde får använda uppgifter om andra än klienten själv när det är fråga om ett ärende som gäller den rätt, det intresse eller den skyldighet som klientens rätt att få information har grundat sig på. Med biträde avses till exempel ett biträde i enlighet med 12 § i förvaltningslagen (434/2003). Enligt 12 § i förvaltningslagen får biträde anlitas i förvaltningsärenden. Bestämmelser om tystnadsplikt för biträden finns i 13 § i förvaltningslagen. Dessutom kan biträdet vara någon annan stödperson som kunden har utsett, en personlig assistent eller någon annan som kunden vill ha med sig vid behandlingen av sitt ärende.
I 3 mom. föreskrivs för tydlighetens skull om förbud mot utnyttjande så att en person som avses i 1 eller 2 mom. inte får använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan. Med någon annan avses i detta sammanhang andra personer än kunden.
6 §. Undantag från tystnadsplikten. Enligt paragrafen får undantag från tystnadsplikten göras med kundens samtycke eller om det föreskrivs om det i denna eller någon annan lag. Sekretessbelagda kunduppgifter eller andra uppgifter som omfattas av tystnadsplikten får således lämnas ut till utomstående endast om kunden gett sitt samtycke till utlämnande av uppgifterna eller om det i denna eller någon annan lag särskilt föreskrivs om rätten att få eller rätten att lämna ut uppgifter. I offentlighetslagen finns allmänna bestämmelser om undantag från och upphörande av sekretess, men i detta sammanhang behöver det särskilt föreskrivas om saken på grund av tillämpningen av den föreslagna lagen inom både den offentliga och den privata social- och hälsovården.
7 §. Anvisningar för behandling av kunduppgifter och informationshanteringsmodell. I paragrafen föreskrivs det om tjänstetillhandahållarens och apotekets skyldigheter i fråga om behandlingen av kunduppgifter. Skyldigheterna anknyter dels till att meddela instruktioner om behandlingen av kunduppgifter, dels i fråga om offentliga tjänstetillhandahållare till beskrivningen av informationshanteringsmodellen enligt informationshanteringslagen. Skyldigheten enligt 1 mom. att meddela instruktioner om hur kunduppgifter ska behandlas gäller både offentliga och privata tjänstetillhandahållare. Beskrivningen av informationshanteringsmodellen som avses i 2 mom. gäller endast offentliga tjänstetillhandahållare. I och för sig föreskrivs det om informationshanteringsmodellen i informationshanteringslagen, men den informationssystemmiljö som används vid behandlingen av kunduppgifter och i synnerhet vid tillgodoseendet av rätten att få kunduppgifter och dess komplexitet framhäver behovet av att utarbeta en beskrivning.
Enligt 1 mom. ska den ansvariga föreståndaren hos en tjänstetillhandahållare och en apotekare meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas. Dessutom ska den ansvariga föreståndaren och apotekaren se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. Bestämmelsen motsvarar bestämmelserna i den gällande kunduppgiftslagen i utvidgade till apotekens verksamhet. Bestämmelsen förpliktar tjänstetillhandahållaren att utse en chef som svarar för behandlingen av kunduppgifter och anvisningarna för den. Med begreppet ansvarig föreståndare avses i detta sammanhang inte en sådan ansvarig föreståndare som avses i lagen om privat hälso- och sjukvård (152/1990), utan ansvaret enligt denna paragraf kan åläggas också någon annan person i tjänstetillhandahållarens organisation.
I 2 mom. föreslås en hänvisning till 5 § i informationshanteringslagen, där det föreskrivs om informationshanteringsenhetens skyldighet att utarbeta en informationshanteringsmodell och bedöma konsekvenserna av förändringar. En beskrivning av den informationshanteringsmodell som ska utarbetas med stöd av informationshanteringslagen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården samt till det behöriga regionförvaltningsverket. Med tanke på behandlingen av kunduppgifter är det viktigt att tjänstetillhandahållaren har en uppdaterad beskrivning av hur rätten att få kunduppgifter tillgodoses, om rätten att få uppgifter mellan tjänstetillhandahållarna tillgodoses med hjälp av andra informationssystem än riksomfattande informationssystemtjänster. Vid bedömningen av konsekvenserna av förändringar ska det dessutom bedömas hur tjänstetillhandahållaren i framtiden på ett mer heltäckande sätt kunde tillgodose rätten att få information med hjälp av de riksomfattande informationssystemtjänsterna. Med hjälp av beskrivningen kan tillsynsmyndigheterna i sina tillsynsuppgifter bedöma om behandlingen av kunduppgifter som helhet och de informationssystem som används för behandlingen är lagenliga.
8 §. Identifiering av dem som deltar i behandlingen av kunduppgifter. Bestämmelsen baserar sig på 17 § i den gällande kunduppgiftslagen och innehållet utvidgas till att gälla all behandling av kunduppgifter när social- och hälsovårdstjänster ordnas och tillhandahålls. Med tanke på tillförlitligheten för behandlingen av kunduppgifter och individens rättsskydd är det mycket viktigt att parterna i behandlingen faktiskt är de som de utger sig för att vara. Enligt 1 mom. ska därför kunder, tjänstetillhandahållare, apotek och andra parter och deras företrädare som behandlar kunduppgifter samt de datatekniska enheterna och riksomfattande informationssystemtjänsterna identifieras på ett tillförlitligt sätt vid behandlingen av kunduppgifter.
Enligt 2 § i lagen om stark autentisering och betrodda elektroniska tjänster avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller hög enligt eIDAS-förordningen. Genom eIDAS-förordningen upprättades ett interoperabilitetsramverk för elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i sådana offentliga eller privata tjänster som kräver elektronisk identifiering.
Identiteten kan verifieras genom att identitetsbeviset kontrolleras och den som visar upp det jämförs med uppgifterna i identitetsbeviset. Enligt 6 § i lagen om tillhandahållande av digitala tjänster kan myndigheterna kräva elektronisk identifiering av en användare av digitala tjänster endast om det behövs för att säkerställa användarens åtkomsträttigheter i anslutning till en tjänst eller dess datainnehåll eller på grund av rättsverkningarna av en åtgärd som utförs i tjänsten. Eftersom sekretessbelagda kunduppgifter behandlas i social- och hälsovårdens digitala tjänster, uppfylls förutsättningarna för elektronisk identifiering enligt kravet i lagen om tillhandahållande av digitala tjänster.
I enlighet med 6 § 2 mom. i lagen om tillhandahållande av digitala tjänster ska tjänsteanvändaren i en digital tjänst identifieras med hjälp av en sådan tjänst för identifiering av fysiska personer som avses i 3 § 1 mom. 4 punkten i lagen om förvaltningens gemensamma stödtjänster för e-tjänster, med hjälp av stark autentisering som avses i 2 § 1 mom. 1 punkten i lagen om stark autentisering och betrodda elektroniska tjänster eller av vägande och motiverande skäl med hjälp av någon annan motsvarande informationssäker identifieringstjänst. I en elektronisk tjänst kan verifieringen till exempel ske genom att använda identifieringsverktyg för stark autentisering, som till exempel certifikatkort, nätbankskoder eller mobilcertifikat.
Myndigheten för digitalisering och befolkningsdata har haft som lagstadgad uppgift att ansvara för certifikaten inom social- och hälsovården, det vill säga de personliga certifikaten för elektronisk identifiering och undertecknande och för certifikaten för undertecknande på servrar och i system. Identifieringen och de elektroniska underskrifterna av de yrkesutbildade personerna inom social- och hälsovården och av andra anställda hos tjänstetillhandahållarna genomförs med hjälp av den certifikattjänst och den kontroll av användarrättigheter som Myndigheten för digitalisering och befolkningsdata sköter. Yrkeskort för yrkesutbildade personer och tillhörande certifikat kombineras med information om personens rätt att utöva yrket. Giltigheten för yrkeskortet förutsätter således att rätten att utöva yrket är i kraft. När en persons rätt att utöva yrket upphör, förmedlas informationen om att rätten att utöva yrket upphört från Tillstånds- och tillsynsverket för social- och hälsovården till Myndigheten för digitalisering och befolkningsdata, där personens yrkeskort förs in i spärrlistan.
Bestämmelser om certifikat för underskrifter och verifiering av utrustning finns i eIDAS-förordningen. Certifikaten används också för identifiering av tjänstetillhandahållare och apotek samt av de datatekniska enheter och riksomfattande informationssystemtjänster som dessa använder. I 2 mom. föreslås bestämmelser om att tjänstetillhandahållaren, apoteket och Folkpensionsanstalten samt producenten av informationssystemtjänsten, tillverkaren av informationssystemet och mellanhanden ska kontrollera giltigheten för de certifikat som de använder på det sätt som föreskrivs i 25 § 4–6 mom. i lagen om stark autentisering och betrodda elektroniska tjänster. Enligt 25 § 4 mom. i den lagen ska en tjänsteleverantör som använder identifieringstjänster lätt kunna kontrollera uppgifterna i identifieringsverktyget vilket tid på dygnet som helst. Enligt 5 mom. ska tjänsteleverantören i samband med användningen av identifieringsverktyget kontrollera eventuella återkallanden och hinder i leverantörens system och register. Uppgifter om återkallade certifikat kan också lämnas med hjälp av en spärrlista. Spärrlistan förhindrar att kortet används efter att de informationssystem där kortet används har uppdaterat spärrlistan. Spärrlistan är i kraft 72 timmar. När yrkeskortet används kontrollerar informationssystemet att certifikatet på kortet är giltigt och det inte finns på spärrlistan.
När det gäller identifiering av datatekniska enheter är avsikten att alla enheter som används vid behandlingen av kunduppgifter ska identifieras, inte enbart de enheter som används vid informationsöverföringen mellan organisationen och de riksomfattande informationssystemtjänsterna. Organisationerna ska identifiera vilka enheter som är anslutna till deras informationsnät och information om vilka enheter som använts behövs också vid loggningen. Identifieringen förutsätter dock inte alltid ett certifikat för elektronisk underskrift eller en kryptografisk metod, utan också andra metoder kan användas vid identifieringen.
9 §. Åtkomsträttigheter till kunduppgifter. Bestämmelsen motsvarar 15 § i den gällande klientuppgiftslagen, dock så att det föreslås vissa preciseringar i 1 mom. Bestämmelserna om åtkomsträttigheter är en av skyddsåtgärderna för att säkerställa behörig behandling av uppgifter som avses i artikel 6.3 i dataskyddsförordningen.
Enligt dataskyddsförordningen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot bland annat obehörig åtkomst. I artikel 25.2 i dataskyddsförordningen föreskrivs det att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
I enlighet med 16 § i informationshanteringslagen ska den systemansvariga myndigheten definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov. För att säkerställa riksomfattande enhetliga principer för fastställandet av användarrättigheter föreslås det att det i denna lag föreskrivs om åtkomsträttigheter, och att det dessutom genom förordning av social- och hälsovårdsministeriet föreskrivs vilka kunduppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda i sina arbetsuppgifter inom olika social- och hälsovårdstjänster. De enhetliga grunderna för åtkomsträttigheter ska således gälla både offentliga och privata tjänsteproducenter. Det ska föreskrivas noggrannare om åtkomsträttigheterna än vad det görs i informationshanteringslagen.
Enligt den föreslagna paragrafen ska behandlingen av kunduppgifter i regel grunda sig på de lagstadgade uppgifter som yrkesutbildade personer inom social- och hälsovården sköter. För skötseln av lagstadgade uppgifter ges yrkesutbildade personer åtkomsträtt till de kunduppgifter som de behöver för att sköta sina uppgifter. Även andra personer som behandlar kunduppgifter ska få ha åtkomsträtt endast till sådana kunduppgifter som är nödvändiga med tanke på arbetsuppgiften.
I 1 mom. föreskrivs det om åtkomsträttigheter till kunduppgifter. Åtkomsträttigheterna skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. En yrkesutbildad person eller en annan person som behandlar kunduppgifter får behandla endast de nödvändiga kunduppgifter som den aktuella lagstadgade uppgiften förutsätter. Grunden för behandlingen av kunduppgifter är en kund- eller vårdrelation eller någon annan arbetsuppgift som anknyter till ordnandet och tillhandahållandet av social- eller hälsovårdstjänsten. Andra arbetsuppgifter där behandling av kunduppgifter är nödvändig är till exempel uppgifter i anslutning till kundfakturering, arkivfunktionen och dokumentförvaltningen eller uppgifter i anslutning till informationssystem, där till exempel utredning av fel kräver tillgång också till kunduppgifter.
Behandlingen av kunduppgifter begränsas både genom att åtkomsträttigheterna definieras och att sammanhanget eller vårdrelationen verifieras. I 1 mom. föreskrivs att behandlingen av kunduppgifter ska grunda sig på en datatekniskt säkerställd kund- eller vårdrelation eller någon annan arbetsuppgift som anknyter till ordnandet eller tillhandahållandet av kundens social- och hälsovårdstjänster. Detta datatekniska säkerställande kan inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en administrativ anteckning i informationssystemet om att kunden har skrivits in på sjukhusets bäddavdelning eller poliklinik. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en kund- eller vårdrelation med den yrkesutbildade person som behandlar uppgifterna, ska den administrativa anteckningen ha gjorts av någon annan än denna yrkesutbildade person eller så ska anteckningen kunna uppkomma datatekniskt, till exempel via elektronisk tidsbokning. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna. Om det inte är möjligt att använda något annat datatekniskt sätt för att säkerställa vårdrelationen, måste vårdpersonalen dock kunna behandla nödvändiga patientuppgifter. En sådan situation kan uppstå till exempel i fråga om tjänster som ges per telefon eller tjänster där en yrkesutbildad person själv skriver in kundens tidsbeställningar i datasystemet. I dessa situationer ska den yrkesutbildade personen inom hälso- och sjukvården meddela den särskilda orsak som är grund för behandlingen av uppgifterna. Sådan behandling som baserar sig på särskilda orsaker förutsätter att tillsynen utvecklas både inom organisationerna inom hälso- och sjukvården och på riksomfattande nivå.
Inom socialvården ska arbetstagarens möjlighet att behandla klientuppgifter genom verifiering av sammanhanget begränsas endast till de klienter som arbetstagarens arbetsuppgifter gäller. I regel ska en arbetstagare inom socialvården ha åtkomsträtt till de klientuppgifter som arbetstagaren behöver i den serviceuppgift inom socialvården som arbetsuppgifterna gäller. Utöver detta kan arbetstagaren beviljas åtkomsträtt till de kunduppgifter inom andra serviceuppgifter som arbetstagaren regelbundet behöver för att utföra sitt arbete. Inom socialvården kan åtkomsträtten även begränsas till sådan socialservice som tillhandahålls endast inom en del av en serviceuppgift, till vissa serviceprocesser eller till sådana klienthandlingar som uppkommer bara i vissa serviceuppgifter, om arbetet inte förutsätter behandling av alla de klientuppgifter som anknyter till serviceuppgiften inom socialvården.
Åtkomsträttigheter för de personer som arbetar med tekniskt underhåll, övervakning av användning samt hantering av kunduppgifter att använda kunduppgifter ska beviljas i behövlig omfattning. Åtkomsträtten får inte möjliggöra åtkomst till sådana kunduppgifter som inte omfattas av arbetstagarens underhålls- eller övervakningsansvar.
I paragrafens 2 mom. föreskrivs det att bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet. Genom förordningen preciseras de i 1 mom. angivna grunder enligt vilka tjänstetillhandahållaren ska bevilja åtkomsträttigheter till kunduppgifter för de yrkesutbildade personerna inom social- och hälsovården och andra personer som behandlar kunduppgifter. Genom förordningen om grunderna för bestämmandet av åtkomsträttigheter säkerställs att åtkomsträttigheterna till kunduppgifter är desamma i hela landet, och främjas således skyddet av personuppgifter som har registrerats på grundval av en kundrelation från obehörig och lagstridig behandling.
I 3 mom. föreskrivs det att tjänstetillhandahållare och apotek ska specificera vilka nödvändiga kunduppgifter yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har rätt att använda. Genom definieringen av åtkomsträttigheterna kan arbetstagarna behandla endast de kundhandlingar som innehållsmässigt anknyter till deras respektive arbetsuppgifter. Varje person som arbetar med kundservice får behandla kundhandlingar endast i den omfattning som förutsätts för hans eller hennes arbetsuppgifter och ansvar. Genom åtkomsträttigheterna begränsas användningen av patientuppgifter som utarbetats i organisationens egen verksamhet, men också användningen av uppgifter som fåtts från andra tjänstetillhandahållare eller andra tjänster.
För tjänstetillhandahållare och apotek föreskrivs dessutom en förpliktelse att föra register över de egna användarna av sina kundinformationssystem och kundregister och över deras åtkomsträttigheter. Detta register ska täcka både aktuella och tidigare användaruppgifter. Av uppgifterna i användarregistren ska det framgå vem som beviljats åtkomsträtt, för vilket register eller dess del rättigheterna beviljats, omfattningen av åtkomsträtten samt tidpunkterna när åtkomsträtten börjar och slutar.
10 §. Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande. Bestämmelserna om insamling av logguppgifter motsvarar 15 § i den gällande kunduppgiftslagen, men i detta sammanhang utvidgas skyldigheten till att gälla också apotek samt användning och utlämnande av uppgifter om välbefinnande. Skyldigheten gäller också Folkpensionsanstalten som personuppgiftsansvarig för vissa av de riksomfattande informationssystemtjänsterna.
Att användningen och utlämnandet av kunduppgifter och uppgifter om välbefinnande följs upp är en central förutsättning för tillgodoseendet av kundens rätt till skydd för privatlivet och för övervakningen av uppgifternas användning. I 17 § i informationshanteringslagen föreskrivs om myndigheternas skyldighet att samla in logginformation. Eftersom också privata tjänstetillhandahållare ansluter sig till de riksomfattande informationssystemtjänsterna som användare, föreslås det i paragrafen bestämmelser om uppföljning av användning och utlämnande så att alla tillhandahållare av social- och hälsovårdstjänster ska beröras av samma skyldigheter. Det föreskrivs också noggrannare om uppföljningen av användning och utlämnande av uppgifter än i informationshanteringslagen.
Med uppgifternas användning avses att uppgifter används i den personuppgiftsansvariges egen verksamhet och i verksamhet som bedrivs för dennes räkning. De uppgifter som används är uppgifter som finns i den personuppgiftsansvariges egna kundregister. För användningen av dessa uppgifter behövs inte den registrerades tillstånd och en registrerad kan inte förbjuda användningen av sina uppgifter. Med utlämnande av uppgifter avses att uppgifter lämnas ut till en annan personuppgiftsansvarig eller någon annan utomstående som har rätt att få uppgifterna eller att uppgifter överförs mellan den personuppgiftsansvariges olika register. Med utlämnande avses allt avslöjande av information till utomstående inklusive att ge någon rätt att se uppgifter. Utlämnandet av kunduppgifter inom social- och hälsovården ska ske antingen med kundens samtycke eller med stöd av en bestämmelse i lag som ger denna rätt.
Enligt 1 mom. har tjänstetillhandahållaren skyldighet att följa upp hur kunduppgifter och uppgifter om välbefinnande används och lämnas ut i den egna verksamheten. Apotek ska ha motsvarande skyldighet att följa upp användningen av recept och andra uppgifter som de får ur receptcentret och som de behandlar.
I paragrafens 2 och 3 mom. föreskrivs det särskilt om vilka uppgifter som ska föras in i användningsloggregistret och vilka som ska föras in i utlämningsloggregistret. Det ska också föreskrivas särskilt om de logguppgifter som gäller receptcentret. Logguppgifterna om de register som har upprättats för olika användningsändamål ska registreras separat.
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet, användningstidpunkten och andra uppgifter som behövs för tillsyn och uppföljning.
I utlämningsloggregistret ska det föras in en beskrivning av utlämnade kunduppgifter samt uppgifter om den tjänstetillhandahållare vars kunduppgifter lämnas ut, vem som lämnat ut kunduppgifterna, mottagaren, tidpunkten för utlämnandet, det användningsändamål för vilket uppgifterna lämnades ut samt den bestämmelse som ligger till grund för utlämnandet och eventuellt tillstånd för eller samtycke till utlämnande. Dessutom lagras andra uppgifter som behövs för tillsynen och uppföljningen. Med hjälp av utlämningsloggregistret ska det vara möjligt att verifiera alla utlämnade kunduppgifter, oberoende av om utlämnandet har skett elektroniskt, i pappersform eller muntligt. Om uppgifter lämnas ut mellan registren i tjänstetillhandahållarens eget informationssystem eller med hjälp av ett tekniskt gränssnitt till en annan tjänstetillhandahållare, kan utlämningsloggen bildas automatiskt i informationssystemet. Den som lämnar ut uppgifter muntligt eller på pappershandlingar ska göra logganteckningarna om utlämnande. Uppgifter om den som lämnat ut kunduppgifterna kan således vara uppgift om den person som lämnat ut uppgifterna eller uppgift om det informationssystem via vilket uppgifterna har lämnats ut med hjälp av ett tekniskt gränssnitt.
Enligt 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras sakinnehåll. Bemyndigandet att meddela föreskrifter omfattar logguppgifter om användning och utlämnande av både kunduppgifter och uppgifter om välbefinnande.
11 §. Kundens rätt att få information om behandlingen av sina egna uppgifter. Paragrafen motsvarar innehållet i 26 § i klientuppgiftslagen, dock så att det till paragrafen fogas rätt att få uppgifter om behandlingen av uppgifter om välbefinnande. Till hindren för utlämnande av logguppgifter fogas dessutom förhindrande, avslöjande och utredning av brott samt skyddet av den allmänna säkerheten och den nationella säkerheten. Folkpensionsanstalten ingår som personuppgiftsansvarig för de riksomfattande informationssystemtjänsterna i definitionen av personuppgiftsansvarig och nämns inte separat i paragrafen. Enligt 1 mom. har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter och uppgifter om välbefinnande rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har lämnat ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Vid beslutspraxis för riksdagens justitieombudsman och statsrådets justitiekansler har tidsfristen på två månader ansetts vara skälig. Det föreslås att regleringen ska avvika från tidsfristerna enligt 14 § i offentlighetslagen, eftersom logguppgiftsutredningar i praktiken kräver mycket tid. Så är fallet i synnerhet om logguppgifter begärs från många olika system och för lång tid och om logginformationsinnehållet varierar mycket.
Kundens rätt att få logguppgifterna är en viktig rätt som ger kunden möjligheten att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. Rätten att få uppgifter gäller både användningsloggar och utlämningsloggar.
Enligt 2 mom. har kunden har dock inte rätt att få logguppgifter, om den som ombeds lämna ut logguppgifterna vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter eller om utlämnandet av dem kan äventyra förhindrande, avslöjande eller utredning av brott eller skyddet av den allmänna säkerheten eller den nationella säkerheten. Vetskap om att uppgifter om kunden lämnats ut till polisen kan äventyra till exempel den nationella säkerheten eller fullgörandet av polisens eller andra myndigheters lagstadgade uppgifter, och därför är det motiverat att kunden inte har rätt att få logguppgifter om sådana utlämnanden av uppgifter.
Enligt huvudregeln har kunden rätt att få endast de logguppgifter som har införts under de två år som föregick begäran. Det är dock möjligt att få uppgifter även från en längre tid, om det finns något särskild orsak till det. Den föreslagna tidsfristen på två månader beror på att behandlingen av klagomål inom social- och hälsovården delvis är begränsad så att de endast kan gälla händelser från de två åren före klagomålet. En sådan begränsning gäller till exempel de klagomål som anförs hos riksdagens justitieombudsman och Tillstånds- och tillsynsverket för social- och hälsovården. Ett annat skäl bakom tidsfristen är preskriptionstiden för personregisterbrott i 38 kap. 9 § i strafflagen (39/1889), som också är två år. En sådan särskild orsak att få logguppgifter för en längre tid än två år som avses i lagen kan vara till exempel en välgrundad misstanke om att klientuppgifter eller patientuppgifter har behandlats olovligt på ett sätt som kräver att saken utreds. Preskriptionstiden för tjänstebrott är fem år.
Kunden får inte använda eller lämna vidare sina logguppgifter för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter. Kunduppgifternas logguppgifter innehåller information med personuppgifter om de som är anställda hos tjänstetillhandahållaren inom social- och hälsovården. Av den orsaken är det motiverat att kunden inte ska ha rätt att använda dessa uppgifter för något annat ändamål än för att utreda eller tillgodose sina rättigheter i anslutning till behandlingen av sina egna kunduppgifter.
I 3 mom. föreskrivs det om ersättning för utlämnande av logguppgifter. Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. Rätten att få ersättning av kunden för kostnaderna för utlämnandet finns till för att undvika onödiga begäranden om logguppgifter. För logguppgifter som fås med hjälp av det medborgargränssnitt som avses i 74 § i den föreslagna lagen får det dock inte tas ut någon separat avgift. Den föreslagna regleringen motsvarar den redan etablerade specialreglering i förhållande till offentlighetslagen som ingår i den kunduppgiftslag som föreslås bli upphävd och i den upphävda personuppgiftslagen (523/1999).
Om tjänstetillhandahållaren, folkpensionsanstalten eller apoteket anser att logguppgifterna inte får lämnas ut till kunden, ska denna förvägran meddelas genom ett skriftligt beslut enligt 4 mom. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen. I enlighet med 25 § i dataskyddslagen får dataombudsmannens och biträdande dataombudsmannens beslut överklagas genom besvär i förvaltningsdomstol.
Om en kund anser att hans eller hennes kunduppgifter eller uppgifter om välbefinnande har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare, Folkpensionsanstalten eller det apotek som använt eller fått uppgifterna enligt 5 mom. på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Detta är motiverat med tanke på tillgodoseendet av både kundens och den personuppgiftsansvariges rättigheter. Kunden kan då bättre bedöma huruvida det lönar sig att till exempel föra ärendet till polisen för undersökning av misstanke om brott eller att anföra klagomål hos en besvärsmyndighet.
Om slutledningen av en kunds begäran, eller om det vid den personuppgiftsansvariges egenkontroll har upptäckts att behandlingen av uppgifterna har stridit mot lagen, ska även den personuppgiftsansvarige på eget initiativ vidta nödvändiga åtgärder. Tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket ska också själv göra en bedömning av vilka åtgärder tjänstetillhandahållaren eller apoteket ska vidta. Det kan till exempel åtminstone behövas arbetsrättsliga åtgärder och dessutom beroende på fallet även en eventuell begäran om polisundersökning.
12 §. Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran. Enligt paragrafen får serviceanordnaren vägra att tillgodose en kunds begäran om att begränsa behandlingen av sina personuppgifter med stöd av artikel 18 i dataskyddsförordningen, om en begränsning av behandlingen av en uppgift kan medföra allvarlig fara för kundens hälsa eller vård eller för kundens eller någon annans rättigheter. Motiveringarna till vägran är desamma som i 34 § i dataskyddslagen. Begränsningen av den registrerades rätt att begränsa behandlingen grundar sig på artikel 23.1 i i dataskyddsförordningen. Enligt den kan de registrerades rättigheter begränsas i en medlemsstats nationella lagstiftning, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa skyddet av den registrerade eller andras rättigheter och friheter. Kunduppgifter får behandlas trots den registrerades begäran om begränsning, om en begränsning av behandlingen av uppgifterna kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.
3 kap. Personuppgiftsansvar för kunduppgifter inom social- och hälsovården
13 §. Personuppgiftsansvarig för kunduppgifter. I paragrafen föreskrivs det om den personuppgiftsansvarige för kunduppgifter inom social- och hälsovården. Enligt artikel 4.7 i dataskyddsförordningen är det möjligt att föreskriva om den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses i medlemsstatens nationella rätt, om ändamålen och medlen för behandlingen av personuppgifter föreskrivs i medlemsstatens nationella rätt. Enligt paragrafens 1 mom. Är inom den offentliga och privata social- och hälsovården den personuppgiftsansvarige en tjänstetillhandahållare som har ställning som serviceanordnare, om inte något annat har föreskrivits någon annanstans i lag. Inom den offentliga social- och hälsovården är den personuppgiftsansvarige i enlighet med definitionen av serviceanordnare i 3 § 10 a-punkten den behöriga myndighet som ansvarar för ordnandet av tjänstetillhandahållarens tjänster. Till exempel i ett välfärdsområde kan välfärdsområdet delegera ansvaret för att ordna tjänsterna till den myndighet välfärdsområdet bestämmer (till exempel välfärdsområdesfullmäktige eller välfärdsområdesstyrelsen), vilken som en del av sin organiseringsuppgift också är personuppgiftsansvarig för kundhandlingarna.
I fråga om privata social- och hälsovårdstjänster är serviceanordnaren enligt definitionen i 3 § 10 b-punkten en tjänstetillhandahållare som i egenskap av privat tjänstetillhandahållare är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna. Tjänstetillhandahållarna kan också vara gemensamt personuppgiftsansvariga enligt dataskyddsförordningen. Enligt artikel 26 i dataskyddsförordningen är det fråga om gemensamt personuppgiftsansvar om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte och i den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Närmare anvisningar om gemensamt personuppgiftsansvar ges i Europeiska dataskyddsstyrelsens riktlinjer. Om förutsättningarna för gemensamt personuppgiftsansvar enligt dataskyddsförordningen uppfylls, ska tjänstetillhandahållarna ingå ett avtal om gemensamt personuppgiftsansvar.
Enligt artikel 26.2 i dataskyddsförordningen ska det arrangemang som avses i artikel 26.1 på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Vidare enligt artikel 26.3 i dataskyddsförordningen får oavsett formerna för det arrangemang som avses i artikel 26.1 den registrerade utöva sina rättigheter enligt dataskyddsförordningen med avseende på och emot var och en av de personuppgiftsansvariga.
Enligt 2 mom. är den personuppgiftsansvarige inom företagshälsovården den tjänstetillhandahållare med vilken arbetsgivaren har ingått avtal om tillhandahållande av företagshälsovårdstjänster eller, om arbetsgivaren själv ordnar företagshälsovården i enlighet med 7 § i lagen om företagshälsovård (1383/2001), så är arbetsgivaren själv personuppgiftsansvarig.
14 §. Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning. Innehållet i paragrafen motsvarar 5 § i den gällande kunduppgiftslagen och det föreslås inga ändringar i den.
I dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges skyldigheter. Det nationella handlingsutrymme som dataskyddsförordningen medger gör det möjligt att utöka den personuppgiftsansvariges skyldigheter så att de omfattar sådana situationer som de inte direkt med stöd av förordningen skulle tillämpas på. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning, ska den nationella speciallagstiftningen avgränsas till det nationella handlingsutrymme som förordningen medger. I nationell speciallagstiftning ska med andra ord inte föreskrivas om andra skyldigheter för den personuppgiftsansvarige. Enligt dataskyddsförordningen kan i den nationella lagstiftningen dock fastställas ansvarsområden för den personuppgiftsansvarige.
I denna paragraf föreskrivs om den tjänsteproducentens ansvar när social- och hälsovårdstjänster produceras för serviceanordnarens räkning. Tjänsteproducenten är då enligt artikel 28 i dataskyddsförordningen personuppgiftsbiträde, medan serviceanordnaren är personuppgiftsansvarig. I artikel 28 i dataskyddsförordningen förutsätts det att när uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller genom en annan rättsakt som är bindande. I artikeln anges visst innehåll som ska ingå i handlingen. Den föreslagna lagen är en sådan rättsakt som avses i dataskyddsförordningen. Med stöd av artikel 29 i dataskyddsförordningen åläggs personuppgiftsbiträdet dessutom sådana skyldigheter i fråga om behandling av uppgifter som avviker från artikel 28.
När social- eller hälsovårdstjänster produceras för serviceanordnarens räkning, ska tjänsteproducenten enligt 1 mom. 1 punkten ansvara för införandet och registreringen av kunduppgifterna för serviceanordnarens räkning och för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen. Bestämmelserna utfärdas med stöd av artikel 28.3 a i dataskyddsförordningen. Enligt den ska det i rättsakten föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen.
Enligt 1 mom. 3 punkten ska tjänsteproducenten ansvara för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen. Bestämmelsen utfärdas med stöd av artikel 28.3 a och artikel 32.4 i dataskyddsförordningen. Enligt den sistnämnda bestämmelsen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte något annat åläggs i lagstiftningen. Bestämmelsen begränsar inte det ansvar som personuppgiftsbiträdet har enligt dataskyddsförordningen, utan genom den åläggs en särskild skyldighet att övervaka behandlingen av uppgifterna i den egna organisationen.
Tjänsteproducenten ansvarar enligt 1 mom. 4 punkten för att kundhandlingarna i original lämnas till serviceanordnaren på så sätt som överenskommits, men de ska dock lämnas utan dröjsmål efter det att kundförhållandet har avslutats. Enligt artikel 28.3 g i dataskyddsförordningen kan den personuppgiftsansvarige välja att antingen radera eller återlämna uppgifterna efter att tillhandahållandet av tjänsterna har avslutats, förutom då när det i lagstiftningen krävs att personuppgifterna ska bevaras. Bestämmelser om bevarande av uppgifter inom social- och hälsovården föreslås i 24 § i denna lag. Därmed ska serviceanordnaren bevara uppgifterna den tid som föreskrivs i lagen och en serviceanordnare kan inte bestämma att de ska raderas.
Enligt 1 mom. 5 punkten ansvarar tjänsteproducenten tillsammans med serviceanordnaren för att kundens rättigheter enligt dataskyddsförordningen och offentlighetslagen tillgodoses. Enligt artikel 28 i dataskyddsförordningen kan personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att hjälpa den personuppgiftsansvarige att tillgodose den registrerades rättigheter. Med tanke på en smidig verksamhet vore det ändamålsenligt att tjänsteproducenten skulle ansvara för tillgodoseendet av de registrerades rättigheter inom de tjänster som denne tillhandahåller för den personuppgiftsansvariges räkning. Vid behov kan det avtalas närmare om ansvaret aktörerna emellan genom ett avtal mellan serviceanordnaren och personuppgiftsbiträdet. I sista hand ska det dock ur ett dataskyddsperspektiv vara den personuppgiftsansvarige som ska ansvara för tillgodoseendet av den registrerades rättigheter, även om något annat har avtalats om det avtalsrättsliga ansvaret.
I paragrafens 2 mom. föreskrivs det att lämnandet av de i 4 punkten avsedda kundhandlingarna och tillgodoseendet av kunden rättigheter enligt 5 punkten ska kompletteras till behövliga delar genom avtal mellan tjänsteproducenten och serviceanordnaren. Genom avtal avtalas det även om annat sådant som avses i artikel 28 i dataskyddsförordningen. Genom ett sådant ömsesidigt avtal ska åtminstone fastställas närmare det objekt för behandlingen som avses i artikel 28.3 och som avser kategorier av registrerade, det vill säga de kundgrupper som tillhandahålls tjänster av personuppgiftsbiträdet, samt behandlingens varaktighet. Genom avtal ska även fastställas en del av det som avses i artikel 28.3 i dataskyddsförordningen, men dessa frågor förblir öppna i lagförslaget. Dessa gäller till exempel de förutsättningar för användning av ett annat personuppgiftsbiträde som avses i artikel 28.3 d.
Dessutom ska uppmärksamhet fästas vid att det även föreskrivs om det som avses i artikel 28.3 i dataskyddsförordningen i annan lagstiftning. Artikel 28.3 b förutsätter att de som behandlar personuppgifter för ett annat personuppgiftsbiträde omfattas av tystnadsplikt. Bestämmelser om tystnadsplikt inom social- och hälsovården finns förutom i denna lag också i lagen om yrkesutbildade personer inom hälso- och sjukvården och i offentlighetslagen. I artikel 28.3 h i dataskyddsförordningen förutsätts det att personuppgiftsbiträdet tillåter inspektioner som utförs av den personuppgiftsansvarige eller en revisor som bemyndigats av den personuppgiftsansvarige. Även i denna lag föreskrivs det om auditering av system för kunduppgifter, och skyldigheterna gäller både personuppgiftsansvariga och personuppgiftsbiträden.
15 §. Personuppgiftsansvarig vid ändring av tjänstetillhandahållare. I paragrafen föreskrivs det om personuppgiftsansvaret vid olika förändringar i fråga om tjänstetillhandahållarna. Inom den offentliga social- och hälsovården har en ändring som påverkar personuppgiftsansvaret kunnat vara till exempel bildande och delning av en samkommun. I framtiden kan en motsvarande ändring vara till exempel sammanslagning av välfärdsområden. Inom den privata social- och hälsovården hänför sig ändringarna till olika företagsarrangemang, såsom fusion eller delning av tjänstetillhandahållares företag eller köp eller överföring av verksamhet. I situationer med fusion eller delning är fastställandet av personuppgiftsansvaret också en universalsuccession, men i fråga om köp eller överföring av verksamhet kan personuppgiftsansvaret inte fastställas utifrån universalsuccessionen.
I 1 mom. föreslås det att när en social- och hälsovårdstjänst som ordnas av en serviceanordnare överförs till en annan serviceanordnares organiseringsansvar ska de handlingar som omfattas av serviceanordnarens personuppgiftsansvar överföras till personuppgiftsansvaret för den serviceanordnare som fortsätter med tjänsten. Inom den offentliga social- och hälsovården sker överföringarna i enlighet med tjänstenhet så att alla handlingar vid den tjänsteenhet som överförs förs över till den nya serviceanordnaren. Eftersom serviceanordnarnas kundhandlingar har förts in i den riksomfattande informationsresursen för kunduppgifter, bör överföringen göras både till informationsresursen för kunduppgifter och till tjänstetillhandahållarnas egna informationssystem. Bestämmelsen motsvarar det som i praktiken redan har gjorts.
Inom den privata social- och hälsovården ska kundhandlingarna överföras till personuppgiftsansvaret för den serviceanordnare som fortsätter med tjänsterna. Rätten och skyldigheten att överföra handlingar är således bunden till att den mottagande serviceanordnaren de facto fortsätter att ordna de tjänster som den överlåtande serviceanordnaren upphör med och kundhandlingarna får inte säljas till en annan serviceanordnare utan att tjänsteverksamheten faktiskt fortsätter. I en situation där till exempel en affärstransaktion gäller lös egendom utan att den mottagande serviceanordnaren fortsätter att ordna social- och hälsovårdstjänsterna, får handlingarna inte överföras. För att påvisa att tjänsterna fortsätter förutsätts det att den mottagande serviceanordnaren har ett aktuellt tillstånd av Tillstånds- och tillsynsverket för social- och hälsovården eller regionförvaltningsverkets tillstånd för den tjänst som serviceanordnaren ska fortsätta med eller, om det är fråga om annan verksamhet än socialservice dygnet runt, att en skriftlig anmälan har gjorts.
Enligt 2 mom. ska personregisteransvaret inom företagshälsovården inte ändras i situationer när arbetsgivaren byter tjänstetillhandahållare inom företagshälsovården, utan handlingarna kvarstår hos den tjänstetillhandahållare som vid respektive tidpunkt ansvarat för tjänsteproduktionen. Handlingar kan lämnas ut till en ny tjänstetillhandahållare via de riksomfattande informationssystemtjänsterna eller på något annat sätt mellan tjänstetillhandahållarna enligt vad som föreskrivs i 56 och 57 §. Personuppgiftsansvaret ligger alltid hos den aktör som ansvarar för den verksamhet där handlingarna har upprättats, och tjänstetillhandahållaren i fråga ansvarar för den personuppgiftsansvariges skyldigheter i förhållande till de registrerade. Vid byte av producent av företagshälsovårdstjänster är det inte fråga om en liknande ändringssituation som i 1 mom., eftersom ansvaret för att ordna företagshälsovård har ålagts arbetsgivaren och det är fråga om ett byte av producenten av företagshälsovårdstjänster, även om personuppgiftsansvaret har ålagts den som tillhandahåller företagshälsovårdstjänsterna. Bestämmelsen gäller endast journalhandlingar, och således kan till exempel uppgifter och handlingar som gäller arbetsgivaren överföras till en ny tjänstetillhandahållare.
16 §. Personuppgiftsansvar när en privat serviceanordnares verksamhet upphör. I paragrafen föreskrivs det om personuppgiftsansvaret för kundhandlingarna efter det att en privat serviceanordnares verksamhet har upphört. Dessutom föreskrivs det om ansvaret i fråga om kundhandlingarna för en serviceanordnare som upphör med sin verksamhet. Eftersom det är fråga om bestämmelser som gäller handlingar som omfattas av en privat serviceanordnares personuppgiftsansvar, gäller de inte situationer där en privat tjänstetillhandahållare producerar tjänster till exempel för ett välfärdsområdes eller någon annan serviceanordnares räkning. I dessa situationer omfattas handlingarna av den berörda serviceanordnarens personuppgiftsansvar.
Enligt 1 mom. ska när en serviceanordnares verksamhet har upphört kundhandlingarna, de anknytande logguppgifterna och det biologiska provmaterialet överföras till personuppgiftsansvaret för det välfärdsområde eller Helsingfors stad inom vars område serviceanordnaren har haft sin hemort eller en självständig yrkesutövares har haft sin hemkommun. När verksamheten upphör ska serviceanordnaren se till att kundhandlingarna utan ogrundat dröjsmål lämnas till den plats som den nya personuppgiftsansvarige har anvisat för bevarandet. Om verksamheten har upphört på grund av serviceanordnarens död eller konkurs, ska dödsboet eller konkursboet svara för att handlingarna överförs på boets bekostnad. Välfärdsområdet eller Helsingfors stad i egenskap av personuppgiftsansvarig svarar således efter att handlingarna överförts för tillgodoseendet av de registrerades rättigheter enligt dataskyddsförordningen. Efter det att serviceanordnarens verksamhet har upphört ska de registrerades rätt till sina kunduppgifter tryggas. Dessutom ska kunduppgifter kunna lämnas ut till andra med stöd av den registrerades samtycke eller den lagstadgade rätten att få uppgifter. Utlämnande av uppgifter förutsätter att den personuppgiftsansvarige gör en bedömning av uppgifternas nödvändighet, och det ska också säkerställas att sådana uppgifter inte lämnas ut som den registrerade med stöd av 11 och 12 § i offentlighetslagen inte har rätt att få. Skötseln av den personuppgiftsansvariges uppgifter förutsätter således kompetens i fråga om behandlingen av kundhandlingar samt kännedom om verksamheten inom social- och hälsovården. Därför föreslås det att välfärdsområdena ska ha personuppgiftsansvaret. De handlingar som gäller avslutad verksamhet ska hållas åtskilda från den personuppgiftsansvariges egna patientregister eller klientregister inom socialvården. Således får välfärdsområdet inte i sin egen verksamhet använda kunduppgifter från avslutad verksamhet, om kunden inte har gett sitt tillstånd eller har förbjudit utlämnande av uppgifterna.
I 2 mom. föreskrivs att när serviceanordnare har avtalat om gemensamt personuppgiftsansvar i enlighet med dataskyddsförordningen, kan den serviceanordnare som fungerar som kontaktpunkt åta sig personuppgiftsansvaret för kunduppgifterna hos den serviceanordnare som har avslutat sin verksamhet. När det har varit fråga om gemensamt personuppgiftsansvar är det naturligt att kunduppgifterna förblir hos den aktör som varit kontaktpunkt för de registrerade så att kunderna också efter att verksamheten har avslutats kan sköta sina ärenden med samma aktör som tidigare. Ofta är kunduppgifterna hos gemensamt personuppgiftsansvariga också lagrade i samma informationssystem. Skyldigheten att hålla registret från den avslutade verksamheten åtskilt från registret hos den nya personuppgiftsansvarige gäller också dessa situationer, det vill säga att kunduppgifter får användas endast med kundens samtycke eller tillstånd.
I 3 mom. föreslås det att Folkpensionsanstalten ska kunna bevara kundhandlingar och vara personuppgiftsbiträde för välfärdsområdenas och Helsingfors stads räkning. Det ska vara möjligt att föra in elektroniska kundhandlingar i de riksomfattande informationssystemtjänsterna även om tjänstetillhandahållaren inte tidigare har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. Med hjälp av de riksomfattande informationssystemtjänsterna har de personuppgiftsansvariga således tillgång till kunduppgifterna. Eftersom handlingarna ändå inte motsvarar de krav som ställs på lagring av handlingar efter anslutningen till de riksomfattande informationssystemtjänsterna och på visning av dem för kunden i medborgargränssnittet eller för att lämna ut dem till andra tjänstetillhandahållare, ska handlingarna endast finnas tillgängliga för den personuppgiftsansvarige.
Folkpensionsanstalten kan också ta emot annat elektroniskt material än det som förs in i de riksomfattande informationssystemtjänsterna samt pappershandlingar för bevarande. Annat elektroniskt material är till exempel sådana kundhandlingar som det tekniskt inte går att föra in i de riksomfattande informationssystemtjänsterna, logguppgifter eller motsvarande material.
Momentets ordalydelse är möjliggörande, det vill säga att välfärdsområdena kan avgöra frågan om bevarande och annan behandling av handlingar också på något annat sätt, även om detta gör det möjligt att överföra uppgiften också till Folkpensionsanstalten och därmed utnyttja Folkpensionsanstaltens resurser och centraliserade bevarande- och informationssystemlösningar också för behandlingen av andra handlingar än de som har registrerats i de riksomfattande informationssystemtjänsterna. Bestämmelsen gäller också verksamhet som upphört tidigare samt kundhandlingar som tidigare lämnats till kommuner och samkommuner, eventuella andra tjänstetillhandahållare och Folkpensionsanstalten. Således ska personuppgiftsansvaret också för handlingar från verksamhet som upphört tidigare ligga hos välfärdsområdet eller Helsingfors stad och Folkpensionsanstalten kan fortsätta att bevara de handlingar som tidigare lämnats till den för bevarande.
4 kap. Principer för behandlingen av personuppgifter
17 §. Skyldighet att anteckna kunduppgifter. I paragrafen föreskrivs det om skyldigheten för yrkesutbildade personer inom social- och hälsovården och bistående personer som deltar i tillhandahållandet av tjänster att anteckna kunduppgifter i kundhandlingarna. Den grundläggande principen om anteckningarnas omfattning är att kundhandlingarna ska innehålla behövliga och till denna del tillräckliga uppgifter för att säkerställa ordnandet och genomförandet, inklusive planeringen och uppföljningen, av servicen för en klient och god vård av en patient. Omfattningen och exaktheten av de uppgifter som behövs kan variera beroende på situationen. Dels på det sättet att ju svårare klientens situation är eller ju större vård- eller servicebeslut det är fråga om, desto noggrannare och mer detaljerat ska uppgifterna antecknas. Dels ska dock minimeringsprincipen enligt dataskyddsförordningen beaktas och man ska hålla sig till att dokumentera endast sådana uppgifter som är behövliga och tillräckliga med tanke på den tjänst som tillhandahålls och arbetsuppgiften för den person som tillhandahåller tjänsten.
Anteckningsskyldigheten ska gälla såväl yrkesutbildade personer inom social- och hälsovården som biträdande personer som deltar i tillhandahållandet av tjänsterna. Varje person som deltar i tillhandahållandet av tjänsterna ska ansvara för de anteckningar som hänför sig till personens uppgifter i den omfattning som personen deltar i tillhandahållandet av tjänsterna, och uppgifterna ska behövas för att säkerställa ordnandet, planeringen, genomförandet, uppföljningen och övervakningen av tjänsten och vården. Om till exempel en sådan personlig assistent som avses i lagen om stöd på grund av handikapp (380/1987) hjälper kunden med besök på en mottagning inom hälso- och sjukvården, ska det antecknas endast uppgift om ett besök med bistånd av assistenten, men inte om innehållet i besöket.
18 §. Kundregister inom social- och hälsovården. I paragrafen föreskrivs det om de kundregister för tjänstetillhandahållare inom social- och hälsovård där kundhandlingarna förs in.
Enligt 1 mom. ska journalhandlingarna, med undantag för recept och anteckningar med anknytning till dem som lagras i receptcentret, föras in i patientregistret och klienthandlingarna inom socialvården ska föras in i socialvårdens klientregister. Enligt ordalydelsen i paragrafen ska alla journalhandlingar föras in i patientregistret. I patientregistret ska således också föras in de journalhandlingar som upprättas för hälso- och sjukvårdstjänster som tillhandahålls i samband med socialvårdstjänster. Det är ändamålsenligt att föra in uppgifterna i patientregistret, eftersom det är fråga om samma användningsändamål som inom den hälso- och sjukvård som även i övrigt tillhandahålls, oberoende av att tjänsten tillhandahålls i samband med socialservice. Journalhandlingar som gäller hälso- och sjukvård som tillhandahålls i samband med socialvårdstjänster står således till tjänstetillhandahållarens förfogande vid ordnandet och tillhandahållandet av hälso- och sjukvårdstjänster för patienten på samma sätt som andra journalhandlingar. Bestämmelsen innebär en ändring jämfört med nuläget, där journalhandlingarna inom den hälso- och sjukvård som ges i samband med socialvårdstjänster förs in i ett delregister till klientregistret inom socialvården, och utlämnande av uppgifter till annan hälso- och sjukvård kräver kundens samtycke. Också uppgifter om recept som lagrats i patientdatasystemen ska ingå i patientregistret.
Enligt 2 mom. ska journalhandlingarna inom företagshälsovården, med undantag för recept och anteckningar med anknytning till dem som lagras i receptcentret, föras in i ett separat patientregister för företagshälsovården arbetsgivarspecifikt. Företagshälsovården omfattas av sin egen lagstiftning där det föreskrivs om företagshälsovårdens särdrag i förhållande till den övriga hälso- och sjukvården. Arbetsgivaren ansvarar för ordnandet av företagshälsovården. Användningsändamålet för patientuppgifterna inom företagshälsovården avviker således i någon mån från den övriga hälso- och sjukvården, och det är motiverat att patientuppgifterna förs in i ett separat register. Journalhandlingarna inom företagshälsovården ska föras in i företagshälsovårdens register arbetsgivarspecifikt, vilket motsvarar nuvarande praxis.
19 §. Språket i kundhandlingar. Paragrafen motsvarar till sitt innehåll delvis 6 § i klienthandlingslagen. Motsvarande bestämmelser finns i 7 § i förordningen om journalhandlingar. Grundprincipen är också att märkningarna ska vara tydliga och begripliga.
1 mom. föreskrivs att det språk som används i kundhandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem. Allmänt kända begrepp är också begrepp som allmänt används inom socialvården och det medicinska området.
I 2 mom. föreslås en informativ hänvisning till språklagen (423/2003) och till samiska språklagen (1086/2003). Kraven enligt språklagen och samiska språklagen gäller endast tjänster som staten och välfärdsområdets myndigheter har organiseringsansvaret för. Kunden ska ha rätt att få sina kundhandlingar på finska, svenska eller samiska. Kundhandlingarna ska dock avfattas på det språk som tjänstetillhandahållaren använder, finska eller svenska, och kunden ska vid behov ges översättningar av handlingarna.
20 §. Kundhandlingarnas datastrukturer. Paragrafen grundar sig på 9 § i den gällande kunduppgiftslagen och 5 § i klienthandlingslagen i fråga om kundhandlingarnas datastrukturer. Till paragrafen fogas omnämnanden av sekundära användningsändamål och tjänstetillhandahållarnas andra informationssystem, eftersom betydelsen av enhetliga datastrukturer bör betonas i all behandling av de kunduppgifter som finns i kundhandlingarna. Det gällande bemyndigandet att meddela föreskrifter enligt klienthandlingslagen gäller alla datastrukturer i klienthandlingar inom socialvården och bemyndigandet enligt kunduppgiftslagen gäller endast datastrukturer i handlingar som förs in i de riksomfattande informationssystemtjänsterna.
Enligt 1 mom. ska kundhandlingarnas datastrukturer göra det möjligt att rikta, använda, lämna ut, bevara, skydda och utnyttja åtkomsträttigheterna till elektroniska kundhandlingar samt utnyttja dem för sekundära ändamål med hjälp av de riksomfattande informationssystemtjänster som avses i 65 § och tjänstetillhandahållarnas andra informationssystem. Datastrukturernas interoperabilitet är en grundförutsättning för att uppgifter ska kunna överlämnas med hjälp av de riksomfattande informationssystemtjänsterna och utnyttjas i de informationssystem som tjänar verksamhetsprocesserna.
De uppgifter som används inom social- och hälsovården ska kunna avgränsas med hjälp av handlingarnas datastrukturer så att endast sådana uppgifter som behövs för tjänsten i fråga används. Inom social- och hälsovården får kunduppgifter behandlas i enlighet med åtkomsträttigheterna av dem som deltar i social- och hälsovårdstjänsten för kunden i fråga och i anslutande uppgifter. De får behandla kunduppgifter endast i den omfattning som förutsätts för deras arbetsuppgifter och ansvar. För att åtkomsträttigheterna ska kunna begränsas till enbart nödvändiga kunduppgifter, ska behoven av att rikta åtkomsträttigheterna beaktas i definitionen av datastrukturerna så att åtkomsträttigheterna de facto kan ges endast till nödvändiga uppgifter.
Eftersom Institutet för hälsa och välfärd ansvarar för den praktiska styrningen av den elektroniska informationshanteringen, får det enligt 2 mom. meddela närmare föreskrifter om datastrukturer och datainnehåll i kundhandlingarna samt om de kodsystem som överallt i landet ska användas i datastrukturerna. Institutet för hälsa och välfärd fastställer begreppsmallarna för kundhandlingarna, de datastrukturer som stöder verksamhetsprocesserna och interoperabiliteten samt de koder som ska användas i hela landet. För att användningen, överlåtelserna och hanteringen av kundhandlingarna ska kunna verkställas så att kundens dataskydd och uppgifternas interoperabilitet beaktas i tillräcklig grad, måste det finnas tillräckligt detaljerade föreskrifter om uppgifternas klassificering och datastrukturer. Genom enhetliga datastrukturer och uppgiftsklassificeringar kan man säkerställa att man vid de överlåtelser av uppgifter som sker elektroniskt faktiskt överlåter de uppgifter som man avser överlåta och att man inte samtidigt överlåter onödiga uppgifter. Föreskriften ska också innehålla tidsfrister för införandet av de nya datastrukturerna.
Det riskbaserade förhållningssättet enligt dataskyddsförordningen är som sådant direkt tillämplig lagstiftning, vilket de personuppgiftsansvariga och Institutet för hälsa och välfärd ska beakta. Beredningen av föreskrifterna förutsätter nära samarbete mellan Institutet för hälsa och välfärd och de aktörer som deltar i genomförandet, användningen och standardiseringen av informationssystemtjänsterna samt tjänstetillhandahållarna.
21 §. Tidsfrist för upprättande av handlingar. I 1 mom. föreskrivs att en kundhandling utan dröjsmål ska upprättas och föras in i de riksomfattande informationssystemtjänsterna när handlingen är klar. Bestämmelserna förenhetligas mellan social- och hälsovården. Bestämmelserna om klienthandlingar inom socialvården har också tidigare förutsatt att anteckningar görs utan dröjsmål efter det att klientens ärende har behandlats. Däremot finns det en frist på fem dygn för upprättande och lagring av journalhandlingar i de riksomfattande informationssystemtjänsterna.
Upprättandet av handlingar utan dröjsmål förutsätter att registreringar och anteckningar görs utan dröjsmål inom både social- och hälsovården. Med utan dröjsmål avses att handlingarna ska upprättas och föras in genast när handlingen är klar så att både kunden själv och andra tjänstetillhandahållare så fort som möjligt har tillgång till uppgifterna. Handlingarna behöver upprättas utan dröjsmål dels för att kunderna ska kunna få sina uppgifter via medborgargränssnittet utan dröjsmål, och på motsvarande sätt kan uppgifterna utan dröjsmål lämnas ut från de riksomfattande informationssystemtjänsterna till andra tjänstetillhandahållare.
En del av anteckningarna ska på grund av situationens natur föras in nästan omedelbart. Sådana är till exempel anteckningar om att patienten omedelbart förflyttar sig till följande vårdplats eller brådskande barnskyddsåtgärder. En del av anteckningarna kan också mycket väl vänta också till nästa arbetsdag.
Enligt 2 mom. ska remisser utan dröjsmål upprättas och sändas till platser för fortsatt vård. På motsvarande sätt ska också en sammanfattning av den vård som getts patienten och anvisningarna om fortsatt vård utan dröjsmål sändas både till patienten och till den plats för fortsatt vård eller någon annan plats som det har avtalats om med patienten.
22 §. Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet. Paragrafen grundar sig på 10 § i den gällande kunduppgiftslagen. I paragrafens 1 mom. föreskrivs det att handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas vid all behandling, överföring och bevarande av uppgifter. Säkerställandet kan genomföras till exempel med en elektronisk stämpel, om det är fråga om en verifiering som gjorts av en tjänstetillhandahållare eller någon annan juridisk person, och med en elektronisk underskrift om det är fråga om en verifiering som gjorts av en fysisk person. Enligt artikel 3 i eIDAS-förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. Med undertecknare avses en fysisk person som skapar en elektronisk underskrift. Med elektronisk stämpel avses i förordningen en stämpel av en motsvarande juridisk person, det vill säga uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form för att säkerställa de senares ursprung och integritet. Med skapare av en stämpel avses en juridisk person som skapar en elektronisk stämpel.
Enligt 2 mom. kan yrkesutbildade personers underskrift i intyg, utlåtanden och andra handlingar, som utarbetas för att visas för andra organisationer eller aktörer, och som kräver underskrift vara en egenhändig eller elektronisk underskrift. Kravet på elektroniska underskrifter eller elektroniska stämplar preciseras så att det gäller handlingar som förs in i de riksomfattande informationssystemtjänsterna. Med handlingar avses i denna proposition förutom sådana handlingar även andra tekniska upptagningar för vilka en elektronisk underskrift inte är motiverad, utan integriteten, den oförvanskade formen och oavvisligheten kan säkerställas på andra sätt. I 1 mom. finns en hänvisning till 7 § i receptlagen, där det föreskrivs närmare om signering av recept och de anteckningar som hänför sig till dem.
Enligt paragrafens 3 mom. ska det vid en elektronisk signering som görs av en fysisk person användas minst en sådan avancerad elektronisk underskrift som det föreskrivs om i lagen om stark autentisering och betrodda elektroniska tjänster. Vid signering som görs av organisationer och datatekniska enheter ska det användas en elektronisk stämpel av motsvarande tillförlitlighet. Bestämmelser om elektronisk underskrift och elektronisk stämpel finns i eIDAS-förordningen. Enligt artikel 25.2 i eIDAS-förordningen ska en kvalificerad elektronisk underskrift ha motsvarande rättsliga verkan som en handskriven underskrift. Enligt artikel 35.2 ska en kvalificerad elektronisk stämpel omfattas av en presumtion om integritet hos de uppgifter som den kvalificerade elektroniska stämpeln är kopplad till och om att de har korrekt ursprung.
Enligt eIDAS-förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifterna. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till avancerade eller kvalificerade elektroniska underskrifter.
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska unikt vara kopplad till undertecknaren och det ska vara möjligt att identifiera undertecknaren med hjälp av den. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. En avancerad elektronisk underskrift ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.
Med kvalificerad elektronisk underskrift avses en avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftframställning och som är baserad på ett kvalificerat certifikat för elektroniska underskrifter.
De medborgarcertifikat som fogas till identitetskorten och som produceras av Myndigheten för digitalisering och befolkningsdata samt yrkesutbildade personers certifikatkort uppfyller kraven på kvalificerade certifikat. En avancerad elektronisk underskrift kan skapas med bankkoder eller mobilcertifikat. Eftersom det enligt 2 mom. vid elektronisk signering som görs av en fysisk person ska användas minst en sådan avancerad underskrift, möjliggör det elektronisk underskrift av kunderna, till exempel med hjälp av bankkoder och mobilcertifikat, vilket för sin del gör det möjligt för medborgarna att använda elektroniska tjänster och underteckna de handlingar som behövs för social- och hälsovårdstjänsterna elektroniskt. Till exempel kan ansökningar om att få en tjänst undertecknas elektroniskt med bankkoder eller mobilcertifikat. De certifikatkort som används av yrkesutbildade personer är i vilket fall som helst på en godkänd nivå.
23 §. Bevarande av kundhandlingar. Paragrafen innehåller bestämmelser om bevarande av kundhandlingar samt av prover och modeller av organ som innehåller biologiskt material och uppkommer vid undersökning och vård av patienter. Bestämmelserna gäller de ursprungliga kundhandlingarna, det vill säga att till den del som kundhandlingarna har förts in i de riksomfattande informationssystemtjänsterna ska kopiorna i andra informationssystem och motsvarande utplånas redan tidigare så snart behovet av att använda dem har upphört. Således kan till exempel arbetsanteckningar och arbetskopior förstöras genast när de inte längre behövs. Också i situationer där en aktör i egenskap av personuppgiftsbiträde har behandlat kunduppgifter och handlingarna har lämnats till serviceanordnaren, får personuppgiftsbiträdet förstöra uppgifterna när dess behov av att använda handlingarna har upphört, till exempel efter att handlingarna inte behöver bevaras för kvalitetssäkring eller för tiden för väckande av talan.
Enligt 1 mom. ska kundhandlingar och annat material bevaras den tid som anges i bilagan. Bevarandetiderna enligt bilagan baserar sig på en bedömning av handlingarnas värde. Bedömningen gjordes vid social- och hälsovårdsministeriet under 2021 och i samband med den utreddes med hjälp av talrika intervjuer behovet av att bevara kundhandlingarna med tanke på ordnandet och tillhandahållandet av social- och hälsovårdstjänster.
Det föreslås att handlingar och biologiska prov som är viktiga med tanke på medicinsk genetik och sällsynta sjukdomar ska bevaras permanent, eftersom behovet att använda dem inte enbart hänför sig till vården av en enskild patient utan uppgifterna behövs också för vård och undersökning av kommande generationer. Det permanenta bevarandet ska inte längre vara knutet till enheter för medicinsk genetik, eftersom material som är av betydelse för medicinsk genetik också kan uppkomma vid andra enheter. Det permanenta bevarandet förutsätter en medicinsk bedömning av vilka handlingar och prover som är så betydande att de inte får förstöras.
Journalhandlingarna och biologiska prov från olika patienter behöver i regel bevaras under patientens livstid, eftersom det är fråga om uppgifter om patientens hälsotillstånd och nästan alla uppgifter om hälsotillståndet som antecknats under livstiden kan vara av betydelse i ett senare skede. Tidigare hälsouppgifter behövs till exempel inom diagnostik och som jämförelseuppgifter.
Dessutom ska handläggningstiden på 12 år som behövs för eventuella skadeståndsärenden beaktas. Bevarandetiden är således i fråga om de flesta handlingar 12 år efter dödsfallet, eller 120 år efter födelsen i de situationer då uppgift om dödstidpunkten inte förmedlas till den personuppgiftsansvarige eller det är fråga om ett barn som har dött före 18 års ålder. Sådana journalhandlingar som ska bevaras under patientens livstid är sådana centrala uppgifter om vården som ska antecknas om servicehändelser och sammandrag, halvtids- och slutbedömningar, remisser och begäranden om konsultationer samt recept, remisser och utlåtanden som gäller diagnostik, hälso- och vårdplaner, beslut i anslutning till vård oberoende av patientens vilja, handlingar som gäller strålbehandling, laboratorieresultat samt odontologiska röntgenbilder som kan användas för identifiering av patienten inom rättsmedicin. Bevarandetiderna för prover som innehåller biologiskt material ska också motsvara de nuvarande bevarandetiderna, med undantag för prover som är av betydelse för medicinsk genetik och som ska bevaras permanent. Biologiska prover behövs till exempel förutom för forskning om ärftliga sjukdomar också för precisering av diagnosen.
Andra upptagningar från bilddiagnostiska undersökningar ska bevaras i 20 år, dock högst 12 år efter dödsfallet. Andra bild-, video- och ljudupptagningar, såsom fotografier och ögonbottenbilder eller ljudupptagningar för talterapi, som har bedömts vara behövliga med tanke på vården, ska bevaras i 12 år. Expedieringar och andra anteckningar som hänför sig till recept ska bevaras i 12 år efter det att vården avslutades. Resultatkurvor, såsom EEG, EKG, KTG och hörselkurvor, ska bevaras i 12 år efter undersökningen. Bevarandetiden för resultatkurvor förkortas jämfört med den gällande bevarandetiden, som är 12 år efter dödsfallet eller 120 år efter födelsen.
Bevarandetiderna för klienthandlingar inom socialvården kan vara kortare, eftersom uppgifterna hänför sig till klienternas livssituationer och socialservice som inte har motsvarande bestående verkningar som uppgifterna om hälsotillstånd. När det gäller bevarandetiderna ska dock tillgodoseendet av kundens rätt att få uppgifter beaktas. Till exempel begärs det information om barnskyddets handlingar också av äldre, tidigare klienter. Dessutom kan uppgifter begäras också efter en lång tid till exempel för rättspsykiatriska ändamål och neuropsykiatriska ändamål för vuxna samt för bedömning av arbetsförmågan i samband med ansökningar om invalidpension. Bevarandetiden för handlingar inom socialvården är serviceuppgiftsbaserad, det vill säga att samma bevarandetid ska gälla för alla klienthandlingar inom socialvården som upprättas inom en viss serviceuppgift. Bevarandetiden ska vara bunden till avslutandet av socialvårdsärendet. En socialvårdsklient kan samtidigt vara klient i flera serviceuppgifter och personen kan ha flera olika tjänster och anknytande ärenden. Bevarandetiden för de klienthandlingar inom socialvården som hänför sig till en serviceuppgift kan således upphöra, även om klientförhållandet i en annan serviceuppgift fortgår längre.
Det föreslås att handlingar som gäller serviceuppgifter inom barnskyddet ska bevaras 120 år efter kundens födelse. När det gäller familjerättsliga tjänster ska bevarandetiden i ärenden som gäller barn vara 120 år efter barnets födelse och i andra ärenden, såsom adoptionsrådgivning som avslutats genom ett beslut om avbrytande, 10 år efter det att ärendet stängdes. Handlingar som gäller serviceuppgifter för barnfamiljer ska bevaras i 30 år efter att ärendet stängdes medan andra serviceuppgifter, det vill säga serviceuppgifter för personer i arbetsför ålder, för äldre personer och inom missbrukarvården, ska bevaras i 10 år från det att ärendet stängdes. Bevarandetiden för serviceuppgifter inom funktionshinderservicen är 10 år efter det att ärendet stängdes, när behovet av funktionshinderservice har upphört.
I momentet föreskrivs det dessutom om ansvaret för bevarandet så att Folkpensionsanstalten svarar för bevarandet av de kundhandlingar som förts in i de riksomfattande informationssystemtjänsterna. För bevarandet av den personuppgiftsansvariges övriga kundhandlingar och material svarar den personuppgiftsansvarige själv. Om tjänstetillhandahållaren har sparat kopior av handlingar som bevaras i de riksomfattande informationssystemtjänsterna, tillämpas inte bevarandetiden i enlighet med paragrafen på dem, utan de ska förstöras genast när användningsbehovet har upphört.
I 2 mom. finns en hänvisning till arkivlagen, där det föreskrivs om varaktig förvaring, det vill säga arkivering enligt informationshanteringslagen, samt om de myndigheter som har skyldighet eller möjlighet att enligt avtal överföra sina handlingar till Riksarkivet för bevarande. Folkpensionsanstalten ska ansvara för att de handlingar som förts in i de riksomfattande informationssystemtjänsterna överförs till Riksarkivet, om Riksarkivet har fattat beslut om överföringen eller om det har ingåtts ett avtal om överföringen. Till den del det i de riksomfattande informationssystemtjänsterna finns sådana kundhandlingar som ska bevaras permanent och för vilka det inte föreligger någon skyldighet att överföra dem till Riksarkivet, föreskrivs det i momentet att Folkpensionsanstalten svarar för det varaktiga bevarandet av kundhandlingarna i de riksomfattande informationssystemtjänsterna. De kundhandlingar som inte överförs till Riksarkivet blir således kvar i de riksomfattande informationssystemtjänsterna efter att bevarandetiden löpt ut. De bör dock åtskiljas från de kundhandlingar som är i aktiv användning, och de får inte lämnas ut till andra tjänstetillhandahållare på samma sätt som handlingar i aktiv användning.
24 §. Förstörande av kundhandlingar. I paragrafen föreskrivs det om förstörande av handlingar efter att bevarandetiden löpt ut. Ansvaret för förstörandet ligger hos varje personuppgiftsansvarig i fråga om de handlingar som denne har bevarandeansvaret för och hos Folkpensionsanstalten i fråga om de handlingar som har förts in i de riksomfattande informationssystemtjänsterna. Handlingarna ska förstöras när bevarandetiden har löpt ut. Eftersom den personuppgiftsansvarige inte har prövningsrätt i fråga om att förstöra handlingarna, och bevarandetiden för elektroniska handlingar kan härledas ur handlingarnas metadata, kan tekniken utnyttjas vid förstörandet och det kan göras med hjälp av automatisk databehandling både av den personuppgiftsansvarige och av Folkpensionsanstalten.
I 1 mom. föreskrivs det om skyldigheten att förstöra handlingar och annat material när bevarandetiden löpt ut i fråga om de handlingar som Riksarkivet inte har bestämt att ska bevaras permanent, det vill säga arkiveras. Förstörandet ska genomföras så att utomstående inte får information ur handlingar och annat material.
I 2 mom. föreskrivs det på motsvarande sätt om Folkpensionsanstalten ansvar.
5 kap. Journalhandlingar
25 §. Rätt att göra anteckningar i journalhandlingar. I paragrafen föreslås bestämmelser om vem som har rätt att göra anteckningar i journalhandlingar. Utgångspunkten är att anteckningar får göras av yrkesutbildade personer inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av en hälso- och sjukvårdstjänst för patienten. Andra personer som deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsten, såsom till exempel räddningsverkets personal som deltar i den prehospitala akutsjukvården och ambulanstransporten samt yrkesutbildade personer inom socialvården som arbetar med hälso- och sjukvårdstjänster, får göra anteckningar i enlighet med de i 7 § avsedda anvisningarna utarbetade av den ansvariga föreståndaren hos tjänstetillhandahållaren. Studerande inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av en hälso- och sjukvårdstjänst för patienten får göra anteckningar när de är verksamma i legitimerade yrkesutbildade personers uppgifter i enlighet med 2 § 3 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården. Den föreslagna bestämmelsen motsvarar till denna del den nuvarande förordningen om journalhandlingar.
Också en yrkesutbildad person inom socialvården får anteckna känsliga uppgifter och innehåll som hänför sig till personens livssituation i journalhandlingarna till den del de anknyter till vården av personen eller annars är ändamålsenliga med tanke på vården. Sådant patientarbete i anslutning till hälso- och sjukvården som utförs av en yrkesutbildad person inom socialvården kan utföras till exempel inom den specialiserade sjukvården.
Bestämmelserna om upprättande av journalhandlingar inverkar inte på rättigheterna att förskriva läkemedel, utan bestämmelserna om dessa rättigheter finns i lagen om yrkesutbildade personer inom hälso- och sjukvården.
Anteckningar i journalhandlingarna görs fortfarande ofta utifrån en diktering av en yrkesutbildad person inom hälso- och sjukvården. För att klarlägga ansvarsfrågorna konstateras det i 2 mom. i enlighet med den gällande förordningen om journalhandlingar att ansvaret för anteckningarna i en sådan situation vilar på den som dikterat.
Inom hälso- och sjukvården används ett stort antal medicinska apparater som producerar till och med mycket detaljerade uppgifter i samband med vård eller undersökning av patienter. Dessutom produceras patientuppgifter också numera av olika programvaror och robotar. Ofta överförs denna information direkt från apparaten, programvaran eller roboten till de elektroniska patientdatasystemen. Enligt 3 mom. kan anteckningar i journalhandlingar dessutom bestå av utskrifter som har skrivits ut av medicintekniska produkter, programvara eller robotar för hälso- och sjukvård och som är behövliga i vården av en patient. Apparaterna producerar ofta en ganska stor mängd anteckningar. Alla anteckningar som produceras av anordningar, programvara och robotar ska dock inte fogas till journalhandlingarna, utan anteckningarna ska vara behövliga för vården av patienten på samma sätt andra anteckningar i journalhandlingarna. Med andra ord ska till journalhandlingarna fogas den del av den information som apparaten, programvaran eller roboten producerat som är av betydelse med tanke på de vårdbeslut som fattats. Bestämmelserna om omfattningen av anteckningarna i journalhandlingarna gäller således också de anteckningar som produceras av apparater. I takt med att tekniken utvecklas används i hälso- och sjukvården i allt högre grad olika apparater, applikationer och robotik, och bestämmelsen gör det möjligt att producera anteckningar också med dessa apparater som utnyttjar ny teknik.
26 §. Principer för journalhandlingar. I paragrafen föreskrivs om principer som gäller journalhandlingar. I 1 mom. föreskrivs vilka handlingar som hör till journalhandlingarna som helhet. Journalhandlingar är anteckningar som yrkesutbildade personer har gjort om servicehändelser, det vill säga anteckningar om besök och vårdperioder, recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, upptagningar som hänför sig till diagnostik och utlåtanden i anslutning till dem och andra bild-, ljud- och videoupptagningar som hänför sig till tillhandahållandet av patientens hälso- och sjukvårdstjänster, handlingar som hänför sig till ordnandet av hälso- och sjukvårdstjänster för patienten samt handlingar som kommit till hälso- och sjukvården någon annanstans ifrån. Upptagningar som hänför sig till diagnostik är upptagningar som producerats med hjälp av olika apparater, till exempel laboratoriesvar, röntgen-, isotop- och ultraljudsbilder och andra bild-, video- och ljudupptagningar, till exempel bilder för synligt ljus såsom fotografier och ögonbottenbilder, videor och ljudupptagningar för talterapi och upptagningar som hänför sig till uppföljning av patienten. I enlighet med bilagan om bevarandetider får andra bild-, video- och ljudupptagningar än sådana som behövs för vården förstöras genast när användningsbehovet har upphört, det vill säga till exempel när de viktigaste uppgifterna har antecknats i journalhandlingarna. Endast upptagningar som behövs för vården ska sparas en längre tid. Handlingar i anslutning till ordnandet av patientens hälso- och sjukvårdstjänster är handlingar över tidsbeställningar, remisser, begäran om konsultationer som sänds till andra tjänstetillhandahållare, beslut om vård oberoende av patientens vilja samt hälso- och vårdplaner. Sådana chatt-meddelanden och motsvarande kontakter med patienten som kan jämföras med telefonsamtal med patienten är inte journalhandlingar, och de behöver inte bevaras efter det att den yrkesutbildade personen har antecknat de viktiga uppgifterna i dem i journalhandlingarna. Handlingar som kommer någon annanstans ifrån är handlingar som fås av andra tjänstetillhandahållare eller myndigheter.
De intyg och utlåtanden som en yrkesutbildad person inom hälso- och sjukvården har upprättat för andra myndigheter och instanser är däremot inte journalhandlingar, eftersom de upprättas för mottagarens användningsändamål och syftet inte är att ordna och tillhandahålla vård för patienten. Inte heller är handlingar som gäller vårddirektiv och organdonation journalhandlingar, utan handlingar som patienten själv upprättat och administrerar, även om de är avsedda att beaktas inom hälso- och sjukvården. Ansvaret för och rätten att upprätthålla innehållet i viljeyttringarna innehas dock endast av patienten själv, också när patienten ber tjänstetillhandahållaren föra in sin viljeyttring i de riksomfattande informationssystemtjänsternas viljeyttringstjänst.
Enligt 2 mom. ska anteckningar i journalhandlingar i anslutning till tjänster inom medicinsk genetik och psykiatri och anteckningar i journalhandlingar i anslutning till motsvarande tjänster som kräver särskild konfidentialitet skyddas så att behandlingen av dem någon annanstans än i den aktuella servicehändelsen inom specialiteten eller tjänsten i fråga kräver en separat begäran om bekräftelse. Tjänster som kräver särskild konfidentialitet är till exempel olika former av terapi som främjar den psykiska hälsan, såsom psykoterapi och sexualterapi samt psykologtjänster.
Det förfarande för separat begäran om bekräftelse som ska användas vid genomförandet av det särskilda skyddet motsvarar det särskilda skydd för journalhandlingar inom psykiatri och medicinsk genetik som redan används. Det ska inte vara förbjudet att använda dessa med en separat begäran om bekräftelse skyddade journaluppgifter som åtnjuter särskilt skydd, om uppgifterna är nödvändiga för vården av patienten. Den som använder dessa uppgifter ska dock, när personen är verksam i någon annan tjänst eller specialitet än den aktuella, efter den begäran om bekräftelse som genomförs via informationssystemet bekräfta behovet av att använda uppgifterna genom en separat bekräftelse. Till exempel de som arbetar inom psykiatriska tjänster behöver inte särskilt fastställa användningen av patientuppgifter inom psykiatrin, men om en person som arbetar inom psykiatrin behöver behandla journalhandlingar inom medicinsk genetik, ska en begäran om bekräftelse göras. Likaså ska en begäran om bekräftelse göras om personalen inom somatiska tjänster behöver behandla patientuppgifter från psykiatrin. Ordalydelsen i momentet gör det möjligt att genomföra det särskilda skyddet också genom andra förfaranden än en begäran om bekräftelse.
Närmare bestämmelser om vilka patientuppgifter som ska ges särskilt skydd utfärdas genom förordning av social- och hälsovårdsministeriet.
Enligt 3 mom. ska de journalhandlingar som förs in i de riksomfattande informationssystemtjänsterna bilda en sammanhängande dokumenthelhet med hjälp av specificerade koder för servicehändelserna. Journalhandlingarna bildar således helheter i enlighet med besöks- och vårdperiod. Det är väsentligt att handlingarna sammanställs för varje servicehändelse med tanke på patientens rätt att bestämma över information om sig själv, eftersom patienten i enlighet med 54 § för varje servicehändelse kan förbjuda att uppgifter om honom eller henne lämnas ut mellan tjänstetillhandahållarna.
27 §. Basuppgifter som ska antecknas i journalhandlingarna. I paragrafen föreskrivs det om basuppgifter i journalhandlingarna. Bestämmelserna baserar sig på social- och hälsovårdsministeriets förordning om journalhandlingar (94/2022), som utfärdats med stöd av patientlagen och kunduppgiftslagen. I paragrafens 1 mom. föreskrivs det om de basuppgifter om patienter, den som gör anteckningen och tjänstetillhandahållare som ska framgå av journalhandlingarna. De basuppgifter som ska framgå av handlingarna är patientens namn och personbeteckning eller, om personbeteckningen inte är känd, identifikationskod eller födelsetid. Om patienten saknar officiell personbeteckning ska den tillfälliga personbeteckningen antecknas. Journalhandlingarna ska innehålla uppgift om serviceanordnarens och tjänsteproducentens namn och identifikationskod. Dessutom ska varje anteckning vara försedd namnet på den som gjort anteckningen, uppgift som identifierar den som gjort anteckningen, yrkesbeteckningen och tidpunkten för anteckningen. Om anteckningen har producerats av en medicinsk apparat, programvara eller robot ska det av anteckningen framgå uppgifterna i anteckningen kompletterade med uppgift om den som eventuellt godkänner anteckningen. Om uppgifter kommer till hälso- och sjukvården någon annanstans ifrån, ska det i handlingen antecknas när och varifrån uppgifterna har kommit.
Basuppgifterna kan samköras och produceras i datasystemet utan att alla uppgifter separat behöver föras in i varje handling. Särskilda bestämmelser om kraven på datainnehållet i de handlingar som lagras i de riksomfattande informationssystemtjänsterna och på metadata bestäms separat i Institutet för hälsa och välfärds definitioner av datastrukturerna.
I 2 mom. räknas de uppgifter upp som vid behov ska framgå av journalhandlingarna, om uppgiften behövs för att ordna eller tillhandahålla vård eller service för patienten eller med tanke på ställningen för ett minderårigt barn som patienten har vårdnaden om eller en person som patienten ger närståendevård. Sådana uppgifter är i fråga om en minderårig patient vårdnadshavarnas eller en annan laglig företrädares namn och kontaktinformation samt namnet på den lagliga företrädare som utsetts för en patient som uppnått myndighetsåldern och denna företrädares kontaktinformation, namnet på en nära anhörig eller någon annan kontaktperson och eventuellt släktskapsförhållande och kontaktinformation samt uppgift om ett minderårigt barn som patienten har vårdnaden om och uppgift om närståendevård. Uppgiften om en nära anhörig eller någon annan kontaktperson till patienten behövs för att det inom hälso- och sjukvården ska finnas aktuell information om en närstående som man vid behov kan kontakta och ge uppgifter i situationer som avses i 6 § 2 och 3 mom. i patientlagen när en person som uppnått myndighetsåldern inte själv kan fatta beslut om sin vård. Uppgiften om minderåriga barn behövs för att det inom hälso- och sjukvården i enlighet med 70 § i hälso- och sjukvårdslagen vid behov ska vara möjligt att utreda barnets behov av vård och stöd och garantera tillräcklig vård och tillräckligt stöd för barnet då barnets förälder, vårdnadshavare eller någon annan som svarar för barnets vård och fostran får missbrukarvård, mentalvård eller andra social- och hälsovårdstjänster och hans eller hennes förmåga att under denna tid svara för barnets vård och fostran anses försvagad. På motsvarande sätt behövs uppgift om närståendevård för att det inom hälso- och sjukvården ska vara möjligt att till exempel göra en anmälan till socialvården, om närståendevårdaren inte klarar av att sköta den som får närståendevård till exempel på grund av att närståendevårdaren har tagits in för sjukhusvård.
Dessutom ska vid behov patientens modersmål eller kontaktspråk, patientens yrke, det försäkringsbolag som patientens arbetsgivare anlitar om det kan vara fråga om arbetsolycksfall eller yrkessjukdom, samt det försäkringsbolag som anlitas om det är möjligt att vården betalas av försäkringsbolaget. Också patientens samtycken till och tillstånd för utlämnande av patientuppgifter ska antecknas i journalhandlingarna. De tillstånd som gäller de riksomfattande informationssystemtjänsterna förs in i viljeyttringstjänsten, så i detta sammanhang gäller bestämmelsen i synnerhet överlåtelser som görs på annat sätt inom social- och hälsovården samt överlåtelser till andra myndigheter och aktörer.
Om den som gjort den tekniska registreringen av en anteckning som avses i 3 punkten är en annan person än den som svarar för anteckningens innehåll ska det av journalhandlingarna också framgå uppgifter om den som gjort den tekniska registreringen av anteckningen. Dessa uppgifter kan fås direkt från patientdatasystemets användaruppgifter för anteckning i den elektroniska journalhandlingen och tidpunkten för när anteckningen registrerades fås automatiskt från patientdatasystemet. På detta sätt undviks onödiga registreringar om dessa anteckningar. Dessutom säkerställs det att andra personer inte ges tillgång till åtkomsträttigheterna till patientdatasystemen, när en person med användarnamn också svarar för att anteckningarna är korrekta. Av anteckningarna ska framgå källan till uppgifterna, om uppgifterna inte baserar sig på observationer som en yrkesutbildad person själv har gjort vid en undersökning eller det i journalhandlingarna antecknas andra uppgifter än sådana som gäller patienten själv. En viktig princip är således att ursprunget till uppgifterna i journalhandlingarna ska kunna fastställas. Därför förutsätts det att källan till uppgifterna framgår av journalanteckningarna i de fall där uppgifterna inte grundar sig på en yrkesutbildad persons egna observationer i samband med en undersökning.
28 §. Anteckningar som ska göras om servicehändelser. I paragrafens 1 mom. föreskrivs det att anteckningar ska göras i journalhandlingarna för servicehändelser, det vill säga patientens besök eller vårdperioder eller motsvarande kontakter med patienten, till exempel bedömning av vårdbehovet per telefon eller kontakt via e-tjänster. Anteckningarna bildar på så sätt en helhet som framskrider i kronologisk ordning och som också kallas patientjournal. I patientdatasystemen förs anteckningarna in i enlighet med Institutet för hälsa och välfärds definitioner av datastrukturerna enligt 20 §. Informationssystemen kan ha olika vyer och registreringsplattformar där anteckningarna görs.
Av anteckningarna ska i behövlig omfattning framgå uppgifter om patientens hälsotillstånd, de tjänster som tillhandahållits och sjukdomsförloppet och genomförandet av vården samt grunderna för diagnosen, för den vård som valts och för de vårdavgöranden som fattats. I fråga om recept som gäller läkemedelsbehandling ska antecknas de uppgifter som avses i 6 § i receptlagen samt andra behövliga motiveringar till den valda läkemedelsbehandlingen.
De uppgifter som ska antecknas om recept är en central del av de uppgifter som ska antecknas om servicehändelser, och samtidigt bildas av uppgifterna en recepthandling som ska lagras i receptcentret och användas vid expedieringen av läkemedlet och i den nationella läkemedelslistan, om avsikten är att patienten ska köpa läkemedlet på apoteket. Uppgifterna om recept kan i informationssystemet antecknas i en separat del eller vy, och samma uppgifter behöver inte antecknas på nytt i andra anteckningar om servicehändelsen. Det finns dock inget hinder för att uppgifter om recept också fogas till andra anteckningar, förutsatt att de uppgifter som avses i receptlagen alltid är uppdaterade i receptcentret.
Enligt 2 mom. ska det vara möjligt att få reda på vilka yrkesutbildade personer och andra personer som har deltagit i tillhandahållandet av vården och tjänsterna. Kravet förutsätter inte att alla personer som deltagit i vården alltid framgår av anteckningarna i journalhandlingarna, utan till exempel uppgifter som framgår av arbetsskiftslistorna kan användas som hjälp.
Enligt 3 mom. ska läkarutlåtanden och intyg antecknas enligt den tidpunkt då de utfärdats.
I 4 mom. föreskrivs om antecknande av uppgifter om en annan person i journalhandlingarna. Om det för kartläggning av patientens livssituation eller någon motsvarande orsak med tanke på vården av en patient är nödvändigt att föra in uppgifter som någon annan har berättat om sig själv eller andra detaljerade känsliga uppgifter om någon annan person, ska dessa uppgifter antecknas i en separat handling i anslutning till patientens servicehändelse. Bestämmelsen gör det således möjligt att anteckna uppgifter om en annan person i en separat handling oberoende av vem som har lämnat uppgifterna. I de gällande bestämmelserna är detta möjligt endast i fråga om uppgifter som en annan person berättar om sig själv. Den person vars uppgifter anteckningen gäller har rätt att kontrollera uppgifterna. Exempelvis i fråga om tjänster för vuxna kan man på det sätt som möjliggörs i momentet anteckna kartläggningar av situationen för minderåriga barn och motsvarande uppgifter om barn. På motsvarande sätt kan uppgifter om föräldrarna antecknas när ett barn är patient.
29 §. Centrala uppgifter om vården som ska antecknas i journalhandlingarna. I paragrafen föreskrivs det om de centrala uppgifter om vården som ska antecknas i journalhandlingarna, till exempel patientens hälsotillstånd, uppgifter om den tjänst som tillhandahållits och vårdförloppet samt grunderna för vårdavgörandena. En väsentlig del av journalhandlingarna är de anteckningar som en yrkesutbildad person inom hälso- och sjukvården gör om sina iakttagelser, bedömningar och slutsatser i fråga om patienten och vården av patienten samt om de omständigheter som bedömningarna grundar sig på. Om det vid undersökning och vård av patienten finns flera alternativa undersöknings- och behandlingsmetoder med olika verkningar och risker, ska det i journalhandlingarna göras anteckningar där det framgår på vilka grunder man kommit fram till den valda metoden.
I 2 mom. föreskrivs det om den berättelse som ska avfattas i fråga om operationer som patienten har genomgått och andra åtgärder som vidtagits. I 3 mom. föreskrivs om proteser, implantat, tandfyllningsmaterial och andra material som permanent opererats in i en patient.
I 4 mom. föreskrivs det att beslut om begränsning av patientens självbestämmanderätt ska antecknas i journalhandlingarna. Av anteckningarna ska framgå orsaken till åtgärden, åtgärdens art och längd samt en bedömning av hur åtgärden inverkar på vården av patienten liksom även namnet på den läkare och de personer som vidtagit åtgärden.
30 §. Anteckningar om risker, skadliga verkningar av vård samt misstänkta skador. I paragrafens 1 mom. föreskrivs det om anteckningar om riskuppgifter som ska beaktas vid behandlingen. I uppgifterna i patientjournalen ska särskilt anges uppgifter om patientens läkemedelsallergier, materialallergier och överkänslighet, men skyldigheten ska också gälla andra därmed jämförbara omständigheter som ska beaktas vid vården.
Paragrafens 2 mom. gäller anteckning av de uppgifter om hälsorisker som arbetet medför för arbetstagaren. Dessa uppgifter ska således tas in i de journalhandlingar inom företagshälsovården som gäller arbetstagaren, även om motsvarande uppgifter finns till exempel i de arbetsgivarspecifika handlingar som gäller arbetsplatsen i fråga.
I 3 och 4 mom. föreskrivs en skyldighet att dessutom göra uttryckliga anteckningar också om konstaterade skadliga verkningar av undersöknings- och vårdåtgärder och om vård som inte haft någon effekt samt om misstänkta patient-, apparat- eller läkemedelsskador. Utöver de omständigheter som gäller vården förutsätter också de ersättningsrättsliga omständigheterna och de omständigheter som hänför sig till myndighetstillsynen att det omedelbart efter att en misstanke om skada uppkommit görs detaljerade anteckningar i journalhandlingarna om misstänkta patient-, apparat- eller läkemedelsskador.
31 §. Anteckningar om konsultationer och vårdförhandlingar. Paragrafen innehåller särskilda bestämmelser om anteckningar som ska göras om olika konsultationer och vårdförhandlingar. Bland annat utvecklingen av informationstekniken har bidragit till ett ökat antal konsultationer och uppkomsten av nya konsultationsformer. I 1 mom. förutsätts det att den yrkesutbildade person inom hälso- och sjukvården som bär vårdansvaret ska göra anteckningar i journalhandlingarna om konsultationer och vårdförhandlingar som är betydelsefulla för patientens diagnos eller vård. Av anteckningarna ska framgå tidpunkten för konsultationen eller överläggningen, de personer som har deltagit i behandlingen av ärendet samt de avgöranden som har fattats och hur de har verkställts.
Om en konsultation sker så att patienten kan identifieras, ska enligt 2 mom. även den som konsulterats göra anteckningar om sitt konsultationssvar i journalhandlingarna, om den som konsulterats inte annars har kvar uppgifter om svaret.
32 §. Anteckningar om avdelningsvård och långtidsvård. I paragrafen föreslås vissa bestämmelser som uttryckligen gäller vården av patienter som får vård på avdelningar och långvarig vård. Långvarig vård kan ges inte bara på sjukhus utan också till exempel inom hemsjukvården. I fråga om alla patienter som omfattas av avdelningsvård eller långvarig vård förutsätts att det med tanke på vården av patienten tillräckligt ofta ska göras anteckningar om förändringar i patientens tillstånd, de undersökningar som gjorts och den vård som getts patienten. Dessutom ska det dagligen antecknas observationer, vårdåtgärder och motsvarande omständigheter som gäller patientens tillstånd.
Enligt 2 mom. krävs det att läkaren med minst tre månaders mellanrum gör ett uppföljningssammandrag i journalhandlingarna för en långtidssjuk patient, även om det inte har inträffat några väsentliga förändringar i patientens tillstånd. I uppföljningssammandraget ska patientens hälsotillstånd och fortsatta behov av vård bedömas vid respektive tidpunkt. Detta betjänar för det första vården av patienten. För det andra kan behovet av ett uppföljningssammandrag vara betydande i situationer där patienten vistas hemma eller annars är borta från sin långvariga vård på en avdelning eller inrättning och avsikten är att vården ska fortsätta. Om det under ett hembesök eller någon annan motsvarande frånvaro sker en olycka eller om patientens tillstånd försämras så att patienten behöver brådskande vård vid en annan enhet inom hälso- och sjukvården, är det möjligt att få information om patientens avdelningsvård via de riksomfattande informationssystemtjänsterna.
33 §. Slututlåtande. I 1 mom. åläggs en skyldighet att avfatta ett slututlåtande för varje vårdperiod när vården upphör efter vårdperioden eller när ansvaret för vården av patienten överförs. Med vårdperiod avses både avdelningsvård, institutionsvård och polikliniska vårdperioder. Vårdansvaret kan överföras till en annan tjänstetillhandahållare eller i samma tjänstetillhandahållares verksamhet till en annan verksamhetsenhet eller ett annat verksamhetsställe eller på ett sjukhus till ett annat specialområde. Vårdansvaret kan också överföras till socialservicen, i samband med vilken hälso- och sjukvårdstjänster produceras. En sådan situation kan till exempel vara när en äldre kund flyttas från ett sjukhus eller från en poliklinisk undersökningsperiod till ett vårdhem.
Enligt 2 mom. ska slututlåtandet utöver sammanfattningar av den vård som getts innehålla klara och detaljerade anvisningar för uppföljningen av patienten och för den fortsatta vården. I slututlåtandet ska det dessutom beskrivas eventuella avvikelser i patientens återhämtning efter en åtgärd och patientens tillstånd när servicehändelsen avslutas.
34 §. Anteckningar om en minderårig kunds beslutsförmåga. I paragrafen föreslås bestämmelser om anteckningar i fråga om minderåriga kunders kontakter med hälso- och sjukvården. Enligt 7 § 1 mom. i patientlagen ska en minderårig patient vårdas i samförstånd med patienten, om han eller hon med beaktande av ålder och utvecklingsnivå kan fatta beslut om vården. Enligt 2 mom. i den lagen ska, om en minderårig patient inte kan fatta beslut om sin vård, han eller hon vårdas i samförstånd med sin vårdnadshavare eller någon annan laglig företrädare. Enligt 51 § 1 mom. i den föreslagna lagen ska en minderårig patient som med beaktande av ålder och utveckling kan fatta beslut om sin vård ha rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna. Någon annan som har rätt att få uppgifter kan enligt 7 § i lagen angående vårdnad om barn och umgängesrätt (361/1983) vara en förälder som har fråntagits vården och någon annan person. Eftersom en minderårigs patientuppgifter kan visas för vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifter via e-tjänster, såsom det medborgargränssnitt som avses i 74 §, är det viktigt att handlingarna innehåller tillräckligt exakta och aktuella uppgifter om den minderåriges beslutsförmåga samt om huruvida han eller hon tillåter eller förbjuder att uppgifterna lämnas ut. Beslutsförmågan ska alltid bedömas i förhållande till varje ärende som behandlas inom hälso- och sjukvården, och därför ska uppgiften om beslutsförmågan antecknas för varje servicehändelse.
Enligt patientlagen är den minderåriges ålder vid sidan av utvecklingsnivån en faktor som påverkar beslutsförmågan. Ju äldre barnet är, desto mer sannolikt är det att barnet också kan fatta beslut om sin vård och därmed har rätt att förbjuda att uppgifterna om honom eller henne lämnas ut till vårdnadshavarna. När det gäller mindre barn är det således sannolikt att barnet ännu inte har förmåga att själv fatta beslut, utan barnet måste vårdas i samförstånd med vårdnadshavaren. I 2 mom. föreslås det att informationssystemen i fråga om barn under tolv år som standard kan producera en anteckning om att barnet inte är kan fatta beslut om sin vård. En yrkesutbildad person inom hälso- och sjukvården ska dock bedöma barnets förmåga att fatta beslut i enlighet med patientlagen, precis som tidigare, och vid behov ändra innehållet i anteckningen så att det säkerställs att ett barn som förmår fatta beslut har förbudsrätt oberoende av sin ålder. Bedömningen och det eventuella behovet av att ändra anteckningarna betonas när ett minderårigt barn självständigt sköter sina ärenden på mottagningen utan vårdnadshavarens närvaro. Automatiken underlättar arbetet för yrkesutbildade personer inom hälso- och sjukvården i och med att anteckningar inte behöver göras vid varje besök när det gäller de allra minsta barnen.
35 §. Anteckningar om deltagande i vård i specialsituationer. I paragrafen föreskrivs det om anteckningar i en situation där en patient som uppnått myndighetsåldern inte själv kan fatta beslut om sin vård. I sådana situationer vårdas en patient som uppnått myndighetsåldern i enlighet med 6 § 2 och 3 mom. i patientlagen i stället för i samförstånd med patienten själv i samförstånd med sin lagliga företrädare, en nära anhörig eller någon annan närstående. Bestämmelserna om anteckningar i dessa situationer motsvarar bestämmelserna i den gällande förordningen om journalhandlingar.
36 §. Anteckningar om ordnande av vård för en patient. Bestämmelserna grundar sig till sitt sakinnehåll på bestämmelserna i den gällande förordningen om journalhandlingar. I 1 mom. föreskrivs det om anteckningar i journalhandlingarna i en situation där patienten måste vänta på att få vård.
Bestämmelserna i 2 mom. om anteckningar om lämnande av sådana upplysningar om patientens vård som avses i 5 § 1 mom. i patientlagen samt bestämmelserna i 3 mom. om anteckningar om patientens vägran att genomgå undersökning eller delta i vård motsvarar de gällande bestämmelserna.
I 4 mom. föreskrivs det om anteckning av ett eventuellt vårddirektiv som patienten har meddelat med tanke på framtiden. Uppgift om ett sådant yttrande ska föras in i viljeyttringstjänsten i de riksomfattande informationssystemtjänsterna samt vid behov ska en motsvarande anteckning göras i journalhandlingarna. Till journalhandlingarna dessutom fogas en separat av patienten bekräftad handling som uttrycker patientens vilja. Uppgiften om vårddirektivet ska föras in i viljeyttringstjänsten för att informationen ska vara tillgänglig för alla de tjänstetillhandahållare som viljeyttringen kan gälla. Ett vårddirektiv som förts in i viljeyttringstjänsten kan uppdateras av alla tjänstetillhandahållare på patientens begäran och dessutom kan vårddirektivet uppdateras av patienten själv med hjälp av medborgargränssnittet. I fråga om vårddirektivet kan dock vid behov göras en anteckning med samma innehåll också i journalhandlingarna. Om patienten ber tjänstetillhandahållaren föra in uppgiften om vårddirektivet, ska till journalhandlingarna fogas en separat av patienten bekräftad handling som uttrycker patientens vilja. En uppgift som ska antecknas är också att patienten själv innehar en handling med sitt vårddirektiv. I journalhandlingarna ska dessutom göras anteckningar om att patienten getts tillräckliga upplysningar om följderna av att hans eller hennes vilja följs.
6 kap. Klienthandlingar inom socialvården
37 §. Principer för klienthandlingar inom socialvården. I paragrafen föreslås bestämmelser om de centrala principerna för anteckningar i klienthandlingar inom socialvården. I 1 mom. föreskrivs det om skyldigheten att börja anteckna klientuppgifter inom socialvården när tjänstetillhandahållaren har fått veta eller blivit informerad om att en person är i behov av service eller börjat lämna socialservice. Den föreslagna bestämmelsen motsvarar 4 § 2 mom. i den gällande klienthandlingslagen. Informationen om servicebehovet kan uttryckas av kunden själv eller också kan den som tar kontakt vara en myndighet, en förälder, en vårdnadshavare, en make eller någon annan företrädare för kunden eller en helt utomstående person, till exempel en granne. Kontakten kan ske per telefon, det kan vara en ansökan, en remiss, någon annan skriftlig anmälan eller ett personligt möte med någon ur personalen.
I den gällande socialvårdslagen definieras inte tidpunkten för klientrelationens början. Däremot föreskrivs det i 26 § i barnskyddslagen (417/2007) om inledande av ett barnskyddsärende och i 27 § i den lagen om tidpunkten för inledande av en klientrelation. Socialarbetaren ska enligt barnskyddslagen anteckna att en klientrelation inom barnskyddet har inletts i de barnskyddshandlingar som berör barnet.
Om en person ges anonym rådgivning eller vägledning, uppkommer ingen sådan klientrelation över vilken det upprättas klienthandlingar. Eftersom det i denna lag föreskrivs uttryckligen om behandling av sådana personuppgifter som avses i dataskyddsförordningen, ska bestämmelserna om upprättande av handlingar inte heller gälla dem som får tjänster anonymt.
Enligt 2 mom. ska det av varje klienthandling inom socialvården framgå till vilken serviceuppgift eller vilka serviceuppgifter handlingen ansluter sig. Bestämmelsen motsvarar bestämmelsen i 22 § 2 mom. i den gällande klienthandlingslagen.
När socialvård eller socialservice produceras för någon annans räkning ska det enligt 3 mom. av klienthandlingarna inom socialvården framgå grunden för behandlingen av handlingarna, serviceanordnaren och tjänsteproducenten. Om en tjänsteproducent anlitar en annan tjänsteproducent som underleverantör, ska hela leverantörskedjan framgå av klientuppgifterna. Bestämmelsen motsvarar 25 § 3 mom. i klienthandlingslagen.
38 §. Basuppgifter som ska antecknas i klienthandlingar inom socialvården. I paragrafen definieras de basuppgifter om en socialvårdsklient som ska antecknas eller produceras i klienthandlingarna inom socialvården till exempel på basis av de uppgifter om klienten, den yrkesutbildade personen och tjänstetillhandahållaren som finns i informationssystemet.
I 1 mom. föreskrivs det om de basuppgifter som alltid ska framgå av klienthandlingarna inom socialvården. Uppgifterna kan vara metadata som beskriver handlingar och som inte behöver ingå i handlingens egentliga innehållsdel. Enligt 1 punkten ska av handlingen framgå handlingens namn.
Enligt 2 punkten ska klientens namn finnas som en basuppgift. För att klienten entydigt ska kunna identifieras ska det dessutom alltid anges klienten och personbeteckning eller, om den inte är känd, en beteckning som temporärt identifierar klienten eller födelsedatumet. Till exempel en person som sökt asyl och saknar personbeteckning kan bli klient hos socialvården. Som klient inom barnskyddet kan registreras ett nyfött barn som ännu inte har vare sig namn eller personbeteckning. Sådana klienter ska ges en tillfällig identifieringskod.
Enligt 3 punkten ska av klienthandlingarna inom socialvården framgå serviceanordnarens och tjänsteproducentens namn och identifikationskod. Enligt 4 punkten ska namnet på den som upprättat handlingen eller gjort anteckningen samt dennas tjänsteställning eller uppgift framgå. Enligt 5 punkten ska tidpunkten för när handlingen upprättats eller anteckningen gjorts framgå.
I 2 mom. föreskrivs det om de uppgifter som ska antecknas i klienthandlingar inom socialvården. Uppgifterna behöver inte upprepas i varje handling, utan de kan samlas i en enda handling, såsom i en klientrelationshandling i enlighet med Institutet för hälsa och välfärds definitioner. I handlingarna ska det alltid antecknas det välfärdsområde inom vars område klientens hemkommun finns, tidpunkten för klientrelationens början, uppgift om den arbetstagare som ansvarar för servicen till klienten, eventuell uppgift om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare samt tidpunkten när klientrelationen avslutades och orsaken till avslutandet.
Bestämmelser om spärrmarkering finns i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. I 36 § i den lagen föreskrivs det att om en person har grundad anledning att misstänka att hans eller hennes eller familjens säkerhet är hotad, kan magistraten på begäran av personen bestämma att uppgifter om hemkommun, bostad, adress och andra kontaktuppgifter för personen, maken eller personens barn som bor i samma hushåll får lämnas ut endast under vissa förutsättningar. Uppgifter får lämnas ut endast till myndigheter vars rätt att behandla uppgifterna baserar sig på en bestämmelse i lag.
De myndigheter som får en persons kontaktuppgifter i sina system får också information om spärrmarkering. Information om spärrmarkering lämnas också till de myndigheter som för skötseln av tjänsteuppdrag får uppgifter som omfattas av spärrmarkering. De har vid skötseln av tjänsteuppdrag en särskild skyldighet att se till att utomstående inte kommer åt information som omfattas av spärrmarkering.
I 3 mom. föreskrivs det om andra basuppgifter om berörda personer som ska antecknas om de inverkar på kundens service eller de avgöranden som anges i handlingen. Enligt 1 punkten ska klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun antecknas. Enligt 2 punkten ska i en handling som gäller en minderårig klient antecknas vårdnadshavarens eller någon annan laglig företrädares namn, kontaktuppgifter och behörighet. Om en förälder som har fråntagits omsorgen genom domstolsbeslut har förordnats rätt att få uppgifter inom socialvården i fråga om barnet, ska en anteckning också göras om förordnandet.
Enligt 3 punkten ska som basuppgifter också antecknas uppgifter om den lagliga företrädare som har utsetts för en klient som har uppnått myndighetsåldern och om den person som klienten har befullmäktigat. Som uppgifter om dem antecknas namn, kontaktuppgifter och uppgift om vilka uppgifter företrädaren har behörighet att sköta. Den lagliga företrädaren kan vara en intressebevakare som förordnats av domstolen eller en intressebevakningsfullmäktig som fastställts av förmyndarmyndigheten. Om klienten har flera lagliga företrädare antecknas i klienthandlingarna inom socialvården den eller de som deltar i planeringen och tillhandahållandet av tjänsterna och som i detta syfte har rätt att få sekretessbelagda klientuppgifter om klienten.
Om en anhörig, en närstående eller någon annan som ansvarar för klientens vård eller omsorg deltar i skötseln av klientens ärende, antecknas enligt 4 punkten namn, kontaktuppgifter och deras roll i ärendet.
39 §. Anteckningar om att uppgifter har tagits emot. När uppgifter om en socialvårdsklient fås någon annanstans ifrån än av klienten själv, ska det säkerställas att den information som hänför sig till erhållandet av uppgifterna kan verifieras i efterhand ur handlingarna. När uppgifter fås av utomstående, ska mottagaren kunna verifiera vilka uppgifter som har inhämtats eller tagits emot (punkt 1), av vem man har fått uppgifterna eller någon annan informationskälla, om uppgifterna har fåtts via en teknisk anslutning (punkt 2), när uppgifterna har tagits emot (punkt 3), vem som eventuellt har begärt uppgifterna, om de har inhämtats på eget initiativ (punkt 4), den bestämmelse som ligger till grund för inhämtandet eller mottagandet av uppgifterna, eller uppgifter om samtycke (punkt 5) samt det ändamål för vilket uppgifterna har inhämtats eller mottagits (punkt 6).
Rätten att få uppgifter om en klient kan basera sig på att uppgifterna begärs med stöd av 64 § i den föreslagna lagen eller med klientens samtycke eller fås i samband med handräckning med stöd av 22 § i klientlagen. På motsvarande sätt kan uppgifterna fås på initiativ av en utomstående med klientens samtycke eller på basis av en anmälan eller något annat initiativ av en utomstående. Bestämmelser om anmälningsskyldigheten finns bland annat i 25 § i barnskyddslagen och i 25 § i om stödjande av den äldre befolkningens funktionsförmåga och om social- och hälsovårdstjänster för äldre (980/2012), nedan äldreomsorgslagen.
När socialvårdens riksomfattande informationsresurs för kunduppgifter har tagit i användning eller när tjänstetillhandahållaren använder elektroniska kommunikationskanaler kan uppgifter fås även elektroniskt. Då kan anteckningarna om erhållande av uppgifter helt eller delvis sammanställas automatiskt.
40 §. Anteckning av förbudsrätt för en minderårig klient. Innehållet i paragrafen motsvarar 12 § 3 mom. i den gällande klienthandlingslagen. I paragrafen föreskrivs det om registreringsskyldigheten och dess innehåll när en minderårig med stöd av 51 § 2 mom. i den föreslagna lagen förbjuder att hans eller hennes klientuppgifter lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan person som har rätt att få uppgifter. Enligt 51 § 2 mom. kan en minderårig med beaktande av ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna.
I paragrafen i den föreslagna lagen föreskrivs det om de anteckningar som i en sådan situation ska göras i klienthandlingarna. Enligt 1 mom. ska i handlingen antecknas den minderåriges förbud mot att lämna ut uppgifter om ett visst klientärende till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna. Det vägande skäl som anges som grund för förbudet ska antecknas. Enligt 2 mom. ska i handlingen också antecknas motiveringen för avgörandet i det fallet att förbudsrätten för en minderårig förvägras på grund av att den minderårige klienten inte har angett sådana vägande skäl för förbudet som avses i 1 mom., eller för att det anses att det klart skulle strida mot den minderårige klientens eget intresse om uppgifterna inte lämnades ut.
Uppgifter som ska antecknas enligt handlingstyp
Klientuppgifter i anslutning till klienthändelser och beslut inom socialvården ska antecknas i klienthandlingarna enligt handlingstyp och enligt följande indelning:
- klienthandlingar i anslutning till inledandet av ett ärende och som anger kundens servicebehov (40 §)
- klienthandlingar i anslutning till bedömningen av kundens situation och servicebehov (41 §)
- klienthandlingar i anslutning till planering av service och klientrelationen (42 §)
- klienthandlingar i anslutning till socialservice och stöd (43 §)
- klienthandlingar i anslutning till beslutsfattandet (44 §).
Exempelvis är en barnskyddsanmälan och en ansökan om utkomststöd sådana handlingar för inledande av ett ärende som avses i 40 §.
41 §. Handlingar som gäller inledande av ett ärende. Bestämmelsen motsvarar innehållet i 14 § i den gällande klienthandlingslagen och i den föreslås inga andra ändringar än en precisering av paragrafens rubrik. Serviceprocessen inleds när en anställd inom socialvården får kännedom om klientens behov av service. Den som tar kontakt kan vara klienten själv, en myndighet, en förälder, en vårdnadshavare, en make eller någon annan företrädare för klienten eller en utomstående person. Kontakten kan ske per telefon, det kan vara en ansökan, en remiss, någon annan skriftlig anmälan eller ett personligt möte med någon ur personalen.
Till inledningsfasen hör att anmälan eller ansökan antecknas och att basuppgifter om klienten sammanställs. I inledningsfasen utreds orsaken till kontakten och utifrån detta inleds en utredning av klientens situation som helhet. I handlingar som gäller att inleda ett ärende och att uttrycka klientens servicebehov antecknas utöver basuppgifter alltid det behov av stöd, omsorg, vård eller annan service som den som inlett ärendet har uttryckt (1punkten), eventuella motiveringar till servicebehovet (2 punkten), vem som har inlett ärendet, om han eller hon röjer sin identitet (3 punkten) samt tidpunkten för när ärendet inleddes (4 punkten).
Bestämmelser om hur ett ärende inleds inom socialvård som ordnas av en myndighet finns i 20 § i förvaltningslagen. Ett förvaltningsärende inleds den dag när den handling som avser detta kommer in till en behörig myndighet eller när ett ärende som får inledas muntligen har framförts för myndigheten och de uppgifter som behövs för att behandlingen av ärendet ska kunna påbörjas har registrerats, det vill säga antecknats i handlingen. Myndigheten har enligt 42 § i förvaltningslagen skyldighet att anteckna de yrkanden som framförts i samband med att ärendet inleds muntligen. I barnskyddslagen och äldreomsorgslagen finns det dessutom särskilda bestämmelser om inledande av ett ärende och om behandlingen av ett ärende som inleds på basis av en anmälan.
42 §. Bedömning av servicebehovet. Bestämmelsen motsvarar innehållet i 15 § i den gällande klienthandlingslagen och i den föreslås inga ändringar utöver en precisering av paragrafens rubrik. Innan en serviceplan kan utarbetas för klienten ska klientens servicebehov utredas och bedömas. Enligt 39 § 2 mom. i socialvårdslagen ska i de klienthandlingar som gäller bedömningen av klientens servicebehov antecknas klientens bedömning och en yrkesmässig bedömning av stödbehovet (1 punkten), klientens bedömning och en yrkesmässig bedömning av den service och de åtgärder som behövs (2 punkten), en bedömning som görs av den egna kontaktpersonen eller av en annan arbetstagare som ansvarar för klientens service av den socialservice som är nödvändig med hänsyn till klientens hälsa eller utveckling och av när servicen ska börja och dess varaktighet, (3 punkten) samt klientens och arbetstagarens bedömning av klientens styrkor och resurser (5 punkten).
Enligt 8 § i klientlagen har klienten en central ställning i sin serviceprocess i den omfattning som hans eller hennes funktionsförmåga förutsätter. Enligt 1 mom. i den paragrafen ska i första hand klientens önskemål och åsikt beaktas och klientens självbestämmanderätt även i övrigt respekteras. Klienten kan dock inte alltid själv i tillräcklig utsträckning bedöma sin situation och sina behov. Detta är fallet till exempel när ett litet barn eller en person med djup utvecklingsstörning är klient inom omsorgen om utvecklingsstörda eller när en demenssjukdom hos en klient inom äldreomsorgen har framskridit långt. Med tanke på sådana situationer föreskrivs följande i 9 § i klientlagen: ”Om en myndig klient på grund av sjukdom eller nedsatt psykisk funktionsförmåga eller av någon annan motsvarande orsak inte kan delta i och påverka planeringen och genomförandet av de tjänster som tillhandahålls klienten eller de andra åtgärder som anknyter till den socialvård som ges klienten eller inte kan förstå föreslagna alternativa lösningar eller beslutens verkningar, skall klientens vilja utredas i samråd med klientens lagliga företrädare, en anhörig eller någon annan närstående.” Då ska också den lagliga företrädarens, den anhörigas eller någon annan närståendes uppfattning om klientens stödbehov antecknas.
Enligt 10 § 1 mom. i klientlagen ska en minderårig klients önskemål och åsikt utredas och beaktas på det sätt som klientens ålder och utvecklingsnivå förutsätter. Enligt 2 mom. i den paragrafen ska i alla åtgärder som vidtas inom offentlig eller privat socialvård och som gäller minderåriga i första hand den minderåriges intresse beaktas. En minderårig kan ibland också självständigt vara klient. Detta är också typiskt till exempel i kundrelationer till elevhälsans kurator.
Enligt 51 § 2 mom. i den föreslagna lagen får en minderårig med beaktande av hans eller hennes ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderåriges intresse. I dessa situationer deltar naturligtvis inte heller den lagliga företrädaren i bedömningen av situationen eller planeringen av tjänsterna.
I 2 mom. föreskrivs det om särskilda anteckningar som ska göras i utvärderingen av klientplanen. Klientens situation ska bedömas inte bara i början av klientrelationen utan också under serviceprocessen. Uppnåendet av målen i den serviceplan som utarbetats för klienten ska utvärderas systematiskt och vid behov ska en ny serviceplan utarbetas. I detta avseende föreskrivs det att i utvärderingen av en plan registreras dessutom den uppfattning som klienten samt övriga personer som har deltagit i genomförandet av planen har om hur målen i planen har uppnåtts, liksom arbetstagarens bedömning av saken.
43 §. Klientplan. Bestämmelsen motsvarar innehållet i 16 § i den gällande klienthandlingslagen och i den föreslås inga ändringar i den. Enligt 7 § i klientlagen ska när socialvård ordnas en service-, vård-, rehabiliterings- eller någon annan motsvarande plan utarbetas, om det inte är fråga om tillfällig rådgivning och handledning eller om det inte i övrigt är uppenbart onödigt att utarbeta en plan. Planen är en handling där det ställs upp mål för det arbete som gäller socialvårdsklienten samt anges på vilket sätt målen ska uppnås.
I klientplanen antecknas en sådan bedömning av klientens behov av stöd utifrån en bedömning av servicebehovet och som görs av en yrkesutbildad person inom socialvården (1 punkten), en beskrivning av den service som klienten behöver (2 punkten), i den mån det är möjligt tillsammans med klienten målen för servicen och klientrelationen och metoder för hur målen ska nås (3 punkten), och uppgifter om privatpersoner som deltar som stöd för klienten och deras uppgift (4 punkten).
I enlighet med 39 § 2 mom. i socialvårdslagen ska i klientplanen antecknas information om hur ofta klienten och den egna kontaktpersonen eller en annan arbetstagare som ansvarar för klientens service ska träffas (4 punkten) de mål som ställs upp av klienten och arbetstagaren tillsammans och som socialvården siktar på att uppnå (6 punkten). I planen antecknas dessutom enligt bestämmelsen en bedömning av klientrelationens varaktighet (7 punkten), information om samarbetspartner som deltar i att möta klientens behov och ansvarsfördelningen mellan samarbetspartnerna (8 punkten) samt information om uppföljning av planen, uppnående av målen och omprövning av behoven (9 punkten). Genom bedömningen synliggörs ändringarna i klientens situation och eventuella tidigare oidentifierade eller nya servicebehov. De planer som utarbetats för klienten ska ses över senast vid den tidpunkt som anges i planen. Huruvida målen för den klientplan som redan utarbetats har nåtts kan bedömas av alla som arbetar med klienten eller påverkar klientens ärenden. I synnerhet klientens egen och klientens närståendes bedömning av de redan erhållna tjänsternas verkningsfullhet är viktig med tanke på översynen av planen.
44 §. Klientrapport. Bestämmelsen grundar sig på innehållet i 17 § i den gällande klienthandlingslagen, dock så att punkterna om anteckningar som gäller klientrelationens början och upphörande har överförts till 37 § i den föreslagna lagen. I klientrapporten antecknas alla sådana händelser i anslutning till klienten eller klientrelationen där klientens ärende har behandlats. Klientrapporten kan bestå av flera handlingar. I klientrapporten ska beaktas skyldigheten att anteckna uppgifter enligt 17 §, enligt vilken det ska anteckna behövliga och tillräckliga uppgifter för att säkerställa ordnandet, planeringen, genomförandet, uppföljningen och övervakningen av servicen för en klient. Det finns dock inte skäl att upprepa sådant innehåll i klientrapporten som har antecknats i andra handlingar. Till exempel i fråga om upprättandet av en klientplan kan det antecknas i klientrapporten att en klientplan har upprättats, men innehållet i klientplanen behöver inte antecknas på nytt.
45 §. Beslut. Bestämmelsen motsvarar innehållet i 18 § i den gällande klienthandlingslagen och i det föreslås inga ändringar. I paragrafen hänvisas det till förvaltningslagen, där det i 44 och 45 § föreskrivs om de uppgifter som ska antecknas i en beslutshandling. Enligt 43 § i förvaltningslagen ska förvaltningsbeslut ges skriftligen. Enligt 44 § 1 mom. i förvaltningslagen ska av ett skriftligt beslut tydligt framgå följande: Enligt första punkten ska i beslutet anges den myndighet som fattat beslutet och tidpunkten för beslutet samt enligt andra punkten de parter som beslutet direkt gäller. Enligt tredje punkten ska vidare anges motiveringen för beslutet och en specificerad uppgift om vad en part är berättigad eller förpliktad till eller hur ärendet annars har avgjorts, samt enligt fjärde punkten namn och kontaktuppgifter för den person av vilken en part vid behov kan begära ytterligare uppgifter om beslutet.
I 45 § 1 mom. i förvaltningslagen föreskrivs det att ett beslut ska motiveras. I motiveringen ska det anges vilka omständigheter och utredningar som har inverkat på avgörandet och vilka bestämmelser som har tillämpats.
7 kap. Anteckningar vid sektorsövergripande samarbete
46 §. Anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller tjänster tillsammans. I paragrafen föreskrivs det om anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller social- och hälsovårdstjänster tillsammans. Enligt ordalydelsen är det fråga om att tillhandahålla en gemensam social- och hälsovårdstjänst. Vanligen är det fråga om socialservice och i samband med den tillhandahålls också hälso- och sjukvårdstjänster. Å andra sidan kan det också vara fråga om en hälso- och sjukvårdstjänst i samband med vilken det också tillhandahålls socialservice. Ofta tillhandahålls tjänsten vid samma tjänsteenhet och verksamhetsställe.
Typiska gemensamma tjänster för socialvårdens och hälso- och sjukvården är bland andra många tjänster inom missbrukarvården i öppen- och anstaltsvård, hemvård enligt socialvårdslagen, där servicen innefattar både socialvård och hälso- och sjukvård samt serviceboende med heldygnsomsorg (boende dygnet runt), där servicen innefattar vård och omsorg enligt kundens behov och andra tjänster.
I paragrafen föreskrivs att det för kunden kan göras en gemensam bedömning av servicebehovet, en gemensam kundplan och gemensamma anteckningar i kundrapporten för tjänsten i fråga samt utarbetas andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och eventuella andra handlingar ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret. Handlingarna kan således användas också vid andra serviceenheter i samband med ordnande och produktion av både socialvård och hälso- och sjukvård. Exempelvis inom hemvården ska de uppgifter som förts in i patientregistret finnas tillgängliga på sjukhuset om patienten blir intagen för sjukhusvård, och de patientuppgifter som antecknats i tjänsterna inom missbrukarvård ska finnas tillgängliga på hälsostationen om patienten söker sig till hälsostationens tjänster. På motsvarande sätt ska patientuppgifter och klientuppgifter inom socialvården inom ramen för rätten att få uppgifter också vara tillgängliga i andra tjänstetillhandahållares verksamhet. Kundrapporten ska föras in endast i klientregistret inom socialvården.
Anteckningar i kundrapporten kan göras av både yrkesutbildade personer inom socialvården och yrkesutbildade personer inom hälso- och sjukvården.
Yrkesutbildade personer inom hälso- och sjukvården ska också i fortsättningen svara för att utarbeta sådana närmare hälso- och vårdplaner eller rehabiliteringsplaner i anslutning till hälso- och sjukvård som krävs för kundens hälso- och sjukvård samt göra andra behövliga anteckningar i journalhandlingarna. De antecknas normalt i journalhandlingarna och förs in i tjänstetillhandahållarens patientregister.
Till exempel inom sådan socialservice för äldre som omfattar hälso- och sjukvårdstjänster kan det med tanke på klientens hälso- och sjukvård vara viktigt att behövliga uppgifter om en gemensamt utarbetad plan också förs in i patientregistret. När en kund övergår från socialservice till en hälso- och sjukvårdstjänst, exempelvis från serviceboende med heldygnsomsorg till en jourmottagning för hälso- och sjukvård, är det med tanke på patientsäkerheten viktigt att den information som antecknats i samband med socialservice kan användas i realtid vid hälso- och sjukvårdsenheten.
47 §. Anteckning av kunduppgifter vid samarbete mellan socialvården och hälso- och sjukvården. I paragrafen föreskrivs det om en gemensam bedömning av servicebehovet och upprättande av en kundplan när social- och hälsovårdspersonal tillhandahåller social- och hälsovårdstjänster i samarbete. Paragrafen gör det således möjligt att upprätta gemensamma handlingar även när det är fråga om samarbete mellan yrkesutbildade personer inom social- och hälsovården vid tillhandahållandet av olika social- och hälsovårdstjänster. Eftersom samarbetet dock inte är så intensivt som när en enda gemensam tjänst tillhandahålls, är de handlingar som ska utarbetas gemensamt en bedömning av servicebehovet och en kundplan. Dessutom ska det vara möjligt att upprätta andra behövliga gemensamma kundhandlingar. De förs in i såväl klientregistret inom socialvården som patientregistret i behövlig omfattning för att uppgifterna ska vara tillgängliga både inom socialvården och hälso- och sjukvården. Bestämmelser om samarbetet inom social- och hälsovården finns i 8 a § och 32 § i hälso- och sjukvårdslagen och i 2 § i socialvårdslagen. Bestämmelser om det sektorsövergripande samarbetet finns dessutom i 41 § i socialvårdslagen.
Typiska tjänster som genomförs i samarbete är bland andra det föreslagna gemenskapsboendet enligt socialvårdslagen och de hälso- och sjukvårdstjänster som eventuellt hör samman med det, boendeservice för rehabiliteringsklienter inom mentalvården och missbrukarvården enligt 21 § i socialvårdslagen, där det vid sidan av socialservicen ofta samtidigt behövs hälso- och sjukvårdstjänster, eller social rehabilitering enligt 17 § i socialvårdslagen, om den har samordnats med vård eller medicinsk rehabilitering enligt hälso- och sjukvårdslagen.
48 §. Anteckning av kunduppgifter vid samarbete mellan social- och hälsovården och andra sektorer. I paragrafen föreslås bestämmelser om anteckning av kunduppgifter i sektorsövergripande samarbete när utöver social- och hälsovården även företrädare för andra myndigheter och andra aktörer deltar i samarbetet. Sektorsövergripande samarbete bedrivs till exempel inom barnskyddet och tjänsterna för personer i yrkesverksam ålder. Bestämmelser om samarbete inom hälso- och sjukvården och om hänvisning av kunden till tjänster som andra aktörer ansvarar för finns i 30 § i hälso- och sjukvårdslagen.
I 1 mom. 1 punkten föreskrivs det om rätten för personer som deltar i sektorsövergripande kundarbete att upprätta kundhandlingar som gäller en gemensam klient och som är gemensamt tillgängliga. Det sektorsövergripande samarbete som avses i bestämmelsen kan grunda sig till exempel på situationsspecifika nätverksmöten.
De som deltar i samarbetet kan med stöd av momentet trots sekretessbestämmelserna i sin egen organisations handlingar anteckna och lagra de kunduppgifter inom social- och hälsovården som de fått tillgång till genom samarbetet, i den mån uppgifterna är nödvändiga för skötseln av en gemensam kunds ärende när det gäller skötseln av varje enskild persons egna uppgifter eller verksamheten inom den organisation som han eller hon företräder.
På motsvarande sätt kan de som deltar i det sektorsövergripande kundarbetet trots sekretessbestämmelserna föra in en gemensam kundplan för det samarbete som är nödvändigt för skötseln av kundens ärende i registret hos den organisation för vilken de har deltagit som företrädare i samarbetet.
I 2 mom. föreslås för tydlighetens skull ett informativt omnämnande enligt vilket i fråga om skyldigheten att iaktta sekretess när det gäller sådana uppgifter som avses i paragrafens 1 mom. ska bestämmelserna i 4 § 1 mom. i den föreslagna lagen och i 35 § i dataskyddslagen tillämpas, oberoende av i vilken organisations handlingar uppgifterna ingår. Dessutom föreskrivs det av informativa skäl att kunduppgifter inte får användas eller lämnas ut för andra ändamål än de för vilka uppgifterna har lagrats och att kunduppgifter får bevaras endast så länge det är nödvändigt med tanke på användningsändamålet.
8 kap. Rätt att få information och utlämnande av information.
Skötsel av ärenden för någon annans räkning och utlämnande av kunduppgifter till kundens lagliga företrädare, en nära anhörig eller någon annan närstående
49 §. Utlämnande av uppgifter till kundens lagliga företrädare eller en närstående i specialsituationer. I paragrafen föreslås bestämmelser om i vilka fall och under vilka förutsättningar en företrädare för kunden, en nära anhörig eller någon annan närstående person har rätt att få kunduppgifter.
Enligt 1 mom. har en patients lagliga företrädare eller en nära anhörig eller någon annan närstående person i de fall som avses i 6 § 2 och 3 mom. i patientlagen rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges. Bestämmelsen motsvarar 9 § 1 mom. i patientlagen. Den lagliga företrädarens rätt att få uppgifter bestäms genom annan lagstiftning som mer omfattande än vad som föreslås i detta moment, men för tydlighetens skull föreslås bestämmelser om rätten att få uppgifter i sådana särskilda situationer som avses i momentet.
Enligt 2 mom. ska en nära anhörig till patienten eller någon annan patienten närstående ha rätt att få uppgifter om patientens person och hälsotillstånd då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta. En motsvarande bestämmelse ingår för närvarande i 13 § 3 mom. 4 punkten i patientlagen.
I 3 mom. ingår motsvarande bestämmelser i fråga om socialvårdsklienter. Enligt momentet har den lagliga företrädaren eller en nära anhörig eller någon annan närstående person till en socialvårdsklient i de fall som avses i 7 § 2 mom. och i 30 § 1 mom. i barnskyddslagen rätt att få de uppgifter om klienten som behövs för att göra upp en klient-, service- eller vårdplan och i situationer som avses i 9 § 1 mom. i klientlagen utreda klientens vilja. Enligt 7 § 2 mom. i klientlagen ska planen göras upp i samförstånd med klienten samt, i de fall som avses i 9 och 10 § i den lagen, med klienten och dennes lagliga företrädare eller med klienten och en anhörig till klienten eller någon annan klienten närstående. I 9 § 1 mom. i klientlagen föreskrivs att om en myndig klient på grund av sjukdom eller nedsatt psykisk funktionsförmåga eller av någon annan motsvarande orsak inte kan delta i och påverka planeringen och genomförandet av de tjänster som tillhandahålls klienten eller de andra åtgärder som anknyter till den socialvård som ges klienten eller inte kan förstå föreslagna alternativa lösningar eller beslutens verkningar, ska klientens vilja utredas i samråd med klientens lagliga företrädare, en anhörig eller någon annan närstående.
50 §. Behandling av uppgifter för någon annans räkning. I paragrafens 1 mom. föreslås av informativa orsaker en bestämmelse om på vilka grunder en person har rätt att för någon annans räkning behandla personens kund- och välbefinnandeuppgifter i ärendehanteringstjänster. När ett ärende sköts för en annan persons räkning ska detta grunda sig på en fullmakt eller ett förordnande som intressebevakaren har gett med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). Skötsel av ärenden för andras räkning förutsätter att de nationella register som Myndigheten för digitalisering och befolkningsdata ansvarar för utvecklas målmedvetet och att strukturerade uppgifter börjar användas så att de uppgifter som förutsätts för att sköta ärenden för andras räkning fås ur registren i strukturerad form, till exempel uppgift om en intressebevakare som förordnats för hälso- och sjukvårdsärenden. En vårdnadshavare har rätt att behandla sparade uppgifter om en person som vårdnadshavaren har vårdnaden om, om inte något annat följer av 51 § i den föreslagna lagen, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983).
Bestämmelser om en minderårigs rätt att förbjuda att hans eller hennes kunduppgifter lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan person som har rätt att få uppgifterna finns i 51 §. Utöver den minderåriges förbudsrätt ska vårdnadshavaren inte heller ha rätt att behandla uppgifter om det barn som denne har vårdnaden om ifall det gäller sådana uppgifter i fråga om vilka vårdnadshavaren inte har insynsrätt eller en sådan i offentlighetslagen avsedd rätt för parten att få information. Det kan till exempel vara fråga om en situation där ett litet barn är klient inom barnskyddet och ännu inte förmår förbjuda att uppgifterna lämnas ut till barnets vårdnadshavare och där det trots detta finns en lagenlig grund för att förvägra till exempel vårdnadshavarens insynsrätt till antingen alla eller en del av uppgifterna om barnet. Då kan uppgifterna inte ens visas för kunden. Grunderna för förbudet kan dock vara olika för vårdnadshavaren och den minderårige. Inom hälso- och sjukvården kan det till exempel vara fråga om en situation där barnet berättar för skolhälsovårdaren att det själv eller en familjemedlem har misshandlats eller behandlats illa i hemmet. Barnet vet inte nödvändigtvis att föräldern kan ta del av uppgiften om besöket hos hälsovårdaren. Därför är den yrkesutbildade personen ansvarig för barnets intresse och säkerhet i alla situationer, även när barnet inte med hänsyn till utvecklingsnivån ännu förmår förbjuda insyn i sina uppgifter.
I artikel 8.1 i dataskyddsförordningen sägs att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a, det vill säga behandlingen av personuppgifter som grundar sig på samtycke, behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.
I 5 § i dataskyddslagen sägs att när personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.
Bestämmelser om vårdnadshavarens uppgifter finns i 4 § i lagen angående vårdnad om barn och umgängesrätt. Enligt 4 mom. i den paragrafen företräder vårdnadshavaren barnet i frågor som gäller barnets person, om inte något annat föreskrivs i lag.
I 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster föreskrivs det om det register över elektroniska fullmakter som Myndigheten för digitalisering och befolkningsdata förvaltar för tillhandahållandet av behörighetstjänsten. I lagen föreskrivs det också om förutsättningarna för registrering av en fullmakt eller andra viljeyttringar, om sammanföringen av innehållet i en fullmakt eller en annan viljeyttring med uppgift om avgivaren samt om säkerställandet av informationshelhetens integritet (10 §).
För tillhandahållande av behörighetstjänsten för Myndigheten för digitalisering och befolkningsdata ett register över de fullmakter som avgivits av fysiska personer och för samfunds vägnar samt övriga viljeyttringar. Viljeyttringarna ska i fråga om behörigheterna vara noggrant avgränsade och anknyta till en viss verksamhet eller händelse. Via behörighetstjänsten kan även uppgifter om fullmakter som andra myndigheter har registrerat och om andra viljeyttringar förmedlas, om den myndighet som har registrerat uppgifterna har beviljat Myndigheten för digitalisering och befolkningsdata tillstånd till detta och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som ska förmedlas via behörighetstjänsten. När det gäller de register som gäller övriga myndigheters viljeyttringar bygger personuppgiftsansvaret på bestämmelserna om dessa myndigheters verksamhet och det är fortfarande den behöriga myndigheten som bär ansvaret för personuppgifterna och registreringen av viljeyttringarna. Myndigheten för digitalisering och befolkningsdata ansvarar endast för verksamheten i den förmedlingstjänst som ingår i behörighetstjänsten.
51 §. Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren. I paragrafen föreskrivs det om en minderårig kunds rätt att förbjuda att hans eller hennes kunduppgifter lämnas ut till vårdnadshavaren eller någon annan laglig företrädare. I 1 mom. föreskrivs det om rätten för en minderårig patient inom hälso- och sjukvården att förbjuda att hans eller hennes uppgifter lämnas ut när han eller hon med hänsyn till sin ålder och utvecklingsnivå kan fatta beslut om sin vård. Bestämmelsen motsvarar gällande 9 § 2 mom. i patientlagen. Bestämmelser om en minderårigs beslutsförmåga och vård i samförstånd med den minderårige själv i stället för med vårdnadshavarna finns i 7 § i patientlagen.
I 2 mom. föreslås en motsvarande bestämmelse om förbudsrätten för en minderårig socialvårdsklient. Bestämmelsen motsvarar till sitt innehåll 11 § 3 mom. i klientlagen. En minderårig kan med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderåriges intresse. Om den lagliga företrädaren är part i ett socialvårdsärende, har den lagliga företrädaren dock en parts rätt att få uppgifter i enlighet med 11 § i offentlighetslagen.
Den yrkesutbildade person inom social- och hälsovården som antecknar kunduppgifter ska säkerställa att barnet vet och förstår att uppgifterna kan läsas av vårdnadshavaren och att barnet med hänsyn till ålder och utvecklingsnivå har rätt att förbjuda att uppgifter lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt för barnet att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren.
Inom socialvården kan till exempel intresset hos en vårdnadshavare och den minderårige som vårdnadshavaren har vårdnaden om stå i strid med varandra, och då ska tolkningen följa barnets intresse. I en sådan situation har vårdnadshavaren inte rätt att behandla barnets uppgifter om behandlingen strider mot barnets intresse. Sådana situationer kan uppstå inom socialvården, och särskilt inom barnskyddet. Vårdnadshavarens rätt att behandla uppgifter om en minderårig som vårdnadshavaren har vårdnaden om kan även begränsas genom tingsrättens beslut.
Enligt social- och hälsovårdsutskottets betänkande ShUB 18/2000 rd om förslaget till klientlag, RP 137/1999, ansågs det nödvändigt att en minderårigs förbudsrätt inom socialvården inte är lika absolut som inom hälso- och sjukvården, utan barnets bästa bör också bedömas i ärendet. Enligt utskottet bör det när en minderårig förbjuder att uppgifter om honom eller henne får lämnas ut först utredas om det finns en vägande orsak till förbudet. Dessutom är det viktigt att villkoren för förbudet utformas med hänsyn till barnets ålder och utvecklingsnivå samt till frågans natur. Det är lättare att efterleva förbudet ju äldre barnet är och ju obetydligare saken är. Om det anses att ett barn utifrån dessa kriterier har vägande skäl för att förbjuda att uppgifter lämnas ut, är nästa fråga som måste övervägas huruvida det klart strider mot barnets bästa att inte lämna ut uppgifter. Om det klart skulle strida mot den minderåriges intresse att inte lämna ut uppgifterna, får inte vårdnadshavaren eller någon annan laglig företrädare undanhållas informationen. Rätten att förbjuda att uppgifter lämnas ut måste alltid anses strida mot barnets bästa, om den förhindrar den som har hand om vårdnaden att vårda och fostra barnet på behörigt sätt. Principen att barnets bästa alltid går först måste således också följas när det utreds vilken roll barnets egen åsikt spelar. Att en minderårig med åren får större självbestämmanderätt betyder inte att de vuxna alltid måste foga sig i den minderåriges vilja.
52 §. Utlämnande av kunduppgifter efter dödsfall. I paragrafen föreskrivs det om utlämnande av kunduppgifter efter kundens död. Uppgifter om den social- eller hälsovård som en avliden person fått under sin livstid får på en motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose sina viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål. Bestämmelsen grundar sig på 13 § 3 mom. 5 punkten i den gällande patientlagen, och rätten att få uppgifter utvidgas också till klientuppgifter inom socialvården.
Enligt regeringspropositionen RP 181/1999 rd med förslag till patientlagen kan det bli aktuellt att lämna uppgifter till exempel om någon nära anhörig till den avlidne vill låta reda ut om något fel har begåtts i samband med den vård den avlidne fick före sin död eller om uppgifterna behövs för utredande av giltigheten i ett testamente som den avlidne uppgjort eller någon annan rättshandling som den avlidne utfört före sin död. Det kan också bli aktuellt att lämna uppgifter till exempel om en släkting till den avlidne vill reda ut risken att insjukna i en ärftlig sjukdom som den avlidne lidit av under sin livstid, det vill säga informationen behövs för att utreda en betydande hälsorisk till den del det enligt en medicinsk bedömning är nödvändigt. I och för sig är släktskap till den avlidne inte en förutsättning för att uppgifterna ska lämnas, även om det i praktiken i de flesta situationer där det kan bli aktuellt att lämna ut uppgifter är en nära anhörig eller annan släkting till den avlidne som behöver uppgifterna. Uppgifter får lämnas ut endast i den i den mån som är nödvändigt för att den som begär uppgifterna ska kunna utreda eller tillgodose sina rättigheter eller intressen.
Även klientuppgifter inom socialvården kan vara nödvändiga för att utreda om det i tjänsterna inträffat en försummelse eller något annat fel som kan ha inverkat på personens död.
Med stöd av paragrafen har vårdnadshavaren till ett minderårigt barn som dött rätt att få de patientuppgifter om sitt barn som vårdnadshavaren behöver för att utreda eller tillgodose sina viktiga intressen eller rättigheter. Vårdnadshavaren kan dock inte ens efter barnets död få sådana patientuppgifter som barnet under sin livstid har förbjudit att lämnas ut till vårdnadshavaren. Vårdnadshavaren har under barnets livstid rätt att få uppgifter om sitt barn för att som vårdnadshavare kunna utöva rätten till insyn på barnets vägnar och i övrigt företräda barnet och bevaka barnets intressen. Eftersom vårdnadshavaren efter barnets död inte längre företräder barnet, är också rätten att få uppgifter mer begränsad än under barnets livstid.
Rätt att få uppgifter och utlämnande av kunduppgifter inom social- och hälsovården samt till andra myndigheter
53 §. Rätt att få uppgifter mellan socialvården och hälso- och sjukvården. I paragrafen föreslås bestämmelser om rätten att få kunduppgifter mellan socialvården och hälso- och sjukvården. Enligt ordalydelsen har tillhandahållare av socialvårdstjänster och tillhandahållare av hälso- och sjukvårdstjänster rätt att få uppgifterna. Till exempel ett välfärdsområde är tjänstetillhandahållare inom både socialvård och hälso- och sjukvård, så momenten gör det möjligt att få patientuppgifter och klientuppgifter inom socialvården både i välfärdsområdets egen verksamhet mellan social- och hälsovårdstjänster och av andra tjänstetillhandahållare.
Enligt 1 mom. ska en person som deltar i tillhandahållandet av socialvårdens och hälso- och sjukvårdens gemensamma service ska ha rätt att få och använda sådana kundhandlingar som är nödvändiga för tillhandahållandet av den gemensamma tjänsten. Således har yrkesutbildade personer inom hälso- och sjukvården som deltar i tillhandahållandet av den gemensamma servicen rätt att få och använda de klientuppgifter inom socialvården som har förts in i klientregistret inom socialvården, och på motsvarande sätt har yrkesutbildade personer inom socialvården rätt att få och använda de patientuppgifter som förts in i patientregistret i den utsträckning som är nödvändigt för tillhandahållandet av den gemensamma servicen. Det är fråga om socialvårdens och hälso- och sjukvårdens gemensamma service som kan anses ha ett gemensamt användningsändamål och där nödvändig behandling av kunduppgifter måste kunna genomföras utan kundens särskilda samtycke.
I 2 och 3 mom. föreskrivs det om rätten att få uppgifter mellan social- och hälsovården med stöd av kundens tillstånd för utlämnande. Lagstiftningen utgör således behandlingsgrunden för rätten att få och behandla uppgifter. Ett tillstånd att lämna ut uppgifter ska fungera som en skyddsåtgärd med vars hjälp kunden själv kan bestämma i vilken omfattning rätten att få uppgifter tillgodoses.
I 2 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom socialvården att få patientuppgifter för ordnande och tillhandahållande av socialservice för en kund. En förutsättning för att få uppgifterna är att kunden har gett sitt tillstånd för utlämnande. I tillståndet för utlämnande ska det specificeras vilka patientuppgifter en tjänstetillhandahållare inom socialvården har rätt att få och använda för att ordna och tillhandahålla socialservicen. Med hjälp av tillståndet kan kunden till exempel bestämma vilka patientuppgifter och för vilken tidsperiod varje enskild tjänstetillhandahållare har rätt att få. I fråga om uppgifter kan tillståndet gälla till exempel alla eller vissa centrala patientuppgifter som sammanställs via informationshanteringstjänsten, såsom diagnoser, riskinformation, uppgifter om funktionsförmåga, åtgärder och fysiologiska mätningar, uppgifter om recept, rehabiliterings- och vårdplaner eller patientuppgifter inom ett visst medicinskt specialområde eller en viss medicinsk tjänst.
I 3 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom hälso- och sjukvården att få klientuppgifter inom socialvården för att ordna eller tillhandahålla en hälso- och sjukvårdstjänst för en kund. En förutsättning för att få uppgifterna är att kunden har gett sitt tillstånd för utlämnande. I tillståndet för utlämnande ska det specificeras vilka klientuppgifter inom socialvården en tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda för att ordna och tillhandahålla hälso- och sjukvårdstjänsten. Med hjälp av tillståndet kan kunden till exempel bestämma vilka klientuppgifter inom socialvården och för vilken tidsperiod varje enskild tjänstetillhandahållare inom hälso- och sjukvården har rätt att få. När det gäller uppgifter kan tillståndet gälla till exempel en klienthandling av vilken det framgår vilken socialservice kunden har fått och vilka arbetstagare som ansvarar för den eller en klientplan inom socialvården, ett beslut om socialservice eller någon annan enskild klienthandling inom socialvården.
Enligt 4 mom. får närmare bestämmelser om hur det i 2 och 3 mom. avsedda tillståndet att lämna ut uppgifter ska riktas till patientuppgifter och klientuppgifter inom socialvården utfärdas genom förordning av social- och hälsovårdsministeriet. Eftersom ett tillstånd för utlämnande enligt 2 och 3 mom. ska kunna beviljas genom specificering av de uppgifter som tillståndet gäller, ska det genom förordning föreskrivas endast tekniskt om till vilka datastrukturer tillståndet för utlämnande ska kunna riktas.
I 5 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom socialvården att få nödvändiga patientuppgifter för ordnande och tillhandahållande av socialservice för en kund i en situation där kunden inte har förmåga att bedöma betydelsen av att ge ett tillstånd för utlämnande och således inte kan fatta beslut om att ge ett tillstånd för utlämnande av uppgifter. En sådan situation kan uppstå om kunden till exempel på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett samtycke och inte heller har någon laglig företrädare. Genom bestämmelsen tryggas utlämnandet av nödvändiga patientuppgifter i synnerhet i fråga om kunder i utsatt ställning. Det kan till exempel vara fråga om medicinering, risker som ska beaktas i vården eller andra viktiga uppgifter i anslutning till kundens hälsotillstånd som ska beaktas också när socialservice tillhandahålls, till exempel inom boendeservicen. Bestämmelser om åtkomsträttigheter till nödvändiga kunduppgifter utfärdas i enlighet med 9 § genom förordning av social- och hälsovårdsministeriet. Genom förordning utfärdas således närmare bestämmelser om vilka patientuppgifter som får användas inom olika socialtjänster och arbetsuppgifter.
I 6 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom hälso- och sjukvården att få nödvändiga klientuppgifter inom socialvården för ordnande och tillhandahållande av hälso- och sjukvård för en kund i en situation där kunden inte har förmåga att bedöma betydelsen av att ge ett tillstånd för utlämnande och således inte kan fatta beslut om att ge ett tillstånd för utlämnande av uppgifter. En sådan situation kan uppstå om kunden till exempel på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett samtycke och inte heller har någon laglig företrädare. Genom bestämmelsen tryggas utlämnandet av nödvändiga klientuppgifter inom socialvården i synnerhet i fråga om kunder i utsatt ställning. Det kan till exempel vara fråga om uppgifter om funktionsförmågan eller om socialvårdstjänster som klienten får och som behövs vid planeringen av fortsatt vård. Bestämmelser om åtkomsträttigheter till nödvändiga kunduppgifter utfärdas i enlighet med 9 § genom förordning av social- och hälsovårdsministeriet. Genom förordning utfärdas således närmare bestämmelser om vilka klientuppgifter inom socialvården som får användas inom olika hälso- och sjukvårdstjänster och arbetsuppgifter.
54 §. Rätt för tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter och utlämnande av patientuppgifter för att trygga vården. I paragrafen föreskrivs det både om rätten för en tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter för ordnande och tillhandahållande av en hälso- och sjukvårdstjänst för en patient och om rätten för en tjänstetillhandahållare inom hälso- och sjukvården att i vissa situationer lämna ut nödvändiga patientuppgifter. De nuvarande bestämmelserna som grundar sig på utlämnande av uppgifter ändras således till formen rätt att få uppgifter. Bestämmelser om utlämnande blir kvar endast i situationer där tjänstetillhandahållaren lämnar ut patientuppgifter på eget initiativ eller på begäran av en utländsk verksamhetsenhet inom hälso- och sjukvård.
Bestämmelserna i paragrafen gäller rätten att få uppgifter mellan tjänstetillhandahållare, men dessutom ska enligt paragrafen också i en och samma tjänstetillhandahållares verksamhet inom primärvården, den specialiserade sjukvården och den privata hälso- och sjukvården ha rätt att få de patientuppgifter som förts in i registret inom företagshälsovården, och på motsvarande sätt ska företagshälsovården ha rätt att få de patientuppgifter som förts in i patientregistret med stöd av patientens tillstånd för utlämnande.
Det användningsändamål för vilket patientuppgifter kan fås är ordnande och produktion av hälso- och sjukvårdstjänster för patienten. Patientuppgifter kan lämnas ut också till de tjänstetillhandahållare som producerar socialtjänster i samband med vilka också hälso- och sjukvårdstjänster tillhandahålls. Sådana tjänster är till exempel hemvård, omsorgs- och boendetjänster samt institutions- och rehabiliteringstjänster inom missbrukarvården.
Enligt 1 mom. ska en tjänstetillhandahållare inom hälso- och sjukvården ha rätt att få och använda patientuppgifter för att ordna och tillhandahålla hälso- och sjukvårdstjänster för en kund. En förutsättning för att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Detta garanterar för sin del det skydd för kundens privatliv som är en grundläggande rättighet och kundens självbestämmanderätt i fråga om kunduppgifterna. Kundens tillstånd för utlämnande av uppgifter omfattar alla patientuppgifter, och tillståndets omfattning kan begränsas med hjälp av förbud. Ett tillstånd för utlämnande ska således till sin omfattning motsvara ett tillstånd för utlämnande enligt den gällande kunduppgiftslagen och det föregående omfattande samtycket i kunduppgiftslagen som gällde de riksomfattande informationssystemtjänsterna.
Momentet innehåller också en hänvisning till 13 § i receptlagen, där det föreskrivs om utlämnande av recept och andra anteckningar om läkemedelsbehandling som lagrats i receptcentret.
I 2 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom hälso- och sjukvård att få patientuppgifter utan patientens tillstånd för utlämnande i en situation där patienten saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte heller har någon laglig företrädare som skulle kunna ge tillståndet för utlämnande för patientens räkning. Det kan vara fråga om en sådan situation om patienten på grund av utvecklingsstörning, mental störning, minnessjukdom eller av någon annan motsvarande orsak inte kan bedöma betydelsen av eller besluta om ett tillstånd att lämna ut uppgifter eller om tillståndet för utlämnande inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak. Bestämmelserna motsvarar således 8 § i patientlagen där det sägs att en patient ska beredas den vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa även om patientens vilja på grund av medvetslöshet eller av någon annan orsak inte kan utredas. Har patienten tidigare på ett giltigt sätt uttryckt sin bestämda vilja i fråga om vården, får patienten dock inte ges vård som strider mot denna viljeförklaring.
Enligt 3 mom. ska rätten att få uppgifter i första hand tillgodoses via de riksomfattande informationssystemtjänsterna. Rätten att få uppgifter kan tillgodoses på något annat sätt, om det inte är möjligt att tillgodose den via de riksomfattande informationssystemtjänsterna. Tillgången till uppgifter på något annat sätt än via de riksomfattande informationssystemtjänsterna behövs till exempel i landskapet Nyland mellan välfärdsområdena, Helsingfors stad och HUS-sammanslutningen, när ansvaret för att ordna hälso- och sjukvårdstjänster till skillnad från i övriga välfärdsområden fördelas mellan flera myndigheter och i fråga om privata hälso- och sjukvårdstjänster där flera tjänstetillhandahållare är verksamma i samma lokaler och använder ett gemensamt informationssystem. När uppgifter fås är det således möjligt att utnyttja tjänstetillhandahållarnas gemensamma informationssystem.
För att rätten att få uppgifter ska tillgodoses krävs det i regel att personen förutom att bevilja tillstånd att lämna ut uppgifter också har möjlighet att förbjuda att uppgifter lämnas ut. Ett förbud förutsätter att personen känner till innehållet i handlingarna. I de riksomfattande informationssystemtjänsterna kan också föras in gamla handlingar som har upprättats innan tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. Dessa gamla handlingar har inte sådana datastrukturer som de riksomfattande informationssystemtjänsterna förutsätter och genom vilka visningen av handlingar i medborgargränssnittet styrs. Handlingarna kan innehålla till exempel uppgifter om en annan person eller andra uppgifter som inte ska visas i medborgargränssnittet, om uppgifterna utifrån en yrkesutbildad persons bedömning allvarligt kan äventyra kundens eller någon annans hälsa och säkerhet. Eftersom handlingarna inte har några strukturella uppgifter som gör det omöjligt att ta del av uppgifterna i fråga i medborgargränssnittet, kan dessa handlingar inte visas i medborgargränssnittet, och personen kan således inte heller förbjuda att uppgifterna lämnas ut via medborgargränssnittet. Således kan gamla handlingar inte lämnas ut från de riksomfattande informationssystemtjänsterna, även om kunden har gett tillstånd att lämna ut sina uppgifter.
I 4 mom. föreskrivs det om situationer där nödvändiga patientuppgifter får lämnas ut på tjänstetillhandahållarens eget initiativ eller på begäran av en utländsk verksamhetsenhet inom hälso- och sjukvården för ordnande eller tillhandahållande av hälso- och sjukvårdstjänster trots sekretessbestämmelserna och utan patientens tillstånd för utlämnande eller samtycke. Det ska vara möjligt att lämna ut uppgifter om patienten saknar förutsättningar att bedöma betydelsen av tillståndet för eller samtycket till utlämnande och inte heller har någon laglig företrädare som skulle kunna ge tillståndet eller samtycket för patientens räkning. En sådan situation kan föreligga till exempel på grund av mental störning, utvecklingsstörning eller av någon annan motsvarande orsak. Det ska vara möjligt att lämna ut uppgifter också om patienten inte kan ge sitt tillstånd till utlämnande eller samtycke på grund av medvetslöshet eller av någon annan därmed jämförbar orsak. Bestämmelsen motsvarar 13 § 3 mom. 3 punkten i patientlagen kompletterad med omnämnanden av tillstånd för utlämnande. I Finland kan utlämnande av patientuppgifter på eget initiativ utan kundens tillstånd till utlämnande komma i fråga till exempel när en patient sänds till en annan tjänstetillhandahållare, exempelvis till krävande specialiserad sjukvård.
Patientuppgifter får enligt bestämmelsen också lämnas ut till utländska tjänsteproducenter. Patientuppgifter får också lämnas ut till stater utanför EU och EES, vilket innebär att den personuppgiftsansvarige i enlighet med kapitel V i dataskyddsförordningen ska sörja för skyddsåtgärderna i samband med varje utlämnande.
55 §. Rätt för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården. I paragrafen föreskrivs det om rätten för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården för ordnande och tillhandahållande av socialservice för en socialvårdsklient. De nuvarande bestämmelserna som grundar sig på utlämnande av uppgifter ändras således till formen rätt att få uppgifter.
Enligt 1 mom. har en tjänstetillhandahållare inom socialvården rätt att få och använda klientuppgifter inom socialvården för att ordna eller tillhandahålla socialservice för en socialvårdsklient. En förutsättning för att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Detta garanterar för sin del det skydd för kundens privatliv som är en grundläggande rättighet och kundens självbestämmanderätt i fråga om sina kunduppgifter. Tillståndet av socialvårdsklienten för utlämnande av uppgifter omfattar alla klientuppgifter inom socialvården, och tillståndets omfattning kan begränsas med hjälp av förbud. Tillståndet för utlämnande motsvarar således till sin omfattning tillståndet för utlämnande enligt den gällande kunduppgiftslagen.
En yrkesutbildad persons eller tjänstetillhandahållares rätt att få uppgifter kan dock inte hindras genom ett förbud som kunden har meddelat, om den yrkesutbildade personens eller tjänstetillhandahållarens rätt att få uppgifter grundar sig på lag eller om det är fråga om ett fall som avses i 56 § 1 mom. i den föreslagna lagen enligt vilken kunduppgifter får lämnas ut utan kundens tillstånd för utlämnande eller samtycke eller i strid med kundens förbud.
I 2 mom. föreskrivs det om rätten för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården utan tillstånd för utlämnande av socialvårdsklienten i en situation där klienten saknar förutsättningar att bedöma betydelsen av tillståndet för utlämnande och inte heller har någon laglig företrädare som skulle kunna ge tillståndet för utlämnande för patientens räkning. Det kan vara fråga om en sådan situation om patienten på grund av utvecklingsstörning, mental störning, minnessjukdom eller av någon annan motsvarande orsak inte kan bedöma betydelsen av eller besluta om ett tillstånd att lämna ut uppgifter.
Enligt 3 mom. ska rätten att få uppgifter i första hand tillgodoses via de riksomfattande informationssystemtjänsterna. Rätten att få uppgifter kan tillgodoses på något annat sätt, om det inte är möjligt att tillgodose den via de riksomfattande informationssystemtjänsterna. Tillgången till uppgifter på något annat sätt än via de riksomfattande informationssystemtjänsterna behövs till exempel i landskapet Nyland mellan välfärdsområdena och Helsingfors stad, när ansvaret för att ordna socialservice till skillnad från i övriga välfärdsområden fördelas på flera myndigheter. När uppgifter fås är det således möjligt att utnyttja tjänstetillhandahållarnas gemensamma informationssystem.
För att rätten att få uppgifter ska tillgodoses krävs det i regel att personen förutom att bevilja tillstånd att lämna ut uppgifter också har möjlighet att förbjuda att uppgifter lämnas ut. Ett förbud förutsätter att personen känner till innehållet i handlingarna. I de riksomfattande informationssystemtjänsterna kan också föras in gamla handlingar som har upprättats innan tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. Dessa gamla handlingar har inte sådana datastrukturer som de riksomfattande informationssystemtjänsterna förutsätter och genom vilka visningen av handlingar i medborgargränssnittet styrs. Handlingarna kan innehålla till exempel uppgifter som inte ska visas i medborgargränssnittet, om uppgifterna utifrån en yrkesutbildad persons bedömning allvarligt kan äventyra kundens eller någon annans hälsa och säkerhet. Eftersom handlingarna inte har några strukturella uppgifter som gör det omöjligt att ta del av uppgifterna i fråga i medborgargränssnittet, kan dessa handlingar inte visas i medborgargränssnittet, och personen kan således inte heller förbjuda att uppgifterna lämnas ut via medborgargränssnittet. Således kan gamla handlingar inte lämnas ut från de riksomfattande informationssystemtjänsterna, även om kunden har gett tillstånd att lämna ut sina uppgifter.
56 §. Utlämnande av klientuppgifter inom socialvården för tryggande av vården av och omsorgen om en socialvårdsklient. I paragrafen finns bestämmelser om de situationer i vilka sekretessbelagda socialvårdsuppgifter får lämnas ut till utomstående oberoende av klientens eller dennes företrädares tillstånd för utlämnande samtycke. Det rör sig om situationer där det inte går att inhämta dessa personers åsikt eller där klienten eller dennes lagliga företrädare uttryckligen förbjuder att uppgifter lämnas ut. En situation där klientens åsikt inte kan klarläggas kan gälla att klienten på grund av utvecklingsstörning, mental störning, minnessjukdom eller av någon annan motsvarande orsak inte kan bedöma betydelsen av eller besluta om ett tillstånd att lämna ut uppgifter och klienten inte har någon laglig företrädare. Paragrafen motsvarar till sitt innehåll 17 § i klientlagen så att den rätt enligt 4 mom. i paragrafen att lämna ut uppgifter till klientens lagliga företrädare som ingår i 4 mom. flyttas till 49 § i den föreslagna lagen. Dessutom innehåller 26 § i offentlighetslagen bestämmelser om utlämnande av sekretessbelagda uppgifter när en aktör utför uppdrag för en myndighets räkning eller på uppdrag av en myndighet. Begreppen och formuleringarna har harmoniserats med den övriga lagen. Bestämmelserna ska iakttas i fråga om både offentliga och privata tjänstetillhandahållares klientuppgifter inom socialvården. Den som lämnar ut uppgifterna kan således vara en offentlig eller en privat tjänstetillhandahållare inom socialvården.
Paragrafen syftar till att trygga klientens rättsskydd också när sekretessbelagda uppgifter om klienten lämnas ut till olika aktörer. I bestämmelsen har man beaktat behovet av att lämna ut uppgifter som är nödvändiga för att tillhandahålla socialvård. Uppgifter om en klient måste lämnas ut för att utreda behovet av socialvård, hälso- och sjukvård, stödåtgärder som behövs i utbildning och undervisning, specialundervisning eller något annat motsvarande behov eller för att genomföra åtgärder i anslutning till dessa, även i strid med klientens eller klientens lagliga företrädares uttryckliga förbud. Det är motiverat att man på lagnivå så noggrant och tydligt som möjligt föreskriver om rättigheterna för den som lämnar ut uppgifter och å andra sidan om skyldigheterna att lämna ut uppgifter.
För att vården och tjänsterna ska ordnas på ett ändamålsenligt sätt samarbetar i praktiken tjänstetillhandahållarna inom socialvården sinsemellan och med tjänstetillhandahållarna inom hälso- och sjukvården, undervisningsmyndigheterna och andra myndigheter samt bland annat med sådana privata tjänsteproducenter som med stöd av ett avtal som ingåtts med klienten ordnar socialvård för klienten. I sådana situationer måste man tidvis också kunna lämna ut sekretessbelagda uppgifter även om tillstånd för utlämnande eller samtycke inte kan inhämtas. Det kan också vara fråga om att en person till exempel på grund av drogbruk eller bruk av andra berusningsmedel är oredig eller av någon annan motsvarande orsak inte de facto kan bedöma betydelsen av sitt tillstånd för utlämnande eller samtycke, och personen saknar en laglig företrädare. Uppgifter ur en sekretessbelagd handling får lämnas ut även om klienten eller dennes lagliga företrädare motsätter sig detta. Då rör det sig om utlämnande av uppgifter oberoende av klientens samtycke.
Enligt 1 mom. hindrar sekretessen inte utlämnande av nödvändiga uppgifter ur en handling för att utreda behovet av vård av, omsorg om och utbildning för klienten eller för ordnande eller genomförande av dessa eller för att förutsättningarna för försörjningen ska kunna tryggas. I momentet ingår tre olika punkter i enlighet med vilka uppgifter får lämnas ut trots skyldigheten att iaktta sekretess.
Enligt 1 punkten får uppgifter lämnas ut om den som handlingen gäller är i uppenbart behov av vård eller socialvård på grund av att hans eller hennes hälsa, utveckling eller säkerhet äventyras och det inte annars går att utreda behovet av vård eller omsorg eller att vidta hälso- eller sjukvårdsåtgärder eller socialvårdsåtgärder. Bestämmelsen kan bli tillämplig exempelvis i uppgifter inom socialjouren, när man ordnar specialomsorger om personer med utvecklingsstörning samt vid bestämmande om vård oberoende av personens vilja inom missbrukarvård. Bestämmelsen kan tillämpas när en klient eller dennes lagliga företrädare inte samtycker till att uppgifter lämnas ut, men också när deras åsikt inte kan klarläggas. Genom bestämmelsen gör man det möjligt att i de särskilda situationer som nämns i bestämmelsen garantera en nödvändig, obruten vård- och servicekedja inom socialvården också när det inte går att inhämta klientens eller dennes lagliga företrädares samtycke.
Enligt 2 punkten ska uppgifter få lämnas ut trots sekretess, om uppgiften behövs på grund av ett barns intresse. Bestämmelsen har ansetts vara nödvändig för att inte en vårdnadshavare genom att vägra samtycke ska kunna hindra att barnets bästa klarläggs och tillgodoses. Sådana situationer kan uppstå i synnerhet om en förälders och ett barns intressen går i sär, till exempel när man bedömer behovet av åtgärder inom barnskyddet eller verkställer sådana åtgärder eller utreder misstankar om incest. Inom barnskyddet och omsorgen om personer med utvecklingsstörning kan bestämmelsen bli tillämplig när myndigheterna i samarbete ska ordna ändamålsenlig vård och omsorg för ett barn. Socialmyndigheterna är också tvungna att bland annat föra samtal med skolmyndigheterna om under vilka förutsättningar och på vilket sätt barnets skolgång kan tryggas. Inom barnskyddet kan uppgifter behöva lämnas ut, i synnerhet för att man ska kunna ordna lämplig avlösarservice för ett barn.
Enligt 3 punkten får uppgifter lämnas ut om de behövs för att trygga klientens oundgängliga intressen och rättigheter och klienten själv saknar förutsättningar att bedöma sakens betydelse. Bestämmelsen kan bli tillämplig exempelvis när man i akuta situationer ska behandla frågor som gäller äldre personer med minnessjudkom eller personer med utvecklingsstörning. Om det till exempel visar sig att en äldre person eller en person med utvecklingsstörning behöver en intressebevakare för att sköta sina angelägenheter, ska den som tillhandahåller socialvård göra en i 9 § 2 mom. i klientlagen avsedd anmälan till förmyndarmyndigheterna om förordnande av intressebevakare.
I 2 mom. ingår en huvudregel om de aktörer till vilka uppgifter får lämnas ut när de villkor som anges i 1 mom. är uppfyllda. För det första ska en annan tjänstetillhandahållare inom socialvården och en person eller sammanslutning som på uppdrag av tjänstetillhandahållaren sköter uppgifter inom socialvården få ta emot uppgifter. Med en person eller sammanslutning som sköter uppgifter på uppdrag avses främst sådana tjänsteproducenter hos vilka kommunen upphandlar socialvårdstjänster som köpta tjänster. Dessutom ska uppgifter få lämnas ut till andra myndigheter. I den föreslagna bestämmelsen anges det inte närmare till vilka myndigheter uppgifter ska få lämnas ut. Kretsen av myndigheter kommer dock i praktiken att vara relativt snäv, eftersom de allmänna förutsättningarna för utlämnande av uppgifter är stränga. De myndigheter som kan komma i fråga är exempelvis tjänstetillhandahållare inom hälso- och sjukvården eller förmyndar-, skol- och polismyndigheterna. Bestämmelsen innehåller också en möjlighet att lämna ut uppgifter till utländska myndigheter till exempel i samband med samarbete som utförs som handräckning.
I 3 mom. föreskrivs det om särskilda förutsättningar under vilka uppgifter kan lämnas ut också till privata tjänstetillhandahållare inom social- och hälsovården som ordnar och producerar tjänster på basis av ett avtal som ingåtts med klienten. Utan tillstånd för utlämnande får uppgifter ur sekretessbelagda handlingar enligt förslaget lämnas ut endast när det är nödvändigt för att ge klienten omedelbar vård eller omsorg eller av någon annan orsak som kan jämställas med detta. Sådana situationer kan närmast gälla utlämnande av uppgifter som är nödvändiga med tanke på klientens liv och hälsa.
I momentet föreslås dessutom bestämmelser om utlämnande av uppgifter till andra personer eller sammanslutningar. Bestämmelsen motsvarar 17 § 4 mom. i klientlagen och det är fråga om situationer där en myndighet, det vill säga en offentlig tjänstetillhandahållare, är tvungen att lämna uppgifter. I bestämmelsen har man inte försökt specificera dessa aktörer, men eftersom villkoren för utlämnande av uppgifter är stränga blir kretsen av mottagare snäv. Det kan bli nödvändigt att i viss mån lämna ut uppgifter till exempel till en disponent eller fastighetsskötseln, när socialmyndigheten behöver få tillträde till en persons lägenhet för att klarlägga personens behov av vård i de situationer som avses i 41 § i socialvårdslagen. På motsvarande sätt kan socialmyndigheten i samband med utredningen av en i 40 § i barnskyddslagen avsedd barnskyddsanmälan vara tvungen att ge vissa uppgifter om ett barn eller en familj till exempel till grannar eller släktingar. I sådana fall ska socialarbetaren framhäva vikten av att tystnadsplikten iakttas. Tystnadsplikten gäller också dem i enlighet med den föreslagna 5 §.
57 §. Tillgodoseende av rätten att få uppgifter med hjälp av ett tekniskt gränssnitt. I paragrafen föreskrivs det om förverkligandet av den ovan beskrivna rätten att få uppgifter med hjälp av ett tekniskt gränssnitt. Enligt 1 mom. får rätten att få uppgifter enligt 53–55 § samt enligt 64 §, som beskrivs nedan, tillgodoses med hjälp av ett tekniskt gränssnitt. Förutsättningen för att få kunduppgifter elektroniskt är att vårdrelationen eller klientrelationen mellan kunden och den som framställer begäran om utlämnande säkerställts datatekniskt. Rätten att få information med hjälp av de riksomfattande informationssystemtjänsterna tillgodoses redan för närvarande med hjälp av ett tekniskt gränssnitt, även om det inte har funnits några särskilda bestämmelser om detta. Bestämmelsen gör det dessutom möjligt att lämna ut kunduppgifter genom att utnyttja tjänstetillhandahållarnas egna informationssystem och deras tekniska gränssnitt.
I 2 mom. föreslås en hänvisning till 22 § i informationshanteringslagen, där det föreskrivs om tillgodoseendet av rätten för en offentlig tjänstetillhandahållare att få uppgifter med hjälp av ett tekniskt gränssnitt. Inom social- och hälsovården kan rätten att få uppgifter inte bindas till det nödvändiga på det sätt som avses i informationshanteringslagen, eftersom behovet av nödvändiga uppgifter kan bedömas individuellt för varje kund först av den yrkesutbildade person som vårdar patienten eller tillhandahåller socialtjänsten. Dessutom ska det beaktas att trots att det är fråga om rätt att få uppgifter mellan olika myndigheter ändras inte användningsändamålet för uppgifterna jämfört med det ändamål för vilket uppgifterna ursprungligen sparades. Den föreslagna lagen innehåller särskilda bestämmelser om hur en korrekt och informationssäker behandling av kunduppgifter säkerställs, till exempel bestämmelserna om åtkomsträttigheter och informationssäkerheten för informationssystemens.
58 §. Meddelande och återkallande av tillstånd för och förbud mot utlämnande. I 1 mom. föreslås bestämmelser om allmänna villkor för tillstånd för och förbud mot att lämna ut uppgifter. Ett tillstånd för eller förbud mot utlämnande av uppgifter ska vara frivilligt meddelat. Ett tillstånd för eller förbud mot utlämnande gäller tills vidare och kan återtas av kunden. Efter ett återtagande kan ett nytt tillstånd för eller förbud mot utlämnande meddelas. I momentet föreskrivs också att en vårdnadshavare eller en annan laglig företrädare inte har rätt att förbjuda utlämnande av sitt minderåriga barns patientuppgifter i situationer som avses i 8 § i patientlagen. Enligt 8 § i patientlagen ska patienten beredas den vård som behövs för avvärjande av fara som hotar hans eller hennes liv eller hälsa även om patientens vilja på grund av medvetslöshet eller av någon annan orsak inte kan utredas. Har patienten tidigare på ett giltigt sätt uttryckt sin bestämda vilja i fråga om vården, får patienten inte ges sådan vård som strider mot denna viljeförklaring. Vårdnadshavaren ska således inte ha möjlighet att förhindra att barnets patientuppgifter lämnas ut, om det är fråga om nödvändig, brådskande vård av barnet. Bestämmelsen motsvarar i övrigt den gällande kunduppgiftslagen, men hänvisningen i den till 13 § 3 mom. 3 punkten i patientlagen byts ut mot en hänvisning till 8 § i patientlagen. Bestämmelsen i 13 § 3 mom. 3 punkten i patientlagen gäller situationer där en person på grund av medvetslöshet eller av någon annan motsvarande orsak inte kan fatta beslut om att ge sitt samtycke.
Enligt 2 mom. ska ett tillstånd för eller förbud mot utlämnande som gäller riksomfattande informationssystemtjänster grunda sig på tillräcklig information som ges i ett förfarande enligt 68 §. Innan ett tillstånd för eller förbud mot utlämnande meddelas ska kunden informeras om de riksomfattande informationssystemtjänsterna, om tillståndet eller förbudet påverkar sådana utlämnanden av uppgifter som görs via de riksomfattande informationssystemtjänsterna. När det är fråga om rätten att få information mellan tjänstetillhandahållare gäller tillståndet för och förbudet mot att lämna ut uppgifter både den rätt att få information som förverkligas med hjälp av de riksomfattande informationssystemtjänsterna och den rätt att få information som förverkligas på något annat sätt. Endast när det är fråga om rätt att få sådana uppgifter mellan social- och hälsovården som gäller endast en tjänstetillhandahållare och som kan genomföras med hjälp av tjänstetillhandahållarens egna informationssystemtjänster, ska tillståndet att lämna ut uppgifter inte gälla riksomfattande informationssystemtjänster.
Ett tillstånd eller ett förbud som gäller riksomfattande informationssystemtjänster kan enligt 2 mom. meddelas till vilken tjänstetillhandahållare som helst som har anslutit sig till en riksomfattande informationssystemtjänst. Tjänstetillhandahållaren ska sända uppgifterna till viljeyttringstjänsten så snabbt som det rimligen är möjligt. Efter att uppgiften har sänts till viljeyttringstjänsten beaktas den automatiskt i informationssystemen. Tillstånd och förbud som gäller riksomfattande informationssystemtjänster kan också meddelas via ett medborgargränssnitt. Då registreras informationen omedelbart i den viljeyttringstjänst som föreslås i 72 §.
Tillstånd för och förbud mot utlämnande kan meddelas och registreras i viljeyttringstjänsten när som helst. Detta är viktigt bland annat för att en person ska ha möjlighet att vid behov göra det möjligt att lämna ut sina uppgifter, att skydda dem eller att återta sitt förbud till exempel på en läkarmottagning, så att de tjänster som kunden behöver kan säkerställas i alla situationer och så att kunden har en möjlighet att skydda sin integritet. Enligt 3 mom. ska på kundens begäran den som tar emot tillståndet eller förbudet på begäran ge kunden en utskrift av kundens tillståndshandling eller förbudshandling. Vid behov ska uppgifterna ges i någon annan tillgänglig form. Om tillståndet för eller förbudet mot utlämnande meddelas av en laglig företrädare på kundens vägnar, har denne motsvarande rätt att på begäran få en utskrift eller motsvarande.
För att alla de som meddelar ett tillstånd för eller ett förbud mot utlämnande ska få adekvat och enhetlig information om betydelsen av tillståndet eller förbudet, föreslås det i 4 mom. dessutom att Folkpensionsanstalten ska utarbeta modeller för tillståndshandlingen och förbudshandlingen. Av förbudshandlingen ska det bland annat framgå att de uppgifter som omfattas av kundens förbud inte får lämnas ut till någon annan tjänstetillhandahållare och att förbudet även gäller i de fall de förbjudna uppgifterna är relevanta med tanke på vården eller omsorgen av kunden, om inte något annat följer av annan lagstiftning. Dessutom ska det framgå när uppgifterna kan lämnas ut trots ett förbud. Eftersom återtagande av tillstånd för och förbud mot utlämnande av kunduppgifter omfattas av samma bestämmelser som meddelandet av dem, ska även detta framgå av Folkpensionsanstaltens dokumentmallar.
I 5 mom. preciseras att på återkallande av tillstånd för och förbud mot utlämnande tillämpas samma regler som på meddelande av förbud. Därmed kan ett återkallande meddelas till vilken tjänstetillhandahållare inom social- eller hälsovården som helst eller meddelas via ett medborgargränssnitt. Informationen om återkallandet ska utan dröjsmål sändas till viljeyttringstjänsten.
59 §. Inriktning av förbuden. I paragrafen föreslås bestämmelser om i fråga om vilka helheter av patientuppgifter eller klientuppgifter inom socialvården en kund kan rikta förbud mot utlämnande av kunduppgifter.
Förbudsrätten som en skyddsåtgärd enligt dataskyddsförordningen tillämpas på patientuppgifter inom hälso- och sjukvården. Grunden för rätten att förbjuda användningen av klientuppgifter inom socialvården är artikel 86 i dataskyddsförordningen enligt vilken personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av.
Enligt 1 mom. kan ett förbud som en socialvårdsklient meddelar mot att lämna ut sina klientuppgifter inom socialvården gälla en serviceanordnare inom socialvården, det vill säga alla klienthandlingar inom socialvården som serviceanordnaren i fråga är personuppgiftsansvarig för, ett serviceuppdrag eller enskilda klienthandlingar inom socialvården. Eftersom en tjänstetillhandahållare som agerar i egenskap av serviceanordnare har personuppgiftsansvaret och de tjänstetillhandahållare som agerar för serviceanordnarens räkning inte betraktas som utomstående med stöd av 4 §, gäller det förbud som är specifikt för serviceanordnaren i praktiken den personuppgiftsansvarige.
Inom socialvården kan klienten rikta förbudet också till en viss serviceuppgift eller enskild handling inom socialvården. Med serviceuppgift inom socialvården avses en serviceuppgift enligt 37 § 2 mom. i den föreslagna lagen.
Enligt 2 mom. kan ett förbud om utlämnande av patientuppgifter som en patient meddelar gälla patientens alla patientuppgifter, en serviceanordnare inom offentlig hälso- och sjukvård och dess register samt ett register eller en servicehändelse inom privat företagshälsovård. Ett förbud som gäller en serviceanordnare gäller alla journalhandlingar som omfattas av serviceanordnarens personuppgiftsansvar, det vill säga journalhandlingarna både i patientregistret och i företagshälsovårdens register. Eftersom en tjänstetillhandahållare som agerar i egenskap av serviceanordnare har personuppgiftsansvaret och de tjänstetillhandahållare som agerar för serviceanordnarens räkning inte betraktas som utomstående med stöd av 4 §, gäller det förbud som är specifikt för serviceanordnaren i praktiken den personuppgiftsansvarige. Förbudet kan dessutom gälla antingen en offentlig serviceanordnares patientregister eller register inom företagshälsovården. Inom hälso- och sjukvården kan förbudet också gälla en servicehändelse. Med servicehändelse avses en kundkontakt, ett kundbesök eller en vårdperiod inom hälso- och sjukvården.
Inom den privata social- och hälsovården kan förbudet inte gälla ett patientregister eller en personuppgiftsansvarig. Den företagsverksamhet som bedrivs av de privata tjänstetillhandahållarna kan vara mångfacetterad och det kan därför vara svårt för kunden att förstå vilken instans som är tjänstetillhandahållaren och den personuppgiftsansvarige och till vilken personuppgiftsansvarig förbudet ska riktas. Till exempel en läkarstation kan ha flera självständiga yrkesutövare och företag, och kunden har inte alltid klart för sig när det är fråga om en verksamhet som bedrivs för läkarstationens egen räkning och när verksamheten bedrivs av en annan tjänstetillhandahållare.
I 3 mom. ingår en hänvisning till 13 § i receptlagen, där det föreskrivs om inriktandet av förbud för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret.
60 §. Gränsöverskridande informationsutbyte. I paragrafen föreskrivs det om utlämnande av patientuppgifter till utlandet med hjälp av riksomfattande informationssystemtjänster. I 1 mom. föreskrivs det om utlämnande av centrala patientuppgifter som ingår i en informationshanteringstjänst till utländska producenter av hälso- och sjukvårdstjänster via de riksomfattande informationssystemtjänsterna. Uppgifter får lämnas ut med patientens samtycke för ordnande och tillhandahållande av hälso- och sjukvård enligt artikel 14 i patientrörlighetsdirektivet. Enligt 2 mom. är Folkpensionsanstalten nationell kontaktpunkt i Finland mellan de riksomfattande informationssystemtjänsterna och den nationella kontaktpunkten i utlandet. Eftersom det är fråga om hälso- och sjukvårdstjänster i anslutning till patientrörlighetsdirektivet, får patientuppgifter med stöd av bestämmelsen lämnas ut till EU- och EES-länder. För lämnandet av uppgifter ska Folkpensionsanstalten av patientuppgifterna i informationshanteringstjänsten sammanställa ett patientsammandrag i enlighet med definitionen i EU:s nätverk för e-hälsa, det vill säga eHealth Network (eHN).
61 §. Rätt att få uppgifter för klinisk prövning av läkemedel och medicinsk forskning. Paragrafen innehåller bestämmelser om rätten att få uppgifter av tjänstetillhandahållare och att använda dem för klinisk prövning av läkemedel och medicinsk forskning. Social- och hälsovårdsutskottet har i sitt betänkande ShUB 22/2021 rd konstaterat att det finns behov av att reglera behandlingen av patientuppgifter vid klinisk prövning av läkemedel eller annan medicinsk interventionsforskning, när försökspersonen har gett sitt samtycke till att delta i forskningsprojektet eller när det är fråga om så kallad forskning i nödsituationer. När det är fråga om grunderna för rätten att av tjänstetillhandahållaren få och använda patientuppgifter för forskning, föreslås det att bestämmelserna i lagen om klinisk prövning av läkemedel (983/2021), nedan prövningslagen, och lagen om medicinsk forskning (488/1999), nedan forskningslagen ska överföras till den föreslagna lagen.
Enligt Europaparlamentets och rådets förordning (EU) 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, nedan prövningsförordningen, ska innehållet i prövningspärmen arkiveras i minst 25 år efter den avslutad prövning, såvida inte en längre arkiveringsperiod följer av någon annan lagstiftning. Detta förutsätter tillgång också till de ursprungliga journalhandlingarna under motsvarande tid.
Enligt 1 mom. har uppdragsgivaren, dennes företrädare, forskare och medlemmar i en forskningsgrupp samt företrädare för den myndighet som övervakar prövningen eller den myndighet som beviljar försäljningstillstånd på basis av prövningen trots sekretessbestämmelserna och trots bestämmelserna i lagen om sekundär användning rätt att av tjänstetillhandahållaren få och behandla patientuppgifter för genomförande av klinisk prövning av läkemedel och medicinsk forskning och för fullgörande av en lagstadgad förpliktelse som hänför sig till prövningen eller forskningen, om tillgången till och behandlingen av uppgifterna är nödvändig för fullgörande av en uppgift eller förpliktelse för uppdragsgivaren, dennes företrädare, forskare eller medlem i en forskningsgrupp som hänför sig till prövningen eller forskningen.
Enligt 2 mom. förutsätter tillgången till uppgifter vid klinisk prövning av läkemedel ett positivt beslut om klinisk prövning av läkemedel i enlighet med 11 § i prövningslagen och vid medicinsk forskning ett positivt skriftligt utlåtande av en kommitté för medicinsk forskningsetik i enlighet med 3 § i forskningslagen.
En förutsättning för att få patientuppgifter är att den som undersöks eller personens lagliga företrädare har gett sitt samtycke till att delta i undersökningen i enlighet med prövningsförordningen, prövningslagen och 5 a, 6, 7, 7 a och 8 § samt 10 b § (forskning som genomförs i kluster) i forskningslagen. Om forskningen är en sådan klinisk prövning i en nödsituation som avses i artikel 35 i prövningsförordningen eller i 10 a § i forskningslagen, föreligger rätt att få och behandla patientuppgifter, om de förutsättningar för forskningen som anges i de bestämmelserna uppfylls. I de nämnda bestämmelserna föreskrivs det dessutom om rätten att förbjuda att uppgifter från forskningen används för forskning.
När social- och hälsovårdsutskottet i samband med behandlingen av regeringens proposition RP 18/2020 rd till prövningslagen och forskningslagen fogade de bestämmelser om utlämnande och behandling av patientuppgifter som nu föreslås bli flyttade till denna paragraf, konstaterade utskottet att det i helheten av utlämnande av uppgifter som hänför sig till forskning finns omständigheter som kräver fortsatt beredning, såsom frågan om hur uppgifterna i patientregistret ska behandlas för att kartlägga försökspersonerna innan samtycke ges. Syftet med dessa bestämmelser som nu föreslås bli överförda till kunduppgiftslagen var inte att på ett uteslutande sätt föreskriva att behandling av uppgifter som kräver fortsatt beredning inte är möjlig.
62 §. Anmälan av uppgifter om en kund till polisen för bedömning av ett hot eller förhindrande av en hotande gärning. Paragrafen innehåller bestämmelserna i 13 § 5 mom. i patientlagen och 18 § 3 mom. i klientlagen om utlämnande av kunduppgifter till polisen, inbegripet skyddspolisen, för bedömning av ett hot och förhindrande av en hotande gärning. Enligt paragrafen har tjänstetillhandahållaren eller den som utför tjänstetillhandahållarens uppgifter rätt att till polisen anmäla uppgifter som är nödvändiga för bedömningen av ett hot mot liv eller hälsa eller för förhindrande av en hotande gärning, om han eller hon vid fullgörandet av de uppgifter som anges i den föreslagna lagen har fått kännedom om omständigheter som ger skäl att misstänka att någon löper risk att bli utsatt för våld. Bestämmelsen gör det möjligt att på eget initiativ lämna ut information som gäller skydd av liv och hälsa redan för att en hotbedömning ska kunna göras. En yrkesutbildad person inom social- och hälsovården eller någon annan som arbetar för en tjänstetillhandahållares räkning inom hälso- och sjukvården eller utför tjänstetillhandahållarens uppgifter kan via sina uppgifter få information som i vissa fall kan behövas för en hotbedömning. Andra bestämmelser om utlämnande av kunduppgifter till polisen finns till exempel i polislagen. Polisens övriga rätt att få upplysningar gäller till exempel körrätt och skjutvapentillstånd.
63 §. Utlämnande av klientuppgifter inom socialvården i vissa andra situationer. Bestämmelsen motsvarar till sitt innehåll 18 § i klientlagen, med undantag för utlämnande av uppgifter till polisen, som ingår i 62 § i den föreslagna lagen. Den gäller situationer där det är nödvändigt att avvika från tystnadsplikten av andra orsaker än för att trygga klientens vård och omsorg. En tjänstetillhandahållare inom socialvården får lämna ut uppgifter ur en sekretessbelagd handling dels i fall där det inte är möjligt att begära samtycke av klienten eller klienten inte kan ge ett giltigt samtycke, dels i fall där klienten eller dennes lagliga företrädare uttryckligen förbjuder att uppgifter lämnas ut.
Bestämmelserna i 1–3 mom. gäller klientuppgifter hos både offentliga och privata tjänstetillhandahållare av socialvård. Däremot ska 4 mom. endast gälla i det fall att en tjänstetillhandahållare i uppgifter inom den offentliga socialvården, det vill säga socialmyndigheten, måste lämnar ut uppgifter ur en sekretessbelagd handling för att kunna sköta sitt uppdrag.
I 1 mom. regleras två olika slags situationer. Den inledande delen av momentet gör det möjligt att göra undantag från bestämmelserna om handlingssekretess och från bestämmelserna om vittnesförbud i 17 kap. 23 § 1 mom. i rättegångsbalken i ett ärende som tjänstetillhandahållaren själv har lagstadgad rätt att inleda vid en domstol eller vid en annan myndighet i Finland eller utomlands. Dessutom ska bestämmelsen gälla situationer där en tjänstetillhandahållare inom socialvården har rätt eller skyldighet att delta i behandlingen eller verkställandet av ett anhängigt ärende vid en domstol eller hos en myndighet genom att ge ett utlåtande, en utredning eller handräckning eller på något annat motsvarande sätt. Sådana bestämmelser finns bland annat i 16 § i lagen angående vårdnad om barn och umgängesrätt, i 12, 25 och 32 § i lagen om verkställighet av beslut beträffande vårdnad om barn och umgängesrätt (619/1996), 72 och 91 § i lagen om förmyndarverksamhet (442/1999) och i 22 § i lagen om utkomststöd (1412/1997). I de situationer som avses i bestämmelsen ska man kunna göra undantag från sekretessbestämmelserna endast om det är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse.
Den senare delen av 1 mom. ska gälla situationer där en tjänstetillhandahållare inom socialvården i samband med sin verksamhet får information utifrån vilken den har grundad anledning att misstänka att klienten missbrukar en förmån som en annan myndighet eller inrättning har beviljat. I sådana fall ska misstanken kunna delges den myndighet eller inrättning som verkställer förmånen i fråga.
I 2 mom. anges de förutsättningar under vilka en tjänstetillhandahållare inom socialvården eller en anställd hos tjänstetillhandahållaren på begäran ska vara skyldig att lämna ut uppgifter ur en sekretessbelagd handling till polisen, en åklagarmyndighet eller en domstol. En förutsättning är att det finns misstanke om ett brott för vilket underlåtenhet att anmäla är straffbar enligt 15 kap. 10 § i strafflagen eller ett brott för vilket det föreskrivna maximistraffet är fängelse i minst fyra år. I dessa situationer åsidosätts sekretessen och det uppkommer alltid rätt för polisen, åklagaren och domstolen att på motsvarande sätt få uppgifter också ur en handling som är sekretessbelagd.
Enligt 3 mom. ska en tjänstetillhandahållare inom socialvården under de förutsättningar som anges i momentet få röja sekretessbelagda uppgifter i en handling till polisen, åklagaren och domstolen också vid misstanke om ett brott som är mindre grovt än det brott som avses i 2 mom. Det kan till exempel röra sig om en misstanke om sexuellt utnyttjande eller misshandel av ett barn eller en person med utvecklingsstörning, för vilka brott det föreskrivna maximistraffet är fängelse i mindre än fyra år. För att uppgifter ska få röjas är villkoret dock alltid att tjänstetillhandahållaren inom socialvården själv bedömer att det är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse. I dessa fall ska emellertid inte polisen, åklagaren eller domstolen kunna kräva att uppgifter som ingår i en sekretessbelagd handling röjs.
Bland klienterna inom socialvården kan till gamla föräldrar som misshandlas av sina vuxna barn samt makar eller sambor som utsätts för illabehandling i familjen, personer med utvecklingsstörning samt barn bli offer för sådana brott eller hot om brott som de på grund av sin underordnade ställning eller brist på mod eller funktionsförmåga inte själva kan skydda sig mot. Därför har det för socialmyndigheterna bland annat föreskrivits rätt att på tjänstens vägnar inleda ett ärende som gäller besöksförbud.
Det finns straffbara gärningar som, även om de ur offrets synvinkel innebär ett hot som upplevs som allvarligt eller har långtgående konsekvenser, inte alltid uppfyller de stränga förutsättningarna i 2 mom. Därför är det nödvändigt att föreskriva att tjänstetillhandahållare inom socialvården i sådana situationer för att skydda klienten har rätt att ge polisen och domstolen uppgifter också när förutsättningarna enligt 2 mom. inte uppfylls. Villkoret ska emellertid då vara att utlämnandet av uppgiften är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse.
Det är tjänstetillhandahållaren inom socialvården, inte polisen eller domstolen, som har rätt att bedöma huruvida det är nödvändigt att lämna ut uppgifter. Bestämmelsen ger således endast en möjlighet att agera, den innebär ingen skyldighet att lämna uppgifter som kan äventyra tjänstetillhandahållarens möjlighet att stödja klienten.
Det är fråga om en intresseavvägning som anmärkningsvärt ofta behövs när man bedömer om en individs viktiga grundläggande och mänskliga rättigheter bör skyddas också vid äventyr av att man samtidigt blir tvungen att bryta mot någon annan grundläggande eller mänsklig rättighet. För att trygga ett viktigare skyddsobjekt är det ibland nödvändigt och samtidigt berättigat att kränka ett mindre viktigt skyddsobjekt. Också i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna förutsätts att myndigheterna inte bara avstår från att i sin egen verksamhet kränka de mänskliga rättigheterna utan också att myndigheterna aktivt skyddar de mänskliga rättigheterna som tryggats för medborgarna genom att ingripa i kränkningar av de mänskliga rättigheterna som genomförs av enskilda eller andra aktörer inom deras jurisdiktion.
Bestämmelsens ordalydelse motsvarar 8 § 4 mom. i lagen om verkställighet av beslut beträffande vårdnad om barn och umgängesrätt. De som omfattas av tystnadsplikt har redan tidigare med stöd av momentet haft skyldighet att för domstolen röja också sådana sekretessbelagda uppgifter som har varit nödvändiga vid en rättegång som gäller verkställigheten. Med tanke på integritetsskyddet ska domstolen enligt samma moment då på tjänstens vägnar se till att ärendet när det gäller sekretessbelagda uppgifter behandlas inom stängda dörrar och att handlingarna sekretessbeläggs.
Bestämmelserna i 2 och 3 mom. innefattar också rätten att på eget initiativ och under de förutsättningar som anges i momenten anmäla en misstanke om brott till polisen. Vid bedömningen av barnets bästa bör man i synnerhet i fall av sexuellt utnyttjande beakta möjligheten att samma utnyttjare inom sin inflytelsesfär kan utsätta också andra barn för gärningen än det barn för vilket misstanken om utnyttjande har uppstått.
I 4 mom. föreskrivs om rätten för en offentlig tjänstetillhandahållare inom socialvården, det vill säga socialmyndigheten, att lämna ut uppgifter ur sekretessbelagda kunduppgifter, om det är nödvändigt för kontroll av uppgifter som är av väsentlig betydelse för att socialmyndigheten ska kunna sköta sin lagstadgade uppgift i situationer där tjänstetillhandahållaren själv har rätt att få uppgifter. I momentet ges en offentlig tjänstetillhandahållare inom socialvården rätt att lämna ut sekretessbelagda uppgifter i mycket begränsad utsträckning, det vill säga endast i den mån det är nödvändigt för att kontrollera väsentliga uppgifter, exempelvis av aktörer som är skyldiga att lämna ut sekretessbelagda uppgifter i enlighet med 64 § i den föreslagna lagen. Det kan också vara fråga om kontroll av sådana uppgifter som inte i sig är sekretessbelagda. Exempel på sådana situationer är till exempel när det är nödvändigt att för bestämmande av förmånens storlek kontrollera om den som ansöker om utkomststöd bor ensam eller tillsammans med andra personer. Bestämmelsen är nödvändig eftersom tjänstetillhandahållare inom socialvården inte ens kan begära några som helst uppgifter om en klient utan att i någon mån avslöja uppgifter om klienten, eftersom redan uppgiften om att en person är klient inom socialvården är sekretessbelagd.
Tjänstetillhandahållarens rätt att få sekretessbelagda uppgifter
64 §. Offentliga tjänstetillhandahållares rätt att få uppgifter. I paragrafen föreskrivs det om rätten för en offentlig tjänstetillhandahållare inom social- och hälsovård att få uppgifter och utredningar av andra myndigheter och aktörer som i väsentlig grad inverkar på en kundrelation inom social- och hälsovården. Rätten att få uppgifter enligt 1 och 2 mom. gäller tjänstetillhandahållare inom socialvården, och rätten att få uppgifter enligt 3 mom. gäller dessutom tjänstetillhandahållare inom hälso- och sjukvården. I fråga om rätten för en tjänstetillhandahållare inom socialvården att få uppgifter baserar sig bestämmelserna på 20 § i klientlagen. Enligt 1 mom. har en offentlig tjänstetillhandahållare inom socialvården trots sekretessbestämmelserna rätt att av tjänstetillhandahållare inom social- och hälsovården samt av yrkesutbildade personer inom hälso- och sjukvården, statliga och kommunala myndigheter samt andra offentligrättsliga samfund, Folkpensionsanstalten, Pensionsskyddscentralen, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter och utbildningsanordnare på begäran avgiftsfritt få sådana uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för tjänstetillhandahållaren på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra åtgärder i anslutning till den samt för att kontrollera uppgifter som lämnats till tjänstetillhandahållaren. Eftersom det är fråga om uppgifter som i lagen föreskrivs för tjänstetillhandahållare, gäller bestämmelsen offentliga tjänstetillhandahållare inom socialvården, som i egenskap av myndighet har ålagts uppgifterna i fråga.
Enligt 2 mom. gäller den rätt att lämna uppgifter som avses i 1 mom. också penninginstitut, om en offentlig tjänstetillhandahållare inom socialvården inte får tillräckliga uppgifter och utredningar av dem som nämns i 1 mom. och om det finns grundad anledning att misstänka att de uppgifter som klienten eller dennes lagliga företrädare har lämnat är otillräckliga eller otillförlitliga. Begäran ska framställas skriftligen till penninginstitutet. En tjänsteinnehavare inom socialvården som tillförordnats av en behörig myndighet som ansvarar för ordnandet av socialvård ska vara berättigad att fatta beslutet om att begäran ska framställas. Innan begäran framställs till penninginstitutet ska klienten underrättas om den.
I 3 mom. föreskrivs att en offentlig tjänstetillhandahållare inom social- och hälsovården har rätt att på begäran avgiftsfritt av skattemyndigheten och Folkpensionsanstalten få sekretessbelagda personuppgifter oberoende av kundens samtycke för fastställande av avgift och kontroll av uppgifter. Tjänstetillhandahållaren ska på förhand underrätta kunden om att uppgifter begärs. Hälso- och sjukvården ska ha motsvarande rätt att få uppgifter som en socialmyndighet, eftersom det också inom hälso- och sjukvården behövs uppgifter för fastställande och justering av avgifter när det gäller inkomstbaserade avgifter. Bland andra är avgifterna för långvarig institutionsvård inkomstbaserade.
AVDELNING II. Informationssystem inom social- och hälsovården
9 kap. Riksomfattande informationssystemtjänster
65 §. De riksomfattande informationssystemtjänsterna inom social- och hälsovården. I paragrafen föreskrivs det om de informationssystemtjänster som ska skötas centraliserat på riksnivå och som innefattar elektronisk behandling av kunduppgifter. Det föreskrivs dessutom om de instanser som ansvarar för skötseln av dessa tjänster. Till sitt innehåll motsvarar paragrafen innehållet i den gällande kunduppgiftslagen med undantag för det begrepp som används för informationsresursen för kunduppgifter.
Med skötsel av riksomfattande informationssystemtjänster avses alla sådana åtgärder som behövs för att verkställa dessa tjänster så att man genom tjänsterna i fråga kan genomföra det elektroniska bevarandet, användningen och utlämnandet av kunduppgifter på det sätt som avses i denna lag. De riksomfattande informationssystemtjänsterna är således en del av helheten av social- och hälsovårdstjänsterna.
I egenskap av personuppgiftsbiträde är det enligt 1 mom. 1 punkten Folkpensionsanstalten som har skött och som fortfarande för tjänstetillhandahållarnas räkning ska sköta den informationsresurs för kunduppgifter där kundhandlingar bevaras och används och för vilken begreppet arkiveringstjänst tidigare använts (1 punkten). De kundhandlingar som ska bevaras i informationsresursen för kunduppgifter är således inte Folkpensionsanstaltens register eller handlingar. I informationsresursen för kunduppgifter bevaras uppgifter för att ordna och tillhandahålla social- och hälsovårdstjänster, inte för arkivändamål av allmänt intresse. I informationsresursen för kunduppgifter ska ingå alla behövliga lagrings-, registrerings- och informationsförmedlingstjänster och övriga datatekniska lösningar och uppgifter med vilka bevarandet, användningen och överlåtelsen av kundhandlingar kan utföras elektroniskt.
Folkpensionsanstalten ska också sköta förvaringstjänsten för loggregister (2 punkten). I förvaringstjänsten för loggregister registreras utlämningslogguppgifter och användningsloggarna gällande de riksomfattande informationssystemtjänsterna. I den kan även registreras de användningsloggar om användningen av klient- och patientuppgifter som skapas i tjänstetillhandahållarnas verksamhet.
Till de riksomfattande informationssystemtjänsterna hör också det gränssnitt som är avsett för professionell behandling av elektroniska recept, det vill säga den så kallade Kelaintjänsten (3 punkten) och medborgargränssnittet, det vill säga Mina Kanta-sidorna (4 punkten). Med hjälp av gränssnittet för professionellt bruk kan läkare skriva ut recept elektroniskt när de utövar sitt yrke som självständiga yrkesutövare utan att vara tjänstetillhandahållare. Med hjälp av medborgargränssnittet kan en person se de kunduppgifter samt uppgifter om välbefinnande som gäller honom eller henne själv eller den som han eller hon har vårdnaden om. Att sköta ärenden för någon annans räkning ska förutom på basis av vårdnaden även vara möjligt på basis av fullmakt. En fullmakt gör det möjligt att sköta ärenden för en person som uppnått myndighetsåldern, och dessutom kan vårdnadshavare befullmäktiga en person att sköta ärenden för sitt minderåriga barns räkning till exempel i situationer där en spärrmarkering eller ett avtal om delad vårdnad utgör ett hinder för att sköta ärenden för barnets räkning. Ett hinder för att sköta ärenden för annans räkning kan i situationer med delad vårdnad bero på att uppgifterna om vårdnadshavarnas uppgiftsfördelning inte är i maskinläsbar form. Via gränssnittet kan man även ge sitt tillstånd för, samtycke till och meddela förbud mot utlämnande av uppgifter samt sköta ärenden med tjänstetillhandahållare inom social- och hälsovården. Det ska också vara möjligt att läsa och hantera uppgifterna om välbefinnande genom medborgargränssnittet.
En del av de riksomfattande informationssystemtjänsterna är informationsresursen för egna uppgifter (5 punkten). Informationsresursen för egna uppgifter är en informationsresurs där en person kan skapa och förvalta sina egna uppgifter med hjälp av välbefinnandeapplikationer. Till produktionsmiljön för informationsresursen för egna uppgifter kan anslutas sådana välbefinnandeapplikationer som är certifierade. För informationsresursen för egna uppgifter ska det fastställas en nationell informationsmodell i vilken applikationsutvecklarna kan ge förslag till utökningar som ska godkännas i enlighet med processen för godkännande av en informationsmodell. Välbefinnandeapplikationerna i informationsresursen för egna uppgifter kan genomföras på många olika sätt. De kan vara webbaserade applikationer eller mobilapplikationer. Alla de välbefinnandeapplikationer som kopplas till de riksomfattande informationssystemtjänsterna ska samlas i en så kallad applikationskatalog som ska förvaltas av Folkpensionsanstalten och vars uppgift är att informera människorna om vilka applikationer som de kan ta i bruk. Applikationerna kan användas i den egna mobilen eller via webbläsaren som en nättjänst. Välbefinnandeapplikationerna ska certifieras på det sätt som föreskrivs särskilt om dem.
Till de riksomfattande informationssystemtjänsterna hör dessutom en informationshanteringstjänst (6 punkten), en viljeyttringstjänst (7 punkten), ett receptcenter (8 punkten), en läkemedelsdatabas (9 punkten) och en informationsförmedlings- och förfrågningsservice (10 punkten).
Med hjälp av informationshanteringstjänsten sammanställs de viktiga patientuppgifterna i journalhandlingarna så att de kan presenteras för yrkesutbildade personer som sammandrag. I viljeyttringstjänsten ska i enlighet med vad som särskilt föreskrivs i annan lagstiftning föras in sådana tillstånd för, samtycke till och förbud mot utlämnande samt informationshandlingar som gäller sådana kundhandlingar som lämnas ut via de riksomfattande informationssystemtjänsterna, viljeyttringar som hänför sig till vården av patienten samt andra viljeyttringar som hänför sig till tjänster inom social- och hälsovården.
Uppgifter om kundens recept ska lagras centraliserat i receptcentret. Läkemedelsdatabasen utnyttjas vid hanteringen av uppgifter om läkemedel, till exempel för att säkerställa att de uppgifter som förs in i recepthandlingarna är enhetliga. I läkemedelsdatabasen behandlas inte personuppgifter, utan endast uppgifter i anslutning till läkemedel. Med hjälp av informationsförmedlings- och förfrågningsservicen kan kundhandlingar förmedlas till aktörer utanför social- och hälsovården.
Andra riksomfattande tjänster är i enlighet med paragrafens 2 mom. kodtjänsten och roll- och attributtjänsten. Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ska förvalta roll- och attributtjänsten, kodsystem och centralregistret över yrkesutbildade personer inom social- och hälsovården. Roll- och attributtjänsten baserar sig på uppgifterna i centralregistret för yrkesutbildade personer inom social- och hälsovården. Koderna ska fortfarande användas för att i strukturerad form framföra uppgifter i anslutning till yrkesrättigheter inom social- och hälsovården och deras giltighetstider och begränsningar.
Institutet för hälsa och välfärd ska ansvara för alla de datastrukturinnehåll som ska upprätthållas via den nationella kodtjänsten inom social- och hälsovården. Folkpensionsanstalten ska fortfarande ansvara för det datatekniska genomförandet av kodservern (CodeServer). Via kodtjänsten tillhandahålls sådana datastrukturer som kan utnyttjas i verksamheten och informationssystemen inom social- och hälsovården, till exempel nomenklaturer, klassificeringar, organisationskategorier och bedömningsmätare samt olika datainnehåll. Genom kodtjänsten upprätthålls bland annat åtgärdsklassificeringar, åtgärdsklassificeringar för mun- och tandvården, klassificeringar för radiologiska undersökningar och åtgärder samt nomenklaturer för laboratorieundersökningar, och dessutom motsvarande klassificeringar för strukturerna för socialvårdens klientuppgifter. Kodtjänsten ansvarar även för den nationella uppdateringen av klassificeringarna.
Strukturerna för handlingarna inom socialvården ska hanteras och delas via ett separat redigeringsprogram. Redigeringsprogrammet utvecklas och uppdateras för närvarande av Institutet för hälsa och välfärd. Upprätthållandet och utvecklandet av strukturerna för klienthandlingarna inom socialvården ska vara en del av kodtjänstverksamheten. Dessutom ska varje tjänstetillhandahållare som har anslutit sig till de riksomfattande informationssystemtjänsterna kunna identifieras med hjälp av kodtjänsten.
Enligt 3 mom. ska den myndighet som sköter certifikattjänsten för social- och hälsovården vara Myndigheten för digitalisering och befolkningsdata. Myndigheten för digitalisering och befolkningsdata är i lagen om stark autentisering och betrodda elektroniska tjänster avsedd certifikatutfärdare för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Beviljandet och återkallandet av yrkescertifikaten inom social- och hälsovården ska vara kopplade till giltighetstiden för den yrkesutbildade personens rätt att utöva yrket. Om personen har förlorat sin rätt att utöva yrke, ska Myndigheten för digitalisering och befolkningsdata återkalla certifikaten efter att ha fått uppgifterna från Tillstånds- och tillsynsverket för social- och hälsovården, men certifikatkorten blir i praktiken kvar hos innehavarna.
Myndigheten för digitalisering och befolkningsdata har för skötseln av de uppgifter som nämns i 3 mom. rätt att från de centrala registren över yrkesutbildad personal inom hälso- och sjukvården (Terhikki-registret) och socialvården (Suosikki-registret) som förvaltas av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter som behövs vid produktionen av certifikattjänsterna. Rätten för Myndigheten för digitalisering och befolkningsdata att få uppgifter gäller de uppgifter i centralregistret över yrkesutbildade personer inom social- och hälsovården som gäller utfärdande och återkallande av certifikat, själva certifikaten, det tekniska underlaget för certifikat och sändande av certifikat. Uppgifterna innefattar bland annat person- och adressuppgifter om yrkesutbildade personer inom social- och hälsovården och uppgifter om beviljande och förlorande av rätt att utöva yrke eller av skyddad yrkesbeteckning inklusive giltighetstider samt registreringsnummer och de identifieringskoder som krävs för att förskriva läkemedel. Rätten för Myndigheten för digitalisering och befolkningsdata att få information är begränsad och gäller inte grunderna för förlorande av rätt att utöva yrke eller begränsningarna av rätt att utöva yrke eller grunderna för denna rätt.
Efter att rätten att utöva yrket har upphört hamnar yrkeskortet på spärrlistan, och kortet kan inte längre användas för verifiering. Om ett kort har förkommit eller kommit i fel persons besittning så att det kan användas obehörigen, förs det också in på spärrlistan. I 8 § 2 mom. i den föreslagna lagen föreskrivs det om tjänstetillhandahållarens skyldighet att kontrollera certifikatets giltighet, och motsvarande bestämmelse finns också i 25 § 5 mom. i lagen om stark autentisering och betrodda elektroniska tjänster. Det finns särskilda bestämmelser om återkallanden av certifikat och ansvar för obehörig användning.
I 4 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har rätt att av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat med stöd av 3 mom. Informationen om certifikaten behövs för styrningen och tillsynen av den social- och hälsovård som hör till verkets ansvarsområde och av de informationssystem som används inom den.
66 §. Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster. I paragrafen föreslås det att Folkpensionsanstalten i egenskap av teknisk genomförare och förvaltare av en riksomfattande informationssystemtjänst ska ansvara för tjänsten rent generellt och för dess lagenlighet. Enligt förslaget grundar sig paragrafen på 14 § i den gällande kunduppgiftslagen så att det föreslås att Folkpensionsanstaltens rättigheter i fråga om tillsyn och rapportering utvidgas.
Folkpensionsanstalten ska inte ha bestämmanderätt över de kunduppgifter som finns sparade i informationsresursen för kunduppgifter eller rätt att lämna ut dem, om inte något annat föreskrivs. Inte heller i övrigt får kunduppgifter behandlas i större utsträckning än vad som är nödvändigt för förvaltningen. Eftersom Folkpensionsanstalten ska sköta informationsresursen för kunduppgifter för tjänstetillhandahållarna inom social- och hälsovården, ska Folkpensionsanstalten för sin egen del ansvara för den behandling av kunduppgifter som sker med hjälp av dessa informationssystemtjänster. En tjänstetillhandahållare som anslutit sig till de riksomfattande informationssystemtjänsterna ska i egenskap av personuppgiftsansvarig för kunduppgifter ansvara för innehållet i de införda kunduppgifterna och de logguppgifter som anknyter till behandlingen av dem samt för uppgifternas innehåll och riktighet och för att övrig behandling är lagenlig.
I paragrafens 1 mom. föreskrivs det att de riksomfattande informationssystemtjänsterna och kunduppgifterna ska vara tillgängliga så att man alltid har tillgång till kunduppgifterna utan att kundsäkerheten äventyras. Med detta avses att alla de tjänstetillhandahållare som har anslutit sig till tjänsten ska ha tillgång till uppgifterna dygnet runt under årets alla dagar inklusive högtider och helger. Reaktionstiden vid behandlingen av uppgifter ska vara sådan att den inte äventyrar kundsäkerheten. Informationssystemtjänsterna ska dessutom ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. Med funktionsstörning avses till exempel elavbrott eller andra jämförbara funktionella störningar som förhindrar informationsgången. Med undantagsförhållanden avses sådana förhållanden som avses i 2 § i beredskapslagen (1080/1991), till exempel väpnade angrepp som riktas mot Finland, krigshot eller storolyckor.
I paragrafens 2 mom. ska det finnas en förteckning över Folkpensionsanstaltens ansvar vid förvaltningen av de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten ska ansvara för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver samt använda sin bestämmanderätt i frågor gällande systemets datatekniska funktion (1 punkten). Folkpensionsanstalten ska också ansvara för säkerställande av säkerheten i enlighet med 15 § i informationshanteringslagen i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förts in i de riksomfattande informationssystemtjänsterna samt för att uppgifterna utplånas efter det att bevarandetiden löpt ut. I praktiken förändras inte nuläget, det vill säga Folkpensionsanstalten ska fortfarande ansvara för användbarheten, integriteten, oförvanskligheten, skyddet, bevarandet och utplåningen i fråga om uppgifterna. En person har dock rätt att utplåna och ändra sina egna uppgifter om välbefinnande. Således kan Folkpensionsanstalten inte svara för utplåningen av dessa uppgifter på motsvarande sätt som när det gäller kunduppgifterna. När det gäller oförvansklighet och integritet betyder ansvaret att en persons uppgifter bevaras i den form och med det innehåll som de hade när personen förde in dem i informationsresursen för egna uppgifter (2 punkten). Folkpensionsanstalten ska svara för att de riksomfattande informationssystemtjänster som anstalten ansvarar för genomförs så att kunduppgifter, uppgifter om välbefinnande och andra införda uppgifter lämnas ut i enlighet med den föreslagna lagen och lagen om sekundär användning (3 punkten). Folkpensionsanstalten ska ansvara för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister (4 punkten).
Folkpensionsanstalten ska dessutom ansvara för det datatekniska genomförandet av kodservern, med undantag för det termredigeringsprogram som Institutet för hälsa och välfärd ansvarar för (5 punkten). Folkpensionsanstalten ansvarar för förmedlingen av information till befolkningen i frågor som gäller de riksomfattande informationssystemtjänsterna (6 punkten).
Folkpensionsanstalten ska också ansvara för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna (7 punkten).
I paragrafens 3 mom. förtecknas de rättigheter som gäller Folkpensionsanstalten. Folkpensionsanstalten ska ha rätt att av Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) få de uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för att sköta sina lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (1 punkten). Detta innebär rätt att få information även på andra sätt än via roll- och attributtjänsten. Uppgifterna behövs och ska används bland annat vid loggrapportering och loggövervakning samt för tillgodoseendet av patientens rätt att få information.
Folkpensionsanstalten ska ha rätt att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt för förvaltandet av de riksomfattande informationssystemtjänsterna (2 punkten), att utöva beslutanderätt i frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den (3 punkten) samt att lämna ut handlingar i anslutning till hanteringen av utlämnande i viljeyttringstjänsten, och logguppgifter över sådana handlingar, till tjänstetillhandahållare inom social- och hälsovården för uppföljning och tillsyn i fråga om användning och utlämnande av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom. Således kan Folkpensionsanstalten lämna ut logguppgifter om behandlingen av uppgifter i viljeyttringstjänsten och i informationsresursen för egna uppgifter till berörda organisationer när dessa behövs för dataskyddsutredningar (4 punkten).
Folkpensionsanstalten har rätt att i syfte att öka informationssäkerheten och förhindra och avslöja överbelastningsattacker och missbruk utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster samt över datakommunikationen och logguppgifterna över den. Om Folkpensionsanstalten upptäcker eventuella missbruk ska den omedelbart underrätta den berörda personuppgiftsansvarige om saken (5 punkten).
För Folkpensionsanstalten föreslås en ny rätt att i samarbete med de personuppgiftsansvariga utöva tillsyn över de uppgifter som förts in i förvaringstjänsten för loggregister i syfte att säkerställa att behandlingen av kunduppgifter är lagenlig (6 punkten). Rätten ska också gälla användningsloggregistret. Med hjälp av tillsynen kan Folkpensionsanstalten centraliserat analysera användningen av kunduppgifter och på så sätt förebygga avvikelser i behandlingen av kunduppgifter. Den centraliserade tillsynen erbjuder ett tilläggsverktyg till stöd för tjänstetillhandahållarnas tillsyn och minskar deras tillsynsbörda, men avskaffar den inte helt och hållet och ersätter inte heller den. Det är fråga om en möjliggörande bestämmelse, i fråga om vilken genomförandet och samarbetsmodellerna med tjänstetillhandahållarna ännu bör preciseras innan tillsynen inleds.
Folkpensionsanstalten ska ha rätt att av Myndigheten för digitalisering och befolkningsdata få den nödvändiga information som behövs för förvaltandet av de riksomfattande informationssystemtjänsterna (7 punkten). Sådana uppgifter är till exempel uppgifter som behövs för skötseln av ärenden för annans räkning. Även i 14 § i lagen om förvaltningens gemensamma stödtjänster för e-tjänster föreskrivs det om rätten för en användarorganisation som utnyttjar Suomi.fi-tjänster att få uppgifter till exempel för att visa att uppgifterna behandlats på riktigt sätt i samband med skötseln av ärenden eller annars för att utreda problem vid skötseln av ärenden.
Enligt 8 punkten ska Folkpensionsanstalten få en ny rätt att följa upp användningen av de riksomfattande informationssystemtjänsterna samt offentliggöra information om tjänstetillhandahållarnas användning av de riksomfattande informationssystemtjänsterna på offentliga webbsidor. I praktiken är det fråga om att Folkpensionsanstalten kan följa upp och offentliggöra information om vilka datainnehåll en tjänstetillhandahållare för in i de riksomfattande informationssystemtjänsterna, med hur lång fördröjning datainnehållet förs in och hur tjänstetillhandahållaren använder de riksomfattande informationssystemtjänsterna för att få tillgång till andra tjänstetillhandahållares kunduppgifter för att användas vid ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Offentliggörandet av informationen ger kunderna viktig information om vilka uppgifter som tjänstetillhandahållarna för in och med hurdan fördröjning. Information om utlämnande av uppgifter ur de riksomfattande informationssystemtjänsterna är också betydande uppföljningsinformation om hur tjänsterna utnyttjas. Den information som offentliggörs ska vara tjänstetillhandahållarspecifik och inte innehålla personuppgifter om kunderna.
Enligt 9 punkten i momentet föreslås en ny rätt för Folkpensionsanstalten att i samarbete med Institutet för hälsa och välfärd utföra teknisk kvalitetskontroll av de kunduppgifter som förts in i de riksomfattande informationssystemtjänsterna för att säkerställa att datastrukturerna är korrekta och interoperabla. Den tekniska kvalitetskontrollen kan vara teknisk validering av de införda datastrukturerna och vid behov också manuell kontroll som utförs av en människa. Valideringen ska inriktas på att de uppgifter som lämnas motsvarar de krav som ställs på uppgifternas struktur och på att riktigheten för innehållet i uppgifterna kan säkerställas till exempel i fråga om de koder som använts. Samarbete med Institutet för hälsa och välfärd behövs, eftersom institutet har för avsikt att utnyttja de uppgifter som förts in i de riksomfattande informationssystemtjänsterna i samband med sina egna lagstadgade uppgiftsinsamlingar och har kompetens att bedöma datastrukturerna också ur innehållsperspektiv. Behovet av kvalitetssäkring och av att säkerställa att datastrukturerna är enhetliga och korrekta har i synnerhet framkommit under covid-19-pandemin, då det uppdagades utmaningar till exempel vid utarbetandet av statistik över insjuknande och vaccinationer utifrån handlingar i de riksomfattande informationssystemtjänsterna. Den kvalitetssäkring som utförs av Folkpensionsanstalten är en av de övriga åtgärderna för kvalitetssäkring. De viktigaste kvalitetssäkringsåtgärderna gäller produktion, insamling och anteckning av uppgifter, vilket förutsätter att informationssystemen är lättanvända och att krav ställs på dem som producerar uppgifterna och på informationssystemen.
I 4 mom. föreslås det att Folkpensionsanstalten ska upprätthålla en övervakningscentral som med tanke på övervakningen ska följa upp behövliga uppgifter mellan de riksomfattande informationssystemtjänsterna och tjänstetillhandahållarna. När Folkpensionsanstalten upptäcker avvikande verksamhet ska den vidta behövliga åtgärder tillsammans med tjänstetillhandahållarna och utan dröjsmål underrätta cybersäkerhetscentret om sådana kränkningar av informationssäkerheten och störningar av informationssäkerheten som den upptäcker. Folkpensionsanstalten ska trots sekretessbestämmelserna lämna nödvändiga uppgifter till Cybersäkerhetscentret.
I paragrafens 5 mom. föreslås det att Folkpensionsanstalten till de myndigheter som ansvarar för styrningen, övervakningen och utvecklandet av de riksomfattande tjänsterna ska få lämna ut sådana sammanställningar över uppgifter i de riksomfattande informationssystemtjänsterna, över handlingars metadata och över logguppgifter som kan vara av betydelse för utvecklingen, uppföljningen och rapporteringen i fråga om de riksomfattande tjänsterna. Sammanställningarna av uppgifter ska vara sådana att det inte går att identifiera enskilda personer utifrån dem och de får inte innehålla personuppgifter. I momentet finns dessutom ett nytt förslag enligt vilket Folkpensionsanstalten kan göra och till en tjänstetillhandahållare lämna ut sammanställningar som grundar sig på de kunduppgifter och logguppgifter i tjänstetillhandahållarens egna register som har sparats i de riksomfattande informationssystemtjänsterna och som är av betydelse för utvecklingen, uppföljningen, rapporteringen och övervakningen av tjänstetillhandahållarens verksamhet. Sammanställningarna får inte innehålla personuppgifter. Folkpensionsanstalten kan lämna ut uppgifterna på tjänstetillhandahållarens begäran. Om det i framtiden finns ett stort behov av att producera uppgifterna, kan Folkpensionsanstalten inom ramen för budgeten också realisera ett rapporteringsverktyg med hjälp av vilket tjänstetillhandahållarna också själva kan granska rapporterna.
I paragrafens 6 mom. föreslås det att de riksomfattande informationssystemtjänsterna ska skyddas på samma sätt som vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter i informationshanteringslagen. Folkpensionsanstalten omfattas inte i sig av bestämmelserna om statliga myndigheter, men eftersom den bevarar känsliga klient- och patientuppgifter i de riksomfattande informationssystemtjänsterna för offentliga tjänstetillhandahållare inom social- och hälsovård är det motiverat att skyldigheterna är desamma som de skulle vara om tjänstetillhandahållarna skulle sköta skyldigheterna själva. Åtgärder som garanterar informationssäkerheten i de riksomfattande informationssystemtjänsterna ska vidtas som en helhet så att även privata tjänstetillhandahållares uppgifter är skyddade på motsvarande nivå. Folkpensionsanstalten får inte ge utomstående i uppdrag att behandla eller bevara de register som nämns i denna proposition och som anknyter till organiseringen av de riksomfattande informationssystemtjänsterna eller de loggregister som hänför sig till dessa register. Folkpensionsanstalten kan dock använda underleverantörer eller leverantörer vid produktionen och underhållet av tjänsterna.
67 §. Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreslås det bestämmelser om skyldigheten för tjänstetillhandahållare och apotek att ansluta sig som användare av de riksomfattande informationssystemtjänsterna och ta i bruk de i 65 § 1 mom. avsedda informationssystemtjänster i vilka tjänstetillhandahållaren är skyldig att föra in kunduppgifter eller med hjälp av vilka kunduppgifter kan lämnas ut till tjänstetillhandahållaren. De riksomfattande informationssystemtjänsterna ska således tas i bruk i den omfattning som tjänstetillhandahållen är skyldig att föra in kunduppgifter i olika informationssystemtjänster och med hjälp av vilka kunduppgifter kan lämnas ut till tjänstetillhandahållaren.
I praktiken ska alla tjänstetillhandahållare ansluta sig som användare av informationsresursen för kunduppgifter, förvaringstjänsten för loggregister och viljeyttringstjänsten, eftersom de är skyldiga att föra in sina kundhandlingar i informationsresursen för kunduppgifter. I förvaringstjänsten för loggregister ska uppgifter om utlämnande av kunduppgifter föras in, och i viljeyttringstjänsten ska det vara möjligt att föra in kundens viljeyttringshandlingar om utlämnanden. Alla tjänstetillhandahållare inom hälso- och sjukvården och tjänstetillhandahållare inom socialvården gör emellertid inte upp elektroniska recept, så det finns ingen orsak att ålägga dem att ansluta sig till receptcentret. Det bildas inga sammanställningar av handlingarna inom socialvården med hjälp av informationshanteringstjänsten, men eftersom det i rätten för tjänstetillhandahållare inom socialvården att få patientuppgifter också ingår sammanställningar som produceras via informationshanteringstjänsten, ska också de ansluta sig som användare av informationshanteringstjänsten för att få patientuppgifter när yrkesutbildade personer som är verksamma för tjänstetillhandahållarens räkning har åtkomsträtt till de patientuppgifter som lämnas ut via informationshanteringstjänsten. När tjänstetillhandahållaren ansluter sig tar denne i bruk de tjänster och funktioner där handlingar ska bevaras och via vilka tillhandahållaren har rätt att använda kunduppgifterna och uppgifterna om välbefinnande.
I paragrafens 2 mom. föreskrivs det om anslutningsskyldigheten för tjänstetillhandahållarna inom den privata social- och hälsovården. I regel har tjänstetillhandahållarna inom både den offentliga och den privata social- och hälsovården en absolut anslutningsskyldighet. Genom en så omfattande anslutningsskyldighet som möjligt kan man skapa en heltäckande informationssystemhelhet som ger tillgång till kundens uppgifter varhelst och närhelst kunden behöver uträtta ett ärende. På så sätt säkerställs dessutom den riksomfattande interoperabiliteten hos tjänstetillhandahållarnas informationssystem samt möjligheterna att utveckla systemet i fortsättningen. I paragrafens 2 mom. föreslås däremot också bestämmelser om undantag från skyldigheten att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Undantaget gäller de privata yrkesutövarna eller de små tjänsteproducenter som inte har tillgång till ett sådant informationssystem för behandling av patientuppgifter eller klientuppgifter inom socialvården som kan anslutas till de riksomfattande informationssystemtjänsterna.
I 3 mom. föreslås det bestämmelser om att också andra aktörer inom social- och hälsovården än tjänstetillhandahållarna, beträffande vilkas tjänster och behandling av kunduppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 65 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten. Anslutningsmöjlighet är en förutsättning för att till exempel biobanker, som inte är tjänstetillhandahållare inom social- och hälsovården, ska kunna föra in viljeyttringar som gäller deras verksamhet i viljeyttringstjänster och använda dem som grund för behandling av uppgifter.
Även tjänstetillhandahållare inom social- och hälsovården i landskapet Åland ska få ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Om en tjänstetillhandahållare inom social- och hälsovården i landskapet Åland vill ansluta sig som användare av informationssystemtjänsterna, ska denne iaktta bestämmelserna i denna lag vid användningen av tjänsterna.
68 §. Information till kunden om riksomfattande informationssystemtjänster. Innehållet i paragrafen ska överensstämma med motsvarande bestämmelse i den gällande kunduppgiftslagen. I 1 mom. föreskrivs det om tjänstetillhandahållarens skyldighet att informera kunden om de riksomfattande informationssystemtjänsterna och om de allmänna principerna för hur tjänsterna fungerar. Eftersom tillgången till kunduppgifter ur den riksomfattande informationsresursen för kunduppgifter grundar sig på lag och på kundens tillstånd för utlämnande av kunduppgifter, ska uppgifterna i alla tjänstetillhandahållares register i fråga om de kunder som gett sitt tillstånd för utlämnande alltid finnas tillgängliga för yrkesutbildade personer inom social- och hälsovården när de behöver dem i sina arbetsuppgifter. Denna praxis innebär ett särskilt stort ansvar i fråga om information till kunden. Informationen fungerar som en skyddsåtgärd för att trygga den registrerades rättigheter och friheter, i synnerhet deras berättigade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, transparensen, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt.
Enligt propositionen ska tjänstetillhandahållaren ge kunden information om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om de rättigheter hos kunden som anknyter till de riksomfattande informationssystemtjänsterna. Informationen ska ges till kunden senast i samband med den första kontakten. Information ska också kunna ges via det medborgargränssnitt (Mina Kanta-sidor) som avses i 74 §. Den föreslagna bestämmelsen om informering innebär således inte den informeringsskyldighet som avses i dataskyddsförordningen, och avsikten är inte att genom bestämmelsen anpassa skyldigheterna enligt dataskyddsförordningen, även om det i den praktiska verksamheten dock finns skäl att fästa särskild vikt också vid den informering om behandlingen av personuppgifter som förutsätts enligt dataskyddsförordningen.
I EU:s dataskyddsförordning föreskrivs det om informerandet i samband med behandling av personuppgifter. Vid informerande ska den förpliktelse i dataskyddsförordningen som gäller tjänstetillhandahållarens skyldighet att ge kunden vissa uppgifter iakttas. Om personuppgifterna samlas in direkt av den registrerade själv ska enligt dataskyddsförordningen informationen ges när personuppgifterna samlas in. Om personuppgifterna fås från någon annan ska informerandet skötas inom en rimlig tid men senast inom en månad från det att uppgifterna erhölls.
Enligt dataskyddsförordningen är den personuppgiftsansvarige skyldig att avgiftsfritt ge den registrerade information om behandlingen av hans eller hennes personuppgifter. Enligt dataskyddsförordningen ska den personuppgiftsansvarige alltid ge följande uppgifter om behandlingen av personuppgifter:
- kontaktuppgifter till den personuppgiftsansvarige, dennes eventuella företrädare och den dataskyddsansvariga
- ändamål och rättslig grund för behandlingen av personuppgifter. Om uppgifterna inte samlas in direkt från den registrerade ska det dessutom meddelas vilka kategorier av personuppgifter behandlingen gäller
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, om dessa utgör grunden för behandlingen
- i tillämpliga fall, vem som ska få personuppgifterna
- huruvida den personuppgiftsansvarige avser att överföra uppgifter till ett tredjeland eller en internationell organisation.
Enligt dataskyddsförordningen ska den personuppgiftsansvarige för att säkerställa rättvis och transparent behandling dessutom lämna följande ytterligare information:
- uppgifternas lagringstid eller de kriterier som används för att fastställa denna
- den registrerades rättigheter i fråga om dennes uppgifter, såsom rätten att begära radering av sina personuppgifter, rätten att återkalla sitt samtycke, rätten att inge klagomål och förekomsten av automatiserat beslutsfattande, inbegripet till exempel profilering
- huruvida insamlingen av uppgifter är ett lagstadgat eller avtalsenligt krav
- huruvida personen är skyldig att ge uppgifterna och följderna av att uppgifterna inte lämnas.
Den registrerade har enligt dataskyddsförordningen också rätt att få det bekräftat att uppgifterna behandlas eller inte behandlas. Dessutom har den registrerade rätt att få närmare information om behandlingen av uppgifterna, till exempel om syftet med behandlingen och vilka kategorier av personuppgifter behandlingen gäller.
Vid informerandet ska specialgrupperna beaktas särskilt, till exempel barnen. Till barn måste informationen till exempel ges i sådan form och på ett sådant sätt att barnet kan förstå den. Barnet ska ges tydlig information om hans eller hennes rättigheter att begränsa åtkomsten till uppgifterna. Dessutom ska barnet få tillräcklig information om de situationer där vårdnadshavaren ska sköta ärenden elektroniskt för barnets räkning och tillsammans med barnet. Detaljerade anvisningar om informerandet fås av dataombudsmannen och av Europeiska dataskyddsstyrelsen (EDPB).
69 §. Riksomfattande informationsresurs för kunduppgifter. I paragrafens 1 mom. föreslås det bestämmelser om att tjänstetillhandahållaren i den riksomfattande informationsresursen för kunduppgifter ska spara alla kundhandlingar som färdigställts efter anslutningen till informationsresursen för kunduppgifter, med undantag av recept och andra anteckningar om läkemedelsbehandling som ska lagras i receptcentret. Dessutom ska kopior av de handlingar som förmedlas via informationsförmedlings- förfrågningsservicen sparas i den riksomfattande informationsresursen för kunduppgifter. Det är nödvändigt att spara dem för att handlingarna i fråga ska kunna förmedlas till olika mottagare via den informationsförmedlings- och förfrågningsservice som avses i 76 §. Även de handlingar som har uppkommit före anslutningen till de riksomfattande informationssystemtjänsterna kan sparas i informationsresursen för kunduppgifter.
I paragrafen görs det också möjligt att spara andra handlingar än de egentliga kundhandlingarna i den riksomfattande informationsresursen för kunduppgifter. I den riksomfattande informationsresursen för kunduppgifter får det utöver kundhandlingar även sparas andra handlingar som innehåller kunduppgifter samt handlingar som hänför sig till ordnandet av social- och hälsovården. Andra handlingar inom social- och hälsovården som ska föras in kan till exempel vara handlingar som innehåller uppgifter om den tjänstetillhandahållare som har organiseringsansvaret i fråga om kunden och om tillhandahållaren av företagshälsovårdstjänster, så att uppgifterna kan utnyttjas i hanteringen av kundens vård- och servicekedjor. Till exempel i Mellersta Finland har man utvecklat en verksamhetsmodell där företagshälsovården i samarbete med arbetsgivaren sörjer för fortsatt vård av patienter som vårdas inom den specialiserade sjukvården eller vid en hälsovårdscentral, bedömning av arbetsförmågan, hänvisning till rehabilitering och åtgärder på arbetsplatsen. Det är viktigt att den specialiserade sjukvården eller hälsovårdscentralen med hjälp av de riksomfattande informationssystemtjänsterna får information om vem som tillhandahåller företagshälsovårdstjänster för patienten, så att patienten smidigt kan styras till rätt plats för fortsatt vård.
Även sådana intyg och utlåtanden om kunder som upprättas inom social- och hälsovården och som upprättas för andra myndigheter och aktörer kan sparas i informationsresursen för kunduppgifter.
För att det ska vara möjligt att specificera och identifiera den ursprungliga handling som innehåller kunduppgifterna, får det enligt 2 mom. finnas endast ett original av en elektronisk handling med kunduppgifter som specificeras med en identifikation. Originalexemplaren av kundhandlingarna ska sparas i informationsresursen för kunduppgifter. Den viktigaste identifieringsbeteckning som används i nuläget är organisationernas identifieringsklassificering, nämligen OID-koden enligt ISO-standarden. För utförande av en tjänst eller av någon annan grundad anledning får det av originalet skapas en ny handling eller en kopia av vilken det ska framgå att handlingen är en kopia. Korrigeringar ska alltid göras i den ursprungliga handlingen så att handlingen är otvetydig.
I 3 mom. konstateras det av informativa skäl att varje serviceanordnare som är personuppgiftsansvarig för kunduppgifter är personuppgiftsansvarig för de handlingar som den fört in i den riksomfattande kundinformationsresursen. Folkpensionsanstalten är personuppgiftsbiträde när den tillhandahåller den riksomfattande informationsresursen för kunduppgifter, och bestämmelser om Folkpensionsanstaltens ansvar finns i 66 §.
70 §. Förvaringstjänsten för loggregister. I paragrafen föreslås bestämmelser om förvaringstjänsten för loggregister där de logguppgifter om användning och utlämnande som avses i 10 § och som samlats in för uppföljning och tillsyn ska sparas. Enligt 1 mom. är tjänstetillhandahållaren skyldig att spara sina logguppgifter om utlämnande i förvaringstjänsten för loggregister. Dessutom får tjänstetillhandahållaren spara logguppgifter om användning av kunduppgifterna i förvaringstjänsten för loggregister. När det gäller sparandet av användningsloggarna ska regleringen vara möjliggörande och i detta skede föreslås det ingen skyldighet att spara användningsloggar. Det konceptskapande arbetet i anslutning till sparandet av användningsloggar och den övriga behandlingen pågår fortfarande vid Institutet för hälsa och välfärd, så det finns ännu inga förutsättningar att göra regleringen förpliktande.
Enligt 2 mom. i paragrafen ska Folkpensionsanstalten på motsvarande sätt i förvaringstjänsten för loggregister samla in och spara utlämningslogguppgifter för de uppgifter som sparats i och lämnats ut via de riksomfattande informationssystemtjänsterna. Av uppgifterna ska det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgå samt användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk.
I 3 mom. i paragrafen föreslås det bestämmelser om den personuppgiftsansvarige för användningsloggarna så att varje tjänstetillhandahållare och Folkpensionsanstalten ska vara personuppgiftsansvarig för användningsloggarna i anslutning till den egna verksamheten.
Enligt 4 mom. är en yrkesutbildad person inom hälso- och sjukvården och Folkpensionsanstalten gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk. Folkpensionsanstalten ska vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och också svara för utlämnandet av användningslogguppgifter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Gränssnittet för professionellt bruk är i första hand avsett för läkarnas tillfälliga bruk och erbjuder läkare möjligheten att beroende på deras rättigheter skriva ut recept för annat än för professionellt bruk. Eftersom de som använder gränssnittet inte är självständiga yrkesutövare, tjänsteproducenter eller tjänstetillhandahållare, kan de inte ansvara för alla de skyldigheter som gäller den personuppgiftsansvarige. Det föreslås att Folkpensionsanstalten är den som verkställer gränssnittet för professionellt bruk, så det är motiverat att båda bär sitt ansvar för de uppgifter som hör till den personuppgiftsansvarige. Den som använder gränssnittet ska ansvara för att de uppgifter som den antecknar är korrekta. Bestämmelsen ändrar inte nuvarande praxis för personuppgiftsansvaret för användningsloggen för gränssnittet för professionellt bruk.
Enligt 5 mom. ska varje tjänstetillhandahållare och Folkpensionsanstalten vara gemensamt personuppgiftsansvariga för utlämningsloggregistret. Tjänstetillhandahållarna, apoteken och Folkpensionsanstalten ska vara gemensamt personuppgiftsansvariga för receptcentrets utlämningslogg. Varje tjänstetillhandahållare och apotek ska ansvara för riktigheten av de uppgifter som uppkommer i deras verksamhet och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Folkpensionsanstalten ska också vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Paragrafen ändrar inte nuvarande praxis för personuppgiftsansvaret för utlämningsloggar.
71 §. Informationshanteringstjänsten. I paragrafen föreskrivs det om informationshanteringstjänsten. Enligt 1 mom. kan viktiga och aktuella patientuppgifter som finns i olika journalhandlingar som gäller patienter i tjänsten sammanställas och sammankopplas så att de lämnas till yrkesutbildade personer inom social- och hälsovården i form av sammandrag för genomförandet av patientens vård. Sammandrag lämnas ut till tjänstetillhandahållarna på det sätt som föreskrivs i 53 och 54 § i förslaget. Viktiga patientuppgifter, över vilka sammandrag kan lämnas ut, är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, fysiologiska mätningar, åtgärder och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt en i 4 a § i patientlagen avsedd plan för undersökning, vård och medicinsk rehabilitering av patienten eller någon annan motsvarande plan. Med hjälp av informationshanteringstjänsten kan också andra anteckningar i journalhandlingarna sammanställas så att de på ett mer användbart sätt kan lämnas ut till informationssystemet hos den tjänstetillhandahållare som begär uppgifterna. Informationshanteringstjänsten är en teknisk lösning som kan underlätta sökandet efter och utnyttjandet av strukturerat dokumenterade viktiga patientuppgifter. I framtiden kan det uppstå också andra behov av att sammanställa olika viktiga strukturerade patientuppgifter i informationshanteringstjänsten, när strukturerade patientuppgifter utvecklas ytterligare.
Med hjälp av informationshanteringstjänsten sammanställs endast patientuppgifter inom hälso- och sjukvården. Avsikten är att genomföra en motsvarande sökfunktion av centrala uppgifter inom socialvården genom att plocka uppgifter direkt från klientdataarkivet så att uppgifterna inte behöver sammanställas i en särskild databas.
I 2 mom. föreslås bestämmelser om personuppgiftsansvaret när det gäller informationshanteringstjänsten. Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten ska vara gemensamt personuppgiftsansvariga. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av uppgifter som lagrats i informationshanteringstjänsten.
72 §. Viljeyttringstjänsten. I viljeyttringstjänsten ska det enligt 1 mom. föras in uppgifter om information som en person har fått enligt den föreslagna lagen och receptlagen samt om tillstånd för, samtycke till och förbud mot utlämnande som en person har meddelat i fråga om kunduppgifter.
Bestämmelser om den information som ska ges till en person finns i 68 § i den föreslagna lagen och i 4 § i receptlagen. Informationsinnehållet i information som getts tidigare ska dock få bevaras och kunna användas vid behov till exempel när man är tvungen att utreda fel.
Bestämmelser om tillstånd för och förbud mot att lämna ut uppgifter finns i 58 § i den föreslagna lagen. En person kan meddela förbud på basis av 54 och 55 § i den föreslagna lagen och 13 § i receptlagen.
Enligt 2 mom. kan det i viljeyttringstjänsten dessutom föras in uppgift om en persons andra viljeyttringar som hänför sig till hälso- och sjukvård eller socialservice (1 punkten) samt om en persons andra viljeyttringar som hänför sig till tjänster inom social- och hälsovården och till behandling av kunduppgifter (2 punkten). De viljeyttringar som förs in i registret kan också gälla enskilda tjänstetillhandahållare. Ordalydelsen i momentet är möjliggörande så att om det i framtiden uppstår olika behov i anslutning till vilka personer vill föra in sina viljeyttringar, kan de föras in i viljeyttringstjänsten utan att några separata bestämmelser behöver införas. Om det till exempel föreskrivs om tjänstetillhandahållarnas rätt att ta kontakt för att tillhandahålla vacciner, kan en person i viljeyttringstjänsten föra in ett förbud mot kontakter som gäller detta. På motsvarande sätt kan det uppstå olika behov av viljeyttringar i anslutning till socialservicen, även om man ännu inte känner till sådana behov. Inom socialservicen utreds kundens behov och vilja på ett heltäckande sätt i samband med bedömningen av servicebehovet och utarbetandet av klientplanen, men viljeyttringen kan avfattas redan på förhand innan kunden får tillgång till socialservice.
Viljeyttringar som hänför sig till hälso- och sjukvård eller socialservice och som kan föras in i viljeyttringstjänsten är till exempel en persons förbud mot att lösgöra celler, vävnad eller organ för medicinskt bruk efter att personen avlidit samt personens vårddirektiv. Den föreslagna bestämmelsen betyder dock inte att endast de förbud mot tagande av organ eller de vårddirektiv som har registrerats i viljeyttringstjänsten uttrycker personens vilja. Ett förbud mot tagande av organ eller ett vårddirektiv kan också meddelas på andra sätt, och dessa viljeyttringar är lika giltiga som de förbud eller vårddirektiv som lagrats i viljeyttringstjänsten. Det kan dock vara svårt att bevisa att ett sådant förbud mot tagande av organ eller vårddirektiv existerar i en situation där man måste fatta ett snabbt beslut om att lösgöra ett organ, en vävnad eller celler från en avliden person eller att ge vård till en person som till exempel är medvetslös. Om uppgiften antecknas i viljeyttringstjänsten underlättar det därför i betydande grad genomförandet av till exempel transplantationer eller ordnandet av den vård som patienten behöver.
Med social- och hälsovård avses förutom social- och hälsovårdstjänster även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank (en i biobankslagen avsedd provinfrastruktur, som används för att främja vetenskaplig forskning på prover från människor), och i viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank, invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat, och i viljeyttringstjänsten kan föras in invändning mot att genomuppgifter förs in i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret.
I 3 mom. föreslås bestämmelser om personuppgiftsansvaret när det gäller viljeyttringstjänsten. Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten ska vara gemensamt personuppgiftsansvariga. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av uppgifter som lagrats i viljeyttringstjänsten.
73 §. Informationsresursen för egna uppgifter. I paragrafen föreskrivs det om en informationsresurs för egna uppgifter som ska inrättas i samband med de riksomfattande informationssystemtjänsterna för sådana uppgifter om välbefinnande som en person själv producerar och hanterar.
Enligt 1 mom. ska en person med hjälp av välbefinnandeapplikationer eller via medborgargränssnittet (Mina Kanta-sidor) själv föra in sina egna uppgifter om välbefinnande i informationsresursen för egna uppgifter. Personen bestämmer själv hur hans eller hennes uppgifter i informationsresursen för egna uppgifter ska användas och om de ska avlägsnas. Enligt förslaget ska personen när som helst kunna utplåna, ändra eller avlägsna sina uppgifter i informationsresursen för egna uppgifter. Om en person avlägsnar uppgifter ur informationsresursen, försvinner de helt och hållet, med undantag för logguppgifterna i anslutning till användningen av uppgifterna. Trots att det är frivilligt att använda informationsresursen för egna uppgifter grundar sig behandlingen av personuppgifter i informationsresursen för egna uppgifter på lagstiftning. Det är således inte fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen.
Exempel på sådana uppgifter om välbefinnande som en person själv kan föra in är blodsocker- och blodtrycksvärden. Hittills har personen vanligtvis antecknat värdena för hand på papper och sedan informerat vårdpersonalen om dem, som på personens vägnar sedan har fört in dem i kunduppgiftssystemet. Även till exempel bilder som har tagits med mobilen eller digital kamera är uppgifter som kan behövas i vården. Extra arbete undviks då en person själv kan föra in eller automatiskt överföra sina uppgifter direkt i den elektroniska tjänsten där de sedan är tillgängliga även för andra. Detta stöder delvis också personens möjligheter att vårda och ta hand om sig själv.
I 2 mom. föreslås det att Folkpensionsanstalten ska vara personuppgiftsansvarig för informationsresursen för egna uppgifter. Folkpensionsanstalten ska dock inte ha rätt att behandla uppgifter i informationsresursen för egna uppgifter i större omfattning än vad som är nödvändigt för att administrera informationsresursen eller rätt att lämna ut uppgifter ur den för andra ändamål än de som anges i 3 mom. på det sätt som föreskrivs i det momentet. I Folkpensionsanstaltens personuppgiftsansvar ska utöver de uppgifter om välbefinnande som sparats i informationsresursen för egna uppgifter ingå uppgifter om användningen av informationsresursen för egna uppgifter, till exempel uppgifter om användarna av informationsresursen för egna uppgifter och om samtycke som getts för utlämnande av uppgifter om välbefinnande samt logguppgifter om användningen och utlämnandet av uppgifter om välbefinnande. Folkpensionsanstaltens personuppgiftsansvar ska gälla endast uppgifter om välbefinnande som förts in i informationsresursen för egna uppgifter, och till den del som uppgifter om välbefinnande behandlas i välbefinnandeapplikationerna ska tillverkaren av applikationen fastställa den personuppgiftsansvarige.
I paragrafens 3 mom. föreslås bestämmelser om de samtycken som en person kan ge i fråga om utlämnande av sina uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter. För att få lämna ut de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter till tjänstetillhandahållare behövs det ett samtycke av personen i fråga. Enligt propositionen har personen själv rätt att behandla sina uppgifter om välbefinnande i informationsresursen med välbefinnandeapplikationer utan samtycke. Personens samtycke behövs dock när uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter lämnas ut till en tjänstetillhandahållare för tillhandahållande av social- och hälsovårdstjänster. Uppgifterna om välbefinnande i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare när en yrkesutbildad person tillhandahåller personen social- eller hälsovårdstjänster. Momentet har formulerats så att genom samtycket skapas i dessa sammanhang inte en rättslig grund för behandling av personuppgifter, utan endast en grund för utlämnande. Genom formuleringarna i lagen binds samtycket likaså till nödvändighetskraven så att samtycket inte kan vara obegränsat. Detta betyder att en yrkesutbildad person inom social- och hälsovården får behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen.
Ett sådant samtycke överensstämmer med bestämmelserna om samtycke i artikel 4.1, 4.11 och 7 i dataskyddsförordningen. Folkpensionsanstalten ska i egenskap av administratör och personuppgiftsansvarig för informationsresursen för egna uppgifter ansvara för det tekniska genomförandet av förfarandet för samtycke.
74 §. Medborgargränssnitt och välbefinnandeapplikationer samt kunduppgifter som visas via dem. I paragrafens 1 mom. föreslås det att en person kan avge de viljeyttringar som avses i 72 § i propositionen samt sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett gränssnitt. Sådana uppgifter är till exempel att ta emot information om riksomfattande informationssystemtjänster enligt 68 § i propositionen samt att meddela förbud mot och samtycke till utlämnande av uppgifter. Till gränssnittet kan dessutom anslutas andra funktioner som möjliggör informationsutbyte och utförande och uppföljning av uppgifter som gäller tjänster, omsorg och vård. En sådan funktion är till exempel förmedling av kunduppgifter mellan en kund och en tjänstetillhandahållare. Gränssnittet ska realiseras så att kundens integritetsskydd inte äventyras.
I artikel 15 i dataskyddsförordningen bestäms om den registrerades rätt till tillgång. Enligt 34 § i dataskyddslagen har en registrerad inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (1 punkten), lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter (2 punkten), eller personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas (3 punkten). Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne. Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.
I paragrafens 2 mom. föreskrivs det att en person får via medborgargränssnittet eller en välbefinnandeapplikation visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, till exempel tidsbeställningsuppgifter, laboratorieresultat, resultat från en bilddiagnostisk undersökning och andra motsvarande undersökningsresultat, uppgifter om tider och platser för servicehändelser, uppgifter som är viktiga för vården eller servicen, receptuppgifter, vårdanvisningar, remisser, sammandrag av gjorda behandlingar, utlåtanden om behandlingar, läkarintyg och läkarutlåtanden samt handlingar om socialvården. För att få uppgifterna via välbefinnandeapplikationen ska kunden ta i bruk applikationen och godkänna att uppgifterna lämnas ut.
Trots vad som föreskrivs i 1 mom. ska gränssnittet realiseras så att kunden inte har åtkomst till uppgifterna, om en yrkesutbildad person inom hälso- och sjukvården bedömer att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. När uppgifter visas via gränssnittet ska bestämmelserna om partens rätt att få information i 11 § 2 mom. i offentlighetslagen beaktas.
Principen enligt offentlighetslagen är att en sökande, överklagande eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (en part), har rätt att av den myndighet som behandlar eller har behandlat ärendet få information om sådant innehåll i en offentlig handling som kan påverka eller som eventuellt har påverkat behandlingen av hans eller hennes ärende.
En part eller dennes ombud eller biträde har inte den ovan avsedda rätten till exempel
1) när utlämnande av uppgifter ur handlingen skulle strida mot ett synnerligen viktigt allmänt intresse, ett barns intresse eller ett annat synnerligen viktigt enskilt intresse, eller
2) när det är fråga om en handling som har företetts eller upprättats i samband med förundersökning eller polisundersökning som ännu pågår, om utredningen skulle försvåras av att uppgifter lämnas ut.
Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.
Enligt 3 mom. ska för en person dock trots vad som föreskrivs i 2 mom. få visas namnet på en person som handlat för hans eller hennes räkning. På så sätt är det möjligt att via gränssnittet visa uppgifterna i utlämnings- och användningslogguppgifterna om en person som handlat för någon annans räkning.
75 §. Gränssnittet för professionell behandling av elektroniska recept. Det föreslås att paragrafen ska innehålla bestämmelser om gränssnittet för professionellt bruk. Bestämmelserna om Folkpensionsanstaltens skyldighet att tillhandahålla ett användargränssnitt med hjälp av vilket elektroniska recept kan göras upp överförs från receptlagen till 1 mom. Enligt 2 mom. kan en läkare med hjälp av gränssnittet för professionellt bruk uppgöra elektroniska recept när läkaren skriver ut ett recept med stöd av rätten att utöva yrke i andra fall än när han eller hon agerar för någon tjänstetillhandahållares räkning. Bestämmelsen motsvarar nuvarande lagstiftning.
I 3 mom. ingår en hänvisning till receptlagen, där det förskrivs om personuppgiftsansvaret i fråga om recept.
76 §. Informationsförmedlings- och förfrågningsservicen. I paragrafen föreskrivs det att det via den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna får förmedlas handlingar och andra handlingar som har bifogats till dem till en aktör utanför social- och hälsovården för skötseln av en lagstadgad uppgift. Bestämmelsen motsvarar 22 § i den gällande kunduppgiftslagen.
Sådana handlingar är bland annat de intyg och utlåtanden samt andra handlingar som innehåller kunduppgifter som sänds till en annan instans. I paragrafens 1 mom. föreslås det också att handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Förmedlingen av handlingar ska alltså grunda sig på kundens eller uppgiftsmottagarens begäran eller på en tjänsteinnehavares lagstadgade uppgifts- eller anhängiggörandeskyldighet på eget initiativ.
Det bör påpekas att informationsförmedlings- och förfrågningsservicen inte ansvarar för den information som lämnas från en personuppgiftsansvarig till en annan. Det betyder att den personuppgiftsansvarige som ska lämna ut uppgifter ansvarar för att den som får uppgifterna endast får klientuppgifter eller patientuppgifter i den omfattning som mottagaren har rätt att få med stöd av lag eller samtycke. Alltid när uppgifter lämnas ut krävs det övervägande av den personuppgiftsansvarige som lämnar ut uppgifterna och endast de nödvändigaste kunduppgifterna får lämnas ut. Den rätt som mottagaren har att få uppgifter ska basera sig på lag eller på kundens samtycke. Kunduppgifter kan lämnas ut endast i den omfattning mottagaren behöver dem för att sköta sin lagstadgade uppgift.
Exempel på detta är ett A-intyg eller B-intyg som lämnas till Folkpensionsanstalten eller ett arbetspensionsinstitut för en patients sjukdagpenning eller ett läkarutlåtande som lämnas till polisen för ansökan om körkort. Andra specificerade handlingar som medvetet har bifogats till ett intyg eller utlåtande, som till exempel en röntgenläkares utlåtande som ligger till grund för läkarens eget utlåtande, kan anslutas till utlåtandet och lämnas ut elektroniskt med det, om den som har skapat handlingen anser att det behövs.
På basis av arbetspensionslagarna har till exempel en arbetspensionsanstalt trots sekretessbestämmelserna och övriga begränsningar av erhållande av information rätt att få sådana uppgifter som den behöver för att avgöra ett ärende och sköta lagstadgade uppgifter. Arbetspensionsanstalternas rätt att få information gäller bland annat journalhandlingar, rehabilitering, hälsotillstånd, vård och arbetsförmåga som gäller den som ansöker om pension. Den informationsförmedlings- och förfrågningsservice som föreslås i denna paragraf ger den personuppgiftsansvarige inom hälso- och sjukvården möjligheten att bedöma om handlingar kan lämnas till ett arbetspensionsinstitut även om handlingen ursprungligen är avsedd för något annat ändamål. Handlingarna får dock inte innehålla mera information än vad mottagaren har rätt att få enligt lagstiftningen.
I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka slags handlingar som får förmedlas via informationsförmedlings- och förfrågningsservicen. Institutet för hälsa och välfärds föreskrifter är således av teknisk natur.
10 kap. Egenkontroll av informationssäkerhet och dataskydd
77 §. Informationssäkerhetsplan. I paragrafens 1 mom. föreskrivs det om en skyldighet för tjänstetillhandahållare, apotek, mellanhänder och Folkpensionsanstalten att utarbeta en informationssäkerhetsplan som behandlar frågor som är centrala för organisationens informationssäkerhet och dataskydd samt användningen av informationssystemen. Syftet med informationssäkerhetsplanen är att säkerställa att tjänstetillhandahållarens, apotekets, mellanhandens och Folkpensionsanstaltens personal behärskar användningen av de informationssystem som de använder och kan beakta de krav som hänför sig till sekretessbelagda kunduppgifter och informationssäkerhet. I informationssäkerhetsplanen ska dessutom beaktas frågor som gäller driftmiljö, underhåll och uppdaterande samt hur genomförandet av planen och egenkontrollen av de saker som omfattas av planen ska arrangeras. Med informationssystemets driftmiljö avses den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsovårdstjänster och behandlingen av kunduppgifter samt behandlingen av uppgifter om välbefinnande.
I 13 § i informationshanteringslagen föreskrivs det om informationshanteringsenheters skyldigheter att säkerställa informationssäkerhet, vilket också ska beaktas i informationshanteringsenheternas verksamhet. I denna lag föreslås att alla tjänstetillhandahållare inom social- och hälsovården ska vara skyldiga att ha en informationssäkerhetsplan, vilket säkerställer enhetliga förfaranden för såväl offentliga som privata tjänstetillhandahållare. Dessutom säkerställs att mellanhänder och Folkpensionsanstalten tillämpar motsvarande förfaranden.
Bestämmelser om planer för egenkontroll ingår i flera lagar om social- och hälsovård, till exempel i hälso- och sjukvårdslagen. Uppgiften om att en informationssäkerhetsplan har utarbetats enligt denna bestämmelse kan ingå i den plan för egenkontroll eller någon annan plan som ska utarbetas på basis av någon annan lag, men informationssäkerhetsplanen kan innehålla sådant som inte bör finnas med i den plan för egenkontroll som är allmänt tillgänglig. I informationssäkerhetsplanen ska finnas omfattande information och redogörelser för att säkerställa att följande krav uppfylls: att de som använder informationssystemen har den utbildning som användningen kräver (1 punkten), att det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen (2 punkten), att informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten (3 punkten), att informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten (4 punkten), att informationssystemens driftsmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet och att det sörjs för riskhanteringen i fråga om driftmiljön och informationssystemen (5 punkten), att övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd (6 punkten), att informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs för det och vars tillförlitlighet har säkerställts på det sätt som avses i 12 § i informationshanteringslagen, om personen i sina uppgifter kan behandla kunduppgifter eller annars i sina uppgifter kan äventyra funktionen hos informationssystem som är kritiska med tanke på kontinuiteten inom social- och hälsovården (7 punkten), att informationssystemen uppfyller i 84 § i propositionen föreskrivna väsentliga krav som ställs enligt systemens användningsändamål (8 punkten) och att det finns en plan för hur egenkontrollen av informationssäkerheten och dataskyddet i praktiken ska ordnas och genomföras inom tjänstetillhandahållarens och apotekets verksamhet (9 punkten).
Bestämmelserna motsvarar i övrigt 27 § i den gällande kunduppgiftslagen, men till 5 punkten har det fogats ett krav på att det ska sörjas för riskhanteringen i fråga om driftmiljön och informationssystemen. Tillägget är en del av genomförandet av artikel 14.1–6 i direktivet om nät- och informationssäkerhet i fråga om sektor 5, det vill säga hälso- och sjukvården, i bilaga II till direktivet. I direktivet förutsätts det att medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster vidtar ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder i sin verksamhet. I Finland anses många tjänstetillhandahållare inom offentlig hälso- och sjukvård vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet. I direktivet avses med nätverks- och informationssystem i praktiken alla ict-system och de digitala uppgifter som behandlas i dem, det vill säga att definitionen omfattar en större helhet än definitionen av informationssystem i den föreslagna lagen.
Med riskhantering avses lämpliga organisatoriska och tekniska åtgärder som vidtas för att säkerställa informationsnätens och informationssystemens förmåga att vid en viss tillförlitlighetsnivå motstå åtgärder som undergräver tillgängligheten, riktigheten, integriteten eller konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller hos andra tjänster som erbjuds genom eller är tillgängliga via dessa system. Riskhanteringen ska innefatta lämpliga åtgärder för att förebygga och minimera den effekt som informationssäkerhetsrelaterade störningar i de system som används vid tillhandahållandet av tjänsterna har på tjänsternas kontinuitet. Åtgärderna inom riskhanteringen kan bestå av till exempel att upprätta säkerhetsplaner, testa dessa i praktiken eller utföra kvalitetsrevisioner, använda dataskydds- och krypteringsprodukter samt iaktta vissa välkända standarder för informationssäkerhet, såsom ISO/IEC 27001:2013.
Till 7 punkten har dessutom fogats ett krav på att tillförlitligheten ska säkerställas. Syftet med ändringen är att främja en säker behandling av kunduppgifter och informationssystem genom att av tjänstetillhandahållaren kräva en redogörelse för hur den utöver yrkesskickligheten och sakkunskapen hos dem som installerar, driver och uppdaterar informationssystemen säkerställer att personen är tillförlitlig, om personen i sina uppgifter kan behandla kunduppgifter eller annars i sina uppgifter kan äventyra funktionen hos informationssystem som är kritiska med tanke på kontinuiteten inom social- och hälsovården. I punkten hänvisas det till 12 § i informationshanteringslagen, enligt vilken en informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. Uppgifterna i anslutning till installation, drift och uppdatering av känsliga informationssystem inom social- och hälsovården kan anses förutsätta tillförlitlighet, eftersom det i uppgifterna kan vara möjligt att se kunduppgifter och orsaka betydande olägenhet för tillhandahållandet av social- och hälsovårdstjänster genom att äventyra informationssystems och anslutande anordningars funktion. Det är således motiverat att föreskriva om detta på ett sätt som preciserar informationshanteringslagen. Kravet på säkerhetsutredning ska i synnerhet gälla teknisk personal med arbetsuppgifter som ansluter till driften av informationssystemen. Bestämmelsen säkerställer också enhetliga förfaranden för olika tjänstetillhandahållares verksamhet och för verksamhet som bedrivs för deras räkning. Bestämmelsen ska också gälla privata tjänstetillhandahållare och dem som handlar för deras räkning.
I paragrafens 2 mom. föreslås att det i informationssäkerhetsplanen dessutom ska redogöras för hur de särskilda dataskyddsfrågor som gäller de riksomfattande informationssystemtjänsterna har lösts när tjänstetillhandahållaren eller apoteket har anslutit sig som användare av de riksomfattande informationssystemtjänsterna.
I paragrafens 3 mom. föreslås det en bestämmelse om att Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser som ska ingå i informationssäkerhetsplanen och om kraven på redogörelserna.
78 §. Genomförande av och ansvar för egenkontroll av informationssäkerheten. I paragrafens 1 mom. förutsätts det att varje tjänstetillhandahållare inom social- och hälsovården och varje apotek aktivt ska följa upp genomförandet av informationssäkerhetsplanen. Tjänstetillhandahållaren och apoteket ansvarar för att de ärenden som gäller informationssäkerhet, dataskydd och användning och underhåll av informationssystem kontinuerligt sköts korrekt och för att dataskyddet och informationssäkerheten tillgodoses i anslutning till den tjänst som tillhandahålls. Den föreståndare som ansvarar för den yrkesmässiga verksamheten hos varje tjänstetillhandahållare och varje apotekare ska se till att en informationssäkerhetsplan som avses i 77 § utarbetas och att den iakttas. Tjänstetillhandahållare, apotek och Folkpensionsanstalten ska på eget initiativ vidta nödvändiga åtgärder om någon har behandlat kunduppgifter i strid med lagen.
I 2 mom. föreskrivs det om tjänstetillhandahållarens och apotekets rätt att vid behov utreda om personalen har använt och läst uppgifter på korrekt sätt. För uppföljning och tillsyn ska tjänstetillhandahållaren och apoteket ha rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i den informationshanteringstjänst som avses i 71 § och i den viljeyttringstjänst som avses i 72 § i detta lagförslag samt logguppgifter för den informationsresurs för egna uppgifter som avses i 73 § i lagförslaget till den del som den berörda tjänstetillhandahållarens eller det berörda apotekets anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig.
Enligt 3 mom. ska mellanhänderna och Folkpensionsanstalten följa upp genomförandet av de egna informationssäkerhetsplanerna.
Paragrafens 4 mom. behandlar utnämnandet av dataskyddsombud och är av informativ karaktär. Bestämmelser om utnämnande av dataskyddsombud och om deras uppgifter och ställning finns i dataskyddsförordningen. Enligt den kan en medlemsstat i den nationella lagstiftningen förutsätta att ett dataskyddsombud utnämns även i andra situationer än de som avses i artikel 37.1. Till exempel när det nationella handlingsutrymme som avses i artikel 9 tillämpas kan skyldigheten enligt artikel 36 fungera som skyddsåtgärd.
11 kap. Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande
79 §. Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering. I paragrafen föreskrivs det att producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Beskrivningen av ett användningsändamål ska innehålla de egenskaper hos systemet genom vilka de väsentliga krav som ställs på det enligt dess användningsändamål uppfylls.
I paragrafens 2 mom. föreskrivs det om klassificeringen av informationssystemen, som gäller de informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar. Informationssystemen för social- och hälsovården och välbefinnandeapplikationer delas enligt deras användningsändamål och egenskaper in i klasserna A och B. Till klass A hör de Kanta-tjänster som Folkpensionsanstalten själv förvaltar, såsom till exempel den riksomfattande informationsresursen för kunduppgifter, informationshanteringstjänsten och viljeyttringstjänsten, de informationssystem som används av tjänstetillhandahållare inom social- och hälsovården samt de välbefinnandeapplikationer som är avsedda att anslutas till Kanta-tjänsterna antingen direkt eller via informationsförmedlingsservicen (1 och 2 punkten).
Enligt 3 punkten hör till klass A också sådana andra informationssystem som i fråga om sitt användningsändamål kräver certifiering. Till klass A hör således även övriga sådana informationssystem vars användningsändamål kräver certifiering. Dessa system kan till exempel innefatta olika sådana system som tillhandahåller tjänster för social- och hälsovårdens informationssystem som så kallade molntjänster (Saas, PaaS, IaaS), om verksamheten innebär betydande risker vad gäller dataskyddet eller informationssäkerheten eller sådana system som uppfyller kriterierna för klass B och vars användningsändamål är så pass kritiskt att det behövs certifiering eller allmänna ärendehanteringssystem som används inom socialservice på motsvarande sätt som ett kunduppgiftssystem och som även kan anslutas till de riksomfattande informationssystemtjänsterna via en teknisk informationsförmedlingsservice.
Enligt 4 punkten hör också tjänster tillhandahållna av mellanhänder till klass A. Klass A anses därmed också omfatta sådan informationsförmedlingsservice som används för anslutning av ett informationssystem till de riksomfattande informationssystemtjänsterna och för överföring av uppgifter i ett informationssystem som används av en tjänstetillhandahållare inom social- och hälsovården till de riksomfattande informationssystemtjänsterna.
I 3 mom. föreslås det att andra informationssystem än de som räknas upp i 2 mom. ska höra till klass B. Eftersom både sådana välbefinnandeapplikationer som ansluts till informationsresursen för egna uppgifter och sådana som ansluts till den riksomfattande informationsresursen för kunduppgifter hör till klass A, och det med välbefinnandeapplikation enligt definitionen i denna lag avses endast välbefinnandeapplikationer som ansluts till de riksomfattande informationssystemtjänsterna, ingår inga välbefinnandeapplikationer alls i klass B. Sådana applikationer som gäller välbefinnande och som inte är avsedda att anslutas till de riksomfattande informationssystemtjänsterna omfattas inte av tillämpningsområdet för denna lag.
Informationssystemen i klass B ska vara sådana som varken direkt eller via en informationsförmedlingsservice är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientdatasystem hör till klass B, trots att patientdatasystemet registrerar laboratorieresultaten senare i den riksomfattande informationsresursen för kunduppgifter.
I paragrafens 4 mom. föreslås det att Institutet för hälsa och välfärd på basis av bestämmelserna i 2 och 3 mom. ska avgöra till vilken klass ett informationssystem hör om det råder oklarhet om klassificeringen i ett enskilt fall. Dessutom får Institutet för hälsa och välfärd meddela närmare föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer.
80 §. Registrering av informationssystem och välbefinnandeapplikationer. Producenten av en informationssystemtjänst ska enligt 1 mom. göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem innan de tas i användning för produktion av tjänster. Tillverkaren av en välbefinnandeapplikation ska på motsvarande sätt göra en anmälan om en välbefinnandeapplikation. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål samt kontaktperson framgå. Uppgift om kontaktpersonen behövs särskilt när tillverkaren av informationssystemet är ett företag som inte är registrerat i Finland och inte har ett finländskt FO-nummer. Anmälan ska vidare innehålla en utredning och intyg över att de väsentliga kraven enligt användningsändamålet uppfylls. Bestämmelser om väsentliga krav som ställs på informationssystem finns i 84 § i lagförslaget. Producenten av en informationssystemtjänst ska göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården även när versionsstödet för ett informationssystem som är avsett att användas för produktion av tjänster upphör eller om informationssystemet övergår till en annan producent av en informationssystemtjänst. Att versionsstödet för ett informationssystem har upphört betyder till exempel att producenten av informationssystemtjänsten inte längre utvecklar versionen i fråga och inte tillhandahåller tekniskt stöd för driften av den. Om producenten av en informationssystemtjänst är någon annan än tillverkaren av informationssystemet, ska också producenten av informationssystemtjänsten framgå av anmälan.
I paragrafens 2 mom. föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som anmälts till verket och som uppfyller kraven. Registret ska innehålla aktuella uppgifter om de informationssystem och välbefinnandeapplikationer som används för produktion av tjänster, deras användningsändamål och de väsentliga krav som de uppfyller (1 punkten). I registret ska även lagras uppgifter om resultaten av interoperabilitetstestningen av de informationssystem och välbefinnandeapplikationer som hör till klass A och som har godkänts för att användas i produktion av tjänster (2 punkten) samt om giltighetstiden för det intyg som utfärdats enligt en bedömning av informationssäkerhet (3 punkten). Dessutom ska registret innehålla information om en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion av tjänster, medan avvikelsen varar. På basis av registret kan de som anskaffar och använder ett informationssystem kontrollera att de informationssystem som de ska skaffa eller som de använder är ändamålsenliga.
Enligt 3 mom. får Tillstånds- och tillsynsverket för social- och hälsovården vid behov meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.
81 §. Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster. I paragrafens 1 mom. föreslås det att ett informationssystem eller en välbefinnandeapplikation som hör till klass A ska få tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna när systemet eller applikationen har genomgått den av Folkpensionsanstalten koordinerade interoperabilitetstestningen och när bedömningsorganet för informationssäkerhet har beviljat ett intyg över bedömning av informationssäkerhet, det vill säga när informationssystemet eller välbefinnandeapplikationen har certifierats i enlighet med 85 §.
Enligt 2 mom. får ett informationssystem eller en välbefinnandeapplikation inte tas i användning för produktion av tjänster, om det inte finns giltiga uppgifter om systemet eller applikationen i det i 80 § 2 mom. avsedda register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om intyget över bedömning av informationssäkerheten har gått ut. En ny förutsättning för att ett informationssystem som hör till klass A ska få tas i användning för produktion av tjänster är också att interoperabilitetstestningen har godkänts i fråga om de gällande kraven på interoperabilitet som motsvarar systemets användningsändamål. Bestämmelsen gör det således möjligt att förhindra nya ibruktaganden av sådana informationssystem på vilka kraven enligt denna lag eller i bestämmelser som utfärdats med stöd av den inte har uppfyllts inom utsatt tid. Syftet med bestämmelsen är att säkerställa att kraven uppfylls inom utsatt tid och att sådana versioner av informationssystem inte kan spridas för användning för vilka kraven inte har uppfyllts.
i 3 mom. ingår en ny bestämmelse, enligt vilken en välbefinnandeapplikation inte får tas i användning för produktion av tjänster om den inte motsvarar det användningsändamål för främjande av hälsa och välfärd som avses i 84 § och som är en förutsättning för att kraven på funktionalitet ska uppfyllas. Syftet är att förhindra att applikationer som klart strider mot användningsändamålet för främjandet av hälsa och välfärd ansluts till informationsresursen för egna uppgifter och på så sätt säkerställa att informationsresursen för egna uppgifter och de tillhörande välbefinnandeapplikationerna bildar en högklassig och trovärdig helhet. Användningsändamålet med en välbefinnandeapplikation ska anmälas till Tillstånds- och tillsynsverket för social- och hälsovården i samband med registreringen av välbefinnandeapplikationen. Huruvida användningsändamålet kan godkännas kan således bedömas i samband med registreringen och vid behov kan andra tillsynsmetoder användas för att hindra ibruktagandet. Folkpensionsanstalten kan förhindra att en välbefinnandeapplikation som strider mot ett godtagbart användningsändamål ansluts till informationsresursen för egna uppgifter.
82 §. Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer. Att informationssystemet fungerar och används korrekt behöver följas upp även efter ibruktagandet. Enligt bestämmelsen ska producenten av en informationssystemtjänst aktivt genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Om uppföljningen visar att det har gjorts betydande avvikelser från uppfyllandet av de väsentliga kraven, ska avvikelserna anmälas till samtliga tjänstetillhandahållare och apotek som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Samtidigt ska producenten och välbefinnandeapplikationens tillverkare ge anvisningar om de åtgärder som ska vidtas i fråga om avvikelserna. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
Producenten av en informationssystemtjänst ska även ge akt på eventuella ändringar i de väsentliga krav som ställs på informationssystemen och vid behov justera och korrigera informationssystemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Bestämmelsen om detta finns i 2 mom. Väsentliga ändringar i informationssystem och välbefinnandeapplikationer ska anmälas till Tillstånds- och tillsynsverket för social- och hälsovården. Av informationssystem och välbefinnandeapplikationer som hör till klass A förutsätts det dessutom att de ändringar som producenten gör ska meddelas till bedömningsorganet för informationssäkerhet och att väsentliga ändringar i informationssystem och välbefinnandeapplikationer som har anslutits till de riksomfattande informationssystemtjänsterna ska meddelas också till Folkpensionsanstalten. På basis av dessa meddelanden kan bedömningsorganet bedöma och vid behov också utreda huruvida ändringarna har konsekvenser för informationssäkerheten. I samband med detta föreskrivs det också att det vid behov ska utfärdas ett nytt intyg över bedömning av informationssäkerhet eller göras en ny interoperabilitetstestning, om ändringarna är betydande eller om de väsentliga kraven på informationssäkerheten har ändrats på så sätt att ett nytt godkännande förutsätts.
På basis av 3 mom. ska producenten av en informationssystemtjänst i minst fem år efter att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster bevara de uppgifter som gäller interoperabilitet och informationssäkerhet och andra uppgifter som tillsynen kräver. Syftet med bevarandeskyldigheten är att säkerställa att det till exempel i eventuella situationer som i efterhand kräver utredning av dataskyddet fortfarande finns tillräcklig information om informationssystems och välbefinnandeapplikationers överensstämmelse med kraven samt om de ändringar som har gjorts i dem. Bestämmelsen föreslås gälla alla informationssystem oberoende av klass.
På basis av bemyndigandet i 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om vilka avvikelser som enligt lagen ska anses vara betydande och hur anmälningarna om dessa ska göras till användarna av informationssystemen och välbefinnandeapplikationerna, bedömningsorganet för informationssäkerhet, Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
12 kap. Väsentliga krav på informationssystem och välbefinnandeapplikationer
83 §. Allmänna skyldigheter för producenter av informationssystemtjänster och tillverkare av informationssystem samt tillverkare av välbefinnandeapplikationer. I paragrafen föreslås det bestämmelser om de allmänna skyldigheterna för producenter av informationssystemtjänster och tillverkare av informationssystem inom social- och hälsovården. Begreppet producent av informationssystemtjänst ska i detta sammanhang tolkas brett så att det även avser ett företag eller en person som samlar ihop en informationssystemhelhet av flera olika delar som tillhandahålls kunden. Producenten av en informationssystemtjänst ska också kunna verka på uppdrag av en utländsk tillverkare av informationssystem i egenskap av den instans i Finland som ansvarar för uppfyllandet och verifieringen av kraven. En tillverkare av ett informationssystem ska enligt 1 mom. alltid själv ansvara för planeringen och tillverkningen av ett informationssystem för social- och hälsovården. Detta ansvar är inte beroende av huruvida producenten genomför dessa åtgärder själv eller anlitar underleverantörer eller andra instanser för dessa tjänster och åtgärder. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen.
Enligt 2 mom. ska producenten av en informationssystemtjänst utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen.
Enligt 3 mom. får dessa uppgifter som ges tillsammans med informationssystemet lämnas till tjänstetillhandahållaren på finska, svenska eller engelska. De anvisningar och andra uppgifter som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska.
Utöver vad som anges ovan förutsätts det i 4 mom. att tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter, till exempel så som föreskrivs i rådets förordning 2017/745 om medicintekniska produkter. Syftet med kvalitetssystemen är att säkerställa att det inte finns några sådana problem med eller brister hos produkten som beror på planeringen eller genomförandet. Ett ändamålsenligt kvalitetssystem som beaktar användningsändamålet och beaktar kritiskt innehåll kan dessutom främja avhjälpandet av de brister som har upptäckts. Kvalitetssystemet kan vara detsamma som det kvalitetssystem som krävs för medicintekniska produkter, om informationssystemet eller en del av det eller en välbefinnandeapplikation är en medicinteknisk produkt.
84 §. Väsentliga krav på informationssystem och välbefinnandeapplikationer. Enligt 1 mom. ska ett informationssystem eller en välbefinnandeapplikation som används vid behandling av kunduppgifter uppfylla de väsentliga krav på funktionalitet, interoperabilitet, informationssäkerhet och dataskydd som ställs enligt systemets användningsändamål. En välbefinnandeapplikation ska även uppfylla tillgänglighetskraven. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.
Kraven på informationssäkerhet och dataskydd tryggar tillgodoseendet av kundens rättigheter vid behandlingen av personuppgifter och garanterar till exempel att uppgifterna registreras och bevaras oförändrade i alla de olika situationer där de används. Behandlingen och utlämnandet av uppgifterna ska dessutom ske så att sekretessbelagda uppgifter inte kan behandlas av någon annan än de personer som enligt lagstiftningen har rätt att göra detta.
Med interoperabilitet avses informationssystemens förmåga att utbyta information och att utnyttja sådan information. Enligt definitionen ska systemen också ha teknisk och datainnehållsmässig interoperabilitet med de andra informationssystemen inom social- och hälsovården, det vill säga vara semantiskt interoperabla, om dessa använder samma uppgifter i sina egna processer. Tack vare datainnehållets interoperabilitet kan datainnehållet tolkas enhetligt i alla organisationer. Ett system som är avsett att fungera tillsammans med ett annat informationssystem ska vara interoperabelt med de andra informationssystem som är avsedda att anslutas till det. Interoperabiliteten är en förutsättning för att uppgifterna behandlas korrekt och kan överföras mellan informationssystemen.
Informationssäkerheten hänför sig delvis till den interoperabilitet som behandlas ovan, eftersom syftet med informationssäkerheten är att säkerställa uppgifternas integritet och oförvanskade form och dessutom deras tillgänglighet och användbarhet. Syftet med dataskyddet är i sin tur att sörja för att konfidentiella och sekretessbelagda kunduppgifter behandlas endast inom lagstiftningens gränser.
Kraven på informationssystemens funktionalitet definierar vad informationssystemet gör och hur. Kraven på funktionaliteten innefattar bland annat hur informationssystemet ska kommunicera med dess miljö och hur användarna ska arbeta med informationssystemet. Denna funktionalitet innefattar dessutom informationssystemets användbarhet.
De välbefinnandeapplikationer som ska anslutas till informationsresursen för egna uppgifter ska uppfylla tillgänglighetskraven på det sätt som förutsätts i Europaparlamentets och rådets direktiv (2016/2102), eftersom det är fråga om applikationer som en myndighet har godkänt för anslutning till informationsresursen för egna uppgifter. Uppfyllandet av tillgänglighetskraven säkerställer befolkningens möjligheter att utnyttja välbefinnandeapplikationerna på ett jämlikt sätt.
Enligt 2 mom. ska de informationssystem som tjänstetillhandahållare och apotek använder till sitt användningsändamål svara mot tjänstetillhandahållarnas och apotekens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarnas och apotekens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. De väsentliga kraven gör det möjligt att ställa både allmänna och tjänstespecifika minimikrav på informationshanteringen hos de tjänstetillhandahållare som producerar olika typer av tjänster. De olika tjänsternas behov av informationshantering kan då tillgodoses på ett ändamålsenligt sätt eftersom informationssystemlösningarna motsvarar de enskilda tjänsternas behov.
Enligt 3 mom. uppfyller ett informationssystem de väsentliga kraven när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet, dataskydd, interoperabilitet och funktionalitet och de bestämmelser och föreskrifter som utfärdats med stöd av lagarna.
Av informationssystem inom social- och hälsovården förutsätts det också att kraven på funktionalitet uppfylls. Med funktionalitet avses i detta sammanhang att informationssystemet är lämpligt för det användningsändamål för vilket det marknadsförs. Det ska kunna realisera alla de funktioner som gäller användningsändamålet och som förutsätts i lagarna och i de övriga bestämmelserna. Till exempel ett informationssystem som används för att göra upp elektroniska recept ska ha alla de egenskaper som krävs enligt receptlagen. Även informationssystemets användbarhet är en del av funktionaliteten. Detta innebär att användarna av informationssystemet genom de anvisningar och den utbildning som de får ska kunna använda informationssystemet eller programmen på det sätt som tillverkaren av informationssystemet har avsett och anvisat.
I paragrafens 4 mom. föreskrivs det om normgivningsbemyndiganden. Enligt förslaget ska Institutet för hälsa och välfärd meddela närmare föreskrifter om innehållet i de väsentliga kraven. Genom föreskrifterna kan det säkerställas att de informationssystem och välbefinnandeapplikationer som används uppfyller lagarnas krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Vid beredningen av en föreskrift ska Institutet för hälsa och välfärd höra berörda intressentgrupper i enlighet med principerna om god förvaltning. Innan föreskrifter meddelas ska det i enlighet med riktlinjerna i statsrådets principbeslut LVM/2021/44 begäras ett utlåtande om kraven på informationssäkerhet och förfarandena för verifiering av kraven på informationssäkerhet av Transport- och kommunikationsverkets cybersäkerhetscenter. De väsentliga kraven och föreskrifterna om dem ska godkännas i god tid innan de krav som dessa innehåller träder i kraft. Producenterna av informationssystemtjänster samt tillverkarna av informationssystem och välbefinnandeapplikationer ska dessutom reserveras en tillräcklig och skälig tid för uppfyllandet av kraven och visandet av överensstämmelsen med kraven.
85 §. Påvisande av överensstämmelse med kraven. I paragrafens 1 mom. föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska påvisa att informationssystemet eller välbefinnandeapplikationen uppfyller de väsentliga kraven. Enligt 1 mom. ska visandet av att ett informationssystem eller en välbefinnandeapplikation i klass A överensstämmer med kraven basera sig på tre olika delområden. Dessa gäller funktionalitet, interoperabilitet samt dataskydd och informationssäkerhet. Producenten av ett informationssystem och tillverkaren av en välbefinnandeapplikation ansvarar för certifieringen av informationssystemet eller välbefinnandeapplikationen.
Kraven på funktionalitet ska påvisas genom att producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämnar en utredning om att informationssystemet eller välbefinnandeapplikationen uppfyller alla de krav som gäller funktionaliteten. Uppfyllandet av kraven på interoperabilitet ska påvisas genom samtestning som organiseras av Folkpensionsanstalten. De närmare bestämmelserna om samtestningen finns i 86 § i lagförslaget. Uppfyllandet av kraven på informationssäkerhet och dataskydd ska däremot visas genom att bedömningsorganet för informationssäkerhet beviljar ett intyg på basis av en bedömning av informationssäkerheten. Bedömningen av informationssäkerheten görs i enlighet med lagen om bedömningsorgan för informationssäkerhet och bestämmelserna i den föreslagna kunduppgiftslagen. Bestämmelser om bedömning informationssäkerhet finns i 87 § i lagförslaget.
I paragrafens 2 mom. föreslås det att överensstämmelsen med kraven i fråga om de informationssystem som hör till klass B ska kunna visas genom ett lättare förfarande än det som gäller informationssystemen i klass A. Ett informationssystem i klass B kan tas i bruk efter det att producenten av informationssystemtjänsten har gett en skriftlig utredning om att informationssystemet uppfyller de föreskrivna väsentliga kraven. Informationssystemet ska uppfylla de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, underhållits och använts på behörigt sätt.
Enligt 3 mom. ska producenten av en informationssystemtjänst svara för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Producenten av informationssystemtjänsten ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet.
Enligt 4 mom. får Institutet för hälsa och välfärd meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Det förfarande som ska iakttas vid påvisande av överensstämmelsen med kraven innefattar också hur producentens utredning ska delges användarna av informationssystemen och myndigheterna. Dessutom får Folkpensionsanstalten meddela föreskrifter om förfarandena för att verifiera att de informationssystem som ska anslutas till Kanta-tjänsterna är interoperabla med Kanta-tjänsterna och de övriga informationssystem som är anslutna till dessa. I praktiken ska detta genomföras genom samtestning av informationssystemen.
Närmare föreskrifter än de som finns i lag behövs särskilt för de utredningar av påvisande av överensstämmelse med kraven som producenten ska ge för de informationssystem som hör till klass B.
86 §. Interoperabilitetstestning. I 1 mom. föreskrivs det att informationssystem och välbefinnandeapplikationer som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten och med övriga informationssystem som hör till klass A. Interoperabiliteten ska visas genom interoperabilitetstestning. Genom denna testning visas att ett nytt eller ändrat informationssystem är interoperabelt med övriga informationssystem som är anslutna till de riksomfattande informationssystemtjänsterna.
Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. En förutsättning för att få delta i testning är att producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämnar en redogörelse för att informationssystemet eller välbefinnandeapplikationen uppfyller alla krav som gäller funktionalitet. I redogörelsen måste också kunna visas att uppfyllandet av kraven på funktionalitet har konstaterats genom användningstest. Tidpunkten för testningen och de praktiska arrangemangen ska avtalas med Folkpensionsanstalten som ansvarar för testningen.
I paragrafens 2 mom. föreslås det att alla informationssystem som hör till klass A och som används för produktion av tjänster ska genomgå interoperabilitetstestning även i fortsättningen. Syftet med testningen uppfylls inte om det nya informationssystemet endast testas i förhållande till de system som förvaltas av Folkpensionsanstalten. Därför är det viktigt att även andra informationssystem som redan används i produktionen av tjänster tas med i testningen. Eftersom informationssystemen utvecklas kontinuerligt, gagnar dessa interoperabilitetstestningar även de äldre system som är med i testningen. Alla informationssystem som används i produktionen av tjänster behöver dock inte vara med i alla testningar, och därför ska Folkpensionsanstalten besluta vilka informationssystem som ska tas med i respektive testning. De producenter av informationssystem som deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ska på basis av interoperabilitetstestningen ge ett intyg över uppfyllelsen av kraven på interoperabilitet när kraven har verifierats.
I paragrafens 3 mom. föreskrivs det att de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten och de informationssystem som hör till klass A och som inte ansluts till de riksomfattande informationssystemtjänsterna inte behöver genomgå en separat samtestning som en del av påvisandet av uppfyllandet av de väsentliga kraven, med undantag för gränssnittet för professionellt bruk, som ska tas med i samtestningen. Interoperabiliteten hos de system som förvaltas av Folkpensionsanstalten visas vid de samtestningar som utförs med de andra informationssystemen.
87 §. Bedömning av informationssäkerhet. På basis av förslaget i 1 mom. kan bedömningsorganet för informationssäkerhet utföra uppgifter i anknytning till bedömningen av informationssäkerheten i fråga om de informationssystem och välbefinnandeapplikationer som hör till klass A. Bedömningen skiljer sig från de övriga bedömningar av informationssäkerhet som görs enligt lagen om bedömningsorgan för informationssäkerhet så att man inom social- och hälsovården endast ska bedöma de informationssystem och välbefinnandeapplikationer som hör till klass A. Ändamålsenligheten i fråga om verksamhetslokalerna för producenten av informationssystemtjänsten eller tillverkaren av informationssystemet eller för användaren ska således varken bedömas eller inspekteras. Bedömningen av informationssystemet görs på basis av en ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation.
I paragrafens 2 mom. föreskrivs det om utfärdandet av intyg över bedömning av informationssäkerhet. Om ett sådant informationssystem eller en sådan välbefinnandeapplikation som hör till klass A och som berörs av en ansökan som lämnats till bedömningsorganet för informationssäkerhet på behörigt sätt uppfyller de väsentliga kraven på informationssäkerhet, ska bedömningsorganet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport.
I praktiken ska verifiering av informationssäkerhetskraven dock förutsätta att informationssäkerhetskraven bedöms först i fråga om en sådan version av informationssystemet som utifrån den av Folkpensionsanstaltens samordnade interoperabilitetstestningen håller på att tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna. Om informationssäkerheten bedöms i fråga om tidigare versioner, är det möjligt att systemet ändras under interoperabilitetstestningen på ett sätt som förutsätter ny bedömning. Situationen med tanke på förnyande och underhåll av intyget över informationssäkerhet klarläggs av att ett positivt yttrande om interoperabilitetstestningen inte är ett absolut villkor för utfärdande av intyg, eftersom det kan bli behövligt att förnya intyget över informationssäkerhet också när inga ändringar som påverkar interoperabiliteten och som förutsätter interoperabilitetstestning har gjorts i systemet.
Omfattningen av bedömningen ska dock alltid motsvara systemets användningsändamål. Bedömningen av informationssäkerheten kan i enlighet med finansministeriets informationssäkerhetsanvisning för applikationsutveckling VAHTI 1/2013 Sovelluskehityksen tietoturvaohje innehålla förutom administrativ och arkitekturauditering även teknisk auditering, där det tekniskt verifieras att informationssäkerhetskontrollen fungerar. I synnerhet välbefinnandeapplikationer som behandlar kunduppgifter bör genomgå teknisk auditering, eftersom de inte är en del av den lagstadgade verksamheten för tjänstetillhandahållarna inom social- och hälsovård, och sålunda inte omfattas av tjänstetillhandahållarnas egenkontroll eller tillsynen över social- och hälsovårdstjänster. Med hjälp av teknisk auditering av informationssäkerheten är det möjligt att säkerställa att klient- och patientuppgifter behandlas informationssäkert och samtidigt göra det möjligt för medborgarna att använda olika välbefinnandeapplikationer som det har säkerställts att är informationssäkra i syfte att främja välbefinnandet.
I paragrafens 3 mom. föreskrivs det att ett beviljat intyg över bedömning av informationssäkerhet är i kraft högst tre år. Bedömningsorganet kan besluta att intyget ska vara i kraft en kortare tid, om det på grund av informationssystemets eller välbefinnandeapplikationens utvecklingsfas eller en planerad revidering av de väsentliga kraven som är känd eller andra motsvarande faktorer är uppenbart att informationssystemet eller välbefinnandeapplikationen inte kommer att uppfylla de väsentliga informationssäkerhetskraven i tre år utan betydande ändringar. Bedömningsorganet kan förlänga giltigheten för intyget. Detta kan göras för högst tre år i sänder. När förlängningen av giltigheten för intyget bedöms, får bedömningsorganet avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget.
Till övriga delar än de som anges ovan ska på utfärdande av intyg över bedömning av informationssäkerhet tillämpas de bestämmelser och förfaranden som finns i 9 § i lagen om bedömningsorgan för informationssäkerhet.
88 §. Anmälningsskyldighet för Folkpensionsanstalten och bedömningsorgan för informationssäkerhet. I paragrafens 1 mom. föreskrivs det att ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla i 87 § avsedda intyg över överensstämmelse med kraven som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Enligt förslaget ska en motsvarande anmälningsskyldighet för Folkpensionsanstalten fogas till momentet, det vill säga Folkpensionsanstalten ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, bedömningsorganet för informationssäkerhet och Institutet för hälsa och välfärd om alla i 86 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Tillägget stärker tillgången till information om situationen för de väsentliga kraven på informationssystemen som helhet för de aktörer som ansvarar för tillsynen och styrningen samt för verifieringen av kraven på informationssäkerhet. Med bedömningsorganet för informationssäkerhet, till vilket Folkpensionsanstalten ska göra en anmälan, avses det bedömningsorgan för informationssäkerhet som producenten av den informationssystemtjänst som anmälan gäller använder vid bedömningen av kraven på sitt informationssystem.
I paragrafens 2 mom. föreskrivs det att bedömningsorganet på begäran av Tillstånds- och tillsynsverket för social- och hälsovården dessutom ska ge verket all ytterligare information som behövs för tillsynen över de informationssystem och välbefinnandeapplikationer för vilka bedömningsorganet har utfärdat intyg över bedömning av informationssäkerhet.
13 kap. Övervakning av informationssystem
89 §. Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja överensstämmelsen med kraven i fråga om informationssystemen och välbefinnandeapplikationerna inom social- och hälsovården. Tillsynen enligt lagen kompletterar den övriga tillsyn över social- och hälsovården som utövas av Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket, vars syfte är att säkerställa att tjänstetillhandahållarna följer bestämmelserna.
Bestämmelser om metoderna för genomförandet av tillsynen föreslås i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner i syfte att verkställa tillsynen. För att uppfylla syftet med inspektionen får den utföras utan förhandsanmälan. För genomförandet av inspektionerna har den som utför en inspektion rätt att få tillträde till alla lokaler där tillverkare av informationssystem, producenter av informationssystemtjänster, mellanhänder och tjänstetillhandahållare eventuellt förvarar uppgifter som är viktiga för bedömningen av informationssystemens överensstämmelse med kraven. Detta kan gälla till exempel verksamhetslokaler, arkiv och andra motsvarande utrymmen för tillverkare av informationssystem samt alla de lokaler som används av tjänstetillhandahållarna inom social- och hälsovården. Inspektionsrätten ska dock inte gälla sådana lokaler som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har Tillstånds- och tillsynsverket för social- och hälsovården rätt att få behövlig handräckning av polisen i enlighet med 9 kap. 1 § 1 mom. i polislagen (872/2011).
Bestämmelser om utförandet av inspektioner finns i 3 mom. Den som utför inspektionen har rätt att få se alla de handlingar som behövs för att utföra inspektionen. Inspektören har också rätt att få kopior av de handlingar som han eller hon anser behövs. De lokaler som inspekteras får också fotograferas.
På basis av 4 mom. ska det föras protokoll över inspektionen. Den som är föremål för inspektionen ska få en kopia av protokollet inom 30 dagar från det att inspektionen utfördes. På basis av kopian får den som utför inspektionen detaljerade uppgifter om inspektionen och de observationer som har gjorts vid den. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara det ursprungliga inspektionsprotokollet i tio år efter det att inspektionen avslutades.
90 §. Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i informationssäkerheten avseende informationsnät. I paragrafen föreskrivs om aktörernas skyldighet anmäla om avvikelser från de väsentliga kraven på informationssystem och välbefinnandeapplikationer samt om störningar i informationssäkerheten avseende informationsnät. Det föreslagna 1 mom. motsvarar bestämmelsen i den gällande kunduppgiftslagen. Det föreslås att det till paragrafen fogas bestämmelser genom vilka artikel 14.3–6 i direktivet om nät- och informationssäkerhet genomförs i fråga om sektor 5, det vill säga hälso- och sjukvården, i bilaga II till direktivet. I direktivet förutsätts det att medlemsstaterna ska säkerställa att leverantörer av samhällsviktiga tjänster vidtar ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder i sin verksamhet. I Finland anses många tjänstetillhandahållare inom offentlig hälso- och sjukvård vara sådana leverantörer av samhällsviktiga tjänster som avses i direktivet. I direktivet avses med nätverks- och informationssystem i praktiken alla ict-system och de digitala uppgifter som behandlas i dem, det vill säga att definitionen omfattar en större helhet än definitionen av informationssystem i den föreslagna lagen. Den nya regleringen kompletterar den tidigare regleringen, särskilt i fråga om informationsnäten. För att fastställa om en avvikelse är betydande ska hänsyn tas framför allt till antalet användare som påverkas av störningen i den centrala tjänsten, avvikelsens varaktighet och hur stort geografiskt område som påverkas av avvikelsen.
Direktivet gäller endast den offentliga hälso- och sjukvården, men det är motiverat att samtidigt utveckla regleringen och förfarandena också i anslutning till störningar i informationssäkerheten i fråga om socialvårdens och apotekens driftmiljöer och informationsnät.
Bestämmelser om informationssäkerheten för informationssystem och behandlingen av avvikelser i informationssäkerheten har funnits redan tidigare inom social- och hälsovården, men i den föreslagna paragrafen utvidgas regleringen genom skyldigheter i enlighet med direktivet om nät- och informationssäkerhet till att också gälla informationsnät, det vill säga en central del av informationssystemens driftsmiljö.
Enligt paragrafens 1 mom. ska en tjänstetillhandahållare eller ett apotek som konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem ska underrätta producenten av informationssystemtjänsten om saken. Om avvikelsen i informationssystemet eller välbefinnandeapplikationen kan innebära en betydande risk för klient- och patientsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten, tillverkaren av informationssystemet, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Till exempel en tjänstetillhandahållare kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som denna har upptäckt. Även andra instanser eller aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Momentet innehåller en hänvisning till artikel 33 i dataskyddsförordningen, där det föreskrivs om anmälan av personuppgiftsincidenter till dataombudsmannen.
I 2 mom. föreskrivs det om skyldigheten för en tjänstetillhandahållare, ett apotek, Folkpensionsanstalten och en producent av en informationssystemtjänst eller en tillverkare av ett informationssystem eller en mellanhand utan dröjsmål ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som avsevärt kan äventyra användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster. Förslaget utvidgar således anmälningsskyldigheterna i anslutning till störningar i informationssäkerheten förutom till informationssystemen även till informationssystemens driftsmiljöer och informationsnäten. Med störning i informationssäkerheten avses en händelse med faktisk negativ inverkan på säkerheten för systemen i fråga. Definitionen motsvarar definitionen av incident i direktivet om nät- och informationssäkerhet. En störning som leder till att användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster avsevärt kan äventyras ska anses vara betydande. I momentet föreskrivs det också om rätten för Institutet för hälsa och välfärd att meddela närmare föreskrifter om innehållet i och utformningen av den anmälan som avses i paragrafen samt om hur den ska lämnas in. Bemyndigandet att meddela föreskrifter överensstämmer med de övriga bemyndiganden för Institutet för hälsa och välfärd att meddela föreskrifter som gäller till exempel kraven i anslutning till informationssäkerhetsplanen och avvikelser i informationssystemen. I föreskriften kan det utfärdas närmare bestämmelser om till exempel när en störning i informationssäkerheten ska anses vara betydande och om i vilken form uppgifterna ska lämnas.
I 3 mom. föreskrivs det om möjligheten för Tillstånds- och tillsynsverket för social- och hälsovården att ålägga tjänstetillhandahållaren, apoteket, Folkpensionsanstalten och producenten av informationssystemtjänsten, tillverkaren av informationssystemet eller mellanhanden att informera allmänheten om sådana avvikelser eller störningar i anslutning till informationssäkerheten som avses i 1 och 2 mom. eller, efter att ha hört den anmälningspliktiga, själv informera om dem.
I 4 mom. föreslås en skyldighet för Tillstånds- och tillsynsverket för social- och hälsovården att bedöma om en sådan avvikelse eller störning i anslutning till informationssäkerheten som avses i 1 och 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna om störningen. Avsikten är att säkerställa att när en störning har gränsöverskridande konsekvenser i Europeiska unionen och Tillstånds- och tillsynsverket för social- och hälsovården anser att en annan medlemsstat behöver informeras om störningen, får de medlemsstater som berörs av störningen information om den. Anmälan kan göras till exempel när en störning gäller gränsöverskridande utlämnande av kunduppgifter eller när en störning i informationssäkerheten kan gälla också informationssystem eller informationsnät som används av andra länder.
91 §. Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information för tillsyn. Enligt bestämmelsen ska Tillstånds- och tillsynsverket för social- och hälsovården ha rätt att för tillsynen över informationssystemen och välbefinnandeapplikationerna inom social- och hälsovården få all nödvändig information av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag som de bestämmelser och beslut som med stöd av denna lag meddelats om riksomfattande informationssystem gäller. Informationen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna.
92 §. Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Informationssystemen och välbefinnandeapplikationerna inom social- och hälsovården är produkter som besitter synnerligen mångahanda, invecklade och olika egenskaper. Den inspekterande myndigheten kan i sin tjänst inte ha sådana experter som behärskar alla olika egenskaper hos informationssystemen. Tillsynen förutsätter dock alltid en experts bedömning och därför föreslås det i 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att från fall till fall använda utomstående experter som biträden vid bedömning av informationssystem och välbefinnandeapplikationer. De utomstående experterna får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem och välbefinnandeapplikationer, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur.
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav som följer av 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. I enlighet med grundlagsutskottets praxis är det inte längre nödvändigt att på grund av 124 § i grundlagen ta in den hänvisning till allmänna förvaltningslagar som ingick i den tidigare klientuppgiftslagen i lagar som gäller överföring av offentliga förvaltningsuppgifter, eftersom de allmänna förvaltningslagarna med stöd av sina bestämmelser om tillämpningsområde, myndighetsdefinition eller kraven för en enskild att tillhandahålla språkliga tjänster också tillämpas på enskilda när de fullgör offentliga förvaltningsuppgifter (se till exempel GrUU 5/2014 rd, s. 4, GrUU 23/2013 rd, s. 3/II, GrUU 10/2013 rd, s. 2/II, GrUU 37/2010 rd, s. 5/I, GrUU 13/2010 rd, s. 3/II, GrUU 42/2005 rd, s. 3/II).
Utomstående experter ska ha möjlighet att se sekretessbelagda kunduppgifter när de inspekterar informationssystem, om inspektionen inte kan utföras korrekt utan tillgång till sekretessbelagda uppgifter. Bestämmelser om sekretess, tystnadsplikt och förbud mot utnyttjande i fråga om klientuppgifter inom social- och hälsovården finns i 4 och 5 § i den föreslagna lagen. Bestämmelserna om behandling av kunduppgifter ska dock tillämpas endast när användningsändamålet för behandlingen av kunduppgifter att ordna och tillhandahålla social- och hälsovårdstjänster. Den föreslagna lagen innehåller bestämmelser om sekretess och tystnadsplikt för ordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen. De experter som avses i 92 § i den föreslagna kunduppgiftslagen eller Tillstånds- och tillsynsverket för social- och hälsovården har dock inte till uppgift att ordna eller tillhandahålla social- och hälsovård, och på deras verksamhet ska med stöd av bestämmelserna om lagens tillämpningsområde således inte bestämmelserna i fråga tillämpas.
Enligt 2 § 1 mom. i offentlighetslagen bestäms det i offentlighetslagen om rätten att ta del av myndigheternas offentliga handlingar samt om tystnadsplikt för den som är verksam vid en myndighet, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling och bestäms om myndigheternas skyldigheter för att lagens syfte ska nås. Enligt lagens 4 § 2 mom. i den lagen gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Lagens tillämpning på privata personer är beroende av bland annat om deras offentliga uppgifter innebär utövning av offentlig makt. I 23 § 1 mom. i offentlighetslagen föreskrivs om tystnadsplikt i fråga om sekretessbelagda uppgifter för den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag. Enligt 2 mom. i den paragrafen gäller vad som bestäms i 1 mom. om tystnadsplikt i fråga om sekretessbelagda uppgifter även bland annat den som verkar på uppdrag av en myndighet eller den som är anställd hos den som utför ett myndighetsuppdrag.
Med stöd av vad som anförts ovan ska det anses att sekretessbestämmelserna i den föreslagna lagen inte ska tillämpas på de experter som avses i 92 §. Däremot blir offentlighetslagens 23 § om tystnadsplikt tillämplig på utomstående experter som sköter uppgifter på uppdrag av Tillstånds- och tillsynsverket för social- och hälsovården utför uppgifter. Det rekommenderas emellertid att Tillstånds- och tillsynsverket för social- och hälsovården ingår uppdragsavtal med utomstående experter som verket anlitar, där man också kommer överens om sekretess och tystnadsplikt. Utomstående experter bör dessutom avge en utfästelse om sekretess och tystnadsplikt.
93 §. Föreläggande att fullgöra skyldigheter. I paragrafen föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att genom sitt beslut förelägga producenten av en informationssystemtjänst och tillverkaren av ett informationssystem, tillverkaren av en välbefinnandeapplikation eller en mellanhand eller Folkpensionsanstalten att fullgöra sin skyldighet enligt den föreslagna lagen lag, om denna har underlåtit att fullgöra sina skyldigheter enligt den föreslagna lagen i fråga om informationssystemen eller användningen av dem. Bestämmelsen behövs för att tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att säkerställa efterlevnaden av lagen. En av tillsynsmyndighetens basuppgifter är att ingripa om lagens bestämmelser inte iakttas. Om myndighetens uppmaning inte följs, ska Tillstånds- och tillsynsverket för social- och hälsovården ha en möjlighet att ålägga den berörda att iaktta lagen inom en viss tid. Bestämmelsen omfattar alla de förpliktelser i lagen som gäller informationssystem eller användningen av dem. I dataskyddsärenden är dock dataombudsmannen behörig med stöd av dataskyddslagen.
94 §. Skyldigheter avseende informationssystem och välbefinnandeapplikationer som är i bruk. Om ett informationssystem eller en välbefinnandeapplikation inte uppfyller de väsentliga kraven, ska producenten av informationssystemtjänsten eller tillverkaren av informationssystemet i regel på eget initiativ vidta korrigerande åtgärder. Utöver detta har Tillstånds- och tillsynsverket för social- och hälsovården enligt 1 mom. i den föreslagna bestämmelsen en möjlighet att i samband med den i 89 § avsedda övervakningen och inspektionen av informationssystemen och välbefinnandeapplikationerna ålägga producenten av en informationssystemtjänst eller tillverkaren av ett informationssystem eller tillverkaren av en välbefinnandeapplikation att avhjälpa de brister som gäller de informationssystem och välbefinnandeapplikationer som används för produktion av tjänster, om det finns skäl att misstänka att producenten eller tillverkaren inte annars vidtar de åtgärder som behövs för att korrigera informationssystemet.
Enligt 2 mom. ska Tillstånds- och tillsynsverket för social- och hälsovården få förbjuda användningen av ett informationssystem eller en välbefinnandeapplikation, om det inte har korrigerats inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett och om systemet kan äventyra klient- eller patientsäkerheten. Förbudsrätten gäller även de situationer där dataskyddet för sekretessbelagda klient- och patientuppgifter har äventyrats. Förbudet ska kunna vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Folkpensionsanstalten kan dessutom stänga förbindelsen till de riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet utomstående system eller verksamheten hos en organisation som använder dem kan äventyra den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.
Enligt 3 mom. får Tillstånds- och tillsynsverket för social- och hälsovården ålägga producenten av informationssystemtjänsten, tillverkaren av välfärdsapplikationen eller en av någon av dessa befullmäktigad representant att informera om förbud och förelägganden som gäller användningen av informationssystemet eller välbefinnandeapplikationen för produktion av tjänster. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma hur informerandet ska ske och den tid inom vilken det ska informeras om saken. Syftet med skyldigheten är att säkerställa att tjänstetillhandahållarna känner till bristerna i informationssystemen och välbefinnandeapplikationerna och begränsningarna i fråga om användningen.
95 §. Ändringssökande. Enligt 1 mom. får ändring i ett beslut som har meddelats i samband med en inspektion inte sökas utan att omprövning av föreläggandet först begärs hos Tillstånds- och tillsynsverket för social- och hälsovården. Därefter konstateras som en informativ hänvisning att bestämmelser om begäran om omprövning finns i förvaltningslagen (434/2003). Det är inte nödvändigt att föreskriva särskilt om den myndighet som behandlar begäran om omprövning eller om tidsfristen för omprövningsbegäran när den är 30 dagar, eftersom dessa överensstämmer med huvudregeln om omprövningsförfarande i 7 a kap. förvaltningslagen, och det är skäl att i möjligaste mån undvika överlappande reglering med de allmänna bestämmelserna.
I 49 b § i förvaltningslagen föreskrivs det om begäran om omprövning och besvärsförbud. Enligt den paragrafen får omprövning begäras av den som ett beslut avser eller den vars rätt, skyldighet eller fördel direkt påverkas av beslutet. I 46 § i förvaltningslagen föreskrivs det bland annat om att det ska ges en anvisning om begäran om omprövning samtidigt som beslutet meddelas.
I 2 mom. föreskrivs det om sökande av ändring i beslut som Tillstånds- och tillsynsverket för social- och hälsovården fattat med stöd av den föreslagna lagen genom att av informativa orsaker hänvisa till lagen om rättegång i förvaltningsärenden (808/2019). Den lagen reglerar som allmän lag besvär över förvaltningsärenden, och i enlighet med dess 6 § får ett förvaltningsbeslut överklagas genom besvär. Därigenom är det inte nödvändigt att separat nämna de beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat i denna föreslagna paragraf. Med beslut avses ett åläggande enligt 90 § 3 mom. för en tjänstetillhandahållare, ett apotek, Folkpensionsanstalten, en producent av informationssystemtjänster eller en tillverkare av informationssystem eller en mellanhand att informera allmänheten om störningar i anslutning till informationssäkerheten samt ett förbud enligt 94 § mot att använda ett informationssystem eller en välbefinnandeapplikation eller åläggande att informera om förbud eller ålägganden som gäller användningen av ett informationssystem eller en välbefinnandeapplikation för produktion av tjänster. Uttrycket i 6 § i lagen om rättegång i förvaltningsärenden täcker också beslut som fattats med anledning av omprövningsbegäran. I 107 § i lagen om rättegång i förvaltningsärenden föreskrivs det att förfarandet med besvärstillstånd ska vara huvudregel. Förfarandet motsvarar också det som föreskrivs i till exempel lagen om medicintekniska produkter.
Enligt 3 mom. ska de beslut som fattas av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av lagen iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.
96 §. Vite. Enligt förslaget kan skyldigheterna i lagen förenas med vite i enlighet med vad som föreskrivs i viteslagen (1113/1990). Bestämmelser om motsvarande förfarande finns i lagen om medicintekniska produkter.
AVDELNING III. Särskilda bestämmelser och ikraftträdande
14 kap. Särskilda bestämmelser
97 §. Styrning, övervakning och uppföljning. I paragrafens 1 mom. föreskrivs det att social- och hälsovårdsministeriet ansvarar för den allmänna strategiska planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, de riksomfattande informationssystemtjänsterna och informationshanteringen i anslutning därtill samt för finansieringen av informationshanteringsprojekt som hänför sig till utvecklandet av de riksomfattande informationssystemtjänsterna och andra informationshanteringsprojekt som social- och hälsovårdsministeriet ansvarar för. Dataombudsmannen ansvarar dock för tillsynen över att behandlingen av personuppgifter är lagenlig. Ministeriets ansvar motsvarar då det ansvar som det även i övrigt har för den riksomfattande planeringen och styrningen av social- och hälsovården. Ministeriets allmänna behörighet inom styrningen innefattar även att sörja för informationssystemens interoperabilitet vid verkställandet av informationshanteringen inom social- och hälsovården.
Enligt 2 mom. ska Institutet för hälsa och välfärd svara för planeringen, samordnandet av de datastrukturer som används i olika informationssystem och informationsresurser, styrningen och uppföljningen när det gäller den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt när det gäller utförandet och användningen av de riksomfattande informationssystemtjänster som avses i 65 § i lagförslaget och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden. Med behandlingen av kunduppgifter och informationshanteringen i anslutning därtill avses till exempel undersökningar som gäller uppföljning och utvärdering av informationssystemtjänsterna inom social- och hälsovården, vilka Institutet för hälsa och välfärd har genomfört redan under flera års tid. Undersökningsverksamheten behöver också utvidgas i takt med att lösningarna inom informationshanteringen, inklusive de riksomfattande informationssystemtjänsterna, utvidgas. Med hjälp av undersökningar får man information om till exempel utnyttjandet av de riksomfattande informationssystemtjänsterna och om hur kundbesöken och serviceverksamheten inom social- och hälsovården påverkas.
I paragrafens 3 mom. föreskrivs det att dataombudsmannen, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde ska styra och övervaka efterlevnaden av denna lag i enlighet med sin behörighet. Uppgifterna för Tillstånds- och tillsynsverket för social- och hälsovården i anslutning till övervakningen av informationssystemen har i den föreslagna lagen samlats i ett eget kapitel, det vill säga att Tillstånds- och tillsynsverket för social- och hälsovården övervakar de skyldigheter som åläggs informationssystemen och välbefinnandeapplikationerna samt tillverkarna och producenterna av dem, inklusive mottagning av störningsanmälningar som gäller informationssäkerheten i driftsmiljöer och informationsnät samt uppgifter i anslutning till informering. Tillsynen över apoteken, inklusive sjukhusapoteken, är Säkerhets- och utvecklingscentret för läkemedelsområdets uppgift, det vill säga att centret ska övervaka behandlingen av kunduppgifter och utövandet av de ansvar som hänför sig till den, såsom skyldigheter i anslutning till tillsynen över användningen och informationssäkerhetsplanen samt användningen av informationssystemen på apoteken. På motsvarande sätt fördelas tillsynen över tjänstetillhandahållare, det vill säga tillsynen enligt denna lag över de krav som ställs på behandlingen av kunduppgifter, på handlingar, informationssäkerhetsplaner och användningen av informationssystem på Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket enligt vad som föreskrivs någon annanstans i lag.
98 §. Samarbete som gäller elektronisk informationshantering inom social- och hälsovården. Enligt paragrafen ska social- och hälsovårdsministeriet se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag. Avsikten är också att utveckla den verksamhet som bedrivs genom samarbete så att den styr verksamheten på ett strategiskt och föregripande sätt. De som använder de riksomfattande informationssystemtjänsterna och andra intressentgrupper ska ha möjlighet att påverka i sådana frågor som är viktiga för dem vid utvecklingen och genomförandet av de riksomfattande informationssystemtjänsterna. Frågor som är väsentliga vid utvecklingen av informationssystemtjänsterna är till exempel deltagandet i beredningen av bestämmelser, anvisningar och förelägganden i anknytning till genomförandet av informationssystem, prioriteringen av utvecklingen av de riksomfattande informationssystemen, främjandet av interoperabiliteten och utvecklingen av tjänsteanvändarnas informationssystem samt uppföljningen av utvecklingen av genomförandet, ekonomin och andra resurser i fråga om de riksomfattande informationssystemtjänsterna och utvecklingen av användaravgifter. Bestämmelsen binder inte sättet att ordna samarbetet. För att främja samarbetet och tjänsteanvändarnas samt andra intressentgruppers påverkningsmöjligheter kan social- och hälsovårdsministeriet sammankalla arbetsgrupper eller andra samarbetsorgan.
Statsrådet kan tillsätta delegationer eller andra samarbetsorgan som behövs för det samarbete som avses i 1 mom. När statsrådet tillsätter ett samarbetsorgan kan statsrådet samtidigt besluta om delegationens eller samarbetsorganets uppgifter, mandatperiod och medlemmar.
Enligt 3 mom. ska Folkpensionsanstalten se till att det kring den produktionsverksamhet som gäller de riksomfattande informationssystemtjänsterna har ordnats samarbetsformer och samarbetsförfaranden med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten, det vill säga leverantörer av klient- och patientdatasystem och apotekssystem, regionala ict-tjänsteproducenter, mellanhänder och andra myndigheter. Bestämmelsen främjar samarbetet med intressentgrupper i anslutning till produktionsverksamheten och ökar transparensen och öppenheten i verksamhet som finansieras med avgifter enligt 99 § 1 mom.
99 §. Avgifter. I paragrafens 1 mom. föreslås det att användningen av de riksomfattande informationssystemtjänster enligt 65 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska vara avgiftsbelagd för tjänstetillhandahållarna och apoteken. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den.
I paragrafens 2 mom. föreslås det att Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata årligen ska lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för användningsavgifterna för de följande fyra åren. Dessutom ska Folkpensionsanstalten lämna en uppskattning av investeringsplanerna för de följande fyra åren. På så vis blir det möjligt att fördela kostnaderna för investeringar i anslutning till förvaltandet av tjänsterna över flera år och säkerställa att kostnaderna för ett enskilt år inte blir oskäligt höga för tjänstetillhandahållarna. I anskaffningsskedet kan investeringar finansieras ur statsbudgeten och genom avskrivningar faktureras tjänstetillhandahållarna och apoteken retroaktivt, vilket gör det möjligt att fördela kostnaderna över flera år. Det ska vara möjligt att utfärda avgiftsförordningen för flera år åt gången, vilket gör det möjligt för tjänstetillhandahållarna och apoteken att förutsäga avgifterna.
I paragrafens 3 mom. föreslås det att producenten av informationssystemet svarar för kostnaderna för att visa överensstämmelse med kraven. Det föreslås att det ska vara avgiftsbelagt för producenter av informationssystemtjänster att anmäla sig till Folkpensionsanstaltens i 86 § avsedda interoperabilitetstestning. Registrering och införande av en i 80 § i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagt. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. Folkpensionsanstalten har redan tidigare haft möjlighet att ta ut en avgift för inteoperabilitetstestningen enligt självkostnadsvärdet. Eftersom den arbetsmängd och de kostnader som krävs för interoperabilitetstestningen varierar är det ändamålsenligt att fastställa en enhetlig och skälig avgift för dem som anmäler sig till testning. Arbetsmängden är exempelvis större vid den första testningen av en ny funktion i ett informationssystem än vid en senare testning. Dessutom skulle den avgift som tas ut för testningen i sista hand öka kostnaderna för tjänstetillhandahållarna, om kostnaderna för testningen i sin helhet skulle tas ut av producenterna av informationssystemtjänster. Den avgift som tas ut i samband med anmälan kan uppmuntra producenter av informationssystemtjänster att anmäla sig till testningen först när informationssystemet har tillräckliga kvalifikationer och sannolikheten för att testningen ska lyckas är god.
100 §. Straffbestämmelser. I paragrafen föreskrivs det om att det för brott mot skyldigheterna enligt vissa bestämmelser i den föreslagna lagen ska dömas ut böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag.
I 1 mom. föreslås det att vissa sätta att bryta mot lagens materiella bestämmelser ska vara straffbara med brottsrubriceringen förseelse mot bestämmelserna om behandling av kunduppgifter inom social- och hälsovården.
Straffbestämmelsen ska gälla bestämmelserna i 2, 8 och 9 kap. i lagen. Dessa kapitel gäller behandling av kunduppgifter, utlämnande av kunduppgifter och riksomfattande informationssystemtjänster.
Straffbestämmelsen i det föreslagna 1 mom. är av så kallad blancotyp, där brottsrekvisitet utgörs av den materiella bestämmelse som överträds och av själva straffbestämmelsens brottsrekvisit. Den straffrättsliga legalitetsprincipen ställer följande villkor för straffbestämmelser av blancotyp: 1) det finns relevanta hänvisnings- och bemyndigandekedjor mellan bestämmelserna, 2) den materiella beteendenorm som det är straffbart att överträda är skriven så att den är noggrant avgränsad, 3) själva straffbestämmelsen innehåller någon slags karakterisering av den straffbara gärningen och 4) beteendenormerna innehåller en hänvisning till att gärningen är straffbar.
Det första gärningssättet är enligt 1 mom. 1 punkten i den föreslagna paragrafen brott mot identifieringsskyldigheten i 8 § 1 mom. i lagförslaget.
Det andra gärningssättet är enligt 1 mom. 2 punkten att i strid med 8 kap. i lagförslaget lämna ut kunduppgifter utan kundens tillstånd eller samtycke eller utan lagstadgad rätt.
Det tredje gärningssättet är enligt 1 mom. 3 punkten brott mot skyldigheten att informera enligt 68 § 1 mom. i lagförslaget.
Vid sidan av villkoren för respektive gärningssätt förutsätter straffbarheten dessutom att förfarandet äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt. Det är fråga om brottsrekvisit som förutsätter så kallad konkret risk, vilket i princip är ett motiverat sätt att begränsa straffbarhet.
Straff för gärningarna eller försummelserna förutsätter uppsåt eller grov oaktsamhet. Genom straffbestämmelsen betonas att de personer som har åtkomst till kunduppgifter kan behandla uppgifterna endast när de har kundens samtycke till det eller någon annan uttrycklig rätt som baserar sig på lag. Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen.
15 kap. Ikraftträdande och övergångsbestämmelser
101 §. Ikraftträdande. Lagen avses träda i kraft så snart som möjligt efter det att den har antagits. Genom lagen upphävs den gällande kunduppgiftslagen samt lagen om klienthandlingar inom socialvården.
De bevarandetider som avses i bilagan ska tillämpas också på handlingar som upprättats före lagens ikraftträdande, dock med beaktande av vad statsarkivet, arkivverket och Riksarkivet särskilt har bestämt om arkivering av handlingar. Bevarandetiderna för journalhandlingar är i regel desamma som i den gällande bestämmelsen. Till den del bevarandetiden har förkortats grundar sig förkortningen på det uppskattade bevarandebehovet som baserar sig på ändamålet med handlingen, och därför är det motiverat att tillämpa bevarandetider på alla journalhandlingar. Detsamma gäller också klienthandlingar inom socialvården.
102 §. Övergångsbestämmelser. Med hjälp av övergångsbestämmelserna tryggas en tillräcklig tid för genomförande av de nya krav som följer av lagen. De krav som förutsätter en övergångsperiod hänför sig till de riksomfattande informationssystemtjänsterna inklusive tidsfrister för att föra in klient- och patientuppgifter. I övergångsbestämmelserna bevaras de övergångsbestämmelser som ingår i den gällande kunduppgiftslagen till den del som deras tidsfrist är efter den 1 januari 2024. Genom övergångstiderna anges en tidpunkt när alla tjänstetillhandahållare senast ska genomföra ändringarna i sina informationssystem och sin verksamhet eller när ändringarna ska vara genomförda i de riksomfattande informationssystemtjänsterna.
Enligt 1 mom. ska bestämmelserna om rätt att få uppgifter mellan socialvården och hälso- och sjukvården i enlighet med 53 § genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026. En övergångstid behövs för att det ska vara möjligt att genomföra utlämnandet av uppgifterna i de riksomfattande informationssystemtjänsterna både på basis av samtycke och på basis av den rätt att få uppgifter som avses i 53 §, när uppgifterna kan fås utan kundens samtycke. Övergångsperioden gäller endast riksomfattande informationssystemtjänster. Tjänstetillhandahållarna kan tillgodose rätten att få uppgifter i sin egen verksamhet genom att utnyttja sina egna informationssystem eller på något annat sätt, så det behövs ingen övergångstid. Informationen om kundens samtycke kan föras in i tjänstetillhandahållarens eget informationssystem, så den rätt att få uppgifter som baserar sig på samtycke kan tillgodoses redan innan genomförandet av de riksomfattande informationssystemtjänsterna är klart.
Enligt 2 mom. ska det i 59 § 2 mom. avsedda förbudet som gäller alla patientuppgifter och företagshälsovården tas i bruk senast den 1 januari 2024.
I 3 mom. föreslås en övergångsperiod för antecknandet i patientregistret av patientuppgifterna inom den hälso- och sjukvård som ges i samband med socialservice. Övergångsperioden är till och med den 1 oktober 2026, och den är densamma som skyldigheten att börja föra in patientuppgifterna i fråga i den riksomfattande informationsresursen för kunduppgifter. Övergångsperioden behövs för genomförandet av eventuella ändringar i informationssystemen så att det informationssystem som används för tjänsterna i fråga uppfyller kraven i enlighet med systemets användningsändamål.
I 4 mom. föreslås en övergångsbestämmelse om utlämnande av patientuppgifter enligt 60 § till utländska tjänstetillhandahållare via de riksomfattande informationssystemtjänsterna. Övergångsperioden föreslås vara fram till den 1 januari 2025.
I 5 mom. föreslås övergångsbestämmelser om skyldigheten för tjänstetillhandahållare inom socialvården att ansluta sig till de riksomfattande informationssystemtjänsterna. En offentlig tjänstetillhandahållare eller en tjänstetillhandahållare som handlar för en offentlig tjänstetillhandahållares räkning ska ansluta sig senast den 1 september 2024. För privata tjänstetillhandahållare som producerar tjänster enbart på basis av avtal som tjänstetillhandahållaren har ingått med kunderna ska tidsfristen vara den 1 januari 2026. Bestämmelsen möjliggör dock en senare tidpunkt för anslutning i situationer där tidsfristen enligt 7 mom. för att föra in de handlingar som tjänstetillhandahållaren producerat infaller senare än dessa tidpunkter för anslutningsskyldigheten. Om tjänsteproducenten exempelvis endast tillhandahåller tjänster inom barnskyddet eller missbrukarvården behöver den inte ansluta sig förrän skyldigheten att föra in uppgifter börjar.
Det föreslås att 6 mom. ska innehålla tidsfrister för när man i de riksomfattande informationssystemtjänsterna ska börja spara sådana patientuppgifter som inte ännu har behövt sparas i samband med att tjänstetillhandahållarna inom hälso- och sjukvården har anslutit sig eller inom ramen för tidigare föreskrivna tidsfrister.
Enligt 1 punkten i momentet ska de handlingar som skolpsykologer upprättar börja sparas senast den 1 mars 2025. Övergångsperioden behövs eftersom skolpsykologerna vid kommunala läroanstalter överförs till välfärdsområdenas organiseringsansvar den 1 januari 2023, och det behövs tillräckligt med tid för genomförande av utvecklingen av registreringspraxisen och informationssystemen.
I 2 punkten i momentet föreslås en övergångsperiod enligt den gällande kunduppgiftslagen för de handlingar vars tidsfrist är den 1 oktober 2026. Det är fråga om journalhandlingar i anslutning till hälso- och sjukvårdstjänster som tillhandahålls i samband med socialservice, handlingar över tidsbeställningar, handlingar i fråga laboratorieresultat på basis av screeningundersökningar samt intyg som utfärdas för andra myndigheter: intyg och blanketter som anknyter till körhälsa, intyg och blanketter som anknyter till olycksfall och anmälan av yrkessjukdom, läkarutlåtanden om hälsotillstånd (T-intyg), läkarintyg (TOD), läkarintyg C och dödsattest.
I 3 punkten i momentet föreslås en övergångsperiod enligt den gällande kunduppgiftslagen för de handlingar vars tidsfrist för sparande är den 1 oktober 2029. Det är fråga om dagliga anteckningar om vårdarbetet samt olika sorts bildmaterial och uppgifter som anknyter till bilddiagnostiska undersökningar: handlingar som anknyter till radiologisk screening, uppgifter om strålningsexponering vid undersökningar som producerats med medicintekniska produkter, video- och ljudupptagningar samt bilder för synligt ljus, bilder tagna av enheter för mun- och tandvård och andra bilder.
Bilder för synligt ljus är till exempel fotografier, ögonbottenbilder och synfältsbilder. Till videoupptagningar hör andra än radiologiska upptagningar, till exempel så kallade multi frame-bildserier av så kallade ultraljudsbilder och bilder som tas av patologiska provglas. Tidsfristen för upptagningar som anknyter till radiologisk screening ska överföras till denna helhet, eftersom de riksomfattande informationssystemtjänsterna har bedömts ha beredskap för att ta emot dessa bilder först 2025, och det ska reserveras tillräckligt med tid för tjänstetillhandahållarnas genomförande. Lagstadgade bilddiagnostiska undersökningar som utförs som screening är mammografiundersökningar. Andra bilder kan vara till exempel illustrationer som utarbetats av yrkesutbildade personer inom hälso- och sjukvården, när de behöver sparas med tanke på vården.
Det föreslås att 7 mom. ska innehålla tidsfrister för när skyldigheten att spara klientuppgifter inom socialvården börjar gälla. De handlingar som upprättas inom basservicen, det vill säga i samband med serviceuppgifter för barnfamiljer, personer i arbetsför ålder och äldre personer ska sparas från och med anslutningsskedet. Efter att tidsfristen för anslutningen har löpt ut ska övergångsperioderna löpa ut enligt serviceuppgift med ett halvt års mellanrum så att handlingar som uppkommer i serviceuppgifter inom barnskyddet och skolkuratorstjänster ska börja sparas senast den 1 mars 2025, handlingar som uppkommer i serviceuppgifter inom funktionshinderservicen senast den 1 september 2025, handlingar som uppkommer i serviceuppgifter inom missbrukarvården senast den 1 mars 2026 och handlingar som uppkommer i serviceuppgifter inom familjerättsliga tjänster senast den 1 september 2026.
Eftersom anslutningsskyldigheten för privata tjänstetillhandahållare i fråga om socialservice som baserar sig på avtal som ingåtts med klienten är den 1 januari 2026, ska tjänstetillhandahållaren i samband med anslutningen börja spara andra handlingar än sådana som uppkommer i serviceuppgifter inom missbrukarvården. Övergångsperioden för familjerättsliga serviceuppgifter gäller inte privata tjänstetillhandahållare, eftersom det är en offentlig tjänstetillhandahållare som svarar för ordnandet av tjänsterna i fråga.
I 8 mom. föreslås en tidsfrist inom vilken de uppgifter om välbefinnande som förts in i informationsresursen för egna uppgifter ska kunna lämnas ut till tjänstetillhandahållarna. Tidsfristen är fram till den 1 januari 2026. Tidsfristen ska förlängas jämfört med den i den gällande kunduppgiftslagen för att Folkpensionsanstalten ska kunna genomföra de ändringar som behövs i informationsresursen för egna uppgifter inom samma tidtabell som tjänstetillhandahållarna.
I 9 mom. föreslås det bestämmelser om när kunduppgifter som sparats i de riksomfattande informationssystemtjänsterna senast ska börja lämnas ut till personer som använder välbefinnandeapplikationer med hjälp av välbefinnandeapplikationer. Övergångstiden för patientuppgifter är fram till den 1 december 2024, så tidsfristen föreslås bli förlängd med ett år jämfört med den gällande kunduppgiftslagen. I fråga om recept som lagras i receptcentret är övergångstiden dock fram till den 1 oktober 2027. Övergångsperioden är således densamma som för när den nationella läkemedelslistan ska tas i bruk enligt receptlagen. Med tanke på patient- och medicineringssäkerheten är det viktigt att utlämnandet av uppgifter till välbefinnandeapplikationerna inleds först efter att läkemedelslistan har tagits i bruk, när receptuppgifterna i receptcentret har uppdaterats. Det föreslås ingen tidsfrist alls för utlämnande av klientuppgifter inom socialvården, utan Folkpensionsanstalten kan genomföra funktionaliteten inom tidtabellen för när dessa uppgifter behöver fås via välbefinnandeapplikationerna.