Regeringens proposition
RP
300
2018 rd
Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås det att det stiftas en ny lag om elektronisk behandling av kunduppgifter inom social- och hälsovården samt lagar om behövliga ändringar i vissa andra lagar. Genom den nya lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården. Den föreslagna lagen baserar sig till största delen på den gällande lagen, dock så att lagen får en tydligare och mer konsekvent struktur, skrivning och terminologi.  
Inom hälso- och sjukvården har man övergått till att använda riksomfattande elektroniska informationssystemtjänster. De föreslagna ändringarna gör det möjligt att införa riksomfattande informationssystemtjänster i socialvården.  
Lagförslaget innehåller de för social- och hälsovården behövliga bestämmelserna om informationshantering. Det föreslås att det breda samtycket inom hälso- och sjukvården slopas. En kund kan förbjuda att personuppgiftsansvariga inom social- och hälsovården lämnar ut hans eller hennes uppgifter till varandra. För att kunduppgifter inom social- och hälsovården ska få behandlas förutsätts en kund- eller vårdrelation som säkerställts datatekniskt. Tjänstetillhandahållaren bestämmer vilka åtkomsträttigheter yrkesutbildade personer inom social- och hälsovården har till kunduppgifterna.  
Det föreslås i propositionen att innehållet i de riksomfattande informationssystemtjänsterna utvidgas så att kunden själv i datalagret för egna uppgifter kan föra in uppgifter om sitt eget välbefinnande eller information som olika välbefinnandeapplikationer producerat. Uppgifterna om välbefinnande ska vara tillgängliga för yrkesutbildade personer, som kan använda uppgifterna på ett datatekniskt tillförlitligt sätt utifrån kundens samtycke. En kund ska kunna befullmäktiga en annan person att använda elektroniska tjänster för sin räkning. 
Det föreslås att receptarkivet slopas i lagen om elektroniska recept. I fortsättningen ska det endast finnas ett receptcenter där uppgifterna förs in och där de förvaras. Grunden för behandling av uppgifter förenhetligas i enlighet med den föreslagna kunduppgiftslagen. 
I propositionen beaktas EU:s allmänna dataskyddsförordning (EU) 2016/679.  
Lagarna avses träda i kraft den 1 mars 2019. 
En del av lagändringarna tillämpas dock först efter en övergångsperiod.  
ALLMÄN MOTIVERING
1
Nuläge
1.1
Allmänt
Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen), trädde i kraft den 9 februari 2007. Syftet med den är att vid elektronisk behandling av klientuppgifter inom social- och hälsovården främja genomförandet och användningen av de riksomfattande informationssystemtjänsterna, dataskydd och informationssäkerhet samt informationssystemens interoperabilitet och funktionalitet genom bestämmelser om principer för och tillsyn över dessa frågor. 
Klientuppgiftslagen och annan lagstiftning om elektroniska tjänster inom social- och hälsovården i anslutning till den, särskilt lagen om elektroniska recept (61/2007), har varit ytterst visionär vid främjandet av den finländska kundorienterade digitaliseringen, dataintegrationen och enhetliga verksamhetsmodeller, men samtidigt målinriktad när det gäller konkreta åtgärder. I klientuppgiftslagen anges aktörernas ansvar vad gäller såväl behandlingen av känsliga personuppgifter som produktionen av informationssystemtjänster. Efter ikraftträdandet 2007 har lagen på grund av förändringar i verksamhetsmiljön, informationsteknikens utveckling och ändringar i annan lagstiftning ändrats i större utsträckning 2010, 2013 och 2015.  
Verkställigheten av klientuppgiftslagen har krävt investeringar. Investeringar har gjorts både på ett riksomfattande och ett regionalt plan för utvecklande och införande av informationssystem samt för ett kontinuerligt upprätthållande av de funktionskritiska operativa system som krävs för verksamhet dygnet runt inom social- och hälsovården. I Finland har det upprättats en nationell helhet bestående av informationssystem och verksamheter som enligt internationella bedömningar är exceptionellt progressiv, dvs. riksomfattande informationssystemtjänster, som även kallas hälsoarkivstjänster eller Kanta-tjänster. Folkpensionsanstalten har i enlighet med klientuppgiftslagen tekniskt genomfört riksomfattande tjänster i samverkan med andra aktörer. De viktigaste av dessa är Tillstånds- och tillsynsverket för social- och hälsovårdens register över yrkesutbildade personer inom social- och hälsovården, Institutet för hälsa och välfärds kodtjänst och Befolkningsregistercentralens certifikattjänster och elektroniska tjänster för medborgarna, särskilt när det gäller fullmakter och ärenden som sköts för annans räkning. Utvecklandet av tjänster inom ramen för de riksomfattande informationssystemtjänsterna har dessutom förutsatt samverkan mellan regionala och riksomfattande aktörer när det gäller att trygga kontinuiteten i datakommunikationslösningarna, dataskyddet, informationssäkerheten och den störningsfria verksamheten.  
Behandlingen av känsliga och sekretessbelagda uppgifter i informationssystemen förutsätter att alla parter kan lita på att de tekniskt komplicerade, integrerade informationssystem som används följer lagstiftningen och uppfyller alla informationssäkerhetskrav när det gäller principer, tekniska lösningar och utförande. Med tanke på användarna behöver de integrerade informationssystemen dessutom vara interoperabla och uppfylla kraven på praktisk funktionalitet. 
Klientuppgiftslagen har bestämmelser om väsentliga krav och förfaranden när det gäller dataskydd, informationssäkerhet, interoperabilitet och funktionalitet i fråga om informationssystemen inom social- och hälsovården. Likaså har verksamhetsenheterna inom hälso- och sjukvården en föreskriven skyldighet att utarbeta en plan för egenkontroll. Med hjälp av en informationssäkerhetsplan är det möjligt att sörja för dataskydd och informationssäkerhet när elektroniska informationssystem används. Leverantörerna av informationssystem och de organisationer som använder systemen måste se till att dessa kriterier uppfylls. Dessutom måste ett utomstående, objektivt bedömningsorgan godkänna informationssystem som ansluts till de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar. 
Inom hälso- och sjukvården har man redan länge genomfört riksomfattande informationssystemtjänster (Kanta-tjänster), som omfattar elektroniska recept och riksomfattande elektroniskt arkiv över journalhandlingar (arkiveringstjänst) och i anslutning till dessa en läkemedelsdatabas, ett medborgargränssnitt (tjänsten Mina Kanta-sidor) och patientens informationshanteringstjänst. Dessa utgör tillsammans Kanta-tjänsterna. Inom socialvården bereds just nu ibruktagandet av ett riksomfattande arkiv för klientuppgifter. 
Kunder och användare i de Kanta-tjänster som genomförts utifrån klientuppgiftslagen är för närvarande Finlands hela offentliga hälso- och sjukvård och apoteksverksamhet och en omfattande del av den privata hälso- och sjukvården. I patientuppgiftsarkivet har sparats över en miljard handlingar. Elektroniska recept har varit obligatoriska sedan 2017 och i och med detta är behandlingen av recept inom hälso- och sjukvården och på apoteken digital. År 2017 sparades i receptcentret närmare 32 miljoner elektroniska recept och över 61 miljoner expedieringar. I exempelvis projekt som delvis finansieras av EU bereds för närvarande ett globalt gränsöverskridande genomförande av elektroniska recept, och Estland är det första land man samarbetar med. Varje månad görs över 1,4 miljoner inloggningar på medborgargränssnittet, dvs. på tjänsten Mina Kanta-sidor.  
Statsminister Sipiläs regeringsprogram 
I programmet för statsminister Juha Sipiläs regering sägs följande i fråga om hälsa och välfärd:  
Finländarna mår bättre och upplever att de klarar sig i olika livsskeden. Var och en upplever sig kunna påverka, göra egna val och ta ansvar. Inom social- och hälsovården betonas förebyggande verksamhet, vårdkedjorna fungerar smidigt, personalen mår bra och informationssystemen fungerar. 
Social- och hälsovårdens informationssystem förenhetligas inom de områden som ansvarar för ordnandet av tjänsterna, och den övergripande arkitekturen utvecklas. Genomförandet av den övergripande arkitekturen övervakas på nationell nivå i syfte att säkerställa samverkan i den nationella servicekanalen. 
De strategiska målen gäller hälsa och välfärd, sysselsättning, konkurrenskraft och tillväxt, utbildning och kompetens, bioekonomi och ren teknik samt ändring av verksamhetssätten t.ex. genom att främja digitalisering och avveckla onödig reglering och byråkrati. 
Enligt de riktlinjer som regeringen offentliggjorde i april 2016 krävs inom reformen av social- och hälsovården utöver integration av ordnandet, finansieringen, servicekedjorna och produktionen även integration av informationen. Integration av informationen innebär att informationen rör sig mellan olika tjänsteproducenter. Vid vertikal integration kopplas service på olika nivå samman. Exempelvis utgör vårdkedjor där en patient övergår från den specialiserade sjukvården till primärvård och rehabilitering vertikal integration. Vid horisontell integration samordnas service på samma nivå till helheter, t.ex. en helhet bestående av primärvård och socialvård. Samtidigt som servicen integreras bör också informationen förflytta sig från en form av service till en annan. Det är meningen att man ska kunna minska kostnaderna med hjälp av integration. 
Utnyttja social- och hälsovårdsinformationen - strategi fram till 2020 
Social- och hälsovårdsministeriet har utarbetat en strategi för elektronisk informationshantering inom social- och hälsovården. Strategin stöder ett socialt hållbart samhälle i enlighet med den social- och hälsopolitiska strategin. Strategin har utarbetats i brett samarbete med allmänheten, social- och hälsovårdsorganisationer, olika ministerier och Finlands Kommunförbund. Dessutom har man vid utarbetandet av strategin bl.a. beaktat strategin Ett socialt hållbart Finland, den offentliga förvaltningens ICT-strategi, tillväxtstrategin för forskning och innovation inom hälsobranschen, strategin för intelligent teknik, genomstrategin och big data-strategin. 
Målet för strategin är att genom förbättrad informationshantering och fler elektroniska tjänster stödja en reform av social- och hälsovården och medborgarnas egen aktivitet när det gäller att upprätthålla det egna välbefinnandet. För att målen ska nås är det viktigt att kunna utnyttja social- och hälsovårdsinformationen som stöd för välbefinnandet och den reformerade servicen och förädla den till kunskap som gynnar såväl servicesystemet som den enskilda medborgaren. 
I strategin sägs det att social- och hälsovården i framtiden ska producera nationellt sett överensstämmande information och att informationssystemen ska vara regionalt enhetliga och nationellt interoperabla. Nya elektroniska tjänster utvecklas och anskaffas genom samarbete så att den nationella servicearkitekturen utnyttjas och principen om modularitet iakttas. Med elektroniska lösningar kan man garantera att tjänsterna är tillgängliga på lika villkor i glesbygdsområden och för grupper med särskilda behov. Den yrkesutbildade personalen inom social- och hälsovården har också informationssystem och elektroniska tillämpningar som stöd för sitt arbete och dess verksamhetsprocesser. Personalen vet hur man använder dessa och är motiverad att göra det. Servicesystemets genomslagskraft och effektivitet förbättras med hjälp av lösningar inom elektronisk informationshantering.  
I fråga om lagstiftningen har det i strategin slagits fast att det ska utarbetas ett enhetligt lagstiftningspaket som styr behandlingen av uppgifter inom social- och hälsovården. När det gäller datalager för socialvården är riktlinjen att frågan ska lösas som en del av de riksomfattande informationssystemtjänsterna, dvs. Kanta-tjänsterna. På så sätt vill man försäkra sig om informationsgången när det gäller kunder som är gemensamma för social- och hälsovården. Tack vare de riksomfattande datalagren för klient- och patientuppgifter inom social- och hälsovården löper informationen över organisations- och sektorsgränserna med beaktande av dataskyddet, och uppgifterna kan användas också för nationell och regional statistik. 
Det riksomfattande utvecklandet av informationshanteringen inom socialvården 
Informationshanteringen inom socialvården började utvecklas nationellt som ett led i utvecklingsprojektet för det sociala området 2005, där användningen av teknik inom socialtjänsterna ingick som en del. Teknikprojektet inom det sociala området (Tikesos) utgjorde en egen projekthelhet under åren 2008–2011 och lade grunden för användning av informationsteknik inom socialtjänsterna. När projektet Tikesos var avslutat fortsatte man på det nationella planet att utveckla informationshanteringen inom socialvården vid Institutet för hälsa och välfärd. 
Målbilden för det riksomfattande utvecklandet av informationshanteringen inom socialvården har beskrivits i dokumentet Sosiaalihuollon valtakunnallinen kokonaisarkkitehtuuri (Laaksonen m.fl. 2015), som grundar sig på dokumentet Sosiaali- ja terveydenhuollon valtakunnallinen kokonaisarkkitehtuuri (Huovila m.fl. 2015) och på målen i strategin Utnyttja social- och hälsovårdsinformationen. För att nå den målbild som beskrivs i den övergripande arkitekturen har Kansa-projektet (Rötsä m.fl. 2016) inletts. Målen för den riksomfattande informationshanteringen inom socialvården beskrivs i projektplanen som följer: 
I målbilden gäller följande: 
• serviceprocessen för klienter inom socialvården har blivit smidigare och arbetsprocesserna effektivare 
• de system som behandlar klientuppgifter hos tjänstetillhandahållare inom socialvården är interoperabla och använder öppna gränssnitt, enhetlig teknik, gemensamma informationssystemtjänster och riksomfattande datalager 
• semantiskt enhetliga klienthandlingar som bestämts på ett riksomfattande plan förs in i det riksomfattande arkivet för klientuppgifter inom socialvården, och de används och lämnas ut därifrån i enlighet med dataskyddsbestämmelserna beroende på kontexten 
• arkivet för klientuppgifter inom socialvården sköter den bestående förvaringen av klienthandlingar. 
De strategiska målen är följande:  
• den tekniska och semantiska interoperabiliteten mellan klientdatasystemen har förbättrats 
• tillgången till klientuppgifter har förbättrats 
• överlappande inskrivning av klientuppgifter har minskat 
• kvaliteten på klientuppgifterna har förbättrats 
• jämförbarheten mellan klientuppgifterna har ökat 
• klientuppgifternas användbarhet har ökat 
• serviceproduktionen inom socialvården har effektiviserats. 
Verksamhetens mål omfattar följande: 
• enhetliga definitioner av handlingarna har tagits i bruk och de styr registreringen 
• enhetliga verksamhetsprocesser har tagits i bruk och de styr serviceverksamheten 
• registreringen av klientuppgifter styrs på det riksomfattande planet 
• klientuppgifterna förs in i Kanta-tjänsterna 
• klientuppgifterna finns tillgängliga i Kanta-tjänsterna 
• tidigare klientuppgifter används allt mer i klientarbetet  
• informationsförvaltningen och dokumenthanteringen stöder serviceproduktionens behov. 
Ett mål för utvecklandet på det nationella planet av informationshanteringen inom socialvården är att inom social- och hälsovården definiera och genomföra en informationshanteringshelhet bestående av riksomfattande informationssystemtjänster och av regionala informationssystemlösningar som stöder sig på dem. I enlighet med social- och hälsovårdsministeriets riktlinjer har elektroniska recept och det nationella hälsoarkivet genomförts först. Vid sidan av dessa har det nationella arkivet för klientuppgifter inom socialvården utvecklats, och det är planerat att genomföras stegvis efter det att patientdataarkivet tagits i bruk. 
En förstudie om elektronisk arkivering av klientuppgifter inom socialvården gjordes 2008. Behoven inom socialvården samt arkiveringslösningens funktionalitet och gränssnitt granskades särskilt i förhållande till hälso- och sjukvårdens riksomfattande informationssystemtjänster. Som resultat av förstudien slog ledningsgruppen för projektet Tikesos fast de huvudsakliga kraven i fråga om socialvårdens arkivlösning, som är avsedd att vara ett centraliserat datalager som realiseras i anslutning till Kanta-tjänsterna och som förvaltas av myndigheterna. En modell som baserar sig på Kanta-tjänsterna innebär att man stöder sig på hälso- och sjukvårdens riksomfattande informationssystemtjänster samt på verksamhetsmodellerna för dem och på det arbete som gjorts för att definiera och genomföra dem. Valet motiverades med liknande behov inom social- och hälsovården, undvikande av överlappande arbete med att definiera och genomföra, kostnadseffektivitet och nationellt och lokalt samarbete inom ordnandet av social- och hälsovården och inom informationshanteringen. 
Riksomfattande informationssystemtjänster och formbunden dokumentation inom socialvården genomförs inom det s.k. Kansa-projektet, vars projektplan har utarbetats för åren 2016–2020. Det centrala målet med projektet är att genomföra en ändring som syftar till att förenhetliga klientuppgifterna inom socialvården och att med hjälp av informationssystem få uppgifterna dit där klienterna betjänas. Ändringen stöder effektivisering av verksamheten och utveckling av socialservicen. De centrala aktörer som genomför projektet är Institutet för hälsa och välfärd, social- och hälsovårdsministeriet (SHM), Folkpensionsanstalten (FPA), organisationer som tillhandahåller socialservice, kompetenscentrum inom det sociala området och de som genomför de informationssystem som behandlar klientuppgifter inom socialvården.  
Den riksomfattande övergripande arkitekturen för social- och hälsovården 
Social- och hälsovårdsministeriet och Institutet för hälsa och välfärd svarar för den riksomfattande övergripande arkitekturen för social- och hälsovården. Den riksomfattande övergripande arkitekturen för social- och hälsovården finns beskriven i Institutet för hälsa och välfärds publikation Sosiaalihuollon asiakastietojen käsittely ja valtakunnalliset tietojärjestelmäpalvelut, Sosiaali- ja terveydenhuollon valtakunnallinen kokonaisarkkitehtuuri, Tavoitetila 2020 (Laaksonen m.fl. 2015).  
Publikationen omfattar beskrivningar av den övergripande arkitekturens samtliga delområden, dvs. principnivån och verksamhets-, data-, system- och teknikarkitekturen. Syftet med den övergripande arkitekturen är att beskriva en sådan samlad informationshantering som beskriver sambanden mellan verksamheten, de uppgifter som behövs och som uppkommer i verksamheten, de system och olika tekniker som utnyttjas i verksamheten och för behandlingen av uppgifter sett ur de riksomfattande informationssystemens synvinkel. Det är också meningen att arkitekturbeskrivningarna ska visa på samband och beroendeförhållanden mellan olika sektorer och socialvården. Socialvården har huvudsakligen jämförts med hälso- och sjukvården. 
Den arkitektur som presenteras i publikationen är en arkitektur för målbilden, och realiseringen av den förutsätter ändringar i den gällande lagstiftningen. Centrala lagar är klientuppgiftslagen och lagen om klienthandlingar inom socialvården. Det största behovet av att utveckla lagstiftningen hänför sig till genomförandet av de riksomfattande informationssystemtjänsterna och till utfärdandet av bestämmelser om olika myndigheters uppgifter i syfte att genomföra dessa tjänster. De bestämmelser i klientuppgiftslagen som gäller hälso- och sjukvård bör således fås att gälla också socialvården.  
Arkitekturvisionen för den riksomfattande övergripande arkitekturen för social- och hälsovården beskrivs i publikationen Sosiaali- ja terveydenhuollon valtakunnallisen kokonaisarkkitehtuurin periaatteet ja linjaukset (Huovila m.fl. 2015a). Visionen innefattar följande: 
Klientuppgifterna för en medborgare finns alltid tillgängliga där medborgaren tillhandahålls social- och hälsotjänster. Uppgifterna är uppdaterade och enhetliga och de behandlas på ett datatekniskt tillförlitligt sätt och i tekniskt standardiserad form. Klientuppgifternas struktur gör det möjligt att göra smarta sammandrag av uppgifterna. De riksomfattande informationssystemtjänsterna utgör en sådan gemensam plattform för informationsförmedling och lagring som klientdatasystemen vid social- och hälsovårdens organisationer använder. 
1.2
Nationell lagstiftning
Finlands grundlag  
Enligt 10 § 1 mom. i grundlagen (731/1999) är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Bestämmelsen om särskilt skydd för personuppgifter togs in i 8 § i regeringsformen i samband med 1995 års reform av de grundläggande fri- och rättigheterna. Bestämmelsen hänvisar till behovet att genom lagstiftning garantera individens rättsskydd och integritet vid behandling, registrering och användning av personuppgifter. Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 35 och 36/1992) lägger en bestämd skyddsnivå för personuppgifter i lagstiftningen. 
Grundlagens övriga bestämmelser om de grundläggande fri- och rättigheterna påverkar också sättet att behandla kunduppgifter. Betydelsefulla särskilt när det gäller behandlingen av kunduppgifter är bestämmelserna om jämlikhet och förbud mot diskriminering (6 §), principen om myndighetshandlingars offentlighet och rätten att ta del av offentliga handlingar (12 §), rätten att delta i beslutsfattande som gäller en själv (14 § 4 mom.), språkliga rättigheter (17 §) och rätten till social trygghet, inbegripet tillräckliga social-, hälsovårds- och sjukvårdstjänster (19 §). 
Folkhälsolagen  
Folkhälsolagen (66/1972) trädde i kraft den 1 april 1972. Lagen innehåller bestämmelser om folkhälsoarbetet och om förvaltningen av och tillsynen över det. Enligt lagens 2 § ankommer den allmänna styrningen och övervakningen av folkhälsoarbetet på social- och hälsovårdsministeriet. Regionförvaltningsverket styr och övervakar folkhälsoarbetet inom sitt verksamhetsområde. Dessutom styr och övervakar Tillstånds- och tillsynsverket för social- och hälsovården folkhälsoarbetet på det nationella planet och i vissa särskilda fall. Detta föreskrivs i en ändring av lagen som gjordes 2009 (1537/2009).  
Kommunerna är ansvariga för att primärvård ordnas för kommunens invånare. Kommunerna kan producera de i lagen nämnda tjänsterna ensamma eller grunda samkommuner som helt eller delvis producerar tjänsterna tillsammans. De kan också köpa tjänster av staten, andra kommuner eller den privata sektorn.  
Med folkhälsoarbete avses enligt lagen främjande av hälsan, inbegripet förebyggande av sjukdomar och olycksfall, som är inriktat på individen, befolkningen och livsmiljön, samt sjukvård till individen. För tjänster som anges i folkhälsolagen eller uppgifter som kommunen separat beslutar om och som hänför sig till folkhälsoarbetet ska kommunen eller samkommunen ha en hälsovårdscentral, som i regel har flera verksamhetsställen, dvs. hälsostationer, samt sjukhus. Vissa kommuner köper så gott som samtliga hälsocentralstjänster av privata tjänstetillhandahållare. 
Lagen om specialiserad sjukvård  
Lagen om specialiserad sjukvård (1062/1989) trädde i kraft den 1 januari 1991. Lagen innehåller bestämmelser om sjukvårdsdistrikt och deras upptagningsområden och uppgifter, sjukhus och andra verksamhetsenheter inom sjukvårdsdistrikten, förvaltning, universitetssjukhus, beredande av sjukvård, ersättningar samt ordnande av undervisning och forskning.  
Den allmänna planeringen, styrningen och övervakningen av den specialiserade sjukvården ankommer på social- och hälsovårdsministeriet. Tillstånds- och tillsynsverket för social- och hälsovården styr och övervakar den specialiserade sjukvården på det nationella planet och i vissa särskilda fall. Regionförvaltningsverket ansvarar för planeringen, styrningen och övervakningen av den specialiserade sjukvården inom sitt verksamhetsområde. 
Hälso- och sjukvårdslagen 
Hälso- och sjukvårdslagen (1326/2010) trädde i kraft den 1 maj 2011. Lagen tillämpas på tillhandahållandet av den hälso- och sjukvård som kommunerna enligt folkhälsolagen och lagen om specialiserad sjukvård är skyldiga att ordna och på innehållet i denna hälso- och sjukvård. Lagen innehåller bestämmelser om främjande av hälsa och välfärd i kommunerna, ordnande av kommunal sjukvård, internt samarbete inom hälso- och sjukvården och samarbete mellan social- och hälsovården, specialupptagningsområden, att få vård och ordnande av undervisning och forskning. 
Med primärvård avses enligt definitionen i 3 § uppföljning av befolkningens hälsotillstånd, hälsofrämjande verksamhet inklusive hälsorådgivning och hälsoundersökningar, mun- och tandvård, medicinsk rehabilitering, företagshälsovård och miljö- och hälsoskydd som kommunen ordnar samt jourverksamhet, öppen sjukvård, hemsjukvård, hemsjukhusvård och sjukhusvård, mentalvårdsarbete och alkohol- och drogarbete som kommunen ordnar, till den del de inte ordnas inom socialvården eller den specialiserade sjukvården. Med specialiserad sjukvård avses hälso- och sjukvårdstjänster inom medicinska och odontologiska verksamhetsområden som hänför sig till förebyggande, undersökning, vård och behandling av sjukdomar, prehospital akutsjukvård, jour och medicinsk rehabilitering. 
Journalhandlingarna inom den kommunala primärvården och specialiserade sjukvården för dem som bor inom området för en samkommun för ett sjukvårdsdistrikt bildar enligt 9 § ett gemensamt register inom hälso- och sjukvården. Alla verksamhetsenheter inom hälso- och sjukvården som har anslutit sig till det gemensamma registret är registeransvariga till den del som gäller deras egna journalhandlingar. Samkommunen för ett sjukvårdsdistrikt ska ansvara för den samordning som registret kräver. Varje verksamhetsenhet inom hälso- och sjukvården ansvarar för att de journalhandlingar som görs upp i den egna verksamheten registerförs i enlighet med bestämmelserna i personuppgiftslagen (523/1999). 
Den verksamhetsenhet inom hälso- och sjukvården som vårdar patienten får använda uppgifter i det gemensamma registret som har registrerats av en annan verksamhetsenhet i den omfattning som vården och behandlingen kräver. Patientens uttryckliga samtycke krävs inte för att patientuppgifter ska få användas av sådana verksamhetsenheter inom hälso- och sjukvården som har anslutit sig till det gemensamma registret. Patienten har emellertid rätt att förbjuda att uppgifter som har registrerats av en annan verksamhetsenhet används. Patienten får förbjuda användningen av uppgifter och återta ett sådant förbud när som helst. För att tillgodose förbudsrätten ska patienten informeras om det gemensamma registret för patientuppgifter, om behandlingen av uppgifterna och om möjligheten att förbjuda utlämnande av uppgifter mellan verksamhetsenheter. Informationen ska lämnas innan ett första utbyte av uppgifter mellan verksamhetsenheterna sker. Uppgift om att patienten informerats och om att patienten förbjudit utlämnande av uppgifter ska antecknas i journalhandlingarna. 
Den som med hjälp av informationssystem använder uppgifter som har registrerats av en annan verksamhetsenhet inom hälso- och sjukvården ska följa upp användningen av patientuppgifterna på det sätt som anges i klientuppgiftslagen. Det ska datatekniskt säkerställas att en vårdrelation existerar mellan patienten och den som begärt uppgifter. 
Inom social- och hälsovården ska man enligt 32 § bedriva det samarbete som förutsätts för att uppgifterna ska kunna fullgöras på behörigt sätt och så som patientens behov av vård och social- och hälsovårdstjänster kräver. 
En person får välja vid vilken hälsostation vid sin hemkommuns hälsovårdscentral han eller hon vill få icke-brådskande hälso- och sjukvårdstjänster. Det går också att välja en hälsovårdscentral utanför den kommun som har vårdansvaret, och då övergår vårdansvaret till den nya hälsovårdscentralen. Personen ska göra en skriftlig anmälan om byte av hälsostation både till den hälsostation som han eller hon anlitar för närvarande och till den valda hälsostationen. Valet kan gälla endast en hälsostation åt gången. Personen kan välja hälsostation på nytt tidigast ett år efter det föregående valet. Om en person på grund av arbete, studier, fritid, en nära anhörigs eller annan närstående persons boende eller av någon annan motsvarande orsak under en längre tid eller regelbundet vistas utanför sin hemkommun, har personen rätt att för vård enligt vårdplanen också utnyttja primärvårdstjänster i någon annan kommun utan att den vårdansvariga hälsovårdscentralen ändras. Patienten har också möjlighet att vid en enhet inom hälso- och sjukvården, inom gränserna för vad ett ändamålsenligt ordnande av verksamheten vid verksamhetsenheten tillåter, välja den legitimerade yrkesutbildade person inom hälso- och sjukvården som behandlar honom eller henne. Brådskande sjukvård ska ges till en patient oberoende av var han eller hon är bosatt. 
En person kan även välja vilken vårdgivande verksamhetsenhet inom den kommunala specialiserade sjukvården han eller hon vill anlita. Den som på grund av studier eller arbete eller av någon annan orsak vistas inom ett annat specialupptagningsområde ska beredas sjukvård på ett sjukhus eller vid en annan verksamhetsenhet som hör till ett sjukvårdsdistrikt inom detta specialupptagningsområde.  
Lagen om privat hälso- och sjukvård  
Lagen om privat hälso- och sjukvård (152/1990) trädde i kraft den 1 januari 1991. Lagen är avsedd att garantera tjänsternas kvalitet inom den privata hälso- och sjukvården genom att den möjliggör tillsyn över tjänsternas standard i medicinskt avseende. Tjänster som produceras inom den kommunala hälso- och sjukvården får komplettering och stöd i en omfattande privat verksamhet som producerar hälso- och sjukvårdstjänster. Lagen innehåller bestämmelser om ordnande av privat hälso- och sjukvård, om myndigheternas styrning och tillsyn och om föreskrifter, tvångsmedel och påföljder som Tillstånds- och tillsynsverket för social- och hälsovården kan besluta om.  
En serviceproducent ska ha tillstånd av regionförvaltningsverket för att få tillhandahålla hälso- och sjukvårdstjänster. En självständig yrkesutövare ska lämna in en skriftlig anmälan om verksamheten till regionförvaltningsverket innan yrkesutövaren börjar tillhandahålla hälso- och sjukvårdstjänster som avses i lagen. Anmälan om att verksamheten upphört ska göras till regionförvaltningsverket inom 30 dagar efter det att tillhandahållandet av tjänsterna upphörde. Enligt lagens 2 § avses med hälso- och sjukvårdstjänster 1) laboratorieverksamhet, 2) radiologisk verksamhet och andra därmed jämförbara bildåtergivnings- och undersökningsmetoder, 3) andra undersökningar och åtgärder som vidtas för att konstatera någons hälsotillstånd eller sjukdom eller för att bestämma vården, 4) fysioterapeutisk verksamhet samt andra åtgärder och annan terapi som förbättrar och upprätthåller prestationsförmågan, 5) företagshälsovård, 6) läkar- och tandläkartjänster och annan hälso- och sjukvård samt tjänster som kan jämställas med dem, 7) massage, samt 8) sjuktransporttjänster. 
Med en privat producent av hälso- och sjukvårdstjänster avses en sådan enskild eller ett bolag, ett andelslag, en förening eller någon annan sammanslutning eller stiftelse som har en enhet som tillhandahåller hälso- och sjukvårdstjänster. Som serviceproducent räknas inte en självständig yrkesutövare eller en arbetsgivare som själv ordnar företagshälsovårdstjänster. Med självständig yrkesutövare avses en sådan yrkesutbildad person inom hälso- och sjukvården som avses i 2 § 1 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och som självständigt utövar sitt yrke. 
Lagen om elektroniska recept 
Lagen om elektroniska recept (61/2007) trädde i kraft den 1 april 2007. Syftet med lagen är att förbättra patient- och läkemedelssäkerheten samt att underlätta och effektivisera förskrivningen och expedieringen av läkemedel. För att detta ska förverkligas inrättas ett riksomfattande centraliserat datatekniskt system, som alla verksamhetsenheter inom hälso- och sjukvården samt apotek ska ansluta sig till. Tack vare ett centraliserat system kan ett recept uppgöras på samma sätt vid alla verksamhetsenheter inom hälso- och sjukvården, och alla elektroniska recept kan expedieras från varje apotek. 
Med avseende på genomförandet av läkemedelsbehandlingar är ett elektroniskt recept i samma klass som ett pappersrecept. Om läkemedelsbehandling anses vara nödvändig, ska den läkare eller tandläkare som behandlar patienten uppgöra receptet i samförstånd med patienten. Skillnaden jämfört med ett recept på papper är att receptet förs in i receptcentret och att det inte ges till patienten. Ur patientens synvinkel medför detta vissa betydande fördelar jämfört med ett traditionellt recept som har uppgjorts på papper. Innehållet i recept som uppgjorts elektroniskt är alltid entydigt och eftersom de är införda i receptcentret kan patienten alltid på apoteket kontrollera giltigheten för alla sina recept och mängden icke-expedierade mediciner utan att han eller hon behöver förvara det ursprungliga receptet. 
När ett läkemedel förskrivs elektroniskt får patienten på läkarmottagningen en patientanvisning med de viktigaste uppgifterna om det förskrivna läkemedlet.  
Att den som förskriver läkemedlet har rätt att förskriva läkemedel och läsa de recept- och expedieringsuppgifter som finns i receptcentret säkerställs genom identifiering med hjälp av ett elektroniskt certifikat, och receptets riktighet bekräftas genom en elektronisk underskrift som baserar sig på certifikatet. Den riksomfattande certifikattjänsten för hälso- och sjukvården förvaltas av Rättsskyddscentralen för hälsovården. Elektroniska certifikat försvårar i betydande utsträckning förfalskning av recept, eftersom det för användningen av certifikat behövs både ett personligt aktivt kort eller någon annan motsvarande plattform för förvaring av certifikat och en personlig beteckning i anslutning till dem. 
För förvaltningen av receptcentret och för det tekniska genomförandet av ett elektroniskt recept svarar Folkpensionsanstalten, som också är personuppgiftsansvarig för receptcentret. 
Lagen om patientens ställning och rättigheter 
Lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) trädde i kraft den 1 mars 1993. Lagen innehåller de centrala principerna för vården och bemötandet av patienten, och den gäller såväl offentlig som privat hälso- och sjukvård. I lagen ingår bestämmelser om bl.a. innehållet i journalhandlingarna, sekretessbelagda uppgifter i journalhandlingarna och utlämnande av sådana uppgifter. 
Enligt definitionerna i 2 § avses med patient den som anlitar hälso- och sjukvårdstjänster eller som annars är föremål för sådana tjänster. Med hälso- och sjukvård avses sådana åtgärder för fastställande av patientens hälsotillstånd eller för återställande eller upprätthållande av hälsan som vidtas av yrkesutbildade personer inom hälso- och sjukvården eller som vidtas vid en verksamhetsenhet för hälso- och sjukvård. Journalhandlingar avser handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. 
Med verksamhetsenhet för hälso- och sjukvård avses en hälsovårdscentral enligt folkhälsolagen, sjukhus och separata verksamhetsenheter för sjukvård samt andra helheter med ansvar för vården som samkommunen för sjukvårdsdistriktet bestämmer enligt lagen om specialiserad sjukvård, enheter som tillhandahåller hälso- och sjukvårdstjänster enligt lagen om privat hälso- och sjukvård, arbetshälsoinstitutet till den del det tillhandahåller hälso- och sjukvårdstjänster enligt lagen om arbetshälsoinstitutets verksamhet och finansiering (159/1978), statliga mentalsjukhus samt vissa vårdinrättningar inom fångvårdsväsendet och försvarsmakten. 
Enligt 13 § i patientlagen är uppgifter i journalhandlingarna sekretessbelagda och sådana uppgifter får inte lämnas ut utan skriftligt samtycke av patienten eller dennes lagliga företrädare. En yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den får inte utan patientens skriftliga samtycke till utomstående lämna ut uppgifter som ingår i journalhandlingarna. Om patienten saknar förutsättningar att bedöma betydelsen av ett sådant samtycke, får uppgifterna lämnas med skriftligt samtycke av patientens lagliga företrädare. Med utomstående avses i denna lag personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. Tystnadsplikten kvarstår efter det att anställningsförhållandet eller uppdraget har upphört. 
I 3 mom. anges förutsättningarna för undantag från tystnadsplikten. Uppgifter i journalhandlingarna får lämnas ut utan patientens samtycke, om det uttryckligen särskilt föreskrivs i lag om utlämnande av uppgifter eller rätt att få del av uppgifter. Uppgifter som behövs för ordnande av undersökning och vård av patienten får lämnas till någon annan verksamhetsenhet för hälso- och sjukvård eller en yrkesutbildad person inom hälso- och sjukvården samt en sammanfattning av den vård som getts patienten till den verksamhetsenhet för hälso- och sjukvård eller den yrkesutbildade person inom hälso- och sjukvården som har remitterat patienten till vården, och till den läkare som eventuellt har utsetts till ansvarig läkare för patienten, i enlighet med patientens eller dennes lagliga företrädares muntliga samtycke eller sådant samtycke som annars framgår av sammanhanget.  
Uppgifter som är nödvändiga för ordnande av undersökning och vård av patienten får lämnas till någon annan finländsk eller utländsk verksamhetsenhet för hälso- och sjukvård eller yrkesutbildad person inom hälso- och sjukvården utan att patientens samtycke krävs, om patienten på grund av mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av sitt samtycke och inte heller har någon laglig företrädare, eller om patienten inte kan ge sitt samtycke på grund av att han eller hon är medvetslös eller av någon annan därmed jämförbar orsak. 
Dessutom får uppgifter om patientens person och hälsotillstånd lämnas till en nära anhörig till patienten eller någon annan patienten närstående då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta. Uppgifter om den hälso- och sjukvård som en avliden person fått under sin livstid får på motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål. 
I 4 mom. finns det bestämmelser om utlämnande av uppgifter för vetenskaplig forskning och statistikföring.  
Lagen om yrkesutbildade personer inom hälso- och sjukvården 
Lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994, nedan lagen om yrkesutbildade personer) trädde i kraft den 1 juli 1994. Genom lagen moderniserades och förenhetligades lagstiftningen om yrkesutövning inom hälso- och sjukvården genom att de tidigare spridda och delvis oenhetliga bestämmelser om utövande av olika yrken inom hälso- och sjukvården som fanns i ett flertal lagar samlades i en och samma lag. Lagen innehåller bestämmelser om rätt att vara verksam som yrkesutbildad person inom hälso- och sjukvården, allmänna skyldigheter för yrkesutbildade personer inom hälso- och sjukvården, läkares och tandläkares särskilda rättigheter och skyldigheter samt styrning av och tillsyn över yrkesutbildade personer inom hälso- och sjukvården. 
Med yrkesutbildad person inom hälso- och sjukvården avses den som med stöd av lagen om yrkesutbildade personer har erhållit rätt att utöva yrke (legitimerad yrkesutbildad person) eller tillstånd att utöva yrke (yrkesutbildad person som beviljats tillstånd) samt den som med stöd av lagen om yrkesutbildade personer har rätt att använda i förordning av statsrådet avsedd yrkesbeteckning för en yrkesutbildad person inom hälso- och sjukvården (yrkesutbildad person med skyddad yrkesbeteckning)
Skyldigheten för yrkesutbildade personer inom hälso- och sjukvården att föra och förvara journalhandlingar bestäms i enlighet med patientlagen. Bestämmelser om tystnadsplikt för yrkesutbildade personer inom hälso- och sjukvården finns i 17 §. Rättsskyddscentralen för hälsovården förvaltar ett centralregister över yrkesutbildade personer inom hälso- och sjukvården, där de uppgifter som anges i 24 a § ska föras in. 
Social- och hälsovårdsministeriets förordning om journalhandlingar 
Social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009) trädde i kraft den 1 augusti 2009. Förordningen innehåller bestämmelser om allmänna principer för upprättande och förvaring av journalhandlingar och om förvaring av annat material som gäller vården.  
Enligt förordningens 3 § ska journalhandlingarna upprättas och förvaras med medel och metoder som säkerställer att integriteten och användbarheten hos de uppgifter som finns i handlingarna kan tryggas under förvaringstiden.  
Uppgifter i journalhandlingarna får enligt 4 § hanteras av dem som deltar i vården av en patient eller i anslutande uppgifter endast i den omfattning som deras arbetsuppgifter och ansvar förutsätter. Ett elektroniskt patientdatasystem ska inbegripa ett system för kontroll av åtkomsträttigheterna. Med hjälp av kontrollsystemet kan varje användare tilldelas sådana åtkomsträttigheter till journalhandlingarna och de olika funktionerna i patientdatasystemet som motsvarar användarens arbetsuppgifter. När tjänster anskaffas från någon annan tjänsteproducent ska man enligt 5 § försäkra sig om att bestämmelserna om sekretess och tystnadsplikt iakttas i fråga om uppgifterna i journalhandlingarna. 
I 6–21 § föreskrivs det om de anteckningar som ska göras i patientjournalerna och om rättelse av dem. För förvaringen av journalhandlingar och annat material som gäller vården ansvarar enligt 22 § den verksamhetsenhet för hälso- och sjukvård eller den självständiga yrkesutövare inom hälso- och sjukvården inom vars verksamhet handlingarna och materialet har uppkommit. Om en journalhandling är av sådan art att det skulle orsaka olägenhet för patientens hälso- eller sjukvård om anteckningarna gjordes separat vid varje verksamhetsenhet för hälso- och sjukvård, kan dock journalhandlingen, när ansvaret för vården av patienten överförs på en annan verksamhetsenhet, med samtycke av patienten eller dennes lagliga företrädare överföras i original till nämnda verksamhetsenhet.  
Enligt 23 § ska journalhandlingar samt sådana prov och modeller av organ som uppkommer vid undersökning och vård och som innehåller biologiskt material förvaras åtminstone den tid som anges i bilagan till förordningen. När förvaringstiden har löpt ut eller när de nämnda handlingarna och det biologiska materialet inte längre är nödvändiga för att ordna eller genomföra patientens vård, ska de omedelbart förstöras på ett sådant sätt att utomstående inte får kännedom om dem. Folkpensionsanstalten ska se till att de handlingar som förts in i arkiveringstjänsten förstörs tekniskt efter att den förvaringstid som verksamhetsenheten för hälso- och sjukvård eller den yrkesutbildade person som självständigt utövar sitt yrke fastställt för journalhandlingarna löpt ut. 
Socialvårdslagen  
Socialvårdslagen (1301/2014) trädde i kraft den 1 april 2015. Genom lagen upphävdes den gamla socialvårdslagen (710/1982) så att den upphävda lagens 2 kap., 27 d, 27 e, 40 och 41 § samt 5 och 8 kap. dock förblev i kraft. Syftet med den nya lagen är att stärka jämlikheten mellan klienterna, flytta tyngdpunkten från specialtjänster till allmänna tjänster och intensifiera myndigheternas samarbete. Lagen innehåller bestämmelser om främjande av välfärd i kommunerna, kommunal socialservice och tillhandahållande av socialvård, åtgärder för att säkerställa kvaliteten på tjänsterna och sökande av ändring i beslut om socialservice. 
Enligt definitionerna i 3 § avses med socialservice kommunal socialservice och stödtjänster som ingår i den samt andra åtgärder genom vilka yrkesutbildad personal inom socialvården främjar och upprätthåller individens, familjens och gemenskapens funktionsförmåga, sociala välfärd, trygghet och delaktighet. Med klient avses en person som ansöker om eller anlitar socialvård eller som oberoende av sin vilja är föremål för socialvård. 
Socialservice som ordnas av kommunen är enligt 14 § socialt arbete, social handledning, social rehabilitering, familjearbete, hemservice, hemvård, boendeservice, service på en institution, service som stöder rörlighet, alkohol- och drogarbete, mentalvårdsarbete, rådgivning i uppfostrings- och familjefrågor, övervakning av umgänge mellan barn och förälder samt annan socialservice som är nödvändig för klienternas välfärd. Kommunen ska även sörja för specialomsorger om utvecklingsstörda, service och stöd på grund av funktionsnedsättning, tillhandahållande av utkomststöd till en person som vistas i kommunen, beviljande av social kredit till kommuninvånare, arbetsverksamhet i rehabiliteringssyfte, service i anslutning till missbrukarvård, ordnande av stöd för närståendevård, vårdnad om barn och unga personer, barnskydd, adoptionsrådgivning, medling i familjefrågor, uppgifter i samband med att beslut om vårdnad av barn och umgängesrätt fastställs och avgörs och ordnande av åtgärder i samband med medling vid verkställighet av besluten, ordnande av de sakkunnigtjänster som hör till medling i domstol i ett ärende som gäller vårdnad om barn och umgängesrätt, uppgifter i samband med utredande och fastställande av faderskap och ordnande av elevvård, enligt vad som dessutom föreskrivs särskilt om dessa serviceformer. 
Enligt 34 § inleds ett socialvårdsärende på ansökan eller när en arbetstagare inom kommunens socialvård annars i sitt arbete har fått kännedom om en person som eventuellt behöver socialservice. En klientrelation inleds på ansökan eller när handläggningen av ett ärende som inletts på ett annat sätt påbörjas eller när en person ges socialservice. Klientrelationen avslutas när det för kännedom antecknas i socialvårdens klienthandling att det inte finns någon grund för att ordna socialvård. 
I 41 § anges det att socialvården tillhandahålls i samarbete med olika aktörer så att socialvården och vid behov de övriga förvaltningssektorernas service bildar en helhet som tillgodoser klientens intresse. Lagen om klientens ställning och rättigheter inom socialvården innehåller bestämmelser om utlämnande av uppgifter utan klientens samtycke och antecknande av klientinformation i sektorsövergripande samarbete samt i socialvårdens och hälso- och sjukvårdens gemensamma service, samt om en socialvårdsmyndighets rätt att av andra myndigheter få den handräckning som den behöver för att sköta sina lagstadgade uppgifter. 
Lagen om klientens ställning och rättigheter inom socialvården  
Lagen om klientens ställning och rättigheter inom socialvården (812/2000, nedan klientlagen) trädde i kraft den 1 januari 2001, och den innehåller de viktigaste rättsliga principerna för klientens medbestämmande, bemötande och rättsskydd inom socialvården. Lagen gäller klientens ställning och rättigheter både inom socialvård som ordnas av myndigheter och inom socialvård som ordnas av privata. Den innehåller bestämmelser om socialvårdsklienters rättigheter och skyldigheter, sekretess, tystnadsplikt och utlämnande av sekretessbelagda uppgifter, socialvårdsmyndighetens rätt att få sekretessbelagda uppgifter och handräckning samt anmärkning och socialombudsman. 
I 11 § föreskrivs det om utlämnande av uppgifter till klienten eller dennes företrädare. Bestämmelser om klientens och företrädarens skyldighet att lämna uppgifter som behövs vid ordnandet och lämnandet av socialvård finns i 12 §. Klienten ska upplysas om vilka upplysningar om honom eller henne som kan inhämtas oberoende av samtycke. Klienten ska också ges tillfälle att ta del av dessa uppgifter. Enligt 13 § har klienten eller dennes företrädare rätt att innan uppgifter lämnas till den som ordnar eller lämnar socialvård få veta för vilket ändamål de uppgifter som han eller hon lämnar behövs, vilket användningsändamålet är, för vilka ändamål uppgifterna normalt lämnas ut samt i vilken i personuppgiftslagen avsedd registeransvarigs personregister uppgifterna kommer att registreras. Dessutom ska klienten eller dennes lagliga företrädare upplysas om hur de i personuppgiftslagen avsedda rättigheterna kan utövas, om klienten inte redan har fått denna information.  
I 14 § föreskrivs det om sekretess för socialvårdshandlingar. En sekretessbelagd handling eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående eller med hjälp av teknisk anslutning eller på något annat sätt visas för eller lämnas ut till utomstående. I fråga om sekretessens upphörande hänvisas det till 31 § i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Klientlagens 15 § innehåller ett förbud bl.a. för den som ordnar eller producerar socialvård och den som är anställd hos denne att röja eller använda en sekretessbelagd uppgift, om inte klienten eller klientens lagliga företrädare har gett sitt samtycke till detta i enlighet med 16 §. Dessutom innehåller 17 och 18 § bestämmelser om förutsättningarna för att sekretessbelagda uppgifter också utan klientens samtycke ska få lämnas ut för att trygga vården av och omsorgen om klienten. I 19 § föreskrivs det om undantag i fråga om och upphörande av tystnadsplikt. Bestämmelser om myndigheternas rätt att få sekretessbelagda uppgifter finns i 20 §. Enligt 22 § kan en socialvårdsmyndighet få den handräckning som den behöver för att sköta sina lagstadgade uppgifter. 
Lagen om yrkesutbildade personer inom socialvården 
Lagen om yrkesutbildade personer inom socialvården (817/2015) trädde i kraft den 1 mars 2016. I lagen föreskrivs det om beviljande av rätt att utöva yrke för de centrala yrkesgrupperna inom socialvården, registrering av rätten att utöva yrke, styrningen av och tillsynen över yrkesutbildade personer samt tillsynsmyndigheternas uppgifter och arbetsfördelning. 
Tillstånds- och tillsynsverket för social- och hälsovården beviljar på ansökan rätt att utöva socialarbetaryrket, socionomyrket eller geronomyrket och för med tanke på tillsynen ett centralregister över yrkesutbildade personer inom socialvården. Lagen innehåller bestämmelser om de uppgifter som ska föras in i registret. Lagen innehåller också bestämmelser om rätten att använda en yrkesbeteckning för en yrkesutbildad person inom socialvården. Bestämmelser om yrkesbeteckningar för yrkesutbildade personer med skyddad yrkesbeteckning och om den utbildning som yrkesbeteckningen förutsätter utfärdas genom förordning av statsrådet. Nämnden för tillsyn över yrkesutbildade personer inom social- och hälsovården ska utöva tillsyn över de yrkesutbildade personerna inom socialvården. Syftet med lagen är att främja socialvårdsklienters rätt till socialvård av god kvalitet och till gott bemötande genom att kräva att yrkesutbildade personer inom socialvården har sådan utbildning som yrkesutövningen förutsätter, tillräcklig yrkeskompetens och sådana färdigheter som yrkesutövningen förutsätter. 
Lagen ska också främja en översyn av uppgiftsstrukturerna och arbetsfördelningen för den yrkesutbildade personalen inom socialvården. Lagen stöder integrationen av social- och hälsovården i och med att de bestämmelser som gäller yrkesutbildade personer inom socialvården och hälso- och sjukvården förenhetligas. 
Lagen om klienthandlingar inom socialvården 
Lagen om klienthandlingar inom socialvården (254/2015) trädde i kraft den 1 april 2015. Syftet med lagen är att förenhetliga innehållet i klienthandlingarna inom socialvården samt upprättandet, bevarandet och den övriga behandlingen av dessa handlingar för produktionen av socialvårdstjänster samt att främja den elektroniska behandlingen av klientuppgifter inom socialvården och även upprättandet av ett nationellt dokumentarkiv inom socialvården. Lagen tillämpas på såväl offentliga som privata tillhandahållare av socialservice när de ordnar socialvård eller tillhandahåller socialservice. 
I lagen om klienthandlingar inom socialvården föreskrivs det om skyldigheten för anställda inom socialvården att anteckna och förvara klientuppgifter inom socialvården i formbundna klienthandlingar. Lagen gäller klienthandlingar i pappersform och elektronisk form. I lagen anges i fråga om socialvårdsklienter basuppgifterna och de uppgifter som för olika typer av handlingar ska antecknas enligt serviceuppgift samt vid sektorsövergripande samarbete mellan olika myndigheter och tillhandahållare av socialservice. I lagen anges de handlingstyper som ska användas inom socialvården. Dessa är inledande av ett ärende, bedömning av servicebehovet, klientplan, klientrapport och beslut. Dessutom görs det anteckningar i anslutning till verkställandet av beslut och anteckningar av uppgifter om utomstående. Också klienthandlingarnas förvaringstider anges i lagen. 
Klienthandlingar inom socialvården ska föras in i socialvårdens anmälningsregister eller socialvårdens klientregister. Uppgifterna registreras enligt serviceuppgift. Serviceuppgifter inom socialvården är bl.a. barnskydd, handikappservice och utkomststöd. 
Lagen innehåller bestämmelser om de anteckningar som ska göras i klienthandlingarna när uppgifter om klienter lämnas till utomstående eller erhålls av utomstående. Lagen har inga bestämmelser om sekretess i fråga om klientuppgifter eller om grunderna för undantag från sekretessen och inte heller bestämmelser om rätten för en socialvårdsmyndighet att få sekretessbelagda uppgifter. Bestämmelser om detta finns i klientlagen. Motsvarande bestämmelser om journalhandlingar finns i patientlagen.  
Lagen har en bestämmelse om åtkomsträttigheter för anställda inom socialvården till klientuppgifter som registrerats i elektronisk form. Institutet för hälsa och välfärd meddelar närmare föreskrifter om de grunder enligt vilka en tillhandahållare av service ska administrera åtkomstsrättigheterna. Dessutom har lagen bestämmelser om ansvar och ansvarsfördelning i anslutning till serviceanordnares, serviceproducenters och servicegivares behandling av klientuppgifter när någon agerar för en annans räkning. 
Lagen om privat socialservice 
Lagen om privat socialservice (922/2011) trädde i kraft den 1 oktober 2011. Lagen innehåller bestämmelser om lagens syfte, serviceproducentens ansvar för den samlade servicens kvalitet, plan för egenkontroll och riksomfattande tillstånd för en serviceproducent med verksamhet på flera regionförvaltningsverks områden. Lagen har bestämmelser som hänför sig till regionförvaltningsverkens och kommunernas behörighet och gäller styrningen av och tillsynen över privat socialservice.  
Lagen har bestämmelser om registrering av anmälningspliktig service. Dessutom ska tillståndsmyndigheten fatta överklagbara förvaltningsbeslut i ärenden som gäller registrering av anmälningar. 
Lagen om offentlighet i myndigheternas verksamhet  
Offentlighetslagen trädde i kraft den 1 december 1999. Genom lagen reformerades hela lagstiftningen om offentlighet och sekretess för myndighetshandlingar. Lagen hade som mål att garantera att offentlighetsprincipen beaktas i all utövning av offentlig makt. Lagens tillämpningsområde omfattar alla som sköter offentliga uppgifter, oberoende av om de är organiserade som myndigheter eller inte. Lagen innehåller bestämmelser om handlingars offentlighet, god förvaltningssed, skyldighet att iaktta sekretess samt undantag från och upphörande av sekretess. 
Enligt 1 § är myndighetshandlingar offentliga, om inte något annat föreskrivs särskilt. Med handling avses enligt 5 § utom en framställning i skrift eller bild även ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel. Med myndighetshandling avses en handling som innehas av en myndighet och som har upprättats av myndigheten eller av en anställd hos en myndighet eller som har inkommit till en myndighet för behandling av ett visst ärende eller i övrigt inkommit i samband med ett ärende som hör till myndighetens verksamhetsområde eller uppgifter. En handling anses ha blivit upprättad av en myndighet även när den har upprättats på uppdrag av myndigheten. En handling anses ha inkommit till en myndighet även när den har inkommit till den som är verksam på uppdrag av myndigheten eller i övrigt för myndighetens räkning, för att denne ska kunna utföra sitt uppdrag.  
I 6 § anges när en handling som upprättats av en myndighet blir offentlig. En handling som har inkommit till en myndighet blir enligt 7 § offentlig när myndigheten har fått den, om det inte i denna lag eller i någon annan lag föreskrivs något om dess offentlighet eller sekretess eller om någon annan begränsning av rätten att ta del av den. En handling som kan uppfattas endast med hjälpmedel blir offentlig tidigast när myndigheten eller den som är verksam för dess räkning har tillgång till den, om inte något annat följer av sekretessbestämmelser eller andra begränsningar av rätten att ta del av en handling. Var och en har enligt 9 § rätt att ta del av en offentlig myndighetshandling. Enligt 10 § får uppgifter om en sekretessbelagd myndighetshandling eller om dess innehåll lämnas ut endast om så särskilt bestäms i denna lag.  
Bestämmelser om en parts rätt att ta del av en handling finns i 11 §. Enligt 12 § är utgångspunkten att var och en har rätt att ta del av de uppgifter som ingår i en myndighetshandling och som gäller honom eller henne själv. Av de offentliga uppgifterna i ett beslutsregister som förs av en myndighet med hjälp av automatisk databehandling har man med stöd av 16 § rätt att få en kopia i form av en teknisk upptagning eller annars i elektronisk form, om inte särskilda skäl talar för något annat. Utlämnande av uppgifter i motsvarande form ur en annan offentlig handling beror på myndighetens prövning, om inte något annat föreskrivs. Dessutom får personuppgifter ur ett register, om inte något annat särskilt bestäms i lag, lämnas ut i form av en kopia eller en utskrift eller i elektronisk form om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. Lagens 17–21 § innehåller bestämmelser om myndigheternas skyldighet att främja möjligheterna att ta del av en handling samt en god informationshantering.  
Enligt 24 § 1 mom. 25 punkten är handlingar som innehåller uppgifter om en klient hos socialvården och om de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälso- och sjukvård eller rehabilitering som denne har erhållit eller uppgifter om någons sexuella beteende eller inriktning sekretessbelagda myndighetshandlingar, om inte något annat föreskrivs särskilt. En myndighet kan enligt 26 § 1 mom. lämna ut uppgifter ur en sekretessbelagd myndighetshandling, om det i lag särskilt har tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter, eller när sekretess har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. 
En myndighet kan med stöd av 29 § 3 mom. för en annan myndighet öppna en teknisk anslutning till sådana uppgifter i sitt personregister som den andra myndigheten enligt en i lag särskilt bestämd skyldighet ska beakta när den fattar beslut. Om personuppgifterna är sekretessbelagda, får uppgifter sökas med hjälp av en teknisk anslutning endast i fråga om sådana personer som har samtyckt till detta, om inte något annat uttryckligen föreskrivs särskilt om utlämnande av en sekretessbelagd uppgift. 
Lagen om elektronisk kommunikation i myndigheternas verksamhet  
Lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) trädde i kraft den 1 februari 2003. Syftet med lagen är att genom främjande av elektroniska dataöverföringsmetoder göra uträttandet och behandlingen av ärenden smidigare och snabbare i förvaltningen, vid domstolar och andra rättskipningsorgan samt i utsökningsförfarandet, samt att öka datasäkerheten i anslutning till dessa.  
Lagen tillämpas inom förvaltningsmyndigheter, domstolar och övriga rättskipningsorgan, utsökningsmyndigheter samt andra än myndigheter som sköter uppgifter inom den offentliga förvaltningen. Lagen innehåller bl.a. bestämmelser om myndigheternas skyldighet att anordna elektronisk service, avsändande av elektroniska meddelanden samt elektronisk signering av beslutshandlingar och elektronisk delgivning. 
Med en elektronisk dataöverföringsmetod avses enligt 4 § telefax och teletjänster, såsom elektroniska blanketter, elektronisk post och rätten att använda elektroniska datasystem, samt andra på elektronisk teknik baserade metoder där data förmedlas via en trådlös överföringskanal eller kabel. Med en elektronisk dataöverföringsmetod avses dock inte telefonsamtal. Ett elektroniskt meddelande är information som har sänts med en elektronisk dataöverföringsmetod och som vid behov kan sparas i skriftlig form. Med elektroniskt dokument avses ett elektroniskt meddelande som hänför sig till anhängiggörandet eller behandlingen av ett ärende eller till delgivningen av ett beslut. 
Enligt lagen ska en myndighet som har behövlig teknisk, ekonomisk och övrig beredskap inom ramen för den erbjuda var och en möjlighet att i syfte att anhängiggöra ärenden eller för behandlingen av dem sända meddelanden till en elektronisk adress eller specificerad anordning som angetts av myndigheten. Myndigheterna ska även se till att deras elektroniska dataöverföringsmetoder fungerar och informera om de adresser som ska användas vid den elektroniska kommunikationen med dem.  
Elektroniska meddelanden sänds till myndigheterna på avsändarens ansvar. Vid anhängiggörande och behandling av ärenden uppfyller också elektroniska dokument som sänts till en myndighet kravet på skriftlig form. Lagen har även bestämmelser om när ett elektroniskt meddelande anses ha kommit in och bestämmelser om diarieföring eller registrering, teknisk bearbetning och överföring av elektroniska dokument.  
Dessutom gäller lagen elektronisk signering av beslutshandlingar och elektronisk delgivning. En handling som enligt lag ska sändas med post mot mottagningsbevis eller delges bevisligen på annat sätt får med partens samtycke delges också som ett elektroniskt meddelande. En beslutshandling delges bevisligen från en av myndigheten anvisad server, databas eller någon annan fil. När beslutshandlingen hämtas ska parten eller dennes företrädare identifiera sig ett med ett certifikat som uppfyller kravet på underskrift eller med någon annan identifieringsteknik som är datatekniskt tillförlitlig och bevislig. Om delgivningen inte har skett bevisligen inom sju dagar från myndighetens meddelande, iakttas vid delgivningen vad som särskilt föreskrivs om delgivning. Andra handlingar får med samtycke av den som saken gäller delges som ett elektroniskt meddelande. Om det krävs för att tillgodose skyddet för den personliga integriteten eller på grund av ett särskilt behov av skydd eller säkerhet hos den som saken gäller, eller för att trygga dennes rättigheter, ska vid delgivning av handlingar samma förfarande iakttas som vid bevislig elektronisk delgivning. 
Lagen ålägger certifikatutfärdare som tillhandahåller kvalificerade certifikat vissa skyldigheter, som stärker de elektroniska signaturernas tillförlitlighet. Skyldigheterna innebär bl.a. att den som ansöker om kvalificerat certifikat ska identifieras på ett tillförlitligt sätt, att säkra system används och att det finns tillräckliga tekniska och ekonomiska resurser samt kompetent personal. Lagen anger också minimikraven för kvalificerade certifikat. En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat är med de begränsningar som föreskrivs i lag ansvarig för skada som orsakats den som förlitat sig på en elektronisk signatur som verifierats med ett kvalificerat certifikat. Certifikatutfärdaren ska göra en anmälan om sin verksamhet till Kommunikationsverket, som utövar tillsyn över utfärdandet av kvalificerade certifikat.  
Avancerade elektroniska signaturer skapade med hjälp av en i lagen angiven säker anordning för signaturframställning och kvalificerade certifikat garanteras samma ställning som en traditionell handskriven underteckning. En certifikatutfärdare som tillhandahåller allmänheten certifikat får i princip inhämta de personuppgifter som är nödvändiga för att utfärda och upprätthålla ett certifikat endast hos undertecknaren själv eller med dennes uttryckliga samtycke.  
Den allmänna styrningen av och tillsynen över certifikatverksamheten hör till kommunikationsministeriets uppgifter. Kommunikationsverket ska övervaka att lagen om elektroniska signaturer iakttas. I anknytning till denna uppgift har Kommunikationsverket rätt till upplysningar och inspektionsrätt. 
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster 
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) trädde i kraft den 15 juli 2016. Syftet med lagen är att förbättra tillgången och kvaliteten på offentliga tjänster, att förbättra tjänsternas informationssäkerhet och interoperabilitet samt styrningen av tjänsterna och att främja effektiviteten och produktiviteten inom den offentliga förvaltningen. Lagen innehåller bestämmelser om den offentliga förvaltningens gemensamma stödtjänster för e-tjänster, om kraven på stödtjänsterna, om åligganden som hänför sig till produktionen av stödtjänster samt om behandlingen av personuppgifter och andra uppgifter i samband med produktionen. I lagen finns dessutom bestämmelser om rätten och skyldigheten att använda gemensamma stödtjänster för e-tjänster och om förutsättningarna för att använda tjänsterna. 
Bakgrunden till lagen är de stödtjänster som främjar de digitala tjänsternas infrastruktur och som utvecklas inom ramen för programmet för genomförande av en nationell servicearkitektur (KaPA) samt en precisering av produktionsansvaret för de nuvarande stödtjänsterna för elektronisk kommunikation så att de överensstämmer med servicearkitekturen. 
Lagen om stark autentisering och betrodda elektroniska tjänster 
Lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) trädde i kraft den 1 september 2009. I lagen har det gjorts ändringar som trädde i kraft den 1 juli 2016. I samband med ändringen ändrades lagens namn till lagen om stark autentisering och betrodda elektroniska tjänster. Syftet med lagen har varit att åstadkomma grundläggande bestämmelser om tillhandahållande av tjänster för stark autentisering i Finland och att skapa en ram för en marknad för sådana tjänster. 
Vid sidan av lagen om stark autentisering och betrodda elektroniska tjänster finns det också andra lagar som påverkar stark autentisering och elektroniska signaturer. Sådana lagar är i synnerhet lagen om elektronisk kommunikation i myndigheternas verksamhet, lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) och personuppgiftslagen. 
Lagen om stark autentisering och betrodda elektroniska tjänster tillämpas på stark autentisering, elektroniska signaturer och tillhandahållande av anknytande tjänster för tjänsteleverantörer och allmänheten. Den innehåller bestämmelser bl.a. om funktionernas rättsverkan, behandling av personuppgifter, stark autentisering, elektroniska signaturer och tillsynsmyndigheter. 
Tjänster inom elektronisk identifiering och elektroniska signaturer ger allmänheten en möjlighet att använda elektroniska tjänster. Offentliga och kommersiella elektroniska tjänster som kräver stark autentisering av personer blir allt fler. I Finland regleras tillhandahållandet av och kvaliteten på stark autentisering och certifikattjänster för elektroniska signaturer genom lag. 
Europaparlamentet och rådet har antagit förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan EU:s förordning om elektronisk identifiering eller eIDAS-förordningen). Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i offentliga eller privata tjänster som kräver elektronisk identifiering. Ett sådant system för interoperabilitet i elektronisk identifiering som omfattar hela EU har krävt att gemensamma tillitsnivåer för elektronisk identifiering fastställs på EU-nivå.  
Med system för elektronisk identifiering avses i eIDAS-förordningen ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person.  
Enligt definitionen i 2 § i lagen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen.  
Med elektronisk underskrift avses i eIDAS-förordningen uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.  
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. 
Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat. 
Ansvaret för lagstiftningen om stark autentisering är fördelat mellan kommunikationsministeriet och finansministeriet. Kommunikationsministeriet ansvarar för den allmänna lagstiftningen om stark autentisering och finansministeriet för den lagstiftning som gäller Befolkningsregistercentralen och för styrningen inom den offentliga förvaltningen av användningen av elektronisk identifiering. Tillsynen över aktörernas verksamhet inom stark autentisering sköts av Kommunikationsverket. 
Kommunikationsverket ska övervaka att Europeiska unionens lagstiftning om elektronisk identifiering och betrodda tjänster följs. I fråga om de system för stark autentisering som används i Finland ska minst samma krav på tillförlitlighet och informationssäkerhet ställas som de krav som i Europeiska unionens lagstiftning ställs på de system för elektronisk identifiering på tillitsnivån väsentlig som överskrider unionens gränser.  
Kommunikationsverket och Befolkningsregistercentralen ska i Finland genomföra de åtgärder som Europeiska unionens system för interoperabilitet i elektronisk identifiering kräver.  
Arkivlagen  
Arkivlagen (831/1994) trädde i kraft den 1 oktober 1994. Genom den minskade den detaljerade regleringen av myndigheternas arkivfunktion och arkivverkets tillsynsuppgifter betydligt. I lagen beaktades också den utveckling som hade skett inom datateknik och informationsanvändning och som hade konsekvenser för arkivfunktionen. Lagen innehåller bestämmelser om arkivverket, arkivfunktionen och organiseringen av den, framställning, förvaring och användning av handlingar samt privata arkiv.  
Enligt 6 § omfattar ett arkiv de handlingar som inkommit till arkivbildaren på grund av dess uppgifter eller som tillkommit genom dess verksamhet. Med handling avses i arkivlagen en framställning i skrift eller bild eller en på elektronisk väg eller på annat sätt åstadkommen framställning som kan läsas, avlyssnas eller annars uppfattas med tekniska hjälpmedel. Enligt 7 § har arkivfunktionen till uppgift att säkerställa att handlingar hålls tillgängliga och bevaras, att sköta den informationstjänst som hänför sig till dem, att bestämma handlingars förvaringsvärde och att gallra ut onödigt material.  
Arkivfunktionen ska skötas så att den stöder arkivbildaren i dess uppgifter samt tillgodoser enskilda personers och sammanslutningars rätt att få uppgifter ur offentliga handlingar och att enskilda personers och sammanslutningars rättsskydd samt datasekretess har beaktats på behörigt sätt och att tillgången på handlingar som ansluter sig till enskilda personers och sammanslutningars rättsskydd säkerställs och att handlingarna betjänar forskningen som informationskällor. Arkivfunktionens krav ska beaktas i arkivbildarens informations- och dokumentförvaltning. Arkivbildaren ska bestämma hur planeringen av, ansvaret för och den praktiska skötseln av arkivfunktionen ordnas. Arkivbildaren ska enligt 8 § bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppstår till följd av skötseln av uppgifterna och ha en arkivbildningsplan över dem. När förvaringstiderna för handlingarna bestäms ska det beaktas vad som särskilt bestäms eller föreskrivs om dem. Arkivverket bestämmer vilka handlingar och uppgifter i handlingar som ska bevaras varaktigt.  
Arkivfunktionen i en kommun ska enligt 9 § organiseras av kommunstyrelsen. Kommunstyrelsen ska utse den tjänsteinnehavare eller funktionär som leder kommunens arkivfunktion och arkivbildning och svarar för de handlingar som ska bevaras varaktigt. Detta gäller också samkommuner och andra motsvarande samarbetsformer. Arkivverket har enligt 10 § rätt att trots sekretessbestämmelserna få uppgifter om arkivbildarnas arkivfunktion och att inspektera bl.a. statliga ämbetsverks och inrättningars samt kommunala myndigheters och organs arkivfunktion. Lagens 11–16 § innehåller bestämmelser om förvaring och bevarande av handlingar. 
EU:s allmänna dataskyddsförordning 
Allmänt 
Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ((EU) 2016/679, allmänna dataskyddsförordningen) trädde i kraft den 24 maj 2016. Den började tillämpas två år efter ikraftträdandet, dvs. den 25 maj 2018. Förordningen påverkar den gällande nationella lagstiftningen direkt. Förordningen ersätter Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (95/46/EG, personuppgiftsdirektivet). Syftet med förordningen är att uppdatera och modernisera principerna i personuppgiftsdirektivet.  
Syftet med den allmänna dataskyddsförordningen är att harmonisera olika praxis i fråga om dataskydd i medlemsländerna och att stärka självbestämmanderätten för de registrerade. Fastän förordningen syftar till att göra tillämpningen av dataskyddslagstiftningen mer konsekvent i hela EU lämnar den nationellt spelrum för lagstiftaren. Medlemsstaterna kan utfärda lagstiftning inom den offentliga sektorn som preciserar förordningen och som gäller t.ex. villkoren för att behandlingen av personuppgifter ska vara lagenlig.  
Förordningen har sitt ursprung i internationella människorättskonventioner och EU:s stadga om de grundläggande rättigheterna. Enligt artikel 7 i stadgan om de grundläggande rättigheterna som gäller respekt för privatlivet och familjelivet har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8 har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål. Behandlingen ska ske på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 
De grundläggande rättigheter som erkänns i stadgan om de grundläggande rättigheterna får enligt artikel 52 begränsas endast genom lag. Det väsentliga innehållet i dessa rättigheter och friheter ska även i detta fall iakttas. Begränsningarna ska vara förenliga med proportionalitetsprincipen. Proportionalitetsprincipen förutsätter att begränsningarna ska vara godtagbara och nödvändiga med hänsyn till det mål som eftersträvas. Begränsningarna ska respektera den registrerades, dvs. den person som behandlingen av personuppgifter gäller, och utomståendes rättigheter och friheter samt svara mot de mål som EU erkänner.  
Den allmänna dataskyddsförordningen tillämpas delvis eller helt och hållet på automatisk behandling av personuppgifter när ett register upprättas eller när avsikten är att upprätta ett register. Med personuppgifter avses i förordningen upplysningar som avser en identifierad eller identifierbar registrerad. Identifierare kan vara t.ex. namn, identifikationsnummer eller lokaliseringsuppgift. 
I bestämmelserna om personuppgifter har man gått in för ett riskbaserat förhållningssätt. Målet är å ena sidan att undvika överreglering av åtgärder med låg risk och å andra sidan att garantera skydd för den registrerade i verksamhet med hög risk. I skäl 75 i ingressen till förordningen nämns bl.a. följande risker: behandling av genetiska uppgifter eller uppgifter om hälsa, behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, och behandling av ett stort antal personuppgifter, om behandlingen gäller ett stort antal registrerade. 
I artikel 25 i förordningen skiljs planering av dataskyddet i förskott, inbyggt dataskydd och dataskydd som standard åt. Vid planering i förskott måste dataskyddet beaktas redan i planeringsstadiet och de tekniska och organisatoriska åtgärder som hänför sig till behandlingen av personuppgifter ska genomföras så att de registrerades rättigheter fullgörs och förordningen iakttas. Dataskydd som standard och inbyggt dataskydd innebär i standardfallet att endast uppgifter som är nödvändiga för varje specifikt ändamål behandlas och den personuppgiftsansvarige ska bygga upp en tjänst som är informationssäker och skyddad. 
Bestämmelser om den registrerades rättigheter finns i artiklarna 15–22. Den registrerade har rätt att bekanta sig med de uppgifter som samlats in om honom eller henne. Den registrerade har rätt att kräva att felaktiga uppgifter som rör honom eller henne rättas samt rätt att se till att uppgifter som rör honom eller henne raderas i registret. Den registrerade har, om han eller hon vill, rätt att överföra uppgifter från en personuppgiftsansvarig till en annan samt rätt att motsätta sig att uppgifterna används för t.ex. profilering.  
I artikel 4 i förordningen skiljs personuppgiftsansvarig och personuppgiftsbiträde åt. Med personuppgiftsansvarig avses en aktör som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning. Bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdets uppgifter finns i artiklarna 28–34. Till bådas ansvar hör att garantera en lämplig säkerhetsnivå för behandlingen och de personuppgifter som ska skyddas. Den personuppgiftsansvarige ska föra ett register över all uppgiftsbehandling som han eller hon ansvarar för. Den personuppgiftsansvarige är skyldig att underrätta tillsynsmyndigheten och den registrerade om personuppgiftsincidenter. Personuppgiftsbiträdet är på motsvarande sätt skyldigt att underrätta den personuppgiftsansvarige om personuppgiftsincidenter. Den personuppgiftsansvarige är dessutom enligt artiklarna 12–14 skyldig att gratis tillhandahålla den registrerade viss information om behandlingen av hans eller hennes personuppgifter.  
Den personuppgiftsansvarige och personuppgiftsbiträdet ska utse ett dataskyddsombud, om uppgiftsbehandlingen genomförs av en myndighet eller ett offentligt organ. Ett dataskyddsombud ska utses även om den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av sådan behandling som kräver övervakning av de registrerade i stor omfattning. Till dataskyddsombudets uppgifter hör t.ex. rådgivning för de anställda samt tillsyn över att den personuppgiftsansvarige och personuppgiftsbiträdet följer förordningen. Bestämmelser om den personuppgiftsansvarige finns i artiklarna 37–39 i förordningen. 
När det gäller behandling av personuppgifter är huvudregeln enligt artikel 5 att uppgifter får användas endast för det ändamål som de ursprungligen har samlats in för, dvs. principen för ändamålsbegränsning. De kan användas för andra ändamål endast om det nya användningsändamålet är förenligt med det ursprungliga användningsändamålet. Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål.  
Nationellt handlingsutrymme 
En förordning är direkt nationellt tillämplig lagstiftning i motsats till ett direktiv, som ska genomföras nationellt. Dataskyddsförordningen innehåller emellertid ett omfattande direktivliknande nationellt handlingsutrymme särskilt för den offentliga sektorn. Det nationella handlingsutrymmet grundar sig på artikel 6 c och 6 e i dataskyddsförordningen. I förordningen finns dessutom flera artikelspecifika preciseringar angående det nationella handlingsutrymmet.  
Enligt artikel 4.7 i förordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 
Enligt artikel 4.9 i förordningen avses med mottagare en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. Offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare. Offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte.  
I artikel 5 b och 5 e finns bestämmelser om principer för behandling av personuppgifter. Enligt dessa punkter ska uppgifter ”samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). 
I artikel 6.1 i förordningen finns det bestämmelser om laglig behandling av personuppgifter. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling, när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c) eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e). I detta fall kan medlemsstaterna noggrannare bestämma vilka särskilda krav på behandlingen av uppgifter och andra åtgärder som tryggar en laglig och ändamålsenlig behandling av uppgifter. 
Det ska föreskrivas om grunden för den behandling som avses i artikel 6.1 c och 6.1 e antingen i EU-rätten eller i en medlemsstats nationella rätt som tillämpas på den personuppgiftsansvarige.  
Syftet med behandlingen bestäms i den rättsliga grunden för behandlingen i fråga eller i den behandling som avses i artikel 6.1 e., och den ska vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. 
Allmänna grunder för behandling av personuppgifter samt skyddsåtgärder 
Även allmänt taget kräver behandling av personuppgifter en sådan grund för behandlingen som anges i förordningen. Allmänna grunder för behandling anges i artikel 6 i förordningen och grunderna för behandling av känsliga uppgifter i artikel 9. Behandlingen kan bl.a. grunda sig på personens samtycke, på skyddet av intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, på fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller på utförandet av en uppgift av allmänt intresse eller på den personuppgiftsansvariges myndighetsutövning. Känsliga personuppgifter är bl.a. genetiska eller biometriska uppgifter för entydig identifiering av en fysisk person samt uppgifter om hälsa. Dessa uppgifter åtnjuter särskilt skydd i förordningen och behandlingen av dem är mera begränsad än behandlingen av andra personuppgifter. 
Enligt artikel 6.1 är behandlingen laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:  
a) den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, 
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,  
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige,  
d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person,  
e) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning,  
f) behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.  
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. 
Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.  
I artikel 9 i förordningen finns bestämmelser om grunderna för behandling av känsliga uppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.  
Det ovannämnda förbudet mot att behandla uppgifter tillämpas dock inte, om bl.a. 
• den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade,  
• behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs, 
• behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke,  
• behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda,  
Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i det sista ledet, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.  
Begreppet skyddsåtgärd (safeguard) 
I den föreslagna kunduppgiftslagen föreskrivs det om behandling av känsliga personuppgifter. När känsliga personuppgifter behandlas ska dessa åtnjuta särskilt skydd enligt EU:s dataskyddsförordning. Nedan analyseras begreppet skyddsåtgärd både i dataskyddsförordningen och med avseende på denna proposition.  
Begreppet skyddsåtgärd i den allmänna dataskyddsförordningen  
I artikel 9 i dataskyddsförordningen finns bestämmelser om förbudet mot behandling av känsliga uppgifter. Känsliga uppgifter är uppgifter om bl.a. hälsan. Det är möjligt att göra undantag från förbudet att behandla känsliga uppgifter bl.a. på följande grunder: 
1. Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. 
2. Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
3. Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att skyddsåtgärderna är uppfyllda. 
4. Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt,där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. 
Alla ovan nämnda grunder förutsätter enligt dataskyddsförordningen utöver lagbestämmelser dessutom någon form av skyddsåtgärder eller särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. Behandling av andra än känsliga personuppgifter kräver däremot inte några skyddsåtgärder, med undantag för vissa situationer där uppgifter behandlas för annat än ursprungligt ändamål. 
I artikel 9 som gäller känsliga uppgifter definieras inte begreppet skyddsåtgärd. Begreppet har emellertid använts i stor utsträckning i andra artiklar i förordningen och särskilt i skälen. Det är möjligt att få stöd för en definition av skyddsåtgärd från andra delar av förordningen. Enligt exempelvis artikel 6 är kryptering och pseudonymisering (material som kan identifiera en fysisk person ersätts med artificiella identifierare) lämpliga skyddsåtgärder, om uppgifterna behandlas för något annat än ursprungligt syfte.  
Vägledning för begreppet skyddsåtgärd kan sökas särskilt i artikel 25 om inbyggt dataskydd och dataskydd som standard. Detta hänvisas det till på många ställen i förordningen där det talas om skyddsåtgärder T.ex. enligt artikel 28 ska personuppgiftsbiträden genomföra tillräckliga och lämpliga skyddsåtgärder för att verkställa tekniska och organisatoriska åtgärder. Se även skälen 71, 108 och 156 i ingressen.. Enligt artikeln ska man beakta både den nyaste tekniken och genomförandekostnaderna. Dessutom måste hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål, samt de risker för fysiska personers rättigheter och friheter som behandlingen föranleder. Utifrån dessa omständigheter ska den personuppgiftsansvariga vid fastställandet av behandlingssätten och vid behandlingen av uppgifter iaktta dataskyddsprinciperna. Som dataskyddsprinciper nämns i förordningen som exempel uppgiftsminimering samt lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering I artikeln nämns särskilt begreppet skyddsåtgärd. Artikeln står i strid med artikel 6, där pseudonymisering nämns som en lämplig skyddsåtgärd, medan skyddsåtgärd och pseudonymisering är två separata begrepp i artikel 25. . Genom dessa tekniska och organisatoriska åtgärder säkerställs det att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Antalet personuppgifter, behandlingens omfattning, förvaringstiden och tillgängligheten ska bedömas i förhållande till personuppgifternas nödvändighet. Ett obegränsat antal personer ska inte heller få tillgång till uppgifter som standard. Till sist nämns det att en godkänd certifieringsmekanism kan användas som ett element för att visa att de krav som nämns i detta stycke iakttas. 
Med skyddsåtgärder är det enligt artikel 24 möjligt att förhindra missbruk eller lagstridig åtkomst till uppgifterna eller flyttning av dem. Vid överföring av uppgifter till tredjeland ska enligt artikel 46 den personuppgiftsansvariga eller det personuppgiftsbiträde som tar emot uppgifterna genomföra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder kan vara bl.a. ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organisationer, bindande företagsbestämmelser, standardiserade dataskyddsbestämmelser eller en godkänd uppförandekod. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation (skäl 108). 
Enbart genom automatisk databehandling får en registrerads personliga egenskaper bedömas endast i specialsituationer. Även i detta fall måste man alltid tillämpa lämpliga skyddsåtgärder, som bör inkludera specifik informationtill den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. 
Fysiska personer ska informeras om skyddsåtgärderna, och i synnerhet barns personuppgifter ska skyddas, eftersom barn kan vara mindre medvetna om sina rättigheter eller om skyddsåtgärder (skälen 38 och 39). 
Begreppet skyddsåtgärd har inte definierats uttömmande i förordningen, utan definitionen omfattas delvis av det nationella handlingsutrymmet. Fastän det i förordningen har räknats upp många olika möjliga skyddsåtgärder kan uppgifterna skyddas även på andra sätt. En uttömmande uppräkning av skyddsåtgärder i förordningen är ingen bra lösning, eftersom särskilt de tekniska skyddsåtgärderna utvecklas kontinuerligt och det kan i olika medlemsstater finnas olika sätt att skydda uppgifterna. 
Personuppgifter och skyddsåtgärder inom social- och hälsovården 
Enligt förordningen är uppgifterna inom hälso- och sjukvården känsliga personuppgifter, och behandlingen av dem grundar sig på artikel 9 och kräver skyddsåtgärder. Behandlingen av uppgifter inom socialvården grundar sig däremot på artikel 6, och kräver inga skyddsåtgärder. Här analyseras således skyddsåtgärder endast vad beträffar uppgifter inom hälso- och sjukvården.  
Inbyggt dataskydd och dataskydd som standard har en central roll när det gäller att skydda uppgifter inom hälso- och sjukvården. Behandlingen av hälsouppgifter gäller i regel hela Finlands befolkning och målet för behandlingen är känsliga uppgifter, vars skydd är särskilt viktigt. Det primära användningsändamålet för hälsouppgifter är ordnande, produktion och genomförande av hälso- och sjukvård samt det allmänna intresset sett ur ett mer omfattande perspektiv. Risken vid behandling av hälsouppgifter är missbruk av uppgifterna och t.ex. läckta uppgifter, och möjligheten att så sker bör minimeras. Uppgifterna ska vara uppdaterade och vid behov finnas tillgängliga och kunna användas. Detta inverkar också på den tid uppgifterna förvaras. Administrering av åtkomsträttigheterna, utbildning av personalen samt andra tekniska och organisatoriska åtgärder förhindrar missbruk och lagstridig åtkomst till uppgifterna. Åtkomsträttigheterna definieras i den nya kunduppgiftslagen med beaktande av varje persons arbetsuppgifter. Fysiska personer, organisationer och datatekniska enheter ska kunna identifieras på ett tillförlitligt sätt. Samtidigt förhindras det att ett obegränsat antal personer kommer åt uppgifterna och det säkerställs att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas.  
För att den registrerades rättigheter ska tryggas ska kunden enligt kunduppgiftslagen informeras om att uppgifterna behandlas i riksomfattande informationssystemtjänster. Kunden har rätt att förbjuda att de uppgifter som han eller hon särskilt har specificerat lämnas ut. Insamling av användnings- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk. På det sättet säkerställs att den registrerades rättigheter respekteras. 
Användningen av hälsouppgifter grundar sig i regel på lag i den föreslagna modellen. Likaså får uppgifterna lämnas ut för annat användningsändamål endast om det finns laglig grund eller kundens uttryckliga samtycke för detta. Hälso- och sjukvårdsuppgifter som används i kundarbete kan inte krypteras eller pseudonymiseras, eftersom tillförlitlig identifiering av en person och behandling av hans eller hennes identifierbara uppgifter är nödvändigt i arbetet.  
För att minimera riskerna måste man följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för att genomföra den nyaste tekniken. Enligt klientuppgiftslagen måste informationssystemens och kundhandlingarnas datastrukturer möjliggöra skydd av uppgifterna. Inom hälso- och sjukvården används en certifieringsmekanism för datasystem som kommer att bevaras även vid reformen av klientuppgiftslagen. Systemen ska följas och utvärderas och de ska uppfylla vissa väsentliga och övriga krav, som det föreskrivs om i propositionen. 
2
Målsättning och de viktigaste förslagen
2.1
Målsättning
Syftet med social‐ och hälsovårdsreformen är en verksamhetsförändring som förbättrar tillgången till tjänster samt jämlikheten. Digitaliseringen är ett viktigt verktyg i förändringen. I fortsättningen utgör informationssystem och nya elektroniska tjänster stöd för kunder och yrkesutbildade personer inom social- och hälsovården på ett så bra sätt som möjligt. Med hjälp av digitalisering kan tjänsterna även produceras på helt nya sätt och processerna effektiviseras. 
Informations- och kommunikationstekniska lösningar (IKT-lösningar; eng. information and communications technology, ICT) och digitalisering är verktyg för bättre tjänster för kunderna inom social- och hälsovården samt för att upprätthålla och utveckla välbefinnandet och funktionsförmågan. Med elektroniska tjänster kan man även stödja medborgarnas möjligheter att själva upprätthålla sin funktionsförmåga och hälsa. 
Ett fungerande system för tjänsterna inom social- och hälsovården förutsätter sådana IKT-lösningar som innebär att kunduppgifterna kan användas oberoende av organisations- och områdesgränser. 
Reformen av servicestrukturen inom social- och hälsovården syftar till att minska en stor del av hållbarhetsunderskottet inom den offentliga ekonomin. Avsikten är att cirka 3 miljarder euro av regeringens sparmål på 10 miljarder euro ska uppnås genom social- och hälsovårdsreformen. De föreslagna lagändringarna främjar för sin del reformen av servicestrukturen inom social- och hälsovården.  
Målet för propositionen är att på ett riksomfattande plan förbättra tillgången till och användbarheten av kund- och läkemedelsuppgifter samt kundens möjligheter till delaktighet. En effektiv och integrerad tjänsteproduktion förutsätter att uppgifter om en kund finns tillgängliga över organisationsgränserna. Målen förutsätter ändringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om elektroniska recept och andra nödvändiga lagar.  
De riksomfattande informationssystemtjänsternas, dvs. Kanta-tjänsternas, roll som en central plats för förvaring och delning av kunduppgifter inom social- och hälsovården, uppgifter om välbefinnande samt läkemedelsuppgifter blir viktigare särskilt när det gäller klientuppgifter inom socialvården och sådana uppgifter om välbefinnande som kunderna själva producerar. Enligt förslaget fungerar hälsoarkivet som ett riksomfattande kunddatalager inom social- och hälsovården. I datalagret för tillhandahållare av social- och hälsovårdstjänster in de patient- och kundhandlingar som uppkommer i kundarbetet direkt efter det att handlingarna har färdigställts. De som utför kundarbete kan utnyttja den information som finns i kundhandlingarna oberoende av organisation. Centraliserade riksomfattande informationssystemtjänster innebär att vården av och omsorgen om samt servicen för kunden grundar sig på uppdaterad och heltäckande information samt på god praxis. Centraliserade tjänster gör det även möjligt att använda kunduppgifterna inom social- och hälsovården på ett jämlikt sätt på olika områden och så att medborgarnas jämlikhet främjas. 
Syftet med propositionen är att förbättra den aktuella informationsgången i kundarbetet inom social- och hälsovården. Detta blir bättre med hjälp av ett centraliserat datalager. Dessutom blir den uppgift som gäller slutligt förvar av uppgifterna, dvs. arkivering och utplåning, en lättare och tydligare helhet.  
Syftet med propositionen är att öka medborgarnas intresse att måna om sin hälsa och sitt välbefinnande. Ett ökat intresse för detta förbättrar förståelsen för vården och tjänsterna, och tillgången till information ökar även chanserna för att valfriheten förverkligas samt medborgarnas självbemyndigande. Dessutom ska medborgarna med hjälp av ett skyddat medborgargränssnitt kunna kontrollera sina egna kunduppgifter som förts in i hälsoarkivet. 
I propositionen har kraven i EU:s dataskyddsförordning beaktats. 
2.2
De viktigaste förslagen
De viktigaste förslagen i propositionen är att arkiveringstjänsten för klientuppgifter inom socialvården ska införlivas med den helhet som de riksomfattande informationssystemtjänsterna utgör, att det s.k. allmänna samtycket slopas inom hälso- och sjukvården när journalhandlingar behandlas samt att ett datalager för medborgares egna uppgifter inrättas. I propositionen föreslås dessutom att receptarkivet slopas. I den riksomfattande arkiveringstjänsten kan det utöver journalhandlingar föras in uppgifter eller handlingar som gäller social- och hälsovård och som hänför sig till ordnande, styrning, tillsyn, utvärdering av verksamheten, utveckling och informationshantering samt uppgifter om välbefinnande. I propositionen föreskrivs också om det ansvar som Folkpensionsanstalten och Institutet för hälsa och välfärd har i anknytning till de riksomfattande informationssystemtjänsterna.  
I propositionen föreslås det att rätten för yrkesutbildade personer inom hälso- och sjukvården att behandla de klient- och patientuppgifter som de behöver i sitt arbete huvudsakligen ska grunda sig på lagstiftning och ett existerande kund- och vårdförhållande, och inte på ett samtycke som begärs av kunden. Uppgifterna får behandlas i den omfattning som användningsändamålet förutsätter. Administrering av åtkomsträttigheterna, utbildning av personalen samt andra tekniska och organisatoriska åtgärder förhindrar missbruk och lagstridig åtkomst till uppgifterna. Yrkesutbildade personer, organisationer och datatekniska enheter ska kunna identifieras på ett tillförlitligt sätt. Samtidigt förhindras det att ett obegränsat antal personer kommer åt uppgifterna och det säkerställs att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas.  
I propositionen föreslås att Institutet för hälsa och välfärd meddelar föreskrifter om grunderna för åtkomsträttigheterna. Tjänstetillhandahållaren ger en yrkesutbildad person åtkomsträttigheter till de nödvändiga kunduppgifter som han eller hon behöver i sitt arbete. 
Kunduppgifter kan utlämnas om villkoren för utlämnande uppfylls. Till dessa villkor räknas verifiering av att ett vård- eller kundförhållande existerar och ett berättigande i lag för utlämnande av uppgifter. Om dessa villkor för utlämnande av kunduppgifter inte uppfylls, behövs för utlämnandet ett uttryckligt samtycke som ska begäras av kunden i enlighet med EU:s dataskyddsförordning. Kunden ska ha rätt att förbjuda att hans eller hennes kunduppgifter utlämnas från en personuppgiftsansvarig till en annan. 
Insamling av användnings- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk.  
För att minimera riskerna måste man följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för att genomföra den nyaste tekniken. Enligt propositionen måste informationssystemens och kundhandlingarnas datastrukturer möjliggöra skydd av uppgifterna. Inom hälso- och sjukvården används en certifieringsmekanism för datasystem som kommer att bevaras även i reformen av klientuppgiftslagen. Systemen ska följas och utvärderas och de ska uppfylla vissa väsentliga krav. 
I propositionen föreslås att ett datalager för medborgares egna uppgifter inrättas i samband med de riksomfattande informationssystemtjänsterna. En medborgare kan besluta om användningen av de uppgifter om välbefinnande som finns i datalagret för egna uppgifter eller om användningen av information som produceras av välbefinnandeapplikationer. Detta innebär att en medborgare kan föra in eller avlägsna sina egna uppgifter om välbefinnande i datalagret för egna uppgifter. Dessutom kan en medborgare ge sitt uttryckliga samtycke till att en tjänstetillhandahållare får använda de uppgifter om välbefinnande som finns i datalagret för egna uppgifter.  
Ändring av lagen om elektroniska recept 
I verksamhet i enlighet med lagen om elektroniska recept är det nödvändigt att behandla personuppgifter och särskilda kategorier av personuppgifter enligt artikel 9 i EU:s dataskyddsförordning som uppgifter om hälsa. Behandlingen av personuppgifter grundar sig på artikel 6.1 c i dataskyddsförordningen, dvs. på en lagstadgad skyldighet. I och med att behandlingen av personuppgifter grundar sig på artikel 6.1 c i dataskyddsförordningen har den registrerade inte rätt att göra invändningar mot att hans eller hennes personuppgifter behandlas. Bestämmelser om rätten att göra invändningar mot behandling av uppgifter finns i artikel 21 i dataskyddsförordningen. Behandlingen av uppgifter om hälsa grundar sig på artikel 9 h i fråga om elektroniska recept. Denna behandlingsgrund förutsätter enligt dataskyddsförordningen tystnadsplikt för den som behandlar personuppgifter.  
I lagen om elektroniska recept föreslås en ändring som innebär att receptarkivet slopas.  
De ändringar som föreslås i lagen om elektroniska recept i fråga om samtycke och förbud ska vara enhetliga med de ändringar som görs i klientuppgiftslagen. Recept ska enligt huvudregeln uppgöras elektroniskt. I propositionen räknas dock upp de recept som för närvarande inte kan uppgöras elektroniskt.  
3
Propositionens konsekvenser
Propositionen har såväl ekonomiska som samhälleliga konsekvenser. Konsekvenserna kan också delas in i direkta och indirekta. De samhälleliga konsekvenserna kan undersökas ur kundernas, yrkesfolkets eller, i vidare bemärkelse, ur samhällets perspektiv.  
Propositionen har konsekvenser för olika målgrupper, t.ex. för tjänstetillhandahållare och yrkesutbildade personer inom social- och hälsovården samt för hela befolkningen i egenskap av såväl kunder som anlitar social- och hälsovårdstjänster som potentiella användare av tjänsten Mina Kanta-sidor och välbefinnandeapplikationer. Konsekvenserna blir påtagliga även för dem som levererar klient- och patientdatasystem och för dem som utvecklar välbefinnandeapplikationer. 
Social- och hälsotjänster produceras av såväl kommuner, samkommuner och staten som privata serviceproducenter. Antalet privata producenter av socialtjänster var ca 4 400 vid utgången av 2015. Det fanns ca 21 000 serviceproducenter inom hälso- och sjukvården inklusive de självständiga yrkesutövarna. Inom hälsovårdstjänster arbetade ca 180 000 personer och inom socialtjänster 205 000 personer. 
3.1
Ekonomiska konsekvenser
De årliga kostnaderna för hälso- och sjukvården i Finland uppgick 2015 till sammanlagt 19,5 miljarder euro. År 2013 uppgick de sammanlagda utgifterna för informations- och kommunikationsteknik i kommuner, samkommuner och kommunkoncernernas affärsverk och bolag till ca 900 miljoner euro, varav ca 45 procent, dvs. ca 400 miljoner euro per år hänförde sig till social- och hälsovården. Beträffande social- och hälsovården var kostnaderna 2015 sammanlagt 556 miljoner euro och de budgeterade kostnaderna för 2016 uppgick till 599 miljoner euro. Av kommunernas informationsteknikkostnader bestod 42 procent av kostnader för programlicenser och underhåll och 23 procent av personalkostnader, medan andelen för utrustning var ca 15 procent och utvecklingsutgifterna var ca 20 procent. Många av de kommuner och samkommuner som svarade på kartläggningen av informationstekniken 2013 önskade gemensamma lösningar i fråga om informationsförvaltningen särskilt för social- och hälsovården, där ökningen av kostnaderna för informationsförvaltning under de senaste åren har varit kraftig.  
Hälso- och sjukvården i Finland är för närvarande nästan helt och hållet digitaliserad vad gäller behandlingen av patientuppgifter. Inom socialvården är användningen av informationssystem däremot inte lika vanlig, men omfattar dock den största delen av verksamheten. Det antal patientdatasystem och andra system som är i bruk är begränsat, men trots det ser man att informationssystemfältet inom social- och hälsovården i sin helhet är splittrat och verksamhetsmodellerna varierar i olika regioner och det finns ett stort antal regionala verksamhetsmodeller som omfattar endast en organisation eller på sin höjd ett sjukvårdsdistrikt. Källa: Kuntien ja sosiaali- ja terveydenhuollon tietohallinnon ja ICT-toiminnan nykytila ja sote- ja alueuudistuksen näkökulmasta. Digitalisaatio, ICT-palvelut ja tietohallinto -ryhmä (SoteDigi-ryhmä) 26.1.2016 https://www.kuntaliitto.fi/sites/default/files/media/file/Sote%20ICT%20kustannuslaskentaraportti_300816.pdf 
Inom hälso- och sjukvården finns patientuppgifterna tillgängliga på det riksomfattande planet genom de riksomfattande informationssystemtjänsterna. En liknande helhet är man på väg att i enlighet med detta lagförslag genomföra även inom socialvården så att även klientuppgifterna inom socialvården finns tillgängliga i hela landet genom de riksomfattande informationssystemtjänsterna. Dessutom förbättras medborgarnas möjligheter att få information genom att kunduppgifterna visas på tjänsten Mina Kanta-sidor. Tjänsten Mina Kanta-sidor och de riksomfattande informationssystemtjänsterna kan också användas vid digitalisering av ärendeprocesserna. De riksomfattande informationssystemtjänsterna stöder även genomförandet av landskaps- och vårdreformen. 
De största möjligheterna till besparingar inom social- och hälsovården finns i anslutning till ändringar av verksamhetsprocesserna och i synnerhet i anslutning till införandet av elektroniska tjänster. Utveckling av egenvården genom utnyttjande av det föreslagna datalagret för egna uppgifter samt övriga elektroniska tjänster för kunderna möjliggör effektivisering av verksamheten och rimlig fördelning av resurserna, liksom även effektivare användning av informations- och kommunikationsteknik (IKT) i verksamhetsprocesserna. Den eftersträvade nyttan och besparingen realiseras först som resultat av ett långsiktigt utvecklande av verksamheten och införandet av nya verksamhetsmodeller.  
Nyttopotential i fråga om sådana tjänster för egenvård som genomförs med hjälp av datalagret för egna uppgifter och välbefinnandeapplikationer 
Ett nationellt gemensamt datalager sparar på kostnaderna jämfört med landskapsvisa eller producentvisa lösningar. Konstruktionen av en nationell lösning kostar ca 3,5 miljoner euro, medan landskapsvisa genomföranden kostar över 20 miljoner euro. Kostnaderna för utvecklandet av den nationella lösningen täcks med medel under moment 33.01.25 (Nationella elektroniska klientdatasystem inom social- och hälsovården) i statsbudgeten. 
Den egentliga nyttan av egenvård fås via olika egenvårdstjänster. Egenvårdstjänster byggs i ett omfattande kommunkonsortiums gemensamma projekt Omaolo. Den nationella kostnadsnyttan av tjänsterna är 17 €/invånare/år, vilket innebär över 90 miljoner euro på årsnivå när tjänsterna används i stor utsträckning. När det gäller specialiserad sjukvård utvecklas egenvårdstjänsterna inom ramen för universitetssjukhusens gemensamma projekt Virtuaalisairaala 2.0. Detaljerade beräkningar av kostnadsnyttan har gjorts över genomförandet av tjänsterna, och beräkningarna förutspår en årlig besparing på ca 316 miljoner euro 2021. Besparingen utgörs av exempelvis minskat antal besök och minskad postning.  
Nyttopotentialen för arkivet för klientuppgifter 
Ibruktagandet, användningen och förvaltningen av arkivet för klientuppgifter och andra riksomfattande informationssystemtjänster medför ekonomiska kostnader för både staten och organisationer inom socialvården. En del av dessa kostnader är rörliga och bundna till verksamhetens volym. Kostnader av detta slag kan vara kostnaderna för registrering och förvaring av kunduppgifter. En del av driftskostnaderna, t.ex. förvaltningskostnaderna, är till sin karaktär fasta. Andra fasta kostnader utöver detta är sådana investeringskostnader som inte är bundna till arkivverksamheten. Investeringskostnaderna uppkommer i huvudsak under de första åren då arkivet för klientuppgifter utvecklas och tas i bruk. Investeringskostnader kan uppkomma bl.a. av anskaffning av utrustning och programvara, köp av tjänster samt användning av egen och utomstående arbetskraft. Även utbildningskostnaderna för ibruktagandet av den nya tjänsten beaktas som investeringskostnader. Driftskostnader uppkommer av användning av arbetskraft och material samt av köp av tjänster. Utöver kostnaderna för utvecklande av den riksomfattande tjänsten föranleds organisationer inom socialvården kostnader på grund av förändringar i de klientdatasystem som dessa organisationer använder. Organisationerna ska få tekniska anslutningar till Kanta-tjänsterna, och även utvecklandet av datastrukturerna kräver systemändringar. Även den utbildning som gäller den nya dokumentationspraxisen och de nya verksamhetsmodellerna samt stödet för ibruktagandet av arkivet för klientuppgifter medför kostnader. 
Utvecklingskostnaderna för arkivet för klientuppgifter uppgick åren 2015–2017 till ca 7,36 miljoner euro och de uppskattade kostnaderna för åren 2018–2020 är uppskattningsvis ca 13,3 miljoner euro. Dessutom uppgår kostnaderna för socialvårdens certifikattjänster till ca 3 miljoner euro. Kostnaderna för utvecklande av det riksomfattande arkivet för klientuppgifter täcks med medel under moment 33.01.25 (Nationella elektroniska klientdatasystem inom social- och hälsovården) i statsbudgeten. 
Den ekonomiska nytta som genereras med hjälp av socialvårdens arkiv bedömdes i det skede då projektet Kansa, som verkställer arkivet, bereddes. I bedömningen har deltagit kommunala aktörer (en kommunenkät till en utvald grupp), enheten för styrning av den operativa verksamheten (OPER) vid Institutet för hälsa och välfärd samt Folkpensionsanstalten. För genomförandet av bedömningen svarade Enheten för hälsoekonomi och social ekonomi (CHESS) vid Institutet för hälsa och välfärd.  
Vid kostnads-nyttoanalysen bedömdes den ekonomiska nyttan av arkivet för klientuppgifter som följer:  
1. Effektiviserad framtagning och delning av information 
Elektronisk arkivering försnabbar registreringen, framtagningen och delningen av information bland olika användare. Den mest betydande nyttan av effektiviseringen hänför sig till behandlingen av information. De som arkiverar klientuppgifter och de som använder de arkiverade uppgifterna drar nytta av den elektroniska arkiveringen av klientuppgifter. Elektronisk arkivering minskar i betydande utsträckning arkivskötarens uppgifter inom socialväsendet vad gäller exempelvis sållningar och gallringar i anslutning till datamaterialen. Arbetet för de yrkesutbildade personerna inom socialvården effektiveras särskilt vid bedömning av servicebehovet och vid planering av socialtjänsterna i början av kundprocessen då alla uppgifter om kunden finns tillgängliga utan sådan information som söks via särskilda begäranden om information. Också arbetsmängden för den som lämnar ut uppgifter minskar, eftersom kundhandlingar på papper inte behöver lämnas ut till den som begär dem. Medborgarna får sina uppgifter via tjänsten Mina Kanta-sidor. 
2. Effektiviserad registrering 
Elektronisk arkivering försnabbar registreringen och överlappande registreringar minskar. Nyttan riktar sig särskilt till dem som utformar handlingar som ska arkiveras i det elektroniska arkivet t.ex. i kommunerna, eftersom det går mindre tid åt till att producera handlingen. Uppskattningsvis ca 117 000 yrkesutbildade personer drar nytta av detta. 
3. Effektiviserad arkivering 
Elektronisk arkivering minskar behovet av fysiska arkiv. Nyttan riktar sig särskilt till förvaltningen av de nuvarande fysiska arkiven. 
4. Minskad postning 
Så gott som all postning mellan tjänstetillhandahållare kan i fortsättningen skötas elektroniskt. Största delen av de handlingar som finns i elektronisk form kan skickas till kunden även elektroniskt, och det betyder att den tid som använts för postningen och de kostnader som hänför sig till postningen minskar. 
Den nytta som nämns ovan har utvärderats av experter på socialvård vid Helsingfors socialväsende. Dessutom har statistik som framställts om organisationerna vid affärsverket Oiva och vårdcentralen Aava i Päijänne-Tavastland använts.  
I följande diagram uppskattas lönsamheten för socialvårdens arkiv samt utfallet i fråga om kostnader och nytta på årsnivå. Av diagrammen framgår utvecklandet av lönsamheten i investeringen och realiseringen av nyttan några år efter ibruktagandet av arkivet. Källa: Kuntien ja sosiaali- ja terveydenhuollon tietohallinnon ja ICT-toiminnan nykytila ja sote- ja alueuudistuksen näkökulmasta. Digitalisaatio, ICT-palvelut ja tietohallinto -ryhmä (SoteDigi-ryhmä) 26.1.2016 https://www.kuntaliitto.fi/sites/default/files/media/file/Sote%20ICT%20kustannuslaskentaraportti_300816.pdf 
Indirekt nytta 
De reformer som anges i förslaget genererar även indirekt nytta utöver nytta av mer teknisk karaktär. Nytta uppkommer av att vårdpersonalen i service- och vårdsituationer i betydande utsträckning har tillgång till kundens tidigare klient- och patientuppgifter (inom ramen för kundens samtycke eller eventuella förbud mot utlämnande av uppgifter som kunden har meddelat eller åtkomsträttigheterna), och då får vårdpersonalen lättare en helhetsbild av kundens situation vilket i sin tur gör det möjligt att planera tjänsterna på ett mer övergripande sätt.  
Man kan utveckla välbefinnandeapplikationer som ska hänföras till de riksomfattande informationssystemtjänsterna och med hjälp av vilka man kan underlätta kundernas kommunikation med vårdpersonalen, vilket kan vara ett stöd vid främjande av hälsa och vård av sjukdomar och på det sättet generera nytta för hälsan och välbefinnandet. Reformerna möjliggör även utvecklande av nya former av verksamhets- och servicemodeller, vilket effektiviserar verksamheten. Applikationerna kan utvecklas till stöd för välbefinnandet även utan att yrkesutbildade personer inom social- och hälsovården deltar. Realiseringen av nyttan och nyttans omfattning är beroende av hurdana verksamhetsmodeller och applikationer som utvecklas med utnyttjande av riksomfattande informationssystemtjänster. 
Konsekvenser för hushållen. Hushållen kan uppnå kostnadsnytta både genom den tidsbesparing som de riksomfattande informationssystemtjänsterna och de därtill hörande välbefinnandeapplikationerna medför och genom revideringen av verksamhetsmodellerna inom social- och hälsovården. Även en förbättrad tillgång till klient- och patientuppgifter kan medföra kostnadsnytta för hushållen, t.ex. ett minskat antal överlappande åtgärder och förbättrad patientsäkerhet. Om fysiska besök kan ersättas med informationsutbyte via välbefinnandeapplikationer innebär det att hushållen sparar tid och även kostnader som orsakas av besök. 
Konsekvenser för hälsovårdsföretag. Hälsovårdsföretagen kan utveckla välbefinnandeapplikationer som kan införlivas med de riksomfattande informationssystemtjänsterna och särskilt med datalagret för egna uppgifter samt nya former av servicemodeller i anslutning till dessa. Uppgifternas tillgänglighet gör det lättare för kunderna att byta serviceproducent, eftersom den tidigare vård- och servicehistorien finns tillgänglig via den riksomfattande informationssystemtjänsten. Detta kan i viss mån göra en etablering på marknaden lättare, öka konkurrensen mellan företag och genom konkurrens även förbättra kvaliteten på servicen och främja utvecklandet av nya verksamhets- och tjänsteformer. 
När ett företag är verksamt för en annan serviceanordnares räkning inom social- och hälsovården, t.ex. ett landskap, kan företaget använda sitt eget klient- och patientdatasystem och skicka uppgifterna till anordnaren via en riksomfattande informationssystemtjänst. Behovet att göra separata integrationer eller använda anordnarens informationssystem minskar. 
Konsekvenser för den offentliga ekonomin. Reformerna enligt förslaget har konsekvenser för den offentliga ekonomin genom både utvecklings- och underhållskostnaderna för informationssystemen och en eventuell effektivisering av verksamheten inom social- och hälsovården på det sätt som beskrivs ovan. I begynnelseskedet kräver utvecklandet av ny service betydande investeringar och senare börjar den nytta som uppnås med serviceutvecklingen synas. 
3.2
Samhälleliga konsekvenser
3.2.1
3.2.1 Kundperspektivet
Sett ur kundperspektivet kommer propositionen att ha konsekvenser, särskilt de bestämmelser i propositionen som främjar och förbättrar överföringen av kunduppgifter mellan olika tjänstetillhandahållare och gör överföringen smidigare. I propositionen finns dessutom en ny bestämmelse om medborgarens datalager för egna uppgifter, som en person, om han eller hon så vill, kan föra in sina egna uppgifter om välbefinnande i. De reformer som avses i propositionen ökar förmodligen medborgarnas möjlighet att delta och påverka särskilt genom tjänsten Mina Kanta-sidor och de välbefinnandeapplikationer som datalagret för egna uppgifter möjliggör. 
När kundens social- och hälsovårdsuppgifter finns införda i riksomfattande informationssystemtjänster på ett nationellt enhetligt sätt kan man anta att även den service som kunderna får blir effektivare. Kundens social- och hälsovårdsuppgifter ska vara tillgängliga oberoende av var eller hos vilken tjänstetillhandahållare kunden uträttar sina ärenden. Det opartiska bemötandet av kunderna förbättras när alla uppgifter om kunden är uppdaterade och tillgängliga.  
Inom hälso- och sjukvården har patienten tillfrågats om brett samtycke, och utifrån samtycket har uppgifterna om hälsa med hjälp av riksomfattande informationssystemtjänster kunnat utlämnas till andra verksamhetsenheter inom hälso- och sjukvården. Efter det att patienten har gett sitt samtycke har han eller hon haft rätt att förbjuda att uppgifterna lämnas ut. I denna regeringsproposition slopas det ovannämnda breda samtycket och den rätt till förbud som är sammankopplad med det.  
Utlämnande av uppgifter mellan personuppgiftsansvariga ska enligt propositionen inte i fortsättningen kräva samtycke av kunden, men kunden kan dock förbjuda att hans eller hennes uppgifter lämnas ut. Förbudet kan gälla ett enskilt register eller en enskild tjänstetillhandahållare. Inom hälso- och sjukvården kan förbudet även i fortsättningen gälla en enskild servicehändelse och inom socialvården en enskild handling eller servicehändelse. Dessutom ska det vara möjligt att förbjuda utlämnande av alla uppgifter. Genom förbudet är det dock inte möjligt att begränsa de lagstadgade rättigheterna att få uppgifter.  
Bestämmelser om samtycke finns i EU:s dataskyddsförordning, och artikel 29-arbetsgruppen, som består av de till Europeiska unionen hörande ländernas dataskyddsmyndigheter, har meddelat anvisningar om samtycket (WP 29). Slopandet av samtycket innebär en betydande förändring i den praxis som gäller i hälso- och sjukvårdens nuvarande riksomfattande informationssystemtjänster. I fortsättningen ska patientuppgifterna i regel kunna utlämnas till andra personuppgiftsansvariga, om kunden inte har förbjudit att hans eller hennes uppgifter lämnas ut. Före utgången av mars 2018 hade ca tre miljoner personer gett sitt samtycke till utlämnande av uppgifter.  
Kunderna kan i det nationella datalagret föra in sina egna personliga uppgifter om välbefinnande och hälsa med hjälp av datalagret för egna uppgifter, dvs. tjänsten Personal Health Record (PHR). I målbilden kan kunden spara sina uppgifter på internet eller med olika elektroniska tjänster eller mobilapplikationer. Kunden kan i allt större utsträckning använda de uppgifter om hälsa och välbefinnande som han eller hon själv har samlat in för att förbättra sin livsföring och sitt välbefinnande. De uppgifter som kunden har sparat kan en yrkesutbildad person inom social- och hälsovården vid behov använda med kundens samtycke. Med hjälp av datalagret för egna uppgifter främjas aktiv användning av nya innovationer när det gäller att sörja för det egna välbefinnandet.  
Via den elektroniska förbindelse som ges till kunden kan en kund som uppnått myndighetsåldern se sina egna uppdaterade kund- och vårduppgifter oberoende av tid, plats eller tjänsteproducent via sin egen terminalförbindelse. Patienten kan via den elektroniska förbindelsen följa med hur den egna servicen och vården förlöper och kontrollera bl.a. service-, diagnos- och läkemedelsuppgifter samt vårdanvisningar. Patienten kan även via den elektroniska förbindelsen snabbare och smidigare få information om t.ex. laboratorieresultat. Via den elektroniska förbindelsen kan patienten dessutom smidigare följa med de logguppgifter som gäller utlämnande av hans eller hennes kunduppgifter, eftersom patienten inte separat behöver begära uppgifter av en verksamhetsenhet. En nationellt centraliserad elektronisk förbindelse innebär att olika verksamhetsenheter kan producera kunduppgifter till patienten via ett enda gränssnitt. Elektroniska förbindelser behöver således inte upprättas från varje vårdenhet där patienten har vårdats. Genom denna proposition skapas även förutsättningar för att även uppgifterna från socialvården ska vara tillgängliga via samma elektroniska förbindelse.  
3.2.2
3.2.2 Yrkesfolksperspektivet
Yrkesutbildade personer inom socialvården drar nytta av riksomfattande informationssystemtjänster, eftersom informationssökningen blir effektivare efter det att socialvården har anslutit sig till de riksomfattande informationssystemtjänsterna. Det skulle vara lättare och smidigare att ordna och genomföra vård av och omsorg om kunden, om nödvändiga och uppdaterade uppgifter fanns tillgängliga i social- och hälsovårdens register på ett enkelt sätt och vid rätt tidpunkt. När yrkesutbildade personer inom social- och hälsovården på basis av sina åtkomsträttigheter får den information de behöver i sitt arbete från klient- eller patientregistret har den snabba tillgången till uppgifterna betydelse även för klientsäkerheten. Med hjälp av de riksomfattande informationssystemtjänsterna och på basis av kundens samtycke får en yrkesutbildad person inom hälso- och sjukvården den information han eller hon behöver om patientens socialtjänster och den yrkesutbildade personen inom socialvården får information om kundens hälso- och sjukvård. 
Kunderna kan i det nationella datalagret föra in sina egna personliga uppgifter om välbefinnande och hälsa med hjälp av datalagret för egna uppgifter. I målbilden kan kunden spara sina uppgifter på internet eller med olika elektroniska tjänster eller mobilapplikationer. De uppgifter som kunden har sparat kan en yrkesutbildad person inom social- och hälsovården vid behov använda med kundens samtycke. Uppgifter som kunden själv för in i datalagret för egna uppgifter kan yrkesfolk använda t.ex. vid insamling av förhandsuppgifter, vid bedömning av vårdbehovet och vid uppföljning mellan vårdbesöken.  
Slopande av det breda samtycke som används inom hälso- och sjukvården minskar det arbete som behövs för behandling av de samtycken som kunder gett inom hälso- och sjukvården. Det har föranlett arbete att registrera samtyckena och att spara de undertecknade samtyckesblanketterna på papper. 
Det att utlämnandet av uppgifter grundar sig på lagstiftningen i stället för på samtycke kan förbättra tillgången till uppgifter inom hälso- och sjukvården. Det bör dock beaktas att patientuppgifterna har varit tillgängliga utifrån ett samtycke och att ca 3,2 miljoner personer har gett sitt samtycke, och detta innebär att en övergång från samtycke till en lagstadgad grund för utlämnande av uppgifter inte ändrar nuläget i någon betydande utsträckning. Utlämnande av uppgifter förutsätter i vilket fall som helst ett kund- eller vårdförhållande eller någon annan saklig orsak. Kunder ska ha rätt att förbjuda att deras uppgifter lämnas ut, och då kan det vara möjligt att yrkesutbildade personer inom hälso- och sjukvården inte har alla de uppgifter som är nödvändiga för att vården ska genomföras.  
I och med de riksomfattande informationssystemtjänsterna minskar utgifterna för både arkivering och postning inom socialvården. Insamlingen av uppgifter om kunden effektiviseras och försnabbas när uppgifterna om kunden hittas centraliserat och i en enhetlig form. Man kan anta att de riksomfattande informationssystemtjänsterna minskar utgifterna för postning särskilt inom socialvården, som enligt propositionen kommer att ansluta sig till de riksomfattande informationssystemtjänsterna. Tjänsteleverantörerna hittar de väsentliga kunduppgifterna i datalagret och samma uppgifter behöver inte längre hämtas t.ex. via posten. Om man avstår från arkivet i dess nuvarande form minskar detta kostnaderna. I det nuvarande systemet orsakar arkiveringen både lokalkostnader och arkiveringskostnader, som bl.a. beror på lönekostnaderna för arkivpersonalen.  
3.2.3
3.2.3 Samhällsperspektivet
Digitaliseringen, som möjliggörs genom denna proposition, syftar till att sänka kostnaderna för social- och hälsovården. 
Nyttan med riksomfattande informationssystemtjänster hänför sig till en effektivisering av social- och hälsovården, till förbättrad kvalitet samt till en ökning av bättre uppgifter som är lättare tillgängliga. Uppgifter som på ett enhetligt sätt förts in i det riksomfattande arkivet stärker informationsunderlaget och den enhetliga informationen för social- och hälsovården samt främjar i fortsättningen informationsutbytet och samarbetet mellan socialvården och hälso- och sjukvården.  
Elektronisk överlåtelse och arkivering av kunduppgifter minskar kostnaderna för produktion av social- och hälsovårdstjänster. Särskilt den elektroniska arkiveringen förmår minska kostnaderna väsentligt. Dessutom blir det möjligt att effektivisera verksamhetsprocesserna inom social- och hälsovården. I samband med utvecklandet av verksamhetsprocesserna är det viktigt att även beakta de grupper som inte är vana vid e-tjänster eller inte klarar av att använda dem. Vid behov kan en sådan person få hjälp med e-tjänsterna på en funktionell nivå.  
Med hjälp av den tjänst som föreslås i propositionen och som avser datalagret för egna uppgifter kan kunderna själva föra in sina egna personliga uppgifter om välbefinnande. I målbilden kan kunden föra in dessa uppgifter i datalagret för egna uppgifter t.ex. med hjälp av olika mobilapplikationer. Detta främjar nya innovationer och utvecklandet av nya produkter. 
De föreslagna ändringarna har inga betydande regionala konsekvenser. De föreslagna ändringarna möjliggör tillgängliga klient- och patientuppgifter på ett riksomfattande plan och på ett jämlikt sätt inom olika områden. Datalagret för egna uppgifter gör det möjligt att använda kunders egna uppgifter om välbefinnande och välbefinnandeapplikationer på ett riksomfattande plan, och delvis underlättar datalagret tillgången till vissa tjänster i glesbygden.  
3.2.4
3.2.4 Konsekvenser för jämställdheten mellan könen
Bestämmelserna om elektronisk behandling av kunduppgifter i propositionen är könsneutrala.  
3.2.5
3.2.5 Konsekvenser för barn
Bestämmelser om barnets rättigheter finns i FN:s konvention om barnets rättigheter. Bestämmelser om minderåriga patienters ställning finns dessutom i lagen om patientens ställning och rättigheter, medan bestämmelser om en minderårig kunds ställning finns i lagen om klientens ställning och rättigheter inom socialvården. I socialvårdslagen finns bestämmelser om barnets intresse samt om beaktande av barns och unga personers åsikter och önskemål. När det gäller barnens rättigheter är det viktigt att se till balansen i å ena sidan barnets delaktighet och å andra sidan skyddet av barnet. 
I artikel 16 i FN:s konvention om barnets rättigheter finns bestämmelser om barns rätt till skydd för privatliv och i artikel 17 bestämmelser om barnets rätt att få information. I EU:s allmänna dataskyddsförordning finns bestämmelser om de villkor som gäller barns samtycke avseende informationssamhällets tjänster. I artikel 8.1 i dataskyddsförordningen föreskrivs det om den åldersgräns enligt vilken informationssamhällets tjänster kan erbjudas direkt till ett barn utan samtycke eller godkännande av den person som har föräldraansvar för barnet. Medlemsstaterna får i sin nationella rätt föreskriva om åldersgränser för barn, förutsatt att den lägre åldern inte är under 13 år och den övre åldern inte över 16 år.  
Ett av syftena med propositionen är att utvidga innehållet i de riksomfattande informationssystemtjänsterna så att medborgare utöver klienthandlingarna från socialvården kan föra in sina egna välbefinnandeuppgifter eller uppgifter som produceras av olika välbefinnandeapplikationer i datalagret för egna uppgifter.  
Enligt propositionen förs i datalagret för egna uppgifter in sådana uppgifter om välbefinnande som personen själv eller välbefinnandeapplikationen producerar och administrerar. Ett barn som självt med beaktande av sin ålder och utvecklingsnivå t.ex. förmår sköta sin diabetesmedicinering kan föra in sina blodsockervärden i uppgifterna om välbefinnande. Den föreslagna kunduppgiftslagen för inte med sig nya bestämmelser när det gäller förfarandet med att bestämma ett barns mognadsnivå eller bedömningen av i vilken ålder ett barn överhuvud taget ska kunna använda datalagret för egna uppgifter. Utgångspunkten kan vara att barnets ställning, behov av särskilt skydd och en ofullständig rättshandlingsförmåga förutsätter att barnets uppgifter i regel kan ses av hans eller hennes vårdnadshavare eller någon annan företrädare, dock med beaktande av att det är befogat med hänsyn till barnets bästa. När informationssamhällets tjänster erbjuds direkt till barn måste ovannämnda artikel 8 i EU:s allmänna dataskyddsförordning beaktas. Enligt dataskyddsförordningen behöver ett barn sin vårdnadshavares samtycke för att få använda informationssamhällets tjänster. Enligt EU:s dataskyddsförordning är det möjligt att föreskriva om åldersgränsen i den nationella lagstiftningen.  
Den bestämmelse om ett datalager för egna uppgifter som föreslås i propositionen och den elektroniska förbindelsen till de egna uppgifterna innebär en möjlighet till barns rätt till integritet. Möjligheten till e-tjänster kan vara viktig för t.ex. de barn som är ensamma eller som har svåra hemförhållanden. Ett barns personliga situation kan variera mycket och i vissa situationer kan e-tjänster vara ett viktigt medel för växelverkan för barnet.  
4
Beredningen av propositionen
4.1
Beredningsskeden och beredningsmaterial
Social- och hälsovårdsministeriet tillsatte en arbetsgrupp för beredning av reformen av lagstiftningen om elektronisk behandling av kunduppgifter. Arbetsgruppens mandatperiod var 20.4.2015–31.5.2016. Arbetsgruppens mandatperiod förlängdes till 30.11.2016, eftersom ändringarna av klientuppgiftslagen är beroende av de ändringar som görs i lagen om ordnande av social- och hälsovården samt av EU:s dataskyddsförordning. 
Arbetsgruppen har sammanträtt sammanlagt 19 gånger. Förslaget till proposition har beretts inte bara vid arbetsgruppens sammanträden utan även som tjänsteuppdrag i samarbete med Institutet för hälsa och välfärd och Folkpensionsanstalten. 
4.2
Remissyttranden och hur de har beaktats
Respons från remissbehandlingen 
En remissbehandling av utkastet till regeringsproposition ordnades under perioden januari-mars 2017. Social- och hälsovårdsministeriet tog emot cirka 180 remissyttranden. De enskilda remissyttrandena finns på Statsrådets tjänst för projektinformation. Remissresponsen har beaktats och utifrån den har nödvändiga ändringar gjorts i paragraferna och i den allmänna motiveringen och detaljmotiveringen till propositionen. 
Remissinstanserna har ansett att propositionen i huvudsak kan understödjas och de centrala förslagen i lagförslaget har i huvudsak förordats. Dataombudsmannens byrå har fäst vikt vid det faktum att då ett landskap är personuppgiftsansvarig i fråga om all den serviceproduktion som landskapet ska ordna, finns det avsevärt mera uppgifter i en personuppgiftsansvarigs register och även fler som använder registeruppgifterna. I detta fall ökar även riskerna för missbruk av kunduppgifterna. Detta ställer krav på metoderna för och förvaltningen av åtkomsträttigheter. Dessutom ska det för organisationer och medborgare finnas en faktisk möjlighet att i tillräcklig utsträckning följa med användningen av klient- och patientuppgifter och utlämnande i efterhand via tjänsten Mina Kanta-sidor och även på annat sätt. Privata yrkesutövare inom social- och hälsovården har fört fram hur svårt det är att ansluta sig som användare till de riksomfattande informationssystemtjänsterna. 
Remissinstanserna har kunnat säga sin åsikt även genom att svara på frågor i en webropol-enkät. Frågorna har gällt de centrala förslag till ändringar som gjorts i klientuppgiftslagen.  
Av remissinstanserna tyckte ca 80 procent (82 st.) att ändringarna i klientuppgiftslagen på ett bra sätt eller till största delen på ett bra sätt stöder reformen av social- och hälsovårdens servicesystem. Den centrala reformen av social- och hälsovårdens servicesystem innebär bl.a. att social- och hälsotjänsterna bildar samordnade helheter. En effektiv och integrerad tjänsteproduktion förutsätter dessutom en fullständig dataintegration som gäller kunder och tjänster samt data som är tillgängliga över organisations- och förvaltningsgränserna.  
Majoriteten av remissinstanserna ansåg att lagförslaget främjar en informationssäker elektronisk behandling av kunduppgifter inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande inom social- och hälsovården.  
Av remissinstanserna understödde ca 70 procent (112 st.) ett gemensamt kundregister för social- och hälsovården i enlighet med det förslag som var på remiss och tre remissinstanser motsatte sig förslaget. Remissinstanserna ansåg att ett gemensamt kundregister för social- och hälsovården är en förutsättning för valfrihet i fråga om social- och hälsotjänster samt en positiv sak i samarbetet mellan socialvården och hälso- och sjukvården. Kundregistret ansågs även vara nödvändigt för att social- och hälsotjänsterna ska fungera smidigt och högklassigt och att servicekedjorna ska vara smidiga. Det fästes vikt vid att preciseringar behövs i fråga om i hur stor omfattning kunduppgifterna ska vara tillgängliga för den som använder uppgifterna inom social- och hälsotjänsterna. Det fästes även vikt vid att kunduppgifterna hålls tillgängliga för en så liten krets som möjligt. Efter remissbehandlingen har det preciserats att behandlingen av klient- och patientuppgifter utifrån det gemensamma registret och åtkomsträttigheterna inte lyckas. Eftersom klient- och patientuppgifter har olika användningsändamål ska det föreskrivas om användningen av uppgifterna mellan social- och hälsotjänsterna genom lag. Dessutom behövs ändringar även i andra författningar som gäller sekretess för och utlämnande av klient- och patientuppgifter. Dessa ändringar genomförs inte i denna proposition som ska överlämnas till riksdagen, utan en särskild beredning inleds för revidering av författningar som gäller informationshantering. 
I propositionen har det som grund för behandlingen av kunduppgifter föreslagits att yrkesutbildade personer i regel utan kundens samtycke ska få behandla kunduppgifter med stöd av en kund- eller vårdrelation eller en lag. Ungefär 80 procent av remissinstanserna understöder eller understöder till största delen den föreslagna grunden för behandling av kunduppgifter. Det förutsattes dock att Institutet för hälsa och välfärd meddelar tydliga och entydiga föreskrifter om grunderna för åtkomsträttigheter och anger på vilket sätt ett kund- eller vårdförhållande ska fastställas. Vikten av att informera kunden framhävdes också. Cirka 10 procent av remissinstanserna motsatte sig propositionen. Enligt dem ska en individ ha rätt att bestämma om han eller hon vill lämna ut sina uppgifter för behandling. Samtycket upplevdes också som en grund för ett gott och förtroendefullt kundförhållande och det föreslogs att det s.k. allmänna samtycket inte ska slopas. De flesta remissinstanserna understödde det förslag att en kund inte ska ha rätt att förbjuda utlämnande av sina kunduppgifter inom den personuppgiftsansvariga. 
Enligt förslaget kan en person i datalagret för egna uppgifter föra in sina uppgifter eller den information som en välbefinnandeapplikation producerat. En person har dessutom rätt att besluta om användningen av sina uppgifter och om avlägsnande av uppgifterna från datalagret. En person kan ge sitt samtycke till att en tjänstetillhandahållare i sitt arbete får använda sådana uppgifter om kundens välbefinnande som finns i datalagret för egna uppgifter. En person föreslås även ha rätt att förbjuda att sådana uppgifter om välbefinnande som finns i datalagret för egna uppgifter visas. Enligt responsen understödde ca 85 procent förslaget om ett datalager för egna uppgifter. 
Enligt propositionen får uppgifter om en patients recept, receptexpedieringar och begäranden om receptförnyelser samt andra medicineringsuppgifter vid Receptcentret enligt förslaget behandlas i en vård- eller kundrelation utan patientens samtycke. En patient får emellertid precisera sådana uppgifter om ordinerade läkemedel och tillhörande anteckningar som inte får lämnas ut. Cirka 60 procent av remissinstanserna understödde eller understödde till största delen propositionen. Enligt de remissinstanser som motsatte sig förslaget ska rätten att förbjuda utlämnande av uppgifter om läkemedel vara förenlig med rätten att förbjuda utlämnande av kunduppgifter och det anfördes också att patientens rätt att förbjuda utlämnande av uppgifter helt och hållet ska slopas på grund av hanteringen av den samlade medicineringen. 
Diskussionsmöte 
Bakgrunden till diskussionsmötet 
Vid den fortsatta beredningen av propositionen om en klientuppgiftslag har det konstaterats att utlämnande av klient- och patientuppgifter mellan socialvården och hälso- och sjukvården, dvs. för två olika ändamål, kräver större ändringar än man ursprungligen hade tänkt. Den modell för ett gemensamt register som planerades i utkastet till klientuppgiftslagen i fråga om verifieringen av hanteringen av åtkomsträttigheter och sammanhang eller vårdrelation, är som sådan inte tillräcklig, utan det krävs ändringar också i annan lagstiftning inom social- och hälsovården och inte enbart i klientuppgiftslagen.  
Informationshanteringen av klient- och patientuppgifter regleras i flera olika lagar i den nationella lagstiftningen: lagen om klientens ställning och rättigheter inom socialvården, lagen om klienthandlingar inom socialvården, lagen om patientens ställning och rättigheter och social- och hälsovårdsministeriets förordning om journalhandlingar. Dessutom regleras social- och hälsovårdens verksamhet av flera sektorvisa lagar.  
Författningsgrunden för social- och hälsovårdens gemensamma tjänster både på funktionell nivå och informationshanteringsnivå är obetydlig. Modellen med ett register är ingen lösning på det informationsutbyte mellan social- och hälsovården som det föreskrivs om i den sektorvisa lagstiftningen. Dessutom kräver dataintegrationen en helt ny författningsgrund. I fortsättningen måste de tjänster identifieras där man faktiskt samarbetar inom socialvården och hälso- och sjukvården och där det är nödvändigt att lämna ut uppgifter.  
I artikel 5 i EU:s dataskyddsförordning konstateras att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). Om uppgifter används för andra ändamål än de ursprungliga, krävs för detta en grund, t.ex. samtycke av individen eller en bestämmelse i en lag. Dessutom finns det olika grunder för behandlingen av social- och hälsouppgifter enligt EU:s dataskyddsförordning i artiklarna 6 och 9 i dataskyddsförordningen. 
På grund av de problem som nämns ovan ordnade social- och hälsovårdsministeriet ett diskussionsmöte den 2 maj 2018. Syftet med diskussionsmötet var att få respons särskilt på förslaget om att slopa modellen med ett register. Dessutom kunde remissinstanserna om de så ville ge respons på hela utkastet till klientuppgiftslag. 
Respons från diskussionsmötet 
I diskussionsmötet deltog företrädare för sammanlagt 83 olika organisationer. Sammanlagt 34 skriftliga utlåtanden lämnades in till social- och hälsovårdsministeriet.  
Enligt utlåtanderesponsen ska behandlingen av kunduppgifter vara smidig i social- och hälsovårdens gemensamma tjänster. De gemensamma klienthandlingar som social- och hälsovården har producerat tillsammans ska i fortsättningen identifieras och definieras. I många utlåtanden har det även förts fram att lagförslaget ska lämnas till riksdagen i den form förslaget från 2017 hade. I det föreslogs ett kundregister. Utifrån utlåtanderesponsen från 2017 ansågs modellen med ett kundregister vara ytterst positiv. I modellen med ett register hade hanteringen av kunduppgifter grundat sig bl.a. på administrering av åtkomsträttigheter samt på verifiering av sammanhanget eller vårdrelationen.  
Av remissinstanserna motsatte sig de flesta att det gemensamma kundregistret inom social- och hälsovården slopas i denna proposition. De flesta av remissinstanserna, t.ex. Kommunförbundet, Folkpensionsanstalten och de största städerna och förbunden, har i sina yttranden fört fram att social- och hälsovårdens gemensamma kundregister utgör en förutsättning för valfriheten i fråga om tjänster inom social- och hälsovården och för samarbetet, och registret är nödvändigt för att social- och hälsovårdens tjänster ska vara smidiga och för integrationen inom social- och hälsovården. Dessutom har det föreslagits att EU:s allmänna dataskyddsförordning inte hindrar ett gemensamt register för kunduppgifter inom social- och hälsovården. I responsen har även förts fram att kunduppgifter inom social- och hälsovården redan nu har ett gemensamt användningsändamål. 
I yttrandet från dataombudsmannens byrå anses det vara en bra lösning att det inte föreslås ett gemensamt klient- och patientregister för social- och hälsovården. Dataombudsmannen har hänvisat till den motivering som social- och hälsovårdsministeriet framfört och har i sitt yttrande fäst vikt inte bara vid motiveringen utan även vid det faktum att man i frågan måste beakta sekretessbestämmelserna. Det är inte möjligt att förbise sekretessbestämmelserna enbart genom en definition av register. Således ska även sekretessbestämmelserna bedömas då, om avsikten i fortsättningen är att underlätta möjligheterna att få uppgifter mellan socialvården och hälso- och sjukvården.  
Institutet för hälsa och välfärd betonar i sitt yttrande att propositionen inte innehåller några sådana bestämmelser som underlättar den gemensamma informationshanteringen och som är nödvändiga för social- och hälsovårdens servicesystemreform. I propositionen finns inte heller några gemensamma klienthandlingar som social- och hälsovården producerar tillsammans. 
Finlands apotekareförbund anser att propositionen i huvudsak kan understödjas. Förslagen till ändringar stöder genomförandet av dataintegrationen inom social- och hälsovården och förbättrar tillgången till och användbarheten hos kund- och läkemedelsuppgifter. Finlands apotekareförbund föreslår i sitt yttrande att apoteken ska kunna föra in information som gäller läkemedelsbehandlingens effekt i receptcentret.  
Pensionsskyddscentralen, trafikförsäkringscentralen och olycksfallsförsäkringscentralen har i sina yttranden föreslagit att det via den informationsförmedlings- och förfrågningsservice som hör till Kanta-tjänsterna också ska vara möjligt att i elektronisk form lämna ut andra sådana nödvändiga uppgifter om hälsotillstånd som behövs till försäkringsanstalter och försäkringsbolag i sådana fall då de har en på lagstiftningen grundad rätt att få uppgifter. Detta kan genomföras även på ett sådant sätt att den som lämnar ut uppgifterna fortsättningsvis har prövningsrätt i fråga om utlämnande av enskilda uppgifter. Utlämnande av uppgifter kräver alltså även i fortsättningen en specificerad och motiverad begäran, vars riktighet ska bedömas av den som lämnar ut uppgifterna. Ändringen utvidgar således inte försäkringsanstalternas och försäkringsbolagens rätt att få information jämfört med nuläget, men möjliggör förmedling av uppgifter via elektroniska kanaler i motsvarande utsträckning som försäkringsanstalterna och försäkringsbolagen för närvarande har rätt till i pappersform. Arbetspensionsanstalterna får redan nu utifrån arbetspensionslagarna söka uppgifterna via en teknisk anslutning utan samtycke av den vars intressen sekretessen är avsedd att skydda.  
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) har i sitt yttrande lyft fram att det i propositionen vore skäl att ta in tydliga bestämmelser om att tillsynsmyndigheten för utförande av sina uppgifter ska ha rätt att få nödvändiga uppgifter via en teknisk anslutning ur Folkpensionsanstaltens arkiv. För närvarande måste Valvira begära bl.a. journalhandlingar manuellt direkt från den aktuella verksamhetsenheten. I vissa fall finns det flera verksamhetsenheter i anslutning till ett och samma tillsynsärende.  
Finlands läkarförbund har fäst vikt vid de förbud som patienten meddelar. Uppgifterna ska alltid vara synliga för läkaren. Finlands läkarförbund konstaterar i sitt yttrande att det med avseende på genomförandet av läkemedelssäkerheten är nödvändigt att den vårdande läkaren har vetskap om att patienten har meddelat förbud i fråga om uppgifterna i receptcentret eller Patientdataarkivet. Läkarförbundet anser att en enkel upplysning om att förbud antingen har meddelats eller inte har meddelats är tillräcklig. Utan vetskap om meddelade förbud kan läkaren i praktiken inte lita på att läkemedelsuppgifterna i receptcentret är heltäckande för en enda patient. Detta urvattnar den centrala nytta med ett elektroniskt receptsystem som innebär att uppdaterade uppgifter om patientens medicinering ska fås ur systemet. Enligt Valviras åsikt är förbudsrätten dock i den föreslagna formen för omfattande och äventyrar patientsäkerheten. Det är viktigt att det åtminstone med datumuppgifter syns vilka handlingar eller uppgifter i registret som enligt patienten inte får visas.  
Social- och hälsovårdsministeriet har behandlat responsen och gjort ändringar i förslaget. För att främja integrationen av social- och hälsovården och på basis av responsen inleder social- och hälsovårdsministeriet det fortsatta arbetet med att utveckla och förbättra informationshanteringen inom social- och hälsovården.  
Utlåtanden av rådet för bedömning av lagstiftningen och justitiekanslersämbetet 
Rådet för bedömning av lagstiftningen gav sitt utlåtande om propositionen i juli 2018. I utlåtandet konstaterade rådet att man får en allmän uppfattning av konsekvensbedömningen av propositionen. Rådet såg emellertid brister i utkastet till proposition och lyfte fram vissa utvecklingsobjekt. Propositionen har korrigerats i enlighet med rådets utlåtande i fråga om t.ex. fördelningen av kostnaderna och nyttan till hushållen, företagen och den offentliga ekonomin samt i fråga om i vilken utsträckning propositionen bidrar till att den totala besparingen uppnås. 
Rådet för bedömning av lagstiftningen fäste också vikt vid att propositionen saknar en jämförelse av internationella erfarenheter av elektroniska informationssystem inom social- och hälsovården samt av hur vi ska kunna lära oss av andra länders erfarenheter av informationssystemens säkerhet, risker, kostnader och nytta. Social- och hälsovårdsministeriet konstaterar att fastän den föreslagna klientuppgiftslagen upphäver den gällande klientuppgiftslagen från 2007, grundar sig den föreslagna klientuppgiftslagen till stor del på den gällande klientuppgiftslagen, och avsaknaden av en internationell jämförelse beror på detta. Beträffande de elektroniska informationssystemtjänsterna görs ett kontinuerligt samarbete mellan EU-länderna. Samarbetet inom nätverket eHealth är ett exempel på detta. Servicesystemen i de olika länderna är mycket olika varandra och därför är det inte möjligt att direkt jämföra informationshanteringslösningarna. 
Rådet för bedömning av lagstiftningen fäste vikt vid att det i propositionen är skäl att bedöma de eventuella riskerna med ett förbud mot utlämnande av uppgifter och särskilt konsekvenserna av ett förbud mot utlämnande av uppgifter för barn. Social- och hälsovårdsministeriet konstaterar att det i lagen om klientens ställning och rättigheter inom socialvården och i lagen om patientens ställning och rättigheter finns bestämmelser om en minderårig klients eller patients självbestämmanderätt. Den föreslagna klientuppgiftslagen medför inga ändringar i dessa bestämmelser. 
Justitiekanslersämbetet fäste i sitt utlåtande vikt vid propositionens brister i fråga om grundlagen, lagstiftningsordningen och samband med andra propositioner, och dessa har korrigerats i propositionen. Dessutom har propositionen korrigerats med anledning av de detaljerade brister som justitiekanslersämbetet lyfte fram.  
5
Samband med andra propositioner
Lagförslaget i denna proposition har ett nära samband med den regeringsproposition om en lag om sekundär användning av personuppgifter inom social- och hälsovården (RP 159/2017 rd) som för närvarande behandlas i riksdagen, så att denna proposition innehåller hänvisningar till den nämnda propositionen. Den föreslagna klientuppgiftslagen skapar förutsättningar för genomförandet av andra lagförslag som för närvarande behandlas i riksdagen. Klientuppgiftslagen är således inte beroende av andra lagstiftningsprojekt som för närvarande behandlas i riksdagen på ett sådant sätt att den inte kan föras vidare som en självständig proposition.  
Riksdagen behandlar för närvarande regeringens propositioner till riksdagen med förslag till lagstiftning om inrättande av landskap och om en reform av ordnandet av social- och hälsovården (RP 15/2017 rd), till lag om kundens valfrihet inom social- och hälsovården (RP 16/2018 rd) samt till lag om produktion av social- och hälsotjänster (RP 52/2017 rd). Dessa lagförslag har beaktats i denna proposition så att de föreslagna bestämmelserna i dem inte står i strid med denna proposition. Landskapen och de tjänsteproducenter som producerar social- och hälsotjänster för landskapen ska enligt denna proposition ansluta sig som producenter av riksomfattande informationssystemtjänster. Enligt denna proposition ska klient- och patientregistren bildas genom att riksomfattande informationssystemtjänster används.  
I fråga om lagförslagen i alla ovannämnda propositioner ska det säkerställas att hänvisningarna till författningar och paragrafer samt till behövliga delar också terminologin samordnas under riksdagsbehandlingen.  
Propositionen är särskilt beroende av EU:s allmänna dataskyddsförordning, där det finns bestämmelser om bl.a. rättigheterna för den personuppgiftsansvarige och den registrerade. EU:s dataskyddsförordning har beaktats i denna proposition. Justitieministeriets förslag till dataskyddslag (RP 9/2018 rd) behandlas för närvarande i riksdagen. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården
1 kap. Allmänna bestämmelser
1 §.Lagens syfte. Enligt paragrafen är syftet med lagen att främja och möjliggöra en informationssäker behandling av kunduppgifter som produceras inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande samt att föreskriva om de enhetliga och allmänna principer och krav som ska iakttas vid behandling av kunduppgifter och av uppgifter om välbefinnande. Behandling av kunduppgifter och uppgifter om välbefinnande behövs enligt artikel 9.2 (h) i den allmänna dataskyddsförordningen för medicinsk diagnostisering, för tillhandahållande av hälso- och sjukvård, behandling eller social omsorg eller för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas lagstiftning. 
I och med lagförslaget kan kunduppgifterna och de uppgifter om välbefinnande som kunden själv producerar utnyttjas på ett helhetsmässigt sätt inom social- och hälsovårdsservicen. Bestämmelser om användning av kunduppgifter för sekundära ändamål finns i lagen om sekundär användning av personuppgifter inom social- och hälsovården. 
De kunduppgifter som producerats inom social- och hälsovården och de uppgifter om välbefinnande som kunden själv producerar ska kunna användas så effektivt som möjligt av de yrkesutbildade personerna inom social- och hälsovården. I fråga om kunduppgifterna beaktar lagförslaget dataskyddet för känsliga kunduppgifter och kraven på informationssäkerheten. I och med lagen främjas informationsutbytet mellan kunden och de yrkesutbildade personerna inom social- och hälsovården samt kundens möjligheter att få information om behandlingen av sina kunduppgifter. 
2 §.Tillämpningsområde. I paragrafen föreslås bestämmelser om lagens tillämpningsområde. Enligt paragrafen ska lagen tillämpas på den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och av de uppgifter som kunden själv producerar om sitt välbefinnande. Lagen ska tillämpas när en offentlig eller privat tillhandahållare ordnar eller producerar social- och hälsovård. 
Med elektronisk behandling av kunduppgifter avses att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter elektroniskt samt att vidta andra åtgärder som gäller kunduppgifter. 
Med uppgifter om välbefinnande avses de uppgifter som en person producerar själv om sitt välbefinnande samt de uppgifter som registreras i datalagret för egna uppgifter. En person ska i syfte att främja välbefinnandet ha möjlighet att registrera och använda uppgifterna om välbefinnande utan att vara i kontakt med ett servicesystem inom social- och hälsovården. 
3 §.Definitioner. I paragrafen definieras de centrala begrepp som används i lagen. 
I 1 punkten definieras begreppet kund. Med kund avses en sådan klient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. Det är ändamålsenligt att använda bara en term för de personer som använder antingen socialvårdstjänster eller hälso- och sjukvårdstjänster eller bägge, eller tjänster som produceras av socialvården och hälso- och sjukvården gemensamt. Om lagens bestämmelser tillämpas endast på hälso- och sjukvården ska termen patient användas, vilket avser endast en patient som avses i patientlagen. 
I 2 punkten definieras begreppet kundhandling. Inom socialvården avses enligt klientlagen och klientuppgiftslagen (lagen om klienthandlingar inom socialvården, 254/2015) med klienthandling en handling enligt 5 § 1 och 2 mom. i offentlighetslagen (lagen om offentlighet i myndigheternas verksamhet, 621/1999), som innehåller klientuppgifter om en klient eller någon annan enskild. På motsvarande sätt avses enligt 2 § 5 punkten i patientlagen med journalhandling inom hälso- och sjukvården handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Enligt 2 § i förordningen om journalhandlingar innefattar journalhandlingarna patientjournalen och därtill hörande patientuppgifter och handlingar, samt uppgifter eller handlingar som gäller medicinsk undersökning av dödsorsak, liksom även andra uppgifter och handlingar som uppkommit i samband med att en patients vård ordnas och genomförs eller som erhållits någon annanstans ifrån. I denna lag avser kundhandling enligt 2 punkten både en klienthandling som avses i klientlagen och klienthandlingslagen inom socialvården och en journalhandling som avses i patientlagen och förordningen om journalhandlingar. 
Enligt 3 punkten avses med kunduppgift en personuppgift som avses i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, som gäller en patient och som ingår i en i patientlagen avsedd journalhandling inom hälso- och sjukvården och i en i klientlagen eller klienthandlingslagen avsedd klienthandling inom socialvården. 
Enligt 12 § i patientlagen avses med klientuppgifter sådana uppgifter för ordnande, planerande, tillhandahållande och uppföljande av vården av en patient vilka antecknas i journalhandlingar av en yrkesutbildad person inom hälso- och sjukvården och sådana personuppgifter som ingår i en journalhandling som avses i förordningen om journalhandlingar samt sådana i 3 § 6 punkten i klientuppgiftslagen avsedda personuppgifter inom socialvården som har antecknats eller som enligt klientuppgiftslagen ska antecknas i en klienthandling inom socialvården. 
Enligt paragrafens 4 punkt avses i enlighet med den gällande lagen med servicehändelse ordnandet eller genomförandet av en enskild tjänst mellan en tillhandahållare av hälso- och sjukvårdstjänster och en patient. Termen servicehändelse enligt definitionen ska användas i de bestämmelser i denna lag som ska tillämpas på hälso- och sjukvård. En servicehändelse kan till exempel vara ett enskilt besök inom öppenvården eller den specialiserade sjukvården samt de undersökningar och åtgärder och den kommunikation som tidsmässigt och innehållsmässigt anknyter till besöket. En servicehändelse kan också vara en vårdperiod på en institution och de åtgärder, undersökningar och konsultationer som anknyter till den. Dessutom kan en servicehändelse vara till exempel ett ärende som sköts elektroniskt eller en telefonkontakt. 
Enligt 5 punkten avses med serviceuppgift ett uppgiftsområde inom socialvården där man behandlar klientuppgifter. Institutet för hälsa och välfärd har med stöd av 22 § i klienthandlingslagen inom socialvården meddelat en föreskrift om serviceuppgifterna inom socialvården. Serviceuppgifterna inom socialvården består av basservice för barnfamiljer, basservice för den arbetsföra befolkningen, basservice för den äldre befolkningen, familjerättsliga tjänster, barnskydd, funktionshinderservice och missbrukarvård. En serviceuppgift består av ett urval serviceuppgifter som är avsedda för en viss klientgrupp. Vissa tjänster inom socialvården kan ingå i flera serviceuppgifter. 
I paragrafens 6 punkt definieras informationssystem. Definitionen baserar sig på den definition av informationssystem som finns i 3 § i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011), nedan informationsförvaltningslagen. Definitionen har dock kompletterats så att det med informationssystem i den föreslagna lagen avses sådana dataprogram och informationshanteringssystem för behandling av klientuppgifter som är avsedda uttryckligen för användningen av den serviceproduktion som riktar sig till kunderna inom social- och hälsovården. Enligt den definitionen består de informationssystem som avses i bestämmelserna av till exempel patientdatasystem och av de program som används i de laboratorie- och röntgensystem där patientuppgifter behandlas. De dataprogram som styr anordningars funktioner och som inte behandlar kunduppgifter hör däremot inte till de informationssystem som avses i lagen. Inte heller allmänna program såsom textbehandlings- eller kalkylprogram eller program för personal- eller ekonomiförvaltning hör till de informationssystem som avses i lagen. De informationssystem som avses i lagen omfattar även de förmedlingstjänster som används för att förmedla kunduppgifterna inom social- och hälsovården till de i lagen avsedda riksomfattande informationssystemtjänster som Folkpensionsanstalten ska upprätthålla. Med informationssystem avses dessutom de applikationer som används av yrkesutbildade personer inom social- och hälsovården för att se uppgifter om välbefinnande. 
I paragrafens 7 punkt avses med informationssystemets miljö den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsovårdstjänster och behandlingen av kunduppgifter. 
I paragrafens 8 punkt avses med tjänstetillhandahållare i denna lag anordnare eller producenter både av socialtjänster och av hälsotjänster. 
I lagstiftningen om hälsovård avses enligt 2 § 4 punkten i patientlagen med tjänstetillhandahållare en verksamhetsenhet inom hälso- och sjukvården. Enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) avses med tillhandahållare en arbetsgivare eller en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare. 
I lagstiftningen om socialvården avses enligt 3 § 2 punkten i klienthandlingslagen med tillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller socialservice, eller en sådan serviceproducent som avses i lagen om privat socialservice (922/2011). 
Enligt definitioner i övrig lagstiftning hör även bland annat hälso- och sjukvården inom försvarsmakten och hälso- och sjukvården för fångar till de instanser eller personer som producerar social- och hälsovård. 
I paragrafens 9 punkt avses med tjänsteanordnare en tjänstetillhandahållare som i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som han eller hon har rätt till enligt lag eller ett myndighetsbeslut. Med tjänsteanordnare avses dessutom en privat tjänsteproducent som är skyldig att se till att kunden får sådana tjänster som han eller hon har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna. 
I paragrafens 10 punkt avses med tjänsteproducent en tjänstetillhandahållare som i egenskap av tjänsteanordnare producerar själv eller på basis av ett avtal med tjänsteanordnaren socialtjänster och/eller hälsotjänster. 
I paragrafens 11 punkt definieras bedömningsorganet för informationssäkerhet. Enligt bestämmelsen avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem. De allmänna förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet anges i 5 § i ovannämnda lag. Bedömningsorganet ska dessutom ha god sakkunskap om de krav på informationssystem inom social- och hälsovård som det föreskrivs om i 33 § i lagförslaget. Bedömningsorganet för informationssäkerhet har till uppgift att kontrollera om det informationssystem som ska anslutas direkt till Folkpensionsanstaltens riksomfattande informationssystemtjänster uppfyller informationssäkerhetskraven och de väsentliga kraven för dataskydd. 
Bedömningsorganet för informationssäkerhet kan vara ett privat företag eller en myndighet. För att kunna bli ett bedömningsorgan för informationssäkerhet måste det lämnas en särskild ansökan, och om organet uppfyller kraven enligt lagen om bedömningsorgan för informationssäkerhet och kunduppgiftslagen ska detta påvisas genom det förfarande som avses i 5 § i lagen om bedömningsorgan för informationssäkerhet. I praktiken betyder detta att Mätteknikcentralens nationella ackrediteringsenhet (Finnish Accreditation Service, FINAS) har konstaterat att bedömningsorganets kompetens är tillräcklig enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Efter detta kan Kommunikationsverket utse bedömningsorganet för uppdraget enligt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet. 
I paragrafens 12 punkt definieras informationssystems interoperabilitet. Med interoperabilitet avses i den föreslagna lagen två eller flera informationssystems förmåga att utbyta information och att använda sådan information. Definitionen motsvarar den definition i 3 § 4 punkten i informationsförvaltningslagen enligt vilken informationssystems interoperabilitet avser informationssystemens tekniska interoperabilitet med övriga myndigheters informationssystem när systemen utnyttjar samma information. 
I paragrafens 13 punkt definieras begreppet uppgifter om välbefinnande. Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen registrerar själv, som inte ingår i kunduppgifterna och som personen själv för in i det datalager för egna uppgifter som nämns i 14 punkten. Dessa uppgifter om välbefinnande kan till exempel bestå av olika uppföljnings-, mätnings-, tränings-, bedömnings- eller planeringsuppgifter som gäller välbefinnandet eller hälsan. 
I paragrafens 14 punkt definieras begreppet datalager för egna uppgifter. Med datalager för egna uppgifter avses ett inom de riksomfattande informationssystemtjänsterna inrättat riksomfattande elektroniskt datalager för bevaring av sådana uppgifter om hälsa och välbefinnande som personen själv producerar. Personen kan se och radera de uppgifter som han eller hon producerat och om han eller hon så önskar bevilja en yrkesutbildad person inom social- och hälsovården tillstånd att behandla uppgifterna. 
I paragrafens 15 punkt definieras välbefinnandeapplikation. Med välbefinnandeapplikation avses en applikation som är kopplad till datalagret för egna uppgifter och som används för att behandla uppgifter om välbefinnande eller, med personens tillstånd, kunduppgifter. Med hjälp av applikationen kan en person producera och registrera sina egna uppgifter om välbefinnande i det datalager för egna uppgifter som nämns i 14 punkten. 
I paragrafens 16 punkt definieras arkiveringstjänst. Med arkiveringstjänst avses ett datalager där det bevaras kunduppgifter eller andra uppgifter som behövs inom social- och hälsovården. De uppgifter som registreras i arkiveringstjänsten ska aktivt användas vid kundernas tjänsteproduktion. Till arkiveringstjänsten kan man ansluta godkända informationssystem. 
I paragrafens 17 punkt definieras informationshanteringstjänst. Med informationshanteringstjänst avses en riksomfattande informationshanteringstjänst för förvaltning av handlingar som gäller kundens viljeyttringar. Dessa handlingar gäller kundens samtycke till utlämnande av uppgifter, eventuella förbud mot utlämnande av uppgifter samt återtagande av samtycke och förbud. Andra viljeyttringar av kunden är bland annat intressebevakningsfullmakt, vårddirektiv eller kundens vilja att donera organ för vården av en annan människa. I informationshanteringstjänsten kan man producera sammandrag av kunduppgifterna så att en tjänstetillhandahållare kan få tillgång till de kunduppgifter som är viktiga med tanke på tjänsten. Den personuppgiftsansvarige för informationshanteringstjänsten är Folkpensionsanstalten. 
I paragrafens 18 punkt avses med producent av en informationssystemtjänst en instans som tillhandahåller eller utför en informationssystemtjänst där kunduppgifter eller uppgifter om välbefinnande behandlas. Producenten av informationshanteringstjänsten ska i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvara för de krav som ställs på informationssystemet. Informationssystemet ska ha rätta funktioner med avseende på åtkomständamålet, tillräckliga dataskyddsegenskaper samt kunna anslutas till det informationsutbyte som sker via de riksomfattande informationssystemtjänsterna. Med en producent av en informationssystemtjänst avses även leverantör av välbefinnandeapplikationer när välbefinnandeapplikationen innefattar egenskaper avsedda för tjänstetillhandahållare och behandling av kunduppgifter. 
I 19 punkten avses med tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården. 
I paragrafens 20 punkt avses med mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar för produktion av informationssystemtjänster eller anslutning till riksomfattande informationssystemtjänster och som i denna roll har möjlighet att se okrypterade kunduppgifter till exempel i samband med underhåll. Mellanhanden ska ansvara för uppfyllandet av de krav som gäller informationssystemets miljö eller den helhetsservice för informationshantering som erbjuds en tjänstetillhandahållare. 
Om det på basis av ett avtal är mellanhanden eller producenten av informationssystemtjänsten som ansvarar för uppfyllandet av de krav som gäller tjänstetillhandahållaren, omfattas mellanhanden eller producenten av informationssystemtjänsten av den registreringsskyldighet som avses i 29 § i denna föreslagna lag. När de sköter sina uppgifter omfattas de liksom tjänstetillhandahållaren dessutom av skyldigheten att utarbeta en informationssäkerhetsplan och att uppdatera den. För att en mellanhand ska godkännas krävs det beroende på de tjänster som den sköter att den har fått en fullmakt av tjänstetillhandahållaren eller Folkpensionsanstalten eller en auditering av de väsentliga informationssäkerhetskrav som gäller mellanhandens verksamhet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska tillämpas vid registrering och vid godkännande av mellanhänder. 
I paragrafens 21 punkt avses med certifiering förfarandet för att verifiera att ett informationssystem uppfyller de väsentliga krav som ställs på det för att det ska få användas för produktion. Verifieringen sker genom testning av interoperabiliteten och bedömning av informationssäkerheten. Definitionen omfattar dock inte den certifiering som avses i artikel 42 i EU:s allmänna dataskyddsförordning. Den certifiering som definitionen avser omfattar inte heller sådan bedömning av medicintekniska produkters överenskommelse med kraven som utförs i enlighet medföreskrifterna om medicintekniska produkter (bl.a. direktiv 93/42/EEG; EGTL 1993, L 169; direktiv 2007/47/EG; EGTL 2007, L 247), eftersom de väsentliga kraven främst gäller de krav som uppfylls genom de nationella informationssystemtjänsterna enligt denna lag. I denna lag är det inte fråga om den bedömning och klassificering av produkter i förhållande till föreskrifterna om medicintekniska produkter som tillverkarna av medicintekniska produkter ska utföra med stöd av övriga bestämmelser. 
2 kap. Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster
4 §.Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna. Med personuppgiftsansvarig avses i EU:s dataskyddsförordning en fysisk eller juridisk person, en myndighet eller institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I artikel 25 i dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges ansvar vad gäller skyddet för personuppgifterna. Enligt den ska den personuppgiftsansvarige effektivt vidta de skyddsåtgärder i samband med behandling av personuppgifter som behövs för att behandlingen ska överensstämma med kraven i dataskyddsförordningen och de registrerades rättigheter skyddas. Sådana skyddsåtgärder är till exempel lämpliga tekniska och organisatoriska åtgärder. Den föreslagna paragrafen motsvarar dataskyddsförordningen. Paragrafändringen förändrar inte rådande rättsläge och praxis. 
I paragrafens 1 mom. föreskrivs det att Folkpensionsanstalten är personuppgiftsansvarig. Folkpensionsanstalten ska vara personuppgiftsansvarig för den informationssystemtjänst och det datalager för egna uppgifter som hör till de riksomfattande informationssystemtjänsterna. Bestämmelser om informationshanteringstjänsten föreslås i 11 § och bestämmelser om datalagret för egna uppgifter föreslås i 12 §. Det föreslås också att Folkpensionsanstalten ska vara personuppgiftsansvarig för förvaringstjänsten för de riksomfattande informationssystemtjänsternas utlämningsloggregister och för åtkomstloggarna i anslutning till dess egen verksamhet. 
De handlingar som registreras i informationshanteringstjänsten handlar om information, förbud, samtycke och andra viljeyttringar som gäller personens riksomfattande informationssystemtjänster, och dessa ska kunna överföras från Omakanta och från tjänstetillhandahållarna inom social- och hälsovården i enlighet med kundens viljeyttringar. Handlingarnas åtkomständamål gäller kundens tjänster och vård samt hanteringen av utlämnandet av kunduppgifterna. Folkpensionsanstalten ska på begäran kunna lämna tjänstetillhandahållaren inom social- och hälsovården de handlingar som gäller hanteringen av utlämnande av uppgifter samt logguppgifterna i anslutning till dem så att man kan utreda om uppgifterna har behandlats på rätt sätt. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. 
Folkpensionsanstalten är personuppgiftsansvarig för datalagret för egna uppgifter på så sätt att uppgifterna om användningen av datalagret för egna uppgifter omfattas av FPA:s personuppgiftsansvar, till exempel uppgifterna om användarna av datalagret för egna uppgifter och om samtycke som getts för utlämnande av uppgifter om välbefinnande samt logguppgifterna om användningen och utlämnandet av uppgifterna om välbefinnande. Tillverkarna av de applikationer och anordningar som är kopplade till datalagret för egna uppgifter ska i enlighet med 7 kap. i lagförslaget ansvara för att applikationerna fungerar på rätt sätt. Den person som använder datalagret för egna uppgifter får själv välja vilka applikationer och anordningar han eller hon använder och vilka uppgifter som ska registreras i datalagret för egna uppgifter. Personen kan också radera sina uppgifter ur datalagret för egna uppgifter. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. 
I paragrafens 2 mom. föreslås det att varje tjänstetillhandahållare inom social- och hälsovården ska vara personuppgiftsansvarig för de åtkomstlogguppgifter som uppstår i den egna verksamheten. 
I paragrafens 3 mom. föreskrivs det om Folkpensionsanstaltens och tjänstetillhandahållarnas gemensamma personuppgiftsansvar. Paragrafen förändrar inte de nuvarande förfarandena för registerföringen av utlämningsloggar. Folkpensionsanstalten och alla tillhandahållare av social- och hälsovårdstjänster är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer in social- och hälsovården. 
I artikel 26.1 i EU:s dataskyddsförordning föreskrivs det om det gemensamma personuppgiftsansvaret enligt följande: Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. 
Folkpensionsanstalten ska ansvara för de skyldigheter för den personuppgiftsansvarige som anges i 6 och 13 § och vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Tillhandahållarna av social- och hälsovårdstjänster ska ansvara för de andra skyldigheterna för personuppgiftsansvariga. 
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten och den självständiga yrkesutbildade person inom hälso- och sjukvården som förskriver ett läkemedel ska vara gemensamt personuppgiftsansvariga för åtkomstloggarna i gränssnittet för professionellt bruk. Gränssnittet för professionellt bruk är avsett för läkarnas tillfälliga bruk och erbjuder läkare möjligheten att beroende på deras rättigheter skriva ut läkemedelsrecept för annat än för professionellt bruk. Eftersom de som använder gränssnittet inte är självständiga yrkesutövare, tjänsteproducenter eller tjänstetillhandahållare, kan de inte ansvara för alla de skyldigheter som gäller den personuppgiftsansvarige. Folkpensionsanstalten är den som verkställer gränssnittet för professionellt bruk, så det är motiverat att båda bär sitt ansvar för de uppgifter som hör till den personuppgiftsansvarige. Den som använder gränssnittet ska ansvara för att de uppgifter som den antecknar är korrekta. 
I paragrafens 5 mom. hänvisas det till receptcentret som personuppgiftsansvarig. I lagen om elektroniska recept är avsikten att ändra 14 § så att den motsvarar det gemensamma personuppgiftsansvaret i EU:s dataskyddsförordning. 
5 §.Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning. I EU:s dataskyddsförordning föreskrivs det om den personuppgiftsansvariges skyldigheter. Det nationella handlingsutrymme som dataskyddsförordningen medger gör det möjligt att utöka den personuppgiftsansvariges skyldigheter så att de omfattar sådana situationer som de inte direkt med stöd av förordningen skulle tillämpas på. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning, ska den nationella speciallagstiftningen avgränsas till det nationella handlingsutrymme som förordningen medger. I nationell speciallagstiftning ska med andra ord inte föreskrivas om andra skyldigheter för den personuppgiftsansvarige. Enligt dataskyddsförordningen kan i den nationella lagstiftningen dock fastställas ansvarsområden för den personuppgiftsansvarige. 
I denna paragraf föreskrivs om den personuppgiftsansvariges ansvar när tjänster inom social- och hälsovård produceras för serviceanordnares räkning. Tjänsteproducenten är då enligt artikel 28 i dataskyddsförordningen den som behandlar personuppgifter, medan serviceanordnaren är den personuppgiftsansvarige. I artikel 28 i dataskyddsförordningen förutsätts det att den behandling som den som behandlar personuppgifter sköter ska fastställas genom avtal eller genom en annan rättsakt som är bindande. I artikeln anges det innehåll som det ska bestämmas om i handlingen. Den föreslagna lagen är en sådan rättsakt som avses i dataskyddsförordningen. Med stöd av artikel 29 i dataskyddsförordningen åläggs den som behandlar personuppgifter dessutom sådana skyldigheter i fråga om behandling av uppgifter som avviker från artikel 28. 
När tjänster inom social- och hälsovård produceras för serviceanordnares räkning, ska tjänsteproducenten enligt 1 mom. 1 punkten ansvara för anteckningen och registreringen av kunduppgifterna för serviceanordnarens räkning och för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen (2 punkten). Bestämmelserna utfärdas med stöd av artikel 28.3 (a) i dataskyddsförordningen. Enligt den punkten ska det i en rättsakt föreskrivas att den som behandlar personuppgifter endast får behandla personuppgifter i enlighet med de dokumenterade anvisningar som ges av den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. 
Enligt 1 mom. 3 punkten ska tjänsteproducenten ansvara för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen. Bestämmelsen utfärdas med stöd av artikel 28.3 (a) och artikel 32.4 i dataskyddsförordningen. Enligt den sistnämnda bestämmelsen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. Bestämmelsen begränsar inte det ansvar som den som behandlar personuppgifter har enligt dataskyddsförordningen, utan genom den åläggs en särskild skyldighet att övervaka behandlingen av uppgifterna i den egna organisationen. 
Tjänsteproducenten ansvarar enligt 1 mom. 4 punkten för att kundhandlingarna i original lämnas till serviceanordnaren på så sätt som överenskommits, men de ska dock lämnas utan dröjsmål efter det att kundförhållandet har avslutats. Enligt artikel 28.3 (g) i dataskyddsförordningen kan den personuppgiftsansvarige välja att antingen radera eller återlämna uppgifterna efter att tillhandahållandet av tjänsterna har avslutats, förutom då när det i lagstiftningen krävs att personuppgifterna ska bevaras. Bestämmelser om bevaring av uppgifter inom social- och hälsovården finns bland annat i klienthandlingslagen inom socialvården och i förordningen om journalhandlingar. Därmed ska serviceanordnaren bevara uppgifterna den tid som lagen kräver, och en serviceanordnare kan inte bestämma att de ska raderas. 
Enligt 1 mom. 5 punkten ansvarar tjänsteproducenten för tillgodoseendet av de rättigheter hos kunden som det föreskrivs om i dataskyddsförordningen och i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Enligt artikel 28 i dataskyddsförordningen kan den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att hjälpa den personuppgiftsansvarige att tillgodose den registrerades rättigheter. Med tanke på en smidig verksamhet vore det ändamålsenligt att tjänsteproducenten skulle ansvara för tillgodoseendet av de registrerades rättigheter inom de tjänster som denne tillhandahåller för den personuppgiftsansvariges räkning. Vid behov kan det avtalas närmare om ansvaret aktörerna emellan genom ett avtal mellan serviceanordnaren och den som behandlar personuppgifter. I sista hand ska det dock ur ett dataskyddsperspektiv vara den personuppgiftsansvarige som ska ansvara för tillgodoseendet av den registrerades rättigheter, även om det skulle ha avtalats något annat om det avtalsrättsliga ansvaret. 
I paragrafens 2 mom. föreskrivs det att skyldigheterna enligt 4 och 5 punkten ska kompletteras till behövliga delar genom avtal mellan tjänsteproducenten och tjänsteanordnaren. Genom avtal avtalas det även om annat sådant som avses i artikel 28 i dataskyddsförordningen. Genom ett sådant ovannämnt avtal ska åtminstone fastställas närmare det objekt för behandlingen som avses i artikel 28.2 och som avser grupperna av registrerade, dvs. de kundgrupper som tillhandahålls tjänster av den som behandlar personuppgifter, samt behandlingstiden. Genom avtal ska även fastställas en del av det som avses i artikel 28.3, men dessa frågor förblir öppna i lagförslaget. Dessa gäller till exempel de i 28.3 (d) avsedda förutsättningarna för användning av ett annat personuppgiftsbiträde. 
Dessutom ska uppmärksamhet fästas vid att det även föreskrivs om det som avses i artikel 28.3 i övrig lagstiftning. Artikel 28.3 (b) förutsätter att de som behandlar personuppgifter för ett annat personuppgiftsbiträdes räkning omfattas av tystnadsplikt. Inom annan lagstiftning inom social- och hälsovård föreskrivs det heltäckande om tystnadsplikten, till exempel i patientlagen, lagen om yrkesutbildade personer inom hälso- och sjukvården, klientlagen inom socialvården samt offentlighetslagen. I artikel 28.3 (h) förutsätts det att den som behandlar personuppgifter tillåter auditeringar som utförs av den personuppgiftsansvarige eller en revisor som bemyndigats av den personuppgiftsansvarige. Även i denna lag föreskrivs det om auditering av system för kunduppgifter, och skyldigheterna gäller både den personuppgiftsansvarige och den som behandlar personuppgifter. 
3 kap. Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården
6 §.De riksomfattande informationssystemtjänsterna inom social- och hälsovården. I paragrafen föreskrivs det om de informationssystemtjänster som ska skötas centraliserat på riksnivå och som innefattar elektronisk behandling av kunduppgifter. Det föreskrivs dessutom om de instanser som ansvarar för skötseln av dessa tjänster. 
Med skötsel av riksomfattande informationssystemtjänster avses alla sådana åtgärder som behövs för att verkställa dessa tjänster så att man genom tjänsterna i fråga kan genomföra den elektroniska bevaringen, användningen och överlåtelsen av kunduppgifter på det sätt som avses i denna lag. De riksomfattande informationssystemtjänsterna är således en del av helheten av social- och hälsotjänster. 
I egenskap av den som behandlar personuppgifter är det enligt 1 mom. 1 punkten Folkpensionsanstalten som har skött och som fortfarande för tjänstetillhandahållarnas räkning ska sköta den riksomfattande arkiveringstjänst för kunduppgifter där kundhandlingar bevaras och används (1 punkten). De kundhandlingar som ska bevaras i arkiveringstjänsten är således inte Folkpensionsanstaltens register eller handlingar. Personuppgiftsansvaret ska fortfarande bäras av serviceanordnarna, även om det är Folkpensionsanstalten som sköter ovannämnda uppgifter för deras räkning. Folkpensionsanstalten ska fortfarande ansvara för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i loggregistret. Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Folkpensionsanstalten kan inte ge en utomstående instans i uppdrag att bevara uppgifterna, och uppgifterna får inte flyttas ut från Finland. Folkpensionsanstalten får inte heller ge utomstående i uppdrag att behandla eller bevara de i 4 § avsedda register som hänför sig till de riksomfattande informationssystemtjänsterna eller de loggregister som gäller dem. Folkpensionsanstalten kan dock använda underleverantörer eller leverantörer vid produktionen och underhållet av tjänsterna. 
Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet. 
Folkpensionsanstalten ska också sköta förvaringstjänsten för loggregister (2 punkten). I förvaringstjänsten för loggregister registreras åtkomstlogguppgifter och åtkomstloggarna gällande de riksomfattande informationssystemtjänsterna. I den kan även registreras de åtkomstloggar om användningen av klient- och patientuppgifter som skapas i tjänstetillhandahållarnas verksamhet. 
Till de riksomfattande informationssystemtjänsterna hör också gränssnittet för professionellt bruk, dvs. den s.k. Kelain-tjänsten (3 punkten) och medborgargränssnittet (4 punkten). Med hjälp av gränssnittet för professionellt bruk kan läkare skriva ut recept elektroniskt när de utövar sitt yrke som självständiga yrkesutövare utan att vara tjänstetillhandahållare. Med hjälp av medborgargränssnittet kan medborgarna se de kund- och patientuppgifter samt uppgifter om välbefinnande som gäller dem själva. Att sköta ärenden för någon annans räkning ska förutom på basis av vårdnaden även vara möjligt med stöd av fullmakt, vilket gör det möjligt att sköta ärenden för en myndig persons räkning. Via gränssnittet kan man även ge sitt samtycke och meddela förbud samt sköta ärenden med tjänstetillhandahållare inom social- och hälsovård. I framtiden kommer det att vara möjligt att se och hantera uppgifterna om välbefinnande genom medborgargränssnittet. 
Det föreslås att datalagret för medborgares egna uppgifter fogas till de riksomfattande informationssystemtjänsterna (5 punkten). Datalagret för egna uppgifter är ett datalager där en person kan skapa och förvalta över sina egna uppgifter till exempel med hjälp av välbefinnandeapplikationer. De välbefinnandeapplikationer som ansluts till produktionsmiljön för datalagret för egna uppgifter ska uppfylla de kriterier som ställts för anslutningen samt med godkänt resultat fullgöra de förfaranden för godkännande som krävs. Kriterierna och förfarandena för godkännandet fastställs av Institutet för hälsa och välfärd. För datalagret för egna uppgifter fastställs en nationell informationsmodell i vilken applikationsutvecklarna kan ge förslag till utökningar som ska godkännas i enlighet med processen för godkännande av en informationsmodell. Välbefinnandeapplikationerna för datalagret för egna uppgifter kan genomföras på många olika sätt och de kan vara antingen www-baserade eller mobilapplikationer. Alla de välbefinnandeapplikationer som kopplas till de riksomfattande informationssystemtjänsterna ska samlas i en applikationskatalog som ska upprätthållas av Folkpensionsanstalten och vars uppgift är att informera medborgarna om vilka applikationer som de kan ta i bruk. Applikationerna kan användas i medborgarens egen mobil eller via webbläsaren som en nättjänst.  
Utöver den informationshanteringstjänst (6 punkten) och den förfrågnings- och förmedlingstjänst (9 punkten) som nämns i lagförslaget innefattar arkiveringstjänsterna alla de behövliga lagrings-, registrerings- och informationsförmedlingstjänster och övriga datatekniska lösningar och uppgifter med vilka bevarandet, användningen och överlåtelsen av patientuppgifter och jourhandlingar kan utföras elektroniskt. Med hjälp av förfrågnings- och förmedlingstjänsten kan aktörerna inom social- och hälsovården förmedla intyg, utlåtanden och andra motsvarande handlingar med bilagor till en tredje part.  
Till de riksomfattande informationssystemtjänsterna hör dessutom receptcentret (7 punkten) och läkemedelsdatabasen (8 punkten). Kundens recept ska lagras centraliserat i receptcentret.  
Dessutom förutsätter utförandet av de riksomfattande informationssystemtjänsterna andra riksomfattande tjänster. De övriga riksomfattande tjänsterna är i enlighet med paragrafens 2 mom. kodtjänsten (1 punkten) och roll- och attributtjänsten (2 punkten). 
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ska enligt 3 mom. upprätthålla de riksomfattande tjänsterna roll- och attributtjänsten, koderna och centralregistret för yrkesutbildade personer inom social- och hälsovård. Roll- och attributtjänsten baserar sig på uppgifterna i centralregistret för yrkesutbildade personer inom social- och hälsovård. Koderna ska fortfarande användas för att i strukturerad form framföra uppgifter i anslutning till yrkesrättigheter inom social- och hälsovård och deras giltighetstider och begränsningar. 
Enligt 2 mom. ska Institutet för hälsa och välfärd ansvara för alla de datastrukturinnehåll som ska upprätthållas via den nationella kodtjänsten inom social- och hälsovården. Folkpensionsanstalten ska fortfarande ansvara för det datatekniska genomförandet av kodservern (CodeServer). Via den nationella kodtjänsten inom social- och hälsovården tillhandahålls sådana datastrukturer som kan utnyttjas i verksamheten och informationssystemen inom social- och hälsovården, till exempel nomenklaturer, klassificeringar, organisationskategorier och bedömningsmätare samt olika datainnehåll. Genom kodtjänsten upprätthålls bland annat åtgärdsklassificeringar, åtgärdsklassificeringar för mun- och tandvården, klassificeringar för radiologiska undersökningar och åtgärder samt nomenklaturer för laboratorieundersökningar, och dessutom motsvarande klassificeringar för strukturerna för socialvårdens klientuppgifter. Även den nationella uppdateringen av klassificeringarna sker i kodtjänsten. 
Strukturerna för handlingarna inom socialvården ska hanteras och delas via ett separat redigeringsprogram. Redigeringsprogrammet utvecklas och uppdateras för närvarande av Institutet för hälsa och välfärd. Upprätthållandet och utvecklandet av strukturerna för klienthandlingarna inom socialvården ska vara en del av kodtjänstverksamheten. Dessutom ska varje tjänstetillhandahållare som har anslutit sig till de riksomfattande informationssystemtjänsterna kunna identifieras med hjälp av kodtjänsten. 
Enligt 3 mom. ska den myndighet som sköter certifikattjänsten för social- och hälsovården vara Befolkningsregistercentralen. Befolkningsregistercentralen är i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) avsedd certifikatutfärdare för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Beviljandet och återkallandet av yrkescertifikaten inom social- och hälsovården ska vara kopplade till giltighetstiden för den yrkesutbildade personens rätt att utöva yrket. Yrkesutbildade personer inom social- och hälsovården ska vara skyldiga att lämna tillbaka certifikatkortet om certifikatet är återkallat. Om personen har förlorat sin rätt att utöva yrke, ska Befolkningsregistercentralen återkalla certifikaten efter att denna erhållit uppgifterna från Tillstånds- och tillsynsverket för social- och hälsovården, men certifikatkorten blir i praktiken kvar hos innehavarna. 
Befolkningsregistercentralen har för skötseln av de uppgifter som nämns i 3 mom. rätt att från de centrala register över yrkesutbildad personal inom hälso- och sjukvården (Terhikki-registret) och socialvården (Suosikki-registret) erhålla sådana uppgifter som behövs vid produktionen av certifikattjänsterna. Befolkningsregistercentralens rätt att erhålla uppgifter gäller de uppgifter i centralregistret över yrkesutbildade personer inom social- och hälsovården som gäller utfärdande och återkallande av certifikat, själva certifikaten, det tekniska underlaget för certifikat och sändande av certifikat. Uppgifterna innefattar bland annat person- och adressuppgifter om yrkesutbildade personer inom social- och hälsovården och uppgifter om beviljande och förlorande av rätt att utöva yrke eller av skyddad yrkesbeteckning inklusive giltighetstider samt registreringsnummer och de identifieringskoder som krävs för att föreskriva läkemedel. Befolkningsregistercentralens rätt att erhålla information är begränsad och gäller inte grunderna för förlorande av rätt att utöva yrke eller begränsningarna av rätt att utöva yrke eller grunderna för denna rätt. Uppgifter får lämnas ut via en informationssäker teknisk anslutning. 
I paragrafens 4 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att av Befolkningsregistercentralen få uppgifter om de certifikat som beviljats för användningen eller skötseln av de nationella informationssystemtjänsterna inom hälso- och sjukvården så att verket kan styra och övervaka den hälso- och sjukvård som hör till dess ansvarsområde samt funktionerna i hälso- och sjukvårdssystemen. 
7 §.Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs om de riksomfattande informationssystemtjänster som tjänstetillhandahållaren ska ansluta sig till. Anslutningsskyldigheten gäller den riksomfattande arkiveringstjänsten för kunduppgifter, informationshanteringstjänsten och receptcentret. När tjänstetillhandahållaren ansluter sig tar denne i bruk de tjänster och funktioner där handlingar ska förvaras och via vilka tillhandahållaren har rätt att använda kunduppgifterna och uppgifterna om välbefinnande. 
I paragrafens 2 mom. föreskrivs det om anslutningsskyldigheten hos tjänstetillhandahållarna inom den privata social- och hälsovården. I regel har tjänstetillhandahållarna inom både den offentliga och den privata social- och hälsovården en absolut anslutningsskyldighet. Genom en omfattande anslutningsskyldighet kan man skapa en heltäckande klientuppgiftssystemhelhet som ger klienten tillgång till uppgifter varhelst och närhelst klienten behöver uträtta ett ärende. På så sätt säkerställs dessutom den riksomfattande interoperabiliteten hos tjänstetillhandahållarnas informationssystem samt möjligheterna att utveckla systemet i fortsättningen. 
I paragrafens 2 mom. föreskrivs om undantag från skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster. Undantaget gäller de privata yrkesutövarna eller de små tjänsteproducenter som inte har tillgång till ett sådant system för patient- eller klientuppgifter som kan anslutas till de riksomfattande informationssystemtjänsterna. 
Även tjänstetillhandahållare inom den offentliga social- och hälsovården i landskapet Åland ska få ansluta sig som användare av riksomfattande informationssystemtjänster. Bestämmelserna om denna överföring av riksförvaltningens uppgifter ska dock utfärdas separat på det sätt som föreskrivs i 32 § i självstyrelselagen för Åland (1144/1991). Om en tjänstetillhandahållare inom den offentliga social- och hälsovården i landskapet Åland vill ansluta sig som användare av informationssystemtjänsterna, ska denne iaktta bestämmelserna i denna lag vid användningen av tjänsterna. 
8 §.Handlingar som ska sparas i den riksomfattande arkiveringstjänsten. Om det är möjligt att specificera och identifiera den ursprungliga handling som innehåller kundinformationen, behövs det enligt 1 mom. endast ett original av den elektroniska handlingen med kundinformation som specificeras med en identifikation. De ursprungliga originalen av kundhandlingarna ska förvaras i den riksomfattande arkiveringstjänsten. Den viktigaste identifieringsbeteckning som används i nuläget är organisationernas identifieringsklassificering, nämligen OID-koden enligt ISO-standarden. För att verkställa tjänsten eller av andra motiverade skäl kan det skapas en ny handling eller en kopia av den ursprungliga handlingen av vilken det ska framgå att handlingen är en kopia. Korrigeringar ska alltid göras i den ursprungliga handlingen så att handlingen är otvetydig. 
I paragrafens 2 mom. föreskrivs det vilka handlingar som ska förvaras i de riksomfattande informationssystemtjänsterna. Den riksomfattande arkiveringstjänsten ska innehålla alla de färdiga ursprungliga kundhandlingar som har uppkommit efter att tjänstetillhandahållarna har anslutit sig till tjänsterna. De handlingar som har uppkommit före anslutningen till de riksomfattande informationssystemtjänsterna kan förvaras i den riksomfattande arkiveringstjänsten. Det ska även vara möjligt att förvara andra handlingar än de egentliga kundhandlingarna i den riksomfattande arkiveringstjänsten. 
I arkiveringstjänsten kan utöver kundhandlingar registreras även bildmaterial och andra handlingar i anslutning till informationshanteringen inom social- och hälsovården samt uppgifter om välbefinnande. Dessa andra handlingar än kund- och klienthandlingar består av handlingar och uppgifter som hänför sig till organisering, styrning, övervakning, verksamhetsbedömning, utveckling och informationshantering inom social- och hälsovården. Andra handlingar som registreras inom social- och hälsovården är till exempel vissa handlingar som skapas inom den prehospitala akutsjukvården. I Finland byggs som ett samarbete mellan flera ministerier och deras inrättningar ett gemensamt fältledningssystem för myndigheterna. Detta informationssystem ska innehålla funktioner för den prehospitala akutsjukvården och socialjouren. I detta informationssystem kan man skapa bland annat skapa en berättelse om den prehospitala akutsjukvården, och eftersom denna är en journalhandling arkiveras den i patientdataarkivet. Med tanke på minimeringen av kostnaderna och överlappande åtgärder är det ändamålsenligt att det gemensamma fältledningssystemet även kan arkivera i den nationella arkiveringstjänsten sådana handlingar inom prehospital akutsjukvård som inte är patientspecifika. 
Enligt 3 mom. i paragrafen får bestämmelser om när och i vilken omfattning handlingar senast ska sparas i den riksomfattande arkiveringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. I och med detta kan i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis. 
Senare då genomförandet av informationssystemtjänsterna har framskridit kan omfattningen av de handlingar som ska lagras i arkivet ökas på ett flexibelt sätt genom att ändra ministeriets förordning parallellt med standardiseringen av datainnehåll och genomförandet av informationssystem. 
9 §.Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs det om datastrukturerna för kundhandlingar och kundinformationssystem och om klassificeringen av uppgifter. I paragrafen föreskrivs det om interoperabiliteten hos informationssystemens och kundhandlingarnas datastrukturer. Strukturernas interoperabilitet är en grundförutsättning för att uppgifter ska kunna överlämnas med hjälp av dessa informationssystemtjänster och utnyttjas i de informationssystem som tjänar verksamhetsprocesserna. 
Enligt 2 mom. ska de uppgifter som används inom social- och hälsovården kunna avgränsas med hjälp av handlingarnas datastrukturer så att endast sådana uppgifter som behövs för tjänsten i fråga används. Till exempel inom hälso- och sjukvården gäller rätten att få patientuppgifter de personer som deltar i vården av personen i fråga och i uppgifter som gäller denna vård. De får behandla patientuppgifter endast i den omfattning som förutsätts för deras arbetsuppgifter och ansvar. Patientuppgifterna är sekretessbelagda. Verkställandet av integritetsskyddet kan dock i särskilda situationer kräva särskilda skyddsåtgärder. Av den orsaken ska sådana journalhandlingar och patientuppgifter som förutsätter särskilt skydd klassificeras genom en separat begäran om bekräftelse för de patientuppgifter som ska skyddas. Det ska inte vara förbjudet att använda dessa uppgifter om uppgifterna är nödvändiga för vården av patienten. Efter att informationssystemet har tagit emot en begäran om bekräftelse ska dock den som vill använda dessa uppgifter bekräfta att uppgifterna behövs genom en separat bekräftelse. Med dessa uppgifter avses främst uppgifter i sådana journalhandlingar som skapats inom vissa specialområden och av vissa yrkesgrupper, som till exempel psykiatri och psykologi, uppgifter om hud- och könssjukdomar, uppgifter om sexualitet och fertilitet samt uppgifter i fråga om arvsmassa såsom till exempel genetiska uppgifter. Även personalens patientuppgifter kan skyddas på grund av att de kan vara föremål för särskilt intresse. 
Genom förordning av social- och hälsovårdsministeriet får det enligt 3 mom. utfärdas närmare bestämmelser om vilka handlingar som ska klassificeras som handlingar som kräver särskilt skydd.  
Eftersom Institutet för hälsa och välfärd ansvarar för den praktiska styrningen av den elektroniska informationshanteringen, får det meddela närmare föreskrifter om de väsentliga krav på informationssystem som ska gälla vid genomförandet av de riksomfattande informationssystemtjänsterna. Dessutom fastställer Institutet för hälsa och välfärd informationsinnehållen, begreppsmallarna, verksamhetsprocesserna och datastrukturerna för interoperabiliteten samt de riksomfattande koder som ska användas. För att användningen, överlåtelserna och hanteringen av kundhandlingarna ska kunna verkställas så att kundens dataskydd och uppgifternas interoperabilitet beaktas i tillräcklig grad, måste det finnas tillräckligt detaljerade föreskrifter om uppgifternas klassificering och datastrukturer. Genom enhetliga datastrukturer och uppgiftsklassificeringar kan man säkerställa att man vid de överlåtelser av uppgifter som sker elektroniskt faktiskt överlåter de uppgifter som man avser överlåta och att man inte samtidigt överlåter onödiga uppgifter. När tjänstetillhandahållarna får interoperabla datastrukturer och en enhetlig klassificering av uppgifterna för sina informationssystem möjliggör det ett enhetligt riksomfattande system för överlåtelse och arkivering av uppgifter som kan användas för att överlåta uppgifter elektroniskt till andra tjänstetillhandahållare. 
För att Institutet för hälsa och välfärd ska kunna utföra dess uppgifter, särskilt beredningen av föreskrifterna, krävs det att institutet samarbetar aktivt med de instanser som deltar i genomförandet, användningen och standardiseringen av informationssystemtjänsterna. 
10 §.Elektronisk underskrift av handlingar. I paragrafens 1 mom. föreskrivs det att handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och bevarande av uppgifter. 
Enligt paragrafens 2 mom. ska det vid en elektronisk underskrift som görs av en fysisk person användas en sådan avancerad elektronisk underskrift som det föreskrivs om i lagen om stark autentisering och betrodda elektroniska tjänster. Lagen baserar sig på Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen). Tjänster inom elektronisk identifiering och elektroniska signaturer ger medborgarna en möjlighet att använda elektroniska tjänster. 
Enligt förordningen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i sådana offentliga eller privata tjänster som kräver elektronisk identifiering.  
Enligt förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.  
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Lagen om stark autentisering och betrodda elektroniska tjänster kompletterar bestämmelserna om elektronisk underskrift. 
Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat. 
11 §.Informationshanteringstjänsten. I paragrafen föreskrivs det om Folkpensionsanstaltens informationshanteringstjänst. I den ska enligt 1 mom. de centrala kunduppgifterna i olika handlingar som gäller kunder samlas in och samordnas och lämnas till yrkesutbildade personer inom social- och hälsovården i sammanställd form. Enligt förslaget får tjänstetillhandahållaren vid ordnande eller produktion av social- eller hälsovård använda de kunduppgifter eller patientuppgifter som finns i informationshanteringstjänsten eller som kan ses via den. Därmed får tjänstetillhandahållarna tillgång till de viktigaste uppgifterna om patienten eller klienten och dennes viljeyttringar via en enda tjänst. Via informationshanteringstjänsten kan klientuppgifter inom socialvården överlåtas för ordnandet och genomförande av socialvård och patientuppgifter inom hälso- och sjukvården överlåtas för genomförande av hälso- och sjukvård. Med kundens samtycke kan klientuppgifter eller patientuppgifter överlåtas mellan socialtjänsterna och hälsotjänsterna. 
Via informationshanteringstjänsten kan klienten eller patienten också se sådana uppgifter som är viktiga med tanke på klientens socialvård eller patientens hälso- och sjukvård och andra tjänster i anslutning till vården. En förutsättning för att få visa andra uppgifter än sådana uppgifter som direkt gäller social- och hälsovården är att det föreskrivs särskilt om dessa uppgifter och funktioner i lagstiftningen. Ett exempel på sådana uppgifter och tjänster är det samtycke som hänför sig till biobankverksamheten. 
Enligt 2 mom. ska i informationshanteringstjänsten antecknas uppgift om att kunden har getts information (1 punkten), om förbud som en kund har meddelat i fråga om sina kunduppgifter (2 punkten), om en kunds övriga viljeyttringar i anslutning till hälso- och sjukvård eller socialtjänster (3 punkten) och om samtycke som en kund har gett i fråga om sina kunduppgifter (4 punkten). 
Bestämmelserna om den information som ska ges till kunden finns i 15 § i den föreslagna lagen och i 4 § i lagen om elektroniska recept. Information som getts tidigare, dvs. s.k. gammal information, ska dock få bevaras och kunna användas vid behov till exempel när man är tvungen att utreda fel. 
Enligt propositionen ska kundens förbud registreras i informationshanteringstjänsten. Kunden kan meddela förbud på basis av 17 och 18 § i den föreslagna lagen och 13 § i lagen om elektroniska recept. Man kan bli tvungen att avvika från ett sådant förbud mot utlämnande av uppgifter som en kund har meddelat, om en yrkesutbildad person inom social- eller hälsovården enligt en lagbestämmelse måste lämna ut kunduppgifterna trots förbudet. 
Sådana viljeyttringar (3 punkten) som kan registreras i informationshanteringstjänsten är till exempel en persons förbud mot att lösgöra celler, vävnad eller organ för medicinskt bruk efter att personen har avlidit samt personens vårddirektiv. Den föreslagna bestämmelsen betyder dock inte att endast de förbud mot tagande av organ eller de vårddirektiv som har registrerats i informationshanteringstjänsten uttrycker personens vilja. Ett förbud mot tagande av organ eller ett vårddirektiv kan också meddelas på andra sätt, och dessa viljeyttringar är lika giltiga som de förbud eller vårddirektiv som lagrats i informationshanteringstjänsten. Det kan dock vara svårt att bevisa att ett sådant förbud mot tagande av organ eller vårddirektiv existerar i en situation där man måste fatta ett snabbt beslut om att lösgöra ett organ, en vävnad eller celler från en avliden person eller att ge vård till en person som till exempel är medvetslös. Om uppgiften antecknas i informationshanteringstjänsten underlättar det därför i betydande grad genomförandet av till exempel transplantationer eller ordnandet av den vård som patienten behöver. 
Bestämmelser om kundens samtycke finns i den föreslagna lagens 19 och 20 § om utlämnande av klient- och patientuppgifter. Det omfattande allmänna samtycke som för närvarande är i bruk inom hälso- och sjukvården slopas i den föreslagna lagen. På basis av samtycke kan klientuppgifter inom socialvården lämnas ut till hälso- och sjukvården och patientuppgifter lämnas ut till socialvården. Bestämmelser om samtycke finns i EU:s allmänna dataskyddsförordning.  
Social- och hälsovårdsministeriet får på basis av bemyndigandet i paragrafens 3 mom. utfärda förordning om de centrala uppgifter som ska kunna visas via informationshanteringstjänsten. 
12 §.Datalagret för egna uppgifter. I paragrafen föreskrivs det om ett datalager för medborgares egna uppgifter som ska inrättas i samband med de riksomfattande informationssystemtjänsterna för sådana uppgifter om välbefinnande som personen själv producerar och hanterar. 
Enligt 1 mom. ska en person med hjälp av välbefinnandeapplikationer eller via medborgargränssnittet själv föra in sina egna uppgifter om välbefinnande i datalagret för egna uppgifter. Personen bestämmer själv hur hans eller hennes uppgifter i datalagret för egna uppgifter ska användas och om de ska avlägsnas. Enligt förslaget ska personen när som helst kunna utplåna, ändra eller avlägsna sina uppgifter i datalagret för egna uppgifter. Om en person avlägsnar uppgifter ut datalagret, försvinner de helt och hållet, med undantag för logguppgifterna i anslutning till användningen av uppgifterna. 
I paragrafens 2 mom. föreskrivs det om det samtycke som en person kan ge i fråga om användningen av sina uppgifter om välbefinnande som finns i datalagret för egna uppgifter. För att få behandla de uppgifter om välbefinnande som finns i datalagret för egna uppgifter behövs det ett samtycke av personen i fråga. Enligt propositionen har kunden själv rätt att behandla sina uppgifter om välbefinnande i datalagret utan samtycke. Personens samtycke behövs dock när en yrkesutbildad person inom hälso- och sjukvården eller en välbefinnandeapplikation ska behandla de uppgifter om personens välbefinnande som finns i datalagret. Personen kan ge sitt samtycke till att en tjänstetillhandahållare får utnyttja datalagrets uppgifter om välbefinnande när denna tillhandahåller social- eller hälsotjänster. 
Ett sådant samtycke överensstämmer med bestämmelserna om samtycke i artikel 4.1, 4.11 och 7 i EU:s dataskyddsförordning. Folkpensionsanstalten ska i egenskap av administratör och personuppgiftsansvarig för datalagret för egna uppgifter ansvara för det tekniska genomförandet av förfarandet för samtycke. 
I ingressen till dataskyddsförordningen är den allmänna regeln den att samtycke alltid bör lämnas genom en entydig bekräftande handling, t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring, som innebär ett medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Enligt ingressen ska samtycket ges på ett sätt som tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. I dataskyddsförordningen föreskrivs det dessutom att begäran om samtycke i skriftlig form ska läggas fram i de skriftliga anmälningar som avses i dataskyddsförordningen på ett sätt som klart och tydligt kan särskiljas från de andra frågorna samt i en begriplig och lätt tillgänglig form med användning av klart och tydligt språk. Utöver att samtycket ska vara uttryckligt och otvetydigt måste det ges frivilligt. I dataskyddsförordningen har den personuppgiftsansvarige ålagts bevisbördan för att samtycke finns. 
Enligt 2 mom. får tjänstetillhandahållaren behandla sina uppgifter om välbefinnande i datalagret för egna uppgifter i samband med tillhandahållande av social- och hälsotjänster. Detta betyder att en yrkesutbildad person inom social- och hälsovården kan behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen. Om en yrkesutbildad person inom social- och hälsovården använder uppgifterna vid tillhandahållande av social- eller hälsotjänster ska personen även ansvara för att de behövliga uppgifter om välbefinnande som påverkar vården eller tjänsten antecknas i klient- eller journalhandlingarna. Dessutom ska uppgifterna i datalagret för egna uppgifter med medborgarens samtycke kunna utnyttjas för forskning. 
Exempel på sådana uppgifter om välbefinnande som en person själv kan föra in är blodsocker- och blodtrycksvärden. Hittills har personen vanligtvis antecknat värdena för hand på papper och sedan informerat vårdpersonalen om dem, som för personens vägnar sedan har fört in dem i kunduppgiftssystemet. Även till exempel bilder som har tagits med mobilen eller någon annan digital kamera är uppgifter som kan behövas i vården. Extra arbete undviks då medborgaren själv kan föra in eller automatiskt överföra sina uppgifter direkt i den elektroniska tjänsten där de sedan är tillgängliga även för andra. Detta stöder delvis också medborgarens möjligheter att vårda och ta hand om sig själv. Dessutom får välbefinnandeapplikationerna utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna. 
Den nationella helheten av egenvård formas av resultat från många olika pågående och kommande projekt. Inom ODA-projektet och andra motsvarande projekt för utvecklandet av egenvården har det producerats tjänster som utnyttjar datalagret för egna uppgifter för att erbjuda medborgarna mervärdestjänster, dvs. välbefinnandeapplikationer. Datalagret för egna uppgifter kan utnyttjas genom att utveckla välbefinnandeapplikationer för olika åtkomständamål som till exempel för hantering av kroniska sjukdomar eller för viktkontroll. Det är i huvudsak aktörerna och datorprogramsföretagen inom social- och hälsovården som ansvarar för utvecklandet av välbefinnandeapplikationerna. 
I paragrafens 3 mom. föreskrivs det om bevarandet av uppgifterna i datalagret för egna uppgifter. De uppgifter som finns om en person i datalagret för egna uppgifter ska bevaras tills personen avlägsnar dem ur datalagret eller tills 12 år har förflutit från personens död. Bevaringsplikten överensstämmer med författningarna om bevaring av jourhandlingar och således är det möjligt att utnyttja uppgifterna till exempel vid utredning av patientskador. 
13 §.Folkpensionsanstaltens ansvar som personuppgiftsbiträde när den förvaltar riksomfattande informationssystemtjänster. Enligt artikel 29 i EU:s dataskyddsförordning får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende och som får tillgång till personuppgifter endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. I paragrafen föreslås det att Folkpensionsanstalten, som är en i dataskyddsförordningen avsett personuppgiftsbiträde samt teknisk ansvarig och personuppgiftsansvarig för en riksomfattande informationssystemtjänst, ska ansvara för tjänsten rent generellt och för dess lagenlighet. Paragrafen motsvarar nuläget. 
I paragrafens 1 mom. föreskrivs det att de riksomfattande informationssystemtjänsterna och kunduppgifterna ska vara tillgängliga dygnet runt så att man alltid har tillgång till kunduppgifterna utan att kundsäkerheten äventyras. Med detta avses att alla de tjänstetillhandahållare som har anslutit sig till tjänsten ska ha tillgång till uppgifterna dygnet runt under årets alla dagar inklusive högtider och helger. Reaktionstiden vid behandlingen av uppgifter ska vara sådan att den inte äventyrar kundsäkerheten. Informationssystemtjänsterna ska dessutom ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. Med funktionsstörning avses till exempel elavbrott eller andra jämförbara funktionella störningar som förhindrar informationsgången. Med undantagsförhållanden avses sådana förhållanden som avses i 2 § i beredskapslagen (1080/1991), till exempel väpnade angrepp som riktas mot Finland, krig eller storolyckor. 
I paragrafens 2 mom. ska det finnas en förteckning över Folkpensionsanstaltens ansvar vid förvaltningen av de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten ska ansvara för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver samt använda sin bestämmanderätt i frågor gällande systemets datatekniska funktion (1punkten) samt för användbarheten, integriteten, oförvanskligheten, skyddet, bevarandet och utplåningen i fråga om de kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förs in i de riksomfattande informationssystemtjänsterna. Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet. Medborgaren har dock rätt att utplåna och ändra sina egna uppgifter om välbefinnande. Således kan Folkpensionsanstalten inte svara för dessa uppgifters oförvansklighet, integritet och utplåning så som den gör när det gäller kunduppgifterna (2 punkten). Folkpensionsanstalten ska sörja för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter eller uppgifter om välbefinnande och andra införda uppgifter lämnas ut i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården (3 punkten). Folkpensionsanstalten ska ansvara för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister (4 punkten). 
Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Inte heller i övrigt får kunduppgifter behandlas i större utsträckning än vad som är nödvändigt för förvaltningen. Eftersom Folkpensionsanstalten sköter arkiveringstjänsten för hälsovårdstjänstetillhandahållarnas räkning, ska Folkpensionsanstalten för sin egen del ansvara för den behandling av kunduppgifter som sker med hjälp av dessa informationssystemtjänster. En tjänstetillhandahållare som anslutit sig till de riksomfattande informationssystemtjänsterna ska i egenskap av personuppgiftsansvarig för kunduppgifter ansvara för innehållet i de införda kunduppgifterna och de logguppgifter som anknyter till behandlingen av dem samt för uppgifternas innehåll och riktighet och för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas. Folkpensionsanstalten ska dessutom ansvara för det datatekniska genomförandet av kodservern, med undantag för det termredigeringsprogram som Institutet för hälsa och välfärd ansvarar för (5 punkten). Folkpensionsanstalten ansvarar för förmedlingen av information till befolkningen i frågor som gäller de riksomfattande informationssystemtjänsterna (6 punkten). 
I paragrafens 3 mom. förtecknas de rättigheter som gäller Folkpensionsanstalten. Folkpensionsanstalten ska ha rätt att av Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) få de uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för att sköta sina lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (1 punkten). Denna rätt gäller erhållande av information även på andra sätt än via roll- och attributtjänsten. Uppgifterna behövs och ska används bland annat vid loggrapportering och loggövervakning samt för tillgodoseendet av patientens rättigheter att erhålla information. Folkpensionsanstalten ska ha rätt att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt för upprätthållandet av de riksomfattande informationssystemtjänsterna (2 punkten), att utöva beslutanderätt i frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den (3 punkten) samt att lämna ut handlingar som omfattas av dess personuppgiftsansvar och logguppgifter över sådana handlingar till berörda organisationer för uppföljning och tillsyn. Således kan Folkpensionsanstalten lämna ut logguppgifter om handlingar i fråga om samtycke till berörda organisationer samt logguppgifter om behandlingen av uppgifter i informationshanteringstjänsten och i datalagret för egna uppgifter när dessa behövs för dataskyddsutredningar (4 punkten). Folkpensionsanstalten har rätt att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster (5 punkten). Folkpensionsanstalten har rätt att av Befolkningsregistercentralen få den information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna (6 punkten). Sådana uppgifter är till exempel uppgifter som behövs för skötseln av ärenden för annans räkning. Uppgifter får lämnas ut via en informationssäker teknisk anslutning. 
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten såsom personuppgiftsansvarig ska få lämna ut uppgifter till exempel till tillsynsmyndigheter och andra myndigheter då när mottagaren har en lagstadgad rätt att erhålla uppgifterna. Folkpensionsanstalten ska dessutom få lämna ut handlingar om samtyckeshantering och logguppgifterna om dessa till de myndigheter som ansvarar för styrningen, övervakningen och utvecklandet av de riksomfattande tjänsterna. Folkpensionsanstalten kan dessutom göra och lämna ut sådana sammanställningar över uppgifter i de riksomfattande informationssystemtjänsterna, över handlingars metadata och över logguppgifter som kan vara av betydelse för utvecklingen, uppföljningen och rapporteringen i fråga om av de riksomfattande tjänsterna. Sammanställningarna av uppgifter ska vara sådana att det inte går att identifiera enskilda personer utifrån dem. 
I paragrafens 5 mom. föreslås det att de riksomfattande informationssystemtjänsterna ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010). I 36 § i offentlighetslagen föreskrivs det om statsrådets bemyndigande att utfärda förordning bland annat om den säkerhetsklassificering som ska göras av handlingar. Folkpensionsanstalten får inte ge utomstående i uppdrag att behandla eller bevara de register som nämns i denna proposition och som anknyter till organiseringen av de riksomfattande informationssystemtjänsterna eller de loggregister som hänför sig till dessa register. 
4 kap. Behandling av kunduppgifter inom social- och hälsovården
14 §.Åtkomsträttigheter till kunduppgifter. Enligt EU:s dataskyddsförordning ska behandling av personuppgifter ha en rättslig grund enligt artikel 6 i förordningen. Det får utfärdas nationell lagstiftning som förtydligar förordningen då när behandlingen av personuppgifterna har sin grund i artikel 6.1 (c) i förordningen enligt vilken behandlingen behövs för att iaktta den personuppgiftsansvariges lagstadgade förpliktelse. Eftersom behandlingen av personuppgifter baserar sig på artikel 6.1 (c) i dataskyddsförordningen har en registrerad ingen sådan rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen. 
I fråga om kunduppgifterna inom social- och hälsovården har den personuppgiftsansvarige en lagstadgad skyldighet att anordna social- och hälsotjänster, och detta utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 (c) i förordningen. Eftersom behandlingen av kunduppgifter bygger på en lagstadgad skyldighet kan närmare lagstiftning om behandlingen av kunduppgifter utfärdas nationellt. Enligt dataskyddsförordningen kan den nationella lagstiftningen innehålla mera detaljerade bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom mera exakta bestämmelser om särskilda krav för behandling av uppgifter och för andra åtgärder, till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, bevaringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. 
Enligt dataskyddsförordningen ska vid behandling av sådana uppgifter som hör till de särskilda kategorierna av personuppgifter, dvs. känsliga personuppgifter, dessutom något av de krav som anges i artikel 9.2 uppfyllas. I den föreslagna kunduppgiftslagen ska behandlingen behövas bland annat för de ändamål som anges i artikel 9.2 (b) och (h). Enligt artikel 9.2 (b) och h är behandlingen bland annat nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstatens nationella rätt (b) och av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstatens nationella rätt (h). Dessutom ska bestämmelsen i artikel 9.3 beaktas, enligt vilken känsliga personuppgifter får behandlas för de ändamål som anges i artikel 9.2 (h), bland annat för medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, om uppgifterna behandlas av eller under ansvar av en person som omfattas av tystnadsplikt. Enligt artikel 9.2 (h) i dataskyddsförordningen förutsätts det dessutom att behandlingen grundar sig på lagstiftning eller på ett avtal med yrkesverksamma på hälsoområdet och att den sker under förutsättning att skyddsåtgärderna är uppfyllda. Dessa skyddsåtgärder ingår i den föreslagna kunduppgiftslagen och innefattar bland annat administrationen av åtkomsträttigheter, förbud mot användning, loggkontroll, certifiering av informationssystem, egenkontrollplaner och informationssäkerhetsplaner. 
I artikel 25.2 i dataskyddsförordningen föreskrivs det om att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, bevaringstiden och deras tillgänglighet. Åtgärderna ska särskilt säkerställa att ett obegränsat antal personer som standard inte kommer åt uppgifterna utan en fysisk persons medverkan. 
I paragrafens 1 mom. föreskrivs det om rätten att använda kunduppgifter. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Enligt artikel 9 i EU:s dataskyddsförordning ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. 
Enligt den föreslagna paragrafen ska behandlingen i regel grunda sig på de rättigheter som yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Inom hälso- och sjukvården har man använt ett s.k. brett samtycke som begärs av patienten, som ger patienten möjligheten att förbjuda att vissa av hans eller hennes uppgifter lämnas ut. Enligt denna proposition ska grunden för behandlingen av kunduppgifter i regel vara åtkomsträtten och inte längre det allmänna eller breda samtycke som begärs av patienten. Slopandet av detta breda samtycke baserar sig på det krav i EU:s dataskyddsförordning som gäller formen av samtycket. Ett brett samtycke som riktar sig på framtiden uppfyller inte det krav i dataskyddsförordningen på att samtycket ska vara frivilligt, specifikt, informerat och otvetydigt. På basis av det breda samtycket kan kunden inte veta hur hans eller hennes samtycke kommer att användas. Samtycket ska dock fortfarande kunna användas som grund för behandling av kunduppgifter då när samtycket uppfyller de villkor som ställs i EU:s dataskyddsförordning. 
I paragrafens 1 mom. föreslås det att yrkesutbildade personer inom hälso- och sjukvården eller andra personer som behandlar kunduppgifter ska få behandla bara sådana kunduppgifter som är nödvändiga för skötseln av en lagstadgad uppgift. Grunden för behandlingen av kunduppgifter är en klient- eller vårdrelation eller en lagstadgad rätt. I socialvårdslagen avses med klient en person som ansöker om eller anlitar socialvård, eller som oberoende av sin vilja tillhandahålls socialvård. I lagen om patientens ställning och rättigheter (785/1992) avses med patient en person som anlitar hälsotjänster eller sjukvårdstjänster eller som annars är föremål för sådana tjänster.  
I paragrafens 1 mom. föreslås det att tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Genom åtkomsträttigheterna kan arbetstagarna behandla endast de kundhandlingar som innehållsmässigt anknyter till deras respektive arbetsuppgifter. Varje person som arbetar med kundservice får behandla kundhandlingar endast i den omfattning som förutsätts för hans eller hennes arbetsuppgifter och ansvar. 
För att skydda kunduppgifterna har tjänstetillhandahållaren till uppgift att sörja för att kundhandlingarna inom verksamheten endast kan behandlas av de arbetstagare som behöver den för att sköta sina arbetsuppgifter. Rättigheterna hos de personer som arbetar med tekniskt underhåll, övervakning av användning samt hantering av kunduppgifter att använda kunduppgifter ska beviljas i behövlig omfattning. Åtkomsträtten får inte möjliggöra åtkomst till sådana kunduppgifter som inte omfattas av arbetstagarens underhålls- eller övervakningsansvar. 
I regel ska en arbetstagare inom socialvården åtkomsträtt till de klientuppgifter som han eller hon behöver i den serviceuppgift som arbetsuppgifterna gäller. Utöver detta kan arbetstagaren beviljas åtkomsträtt till kunduppgifter inom andra serviceuppgifter som han eller hon regelrätt behöver för att utföra sitt arbete. Inom socialvården kan åtkomsträtten även begränsas till sådana socialtjänster som tillhandahålls endast inom en del av en serviceuppgift, till vissa serviceprocesser eller till sådana klienthandlingar som uppkommer bara i vissa serviceuppgifter, om arbetet inte förutsätter behandling av alla de klientuppgifter som anknyter till serviceuppgiften. 
I och med ibruktagandet av Kanta-tjänsterna begränsas behandlingen av kunduppgifter genom både beviljande av åtkomsträttigheter och verifiering av samband eller vårdrelation. I paragrafens 1 mom. föreskrivs det att behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Detta datatekniska säkerställande kan inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en anteckning i informationssystemet om att kunden har skrivits in på bäddavdelningen eller polikliniken. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en klientrelation eller vårdrelation med den som framställt begäran om utlämnande, ska det vara en annan än den som har framställt begäran som har gjort anteckningen. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna. Då när det inte är möjligt att använda något annat datatekniskt sätt för att säkerställa vårdrelationen, ska vårdpersonalen dock kunna behandla sådana patientuppgifter som är nödvändiga. I dessa situationer ska den yrkesutbildade personen inom hälso- och sjukvården meddela den särskilda orsak som ligger som grund för behandlingen av uppgifterna. Sådan behandling som baserar sig på särskilda orsaker förutsätter att tillsynen utvecklas både inom organisationerna inom hälso- och sjukvården och på riksomfattande nivå. 
Inom socialvården ska arbetstagarens möjlighet att behandla klientuppgifter begränsas genom verifiering av sammanhanget endast när arbetstagarens arbetsuppgifter gäller klienten i fråga. 
I 13 § i lagen om patientens ställning och rättigheter finns en bestämmelse om att patientuppgifterna är sekretessbelagda för de personer som arbetar vid samma verksamhetsenhet inom hälso- och sjukvården, om personen inte deltar i undersökningen eller vården av patienten eller i uppgifter som anknyter till den. Enligt den ovannämnda lagen är de i detta fall utomstående. 
I paragrafens 2 mom. föreskrivs det att tjänstetillhandahållaren är förpliktad att föra ett register över de egna användarna av sina kundinformationssystem och kundregister samt deras åtkomsträttigheter. Detta register ska täcka både tidigare och nya uppgifter om användarna. 
Enligt dataskyddsförordningen bör sådana personuppgifter som är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd. Dessutom betonas det i dataskyddsförordningen att avvikelser från förbud mot behandling av särskilda kategorier av personuppgifter kan göras ifall detta baserar sig på unionsrätten eller medlemsstaternas nationella rätt och ifall lämpliga skyddsåtgärder vidtas. Den personuppgiftsansvarige ska genomföra behövliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst och för att de inte oavsiktligt eller lagstridigt ska utplånas, ändras, utlämnas, överföras eller behandlas lagstridigt på något annat sätt. 
De rättigheter som yrkesutbildade personer inom social- och hälsovården har att behandla kunduppgifter bygger på bestämmelser i speciallagar för social- och hälsovården och därför är grunderna för åtkomsträttigheterna för närvarande olika inom socialvården och hälso- och sjukvården. I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd meddelar närmare föreskrifter om de grunder enligt vilka tjänstetillhandahållaren ska bevilja åtkomsträttigheter till kunduppgifter för de yrkesutbildade personerna inom social- och hälsovården och andra personer som behandlar kunduppgifter. Detta möjliggör en harmonisering av grunderna för bestämmandet av åtkomsträttigheterna inom social- och hälsovården till den del det behövs. 
Redan i nuläget har Institutet för hälsa och välfärd erfarenhet av detta i och med att institutet bestämmer grunderna för behörigheterna att använda uppgifter inom socialvården på basis av lagen om klienthandlingar inom socialvården. Genom föreskriften om grunderna för bestämmandet av åtkomsträttigheter skyddas de personuppgifter som har registrerats på grundval av en klientrelation från obehörig och lagstridig behandling. 
15 §.Information till kunden om riksomfattande informationssystemtjänster I paragrafens 1 mom. föreskrivs det om tjänstetillhandahållarens informationsskyldighet. Eftersom erhållandet av information enligt den valda modellen ska grunda sig på lagen, innebär det att alla uppgifter i tjänstetillhandahållarnas register alltid ska finnas tillgängliga för yrkesutbildade personer inom social- och hälsovården när de behöver dem i sina arbetsuppgifter och kunden inte har förbjudit behandling eller utlämnande av uppgifterna. En praxis som bygger på en lagstadgad rätt att få information och på kundens förbud mot detta innebär ett särskilt stort ansvar vad gäller informationen till patienten. 
Enligt propositionen ska tjänstetillhandahållaren ge information om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om de rättigheter hos kunden som anknyter till de riksomfattande informationssystemtjänsterna. Bestämmelser om behandling av kunduppgifter finns i 4 kap. i lagförslaget. Informationen ska ges till kunden så fort som möjligt när kundförhållandet inleds och senast i samband med den första kontakten. 
I EU:s dataskyddsförordning föreskrivs det om informerandet i samband med behandling av personuppgifter. Vid informerande ska den förpliktelse i dataskyddsförordningen som gäller tjänstetillhandahållarens skyldighet att ge kunden vissa uppgifter iakttas. Om personuppgifterna erhålls direkt av den registrerade själv ska enligt dataskyddsförordningen informationen ges då när personuppgifterna erhålls. Om personuppgifterna fås från någon annan ska informerandet skötas inom en rimlig tid men senast inom en månad från det att uppgifterna erhölls. 
Enligt EU:s dataskyddsförordning är den personuppgiftsansvariga skyldig att avgiftsfritt ge den registrerade information om behandlingen av hans eller hennes personuppgifter. Enligt dataskyddsförordningen ska den personuppgiftsansvarige alltid ge följande uppgifter om behandlingen av personuppgifter: 
- kontaktuppgifter till den personuppgiftsansvarige, dennes eventuella företrädare och den dataskyddsansvariga 
- syfte och rättslig grund för behandlingen av personuppgifter Om uppgifterna inte fås direkt av den registrerade ska dessutom meddelas vilka kategorier av personuppgifter behandlingen gäller. 
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, om dessa utgör grunden för behandlingen 
- i tillämpliga fall, vem som ska få personuppgifterna 
- huruvida den personuppgiftsansvarige avser att överföra uppgifter till ett tredjeland eller en internationell organisation 
Enligt dataskyddsförordningen ska den personuppgiftsansvarige för att säkerställa rättvis och transparent behandling dessutom lämna följande ytterligare information: 
- uppgifternas lagringstid eller de kriterier som används för att fastställa denna 
- den registrerades rättigheter i fråga om dennes uppgifter, såsom rätten att begära radering av sina personuppgifter, rätten att återkalla sitt samtycke, rätten att inge klagomål och förekomsten av automatiserat beslutsfattande, inbegripet till exempel profilering 
- huruvida insamlingen av uppgifter är ett lagstadgat eller avtalsenligt krav 
- huruvida personen är skyldig att ge uppgifterna och följderna av att uppgifterna inte lämnas 
Den registrerade har enligt dataskyddsförordningen också rätt att få det bekräftat att uppgifterna behandlas eller inte behandlas. Dessutom har den registrerade rätt att få närmare information om behandlingen av uppgifterna, till exempel om syftet med behandlingen och vilka kategorier av personuppgifter behandlingen gäller. 
Vid informerandet ska specialgrupperna beaktas särskilt, till exempel barnen. Till barn måste informationen till exempel ges i sådan form och på ett sådant sätt att barnet kan förstå den. Barnet ska ges tydlig information om hans eller hennes rättigheter att begränsa åtkomsten till uppgifterna. Dessutom ska barnet få tillräcklig information om de situationer där vårdnadshavaren ska sköta ärenden elektroniskt för barnets räkning och tillsammans med barnet. Dessutom kan detaljerade anvisningar om informerandet fås av dataskyddsombudet och av den WP29-dataskyddsgrupp som består av EU-medlemsstaternas dataskyddsmyndigheter. 
Utöver den information som ska ges personligen till kunden kan det dessutom som det hittills har gjorts ges information till allmänheten om behandlingen av kunduppgifter. Institutet för hälsa och välfärd ska ansvara för sakinnehållet i den information som ges till kunderna, och folkpensionsanstalten ska enligt paragrafens 2 mom. även i fortsättningen ansvara för informationsmaterialet. 
16 §.Identifiering av dem som behandlar kunduppgifter. Med tanke på de elektroniska tjänsternas tillförlitlighet och individens rättsskydd är det mycket viktigt att de parter som använder tjänsterna faktiskt är de som de utger sig för att vara. Enligt 1 mom. ska därför kunder, tjänstetillhandahållare och andra parter och deras företrädare som behandlar kunduppgifter samt de datatekniska enheterna identifieras på ett tillförlitligt sätt vid elektronisk behandling av kunduppgifter. Identifieringen kan till exempel ske med en personbeteckning eller med hjälp av ett namn eller någon annan identifieringsuppgift i en handling som används vid verifieringen av identiteten. 
Identifieringen av de personer som behandlar kunduppgifter och av tjänstetillhandahållarna, de datatekniska enheterna samt av de riksomfattande informationssystemtjänsterna förutsätter dessutom verifiering. Vid behov ska identiteten kunna verifieras genom en handling från en tillförlitlig och oberoende källa. I en elektronisk tjänst kan verifieringen till exempel ske genom att använda identifieringsverktyg för stark autentisering, som till exempel nätbankskoder eller mobilcertifikat. Befolkningsregistercentralen har haft som lagstadgad uppgift att ansvara för certifikaten inom social- och hälsovården, de personliga certifikaten för elektronisk identifiering och undertecknande och för certifikaten för undertecknande i tjänster och system. Identifieringen och de elektroniska underskrifterna av de yrkesutbildade personerna inom social- och hälsovården och av andra anställda hos tjänstetillhandahållarna genomförs med hjälp av den kontroll av åtkomsträttigheter som sköts av Tillstånds- och tillsynsverket för social- och hälsovårdens certifikattjänster och verksamhetsenheter. 
I paragrafens 2 mom. föreslås det att närmare bestämmelser om de tekniska metoderna för identifiering och autentisering får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Befolkningsregistercentralen till den del det handlar om en sådan uppgift för Befolkningsregistercentralen som avses i 6 § och som gäller att Befolkningsregistercentralen är den i lagen om stark autentisering och betrodda elektroniska tjänster avsedda certifikatutfärdaren för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. 
17 §.Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut. Enligt 1 mom. kan klienten förbjuda att en personuppgiftsansvarig lämnar ut klientuppgifter om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. Klienten har dock inte denna rätt inom de tjänster som den personuppgiftsansvarige ansvarar för, eftersom det då är fråga om användning av klientuppgifter och inte utlämning. På motsvarande sätt föreslås det att en patient ska ha rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till en annan personuppgiftsansvarig eller ett annat register inom hälso- och sjukvården via riksomfattande informationssystemtjänster. 
Dataskyddsförordningen innehåller bestämmelser om rätten att göra invändningar. De registrerades rättigheter följer direkt av dataskyddsförordningen. I fråga om övriga rättigheter kan bestämmelser inte utfärdas på nationell nivå. Enligt artikel 9.4 i den allmänna dataskyddsförordningen får medlemsstaterna dock behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den rätt att förbjuda användning som föreslås kan anses vara ett sådant villkor eller en sådan begränsning som avses ovan. Dessutom kräver många av de situationer som nämns i artikel 9.2 och där behandling av särskilda kategorier av personuppgifter är möjlig med stöd av nationell lagstiftning att den nationella lagstiftningen innehåller lämpliga skyddsåtgärder. 
Valet av en modell med förbud kan motiveras med den princip i dataskyddsförordningen enligt vilken ett samtycke inte är en tillräcklig grund för behandling av personuppgifter, om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Som exempel på sådan betydande ojämlikhet nämner dataskyddsförordningen att den personuppgiftsansvarige är en myndighet och att det därför är osannolikt att samtycke ges frivilligt. Ett brett samtycke som riktar sig på framtiden uppfyller inte heller det krav i dataskyddsförordningen om att samtycket ska vara specifikt, informerat, frivilligt och otvetydigt, eftersom individen inte i praktiken kan veta hur hans eller hennes samtycke kommer att användas. 
Det förbud som kan användas som skyddsåtgärd och som beskrivs ovan ska tillämpas på patientuppgifter inom hälso- och sjukvården. Grunden för rätten att förbjuda användningen av klientuppgifter inom socialvården är artikel 86 i EU:s dataskyddsförordning enligt vilken personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av. 
Enligt paragranes 1 mom. ger rätten att förbjuda användning klienten en möjlighet att hindra utlämnandet av vissa uppgifter via de riksomfattande informationssystemtjänsterna. Inom socialvården kan klienten förbjuda att klientuppgifterna inom socialvården lämnas ut till en annan personuppgiftsansvarig inom socialvården. Inom hälso- och sjukvården kan patienten förbjuda att patientuppgifter om honom eller henne lämnas ut till en annan personuppgiftsansvarig inom hälso- och sjukvården eller till ett annat register inom hälso- och sjukvården. Bestämmelser om överlåtande av uppgifter mellan socialvården och hälso- och sjukvården finns bland annat i lagen om klientens ställning och rättigheter inom socialvården (812/2000) och i lagen om patientens ställning och rättigheter (785/1992). En vårdnadshavare har inte rätt att meddela ett förbud för en minderårig som vårdnadshavaren har vårdnaden om. Detta baserar sig på 9 § 4 mom. i patientlagen enligt vilket patientens vårdnadshavare eller andra lagliga företrädare inte har rätt att förbjuda sådan vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa. Denna princip tillämpas också inom socialvården där den centrala principen är hänsynen till barnets bästa. 
Enligt 2 mom. kan en klient eller en patient meddela förbud för alla sina klient- och patientuppgifter. Förbudet kan dock inte gälla sådana handlingar som anknyter till hanteringen av utlämnande av uppgifter till arkivet. Dessa handlingar gäller till exempel samtycke, förbud, viljan att donera organ eller vårddirektiv. Genom ett förbud kan kunden inte heller förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information. 
Enligt 2 mom. kan en klient inom socialvården rikta förbudet till en viss serviceuppgift eller enskild handling/patientjournal. Tjänsterna inom socialvården är uppdelade i sju olika serviceuppgifter. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Dessutom kan förbudet gälla en offentlig tillhandahållare av social- och hälsovårdstjänster och dess register samt ett register inom företagshälsovården. Inom den privata social- och hälsovården kan förbudet inte gälla ett register eller en tjänstetillhandahållare. Den företagsverksamhet som bedrivs av de privata tjänstetillhandahållarna är mångfacetterad och därför är det svårt för kunden att förstå vilken instans som är tjänstetillhandahållaren och den personuppgiftsansvarige och till vilken tjänstetillhandahållare förbudet ska riktas. Till exempel en läkarstation kan ha flera självständiga yrkesutövare och företag, och kunden har inte alltid klart för sig när det är fråga om en verksamhet som bedrivs för läkarstationens egen räkning och när verksamheten bedrivs av en annan tjänstetillhandahållare.  
I paragrafens 3 mom. föreskrivs det om de konsekvenser som en kunds förbud har för den rätt att få information som gäller yrkesutbildade personer eller myndigheter inom social- och hälsovården. Kundens förbud kan inte förhindra rätten att få information för en yrkesutbildad person eller myndighet inom social- och hälsovården då när deras rätt att få information baserar sig på lag. Till exempel i barnskyddslagen föreskrivs det om när en myndighet inom barnskyddet har rätt att få information trots kundens förbud. 
I paragrafens 4 mom. föreskrivs det om behandlingen av uppgifter om hälsotillstånd i särskilda situationer, till exempel när en patient är medvetslös eller i något annat tillstånd som gör att denna inte förmår bedöma betydelsen av förbudet. Ett tidigare meddelat, gällande förbud utgör inget hinder för att uppgifter om hälsotillstånd behandlas eller lämnas ut till en annan personuppgiftsansvarig, om patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet. Detta baserar sig på artikel 6.1 (d) i dataskyddsförordningen enligt vilken behandlingen är lagenlig när den behövs för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen. Behandlingen är enligt artikel 9.2 (c) i dataskyddsförordningen också tillåten om den behövs för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. Den föreslagna bestämmelsen i 4 mom. förändrar gällande praxis för användningen av förbud vid utlämnande av uppgifter inom hälso- och sjukvården i nödsituationer. 
I paragrafens 5 mom. konstateras det att förbudet inte kan förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information vid tillhandahållandet av socialtjänster. Enligt huvudregeln kan de uppgifter som omfattas av ett förbud inte behandlas i socialtjänsterna. I lagstiftningen om socialvården finns det undantag från detta. I klientlagens 17-21 § föreskrivs det att sekretessbelagda uppgifter ska få lämnas ut för att trygga vården av och omsorgen om klienten trots att klienten eller dennes lagliga företrädare har förbjudit utlämnandet av uppgiften. Uppgifter får på de i paragrafen angivna villkoren lämnas ut för klientens vård, omsorg eller utbildning, för ordnande eller tillhandahållande av vård, omsorg eller utbildning eller för tryggande av förutsättningarna för försörjningen.  
Enligt 6 mom. ska ett förbud som klienten meddelat gälla tills vidare och kunna återtas när som helst. Efter ett eventuellt återtagande kan klienten meddela förbud på nytt. 
18 §.Meddelande av förbud mot behandling av klientuppgifter och patientuppgifter Ett förbud som gäller behandling av klientuppgifter kan enligt 1 mom. meddelas vilken tjänstetillhandahållare som helst som har anslutit sig till en riksomfattande informationssystemtjänst. Tjänstetillhandahållaren ska sända uppgifterna till informationshanteringstjänsten så snabbt som det rimligen är möjligt. Efter att uppgiften har sänts till informationshanteringstjänsten beaktas den automatiskt i informationssystemen. Förbud kan även meddelas via ett medborgargränssnitt. Då registreras uppgiften omedelbart i den informationshanteringstjänst som föreslås i 11 §. Vid återtagande av förbud tillämpas samma bestämmelser som vid meddelandet av förbud. Enligt den kan ett förbud meddelas till vilken tillhandahållare av social- eller hälsovård som helst eller meddelas via ett medborgargränssnitt. Uppgiften om att förbudet har återtagits ska utan dröjsmål sändas till informationshanteringstjänsten. 
Ett förbud kan meddelas till informationshanteringstjänsten när som helst. Detta är viktigt bland annat för att en person vid behov ska ha en möjlighet att skydda sina uppgifter eller att återta sitt förbud till exempel på läkarmottagningen, så att de tjänster som kunden behöver kan säkerställas i alla situationer och så att kunden har en möjlighet att skydda sin integritet. Enligt 2 mom. ska på kundens begäran den som tar emot förbudet ge kunden en utskrift av kundens förbudshandling. 
För att alla de som meddelar ett förbud ska få adekvat och enhetlig information om förbudets betydelse, föreslås det i 3 mom. dessutom att Folkpensionsanstalten ska utforma en dokumentmall för förbudet. Av förbudshandlingen ska det bland annat framgå att de uppgifter som omfattas av kundens förbud inte får lämnas ut via riksomfattande informationssystemtjänster och att förbudet även gäller i de fall de förbjudna uppgifterna är relevanta med tanke på vården eller omsorgen av kunden, om inte något annat följer av annan lagstiftning. Dessutom ska det framgå när uppgifterna kan lämnas ut trots ett förbud. Eftersom återtagande av förbud omfattas av samma bestämmelser som meddelandet av förbud, ska även detta framgå av Folkpensionsanstaltens dokumentmall. 
19 §.Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster. I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan personuppgiftsansvarig inom hälso- och sjukvården för anordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. 
Enligt 2 mom. får ett sådant utlämnande av patientuppgifter till en annan personuppgiftsansvarig som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att patienten har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 14 § i lagförslaget datatekniskt säkerställas att en vårdrelation mellan patienten och den som har lämnat begäran existerar. 
När en personuppgiftsansvarig lämnar ut patientuppgifter till en annan personuppgiftsansvarig ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnande av uppgifterna i fråga, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om patientens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget. 
I paragrafens 3 mom. föreskrivs det om personens samtycke i de fall när patientuppgifter lämnas ut till en personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård. Bestämmelser om sekretessbeläggning och utlämnande av patientuppgifter finns i 13 § i patientlagen (785/1992). EU:s dataskyddsförordning möjliggör utlämnande av patientuppgifter med stöd av patientens samtycke. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska vara uttryckligt och särskilt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. En motsvarande möjlighet att lämna ut patientuppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att patientuppgifter får lämnas ut mellan socialvården och hälso- och sjukvården. 
Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de patientuppgifter som de behöver. Samtidigt ska dock patienten ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika åtkomständamål.  
I paragrafens 4 mom. föreskrivs det om utlämnande av patientuppgifter till patienten via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
20 §. Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut klientuppgifter inom socialvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten. 
Enligt 2 mom. får ett sådant utlämnande av kunduppgifter till en annan personuppgiftsansvarig som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att kunden har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 14 § i lagförslaget datatekniskt säkerställas att det finns ett samband mellan kunden och den som har lämnat begäran. 
När en personuppgiftsansvarig lämnar ut kunduppgifter till en annan personuppgiftsansvarig ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning grund för utlämnandet av uppgifterna. En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnandet av sina uppgifter, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om kundens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget. 
I paragrafens 3 mom. föreskrivs det om personens samtycke i de fall när kunduppgifter lämnas ut till en personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård. Bestämmelser om sekretessbeläggning och utlämnande av kunduppgifter finns i 3 kap. i klientlagen. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska bland annat vara särskilt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. En motsvarande möjlighet att lämna ut kunduppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att kunduppgifter får lämnas ut mellan socialvården och hälso- och sjukvården. 
Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de kunduppgifter som de behöver. Samtidigt ska dock kunden ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika åtkomständamål. Bestämmelser om de situationer där kunduppgifter kan lämnas ut utan kundens samtycke finns i socialvårdslagstiftningen. 
I paragrafens 4 mom. föreskrivs det om utlämnande av kunduppgifter till kunden via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
21 §.Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. I paragrafen föreskrivs det att det via den förfrågnings- och förmedlingstjänst som hör till de riksomfattande informationssystemtjänsterna kan förmedlas handlingar och andra handlingar som har bifogats till dem för skötseln av en lagstadgad uppgift till den aktör utanför social- och hälsovården som handlingarna har upprättats för. Sådana handlingar är bland annat de intyg och utlåtanden som sänds till en annan instans. I paragrafens 1 mom. föreslås det också att även de handlingar som den mottagande instansen har rätt att få med stöd av lag ska kunna förmedlas med hjälp av förfrågnings- och förmedlingstjänsten. 
Det bör påpekas att förfrågnings- och förmedlingstjänsten inte ansvarar för den information som lämnas från en personuppgiftsansvarig till en annan. Det betyder att den personuppgiftsansvarige som ska lämna ut uppgifter ansvarar för att den som får uppgifterna endast får klientuppgifter eller patientuppgifter i den omfattning som mottagaren har rätt att få med stöd av lag eller samtycke. Alltid när uppgifter lämnas ut krävs det övervägande av den personuppgiftsansvariga som lämnar ut uppgifterna och endast de nödvändigaste kunduppgifterna får lämnas ut. Den rätt som mottagaren har att få uppgifter ska basera sig på lag eller på kundens samtycke. Kunduppgifter kan lämnas ut endast i den omfattning mottagaren behöver dem för att sköta sin lagstadgade uppgift. 
Exempel på detta är ett A-intyg eller B-intyg lämnas till en arbetsgivare, Folkpensionsanstalten eller ett arbetspensionsinstitut för en patients sjukdagpenning eller ett läkarutlåtande som lämnas till polisen för ansökan om körkort. Andra särskilda handlingar som medvetet har bifogats till ett intyg eller utlåtande, som till exempel en röntgenläkares utlåtande som ligger som grund för läkarens eget utlåtande, kan anslutas till utlåtandet och lämnas ut elektroniskt med det, om den som har skapat handlingen anser att det behövs. 
På basis av arbetspensionslagarna har till exempel en arbetspensionsanstalt trots sekretessbestämmelserna och övriga begränsningar av erhållande av information rätt att få sådana uppgifter som den behöver för att avgöra ett ärende och sköta lagstadgade uppgifter. Arbetspensionsanstalternas rätt att få information gäller bland annat pensionstagares journalhandlingar, rehabilitering, hälsotillstånd, vård och arbetsförmåga. Den förfrågnings- och förmedlingstjänst som föreslås i denna paragraf ger den personuppgiftsansvarige inom hälso- och sjukvården möjligheten att bedöma om handlingar kan lämnas till ett arbetspensionsinstitut även om handlingen ursprungligen är avsedd för något annat ändamål. Handlingarna får dock inte innehålla mera information än vad mottagaren har rätt att få enligt lagstiftningen. 
I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten.  
22 §.Användning av e-tjänster och behandling av uppgifter för någon annans räkning. Enligt 1 mom. har en person rätt att för någon annans räkning behandla dennes kund- och välbefinnandeuppgifter i ärendehanteringstjänster. När ett ärende sköts för en annan persons räkning ska detta grunda sig på en fullmakt eller ett förordnande som intressebevakaren har gett med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen eller 9 § 2 mom. i patientlagen. 
En minderårig patient som med hänsyn till ålder och utvecklingsnivå kan fatta beslut om sin vård har enligt patientlagen rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård lämnas ut till vårdnadshavaren eller andra lagliga företrädare. Enligt klientlagen inom socialvården får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. En laglig företrädare har dock rätt att få information enligt vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet. 
Den yrkesutbildade person inom social- och hälsovården som antecknar kunduppgifter ska säkerställa att barnet vet och förstår att vårdnadshavaren kan se uppgifterna och att barnet med hänsyn till ålder och utvecklingsnivå har rätt att förbjuda att uppgifter lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren. 
Inom socialvården kan till exempel intresset hos en vårdnadshavare och den minderåriga som vårdnadshavaren har vårdnaden om stå i strid med varandra, och då ska tolkningen följa barnets intresse. I en sådan situation har vårdnadshavaren inte rätt att behandla barnets uppgifter om behandlingen strider mot barnets intresse. Sådana situationer kan uppstå inom socialvården, och särskilt inom barnskyddet. Vårdnadshavarens rätt att behandla uppgifterna om den minderårig som vårdnadshavaren har vårdnaden om kan även begränsas genom tingsrättens beslut. 
Utöver den minderårigas förbudsrätt ska vårdnadshavaren inte heller ha rätt att behandla uppgifter om det barn som denne har vårdnaden om ifall det gäller sådana uppgifter i fråga om vilka vårdnadshavaren inte har insynsrätt eller en sådan i offentlighetslagen avsedd rätt för parten att få information. Det kan till exempel vara fråga om en situation där ett litet barn är klient inom barnskyddet och ännu inte förmår förbjuda att uppgifterna lämnas ut till barnets vårdnadshavare och där det trots detta finns en lagenlig grund för att förvägra till exempel vårdnadshavarens insynsrätt till antingen alla eller en del av uppgifterna om barnet. Då kan ovannämnda uppgifter inte ens visas för kunden. Grunderna för förbudet kan dock vara olika för vårdnadshavaren och den minderåriga. Inom hälso- och sjukvården kan det till exempel vara fråga om en situation där barnet berättar för skolhälsovårdaren att det själv eller en familjemedlem har misshandlats eller behandlats illa i hemmet. Barnet vet inte nödvändigtvis att föräldern kan ta del av uppgiften om besöket hos hälsovårdaren via den tjänst som används. Därför är den yrkesutbildade personen inom social- och hälsovården ansvarig för barnets intresse och säkerhet i alla situationer, även när barnet inte med hänsyn till utvecklingsnivån ännu förmår förbjuda insyn i sina uppgifter. 
I paragrafens 2 mom. hänvisas det till 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). I momentet föreskrivs det om Befolkningsregistercentralens nya register för behörighetstjänsten, om förfarandet för avgivande av fullmakt och andra viljeyttringar i registret och om innehållet i fullmakter och andra viljeyttringar samt om sammanföringen av uppgifterna om avgivaren och säkerställandet av informationshelhetens integritet. För tillhandahållande av behörighetstjänsten för Befolkningsregistercentralen ett register över de fullmakter som avgivits av fysiska personer och för samfunds vägnar samt övriga viljeyttringar. Viljeyttringarna är i fråga om behörigheterna noggrant avgränsade och anknyter till en viss verksamhet eller händelse, och således kan inga öppna fullmakter för rättsligt bistånd avges via tjänsten. 
Via behörighetstjänsten kan även uppgifter om fullmakter som andra myndigheter har registrerat och om andra viljeyttringar förmedlas, om den myndighet som har registrerat uppgifterna har beviljat Befolkningsregistercentralen tillstånd till detta och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som ska förmedlas via behörighetstjänsten. När det gäller de register som gäller övriga myndigheters viljeyttringar bygger personuppgiftsansvaret på bestämmelserna om dessa myndigheters verksamhet och det är fortfarande den behöriga myndigheten som bär ansvaret för personuppgifterna och registreringen av viljeyttringarna. Befolkningsregistercentralen ansvarar endast för verksamheten i den förmedlingstjänst som ingår i behörighetstjänsten. Möjligheterna att använda till exempel de viljeyttringar som har avgivits inom social- och hälsovården är ofta begränsade till aktörerna inom dessa sektorer och därför är ett mera allmänt utnyttjande av viljeyttringarna inte möjligt. Syftet med punkten i bestämmelsen är att dessa uppgifter ska tillhandahållas centraliserat för användning via behörighetstjänsten. 
23 §. Medborgargränssnitt samt uppgifter och viljeyttringar som visas via det. I paragrafens 1 mom. föreslås det att gränssnittet ska genomföras så att en person kan avge de viljeyttringar som avses i 11 § i lagförslaget samt sköta ärendena i anslutning till sitt kundförhållande och administreringen av sina kunduppgifter och välbefinnandeuppgifter via ett gränssnitt. När det gäller minderårigas förbudsrätt konstateras det att en minderårigs rätt att förbjuda utlämnande av sina uppgifter ska förutsätta en bedömning av den minderårigas mogenhet, och detta är inte möjligt i e-tjänsten. 
I paragrafens 2 mom. föreskrivs det att uppgifter som en person ska kunna få via ett medborgargränssnitt till exempel är tidsbeställningsuppgifter, laboratorieresultat, röntgenresultat och andra undersökningsresultat, uppgifter om tider och platser för servicehändelser, uppgifter som är viktiga för vården eller servicen, receptuppgifter, vårdanvisningar, remisser, sammandrag av gjorda behandlingar, utlåtanden om behandlingar, läkarintyg och läkarutlåtanden samt handlingar om socialvården. Till gränssnittet kan dessutom anslutas andra funktioner som möjliggör informationsutbyte och utförande och uppföljning av uppgifter som gäller tjänster, omsorg och vård. En sådan funktion är till exempel förmedling av kunduppgifter mellan en kund och en tjänstetillhandahållare. Gränssnittet ska realiseras så att kundens integritetsskydd inte äventyras. 
Trots vad som föreskrivs i 1 mom. ska gränssnittet realiseras så att kunden inte har åtkomst till uppgifterna, om den yrkesutbildade personen inom hälso- och sjukvården vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för tillhandahållandet av en tjänst eller för någon annans rättigheter. När uppgifter visas via gränssnittet ska bestämmelserna om partens rätt att få information i 11 § 2 och 3 mom. i offentlighetslagen beaktas.  
Principen enligt offentlighetslagen är att en sökande, överklagande eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (en part), har rätt att av den myndighet som behandlar eller har behandlat ärendet information om sådant innehåll i en offentlig handling som kan påverka eller som eventuellt har påverkat behandlingen av hans eller hennes ärende. 
En part eller dennes ombud eller biträde har inte den ovanavsedda rätten till exempel 
1) när utlämnande av uppgifter ur handlingen skulle strida mot ett synnerligen viktigt allmänt intresse, ett barns intresse eller ett annat synnerligen viktigt enskilt intresse, eller 
2) när det är fråga om en handling som har företetts eller upprättats i samband med förundersökning eller polisundersökning som ännu pågår, om utredningen skulle försvåras av att uppgifter lämnas ut. 
Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och åtkomstlogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. 
I paragrafens 3 mom. föreskrivs om att uppgifter om en minderårig person får visas via gränssnittet för personen själv och för hans eller hennes vårdnadshavare eller för någon annan laglig företrädare. Uppgifterna kan visas också via välbefinnandeapplikationer som godkänts för datalagret för egna uppgifter. Vid utlämnandet av uppgifterna ska det som i 9 § 2 mom. i patientlagen föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Dessutom ska bestämmelserna i 11 § 3 mom. i klientlagen beaktas. Enligt bestämmelserna får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. Om en minderårig klient eller klientens lagliga företrädare är part i ett socialvårdsärende, har den lagliga företrädaren dock rätt att få uppgifter i enlighet med 11 § i lagen om offentlighet i myndigheternas verksamhet. 
Enligt paragrafens 4 mom. kan personens uppgifter visas via gränssnittet för en av honom eller henne befullmäktigad person. 
24 §.Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande. Att användningen och utlämnandet av kunduppgifter följs upp är en central förutsättning för tillgodoseendet av kundens rätt till skydd för privatlivet och för övervakningen av uppgifternas användning. 
Med uppgifternas användning avses att uppgifter används i den personuppgiftsansvariges egen verksamhet och i verksamhet som bedrivs för dennes räkning. De uppgifter som används är uppgifter som finns i den personuppgiftsansvariges egna kundregister. För användning av dessa uppgifter behövs inte tillstånd och en registrerad kan inte förbjuda användningen av sina uppgifter. Med utlämnande av uppgifter avses att uppgifter lämnas ut till en annan personuppgiftsansvarig eller någon annan utomstående som har rätt att få uppgifterna eller att uppgifter överförs mellan den personuppgiftsansvariges olika register. Med utlämnande avses allt avslöjande av information till utomstående inklusive att ge någon rätt att se uppgifter. Utlämnandet av kunduppgifter inom social- och hälsovården ska ske antingen med kundens samtycke eller med stöd av en bestämmelse i lag som ger denna rätt. 
Enligt 1 mom. är tjänstetillhandahållaren skyldig att följa upp hur den egna enheten använder och lämnar ut kunduppgifter. Förpliktelsen att registrera åtkomstloggar gäller även användarna av gränssnitt, till exempel Kelain-tjänsten, dvs. användarna av gränssnittet för professionellt bruk. 
I paragrafens 2 och 3 mom. föreskrivs det särskilt om de uppgifter som ska registreras i åtkomstloggregistret och vilka som ska registreras i utlämningsloggregistret. Logguppgifterna om de register som har upprättats för olika åtkomständamål ska registreras separat. 
I åtkomstloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, åtkomständamålet, åtkomsttidpunkten och andra uppgifter som behövs. 
I utlämningsloggregistret förs det in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren, utlämningstidpunkten och andra uppgifter som behövs. 
Enligt 4 mom. ska Folkpensionsanstalten samla in logguppgifterna om de uppgifter som har registrerats i gränssnittet för professionellt bruk, arkiveringstjänsten och i informationshanteringstjänsten och också om utlämnandet av de uppgifter som har visats via informationshanteringstjänsten. Enligt momentet ska Folkpensionsanstalten samla in logguppgifter bland annat om alla utlämnanden av uppgifter och i samband med detta bland annat tidpunkten för utlämnandet och uppgiftsmottagarna. Uppgifter som kan visas via informationshanteringstjänsten är bland annat vissa sammanställningar av handlingar samt handlingar som ska uppdateras, som till exempel viktiga diagnoser, vaccinationer, medicinering och laboratorieresultat. De tjänstetillhandahållare vilka handlingarna gäller och varifrån uppgifterna har fåtts registreras inte i fråga om ovannämnda uppgifter i informationshanteringstjänstens logg. Vid behov kan logguppgifterna användas för att utreda om utlämnandet har varit ändamålsenligt.  
Logguppgifterna om utlämnande av tjänstetillhandahållarens uppgifter i kundhandlingar förs in i den förvaringstjänst för loggregister som är avsedd för detta. Eftersom det utlämnande av kunduppgifter mellan tjänstetillhandahållare inom social- och hälsovården som baserar sig på en begäran ska ske i enlighet med 19 eller 20 § med hjälp av riksomfattande informationssystemtjänster, ska logguppgifterna om utlämnandet finnas i arkiveringstjänsten. I arkiveringstjänsten ska till exempel föras in de logganteckningar som ska göras vid utlämnande av remisser och av vårdrespons samt vid utlämnande som sker till övriga med rätt att använda kunduppgifterna. För att en kund ska kunna få information om att hans eller hennes kunduppgifter har utlämnats med hjälp av det medborgargränssnitt som avses i 23 § ska utlämningslogguppgifterna finnas i den centrala arkiveringstjänsten. 
Närmare bestämmelser om uppgifterna om åtkomsträttigheter och logguppgifter samt om bevarandet av dem får enligt 5 mom. utfärdas genom förordning av social- och hälsovårdsministeriet. Föreskrifter får meddelas till exempel om antecknandet av ändringar i uppgifter om åtkomsträttigheter och om bevaringstiderna. Av uppgifterna i användarregistren ska det framgå vem som beviljats åtkomsträtt, för vilket patientregister eller dess del rättigheterna beviljats, omfattningen av åtkomsträtten samt tiden då rätten att se, uppdatera eller använda uppgifterna börjar och slutar. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras sakinnehåll. Om journalhandlingarnas bevaringstider föreskrivs det i förordningen om journalhandlingar. Avsikten är att i fortsättningen föreskriva om journalhandlingarnas bevaringstider i lag, och att samtidigt även ta in regleringen om bevaringstiderna för logguppgifterna i lag. 
25 §.Kundens rätt att få information om behandlingen av sina egna uppgifter. Enligt 1 mom. har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid eller senast inom två månader av tjänstetillhandahållaren med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har lämnat ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Vid beslutspraxis för riksdagens justitieombudsman och statsrådets justitiekansler har tidsfristen på två månader ansetts vara skälig. Dessutom ska kunden ha rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, receptcentret och datalagret för egna uppgifter, logguppgifter över använda och utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. De övriga logguppgifterna har kunden rätt att få av tjänstetillhandahållaren. 
Kundens rätt att få logguppgifterna är en viktig rätt som ger kunden möjligheten att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. Rätten att få information gäller både åtkomstloggar och utlämningsloggar.  
Enligt 2 mom. har kunden inte rätt att få logguppgifter, om den som tar emot begäran om uppgifterna vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Enligt huvudregeln har kunden rätt att få endast de logguppgifter som har införts under de två år som föregick begäran. Det är dock möjligt att få uppgifter även från en längre tid, om det finns något särskilt skäl för det. Ett sådant särskilt skäl kan enligt lagen till exempel vara en välgrundad misstanke om att klientuppgifter eller patientuppgifter har behandlats olovligt på ett sätt som kräver att saken utreds. Den föreslagna tidsfristen på två månader beror på att behandlingen av klagomål inom social- och hälsovården delvis är begränsad så att de endast kan gälla händelser från de två åren före klagomålet. En sådan begränsning gäller till exempel de klagomål som anförs hos riksdagens justitieombudsman och Tillstånds- och tillsynsverket för social- och hälsovården. Ett annat skäl bakom tidsfristen är den preskriptionstid för personregisterbrott som avses i 38 kap. 9 § i strafflagen, som också är två år.  
Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. Kunduppgifternas logguppgifter innehåller information med personuppgifter om de som är anställda hos tjänstetillhandahållaren inom social- och hälsovården. Av den orsaken är det motiverat att kunden inte ska ha rätt att använda dessa uppgifter för något annat ändamål än för att utreda eller tillgodose sina rättigheter att behandla sina egna kunduppgifter. 
I paragrafens 3 mom. föreskrivs det om ersättning för utlämnande av logguppgifter. Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. Rätten att få ersättning av kunden för kostnaderna för utlämnandet finns till för att undvika onödiga begäranden om logguppgifter. Med hjälp av den elektroniska förbindelse som avses i 23 § i lagen får det dock inte tas ut någon separat avgift för erhållandet av logguppgifter. 
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska denna förvägran meddelas genom ett skriftligt beslut enligt 4 mom. Kunden har rätt att föra ärendet till förvaltningsdomstolen för avgörande. 
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten enligt 5 mom. på begäran ge kunden en utredning om grunderna för användningen eller utlämnandet av uppgifterna och uppge sin motiverade uppfattning huruvida det har varit sakligt motiverat att använda eller lämna ut uppgifterna eller om det förekommit missbruk. Detta är motiverat med tanke på tillgodoseendet av både kundens och den personuppgiftsansvariges rättigheter. Kunden kan då bättre bedöma huruvida det lönar sig att till exempel föra ärendet till polisen för undersökning eller att anföra klagomål hos en besvärsmyndighet. 
Om slutledningen av en kunds begäran, eller om det vid den personuppgiftsansvariges egenkontroll har upptäckts att behandlingen av uppgifterna har stridit mot lagen, ska även den personuppgiftsansvarige på eget initiativ vidta behövliga åtgärder. Även tjänstetillhandahållaren ska göra en bedömning av vilka åtgärder den bör vidta. Till exempel kan det åtminstone behövas arbetsrättsliga åtgärder och dessutom beroende på fallet även en eventuell begäran om polisundersökning. 
5 kap. Egenkontroll i fråga om informationssäkerhet och dataskydd
26 §. Informationssäkerhetsplan. I paragrafens 1 mom. föreskrivs det om att tjänstetillhandahållaren är skyldig att utarbeta en informationssäkerhetsplan som behandlar frågor som är centrala för organisationens informationssäkerhet och dataskydd samt ibruktagande av informationssystem. Syftet med informationssäkerhetsplanen är att säkerställa att tjänstetillhandahållarens personal behärskar användningen av de informationssystem som de använder och kan beakta de krav som hänför sig till sekretessbelagda kunduppgifter och informationssäkerhet. I informationssäkerhetsplanen ska dessutom beaktas frågor som gäller användarmiljö, underhåll och uppdaterande samt hur genomförandet av planen och egenkontrollen av de saker som omfattas av planen ska arrangeras. 
Bestämmelser om egenkontrollplaner ingår i flera lagar om social- och hälsovård, till exempel i hälso- och sjukvårdslagen (1326/2010). Uppgiften om att en informationssäkerhetsplan har utarbetats enligt denna bestämmelse kan ingå i den egenkontrollsplan eller någon annan plan som ska utarbetas på basis av någon annan lag, men informationssäkerhetsplanen kan innehålla sådant som inte bör finnas med i den egenkontrollsplan som är allmänt tillgänglig. I informationssäkerhetsplanen ska finnas omfattande information och utredningar om följande: att de personer som använder informationssystemen har den utbildning som användningen kräver (1 punkten), att det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen (2 punkten), att informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten (3 punkten), att informationssystemen underhålls och uppdateras enligt anvisningar från producenten av informationssystemtjänsten (4 punkten), att miljön är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet (5 punkten), att övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd (6 punkten), att informationssystemen installeras, underhålls och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som krävs (7 punkten), att informationssystem som hör till klass A eller B uppfyller de i 33 § avsedda väsentliga krav som ställs enligt deras åtkomständamål (8 punkten) och att det finns en plan för hur egenkontrollen ska ordnas och genomföras inom tjänstetillhandahållarens verksamhet (9 punkten). 
I paragrafens 2 mom. föreslås det att informationssäkerhetsplanen dessutom ska innehålla uppgift om hur de särskilda dataskyddsfrågor som gäller dessa riksomfattande informationssystemtjänster har lösts då när tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. En mellanhand ska utarbeta en informationssäkerhetsplan, och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan för de riksomfattande informationssystemtjänster som den förvaltar. Mellanhand definieras i 3 § 19 punkten i denna proposition. 
I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd vid behov får meddela närmare föreskrifter om de utredningar och krav som ska ingå i den informationssäkerhetsplan som avses i 1 och 2 mom. I detta sammanhang avses således inte planen för egenkontroll, vars åtkomständamål är ett annat än åtkomständamålet för den föreslagna informationssäkerhetsplanen. Planen för egenkontroll är offentlig medan informationssäkerhetsplanen inte är det. 
27 §.Genomförande av och ansvar för egenkontroll i fråga om informationssäkerheten. I paragrafens 1 mom. förutsätts det att varje tjänstetillhandahållare inom social- och hälsovården aktivt ska följa upp genomförandet av informationssäkerhetsplanen. Tjänstetillhandahållaren ansvarar för att de ärenden som gäller informationssäkerhet, dataskydd och användning och underhåll av informationssystem kontinuerligt sköts korrekt. Den ansvariga föreståndaren hos varje tjänstetillhandahållare ska meddela skriftliga instruktioner om hur kunduppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. Denna föreståndare ska också se till att en informationssäkerhetsplan som avses i 26 § utarbetas och att den iakttas. 
Även Folkpensionsanstalten ska i egenskap av förvaltare av de riksomfattande informationssystemtjänsterna göra upp en informationssäkerhetsplan för underhållet och användningen av dessa tjänster, liksom också de mellanhänder som producerar informationssystemtjänsterna och som kan se kunduppgifterna. Tjänstetillhandahållaren, mellanhänderna och Folkpensionsanstalten ska följa upp genomförandet av sin informationssäkerhetsplan. Dessutom ska varje tjänstetillhandahållare och Folkpensionsanstalten ha ett dataskyddsombud för uppföljnings- och tillsynsuppdraget. 
Paragrafens 2 mom. behandlar utnämnandet av dataskyddsombud och är av informativ karaktär. Bestämmelser om utnämnande av dataskyddsombud och om deras uppgifter och ställning finns i dataskyddsförordningen. Enligt den kan en medlemsstat i den nationella lagstiftningen förutsätta att ett dataskyddsombud utnämns även i andra situationer än de som avses i artikel 37.1. Till exempel när det nationella handlingsutrymme som avses i artikel 9 tillämpas kan skyldigheten enligt artikel 36 fungera som skyddsåtgärd. 
I kunduppgiftslagen stryks bestämmelsen om utnämning av dataskyddsombud, eftersom kravet följer direkt av EU:s dataskyddsförordning. Enligt social- och hälsovårdsministeriet borde kravnivån och förpliktelserna i fråga om utnämningen av dataskyddsombud kvarstå och motsvara nivån på kraven i kunduppgiftslagen, vilket betyder att det inte finns behov av särskild nationell lagstiftning om detta efter ikraftträdandet av dataskyddsförordningen. 
6 kap. Informationssystemens åtkomständamål och ibruktagande
28 §.Informationssystemens åtkomständamål och klassificering. I paragrafen föreskrivs det att producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska utarbeta en beskrivning av informationssystemets åtkomständamål och av hur informationssystemet uppfyller de väsentliga krav som ställs på det. Beskrivningen av ett åtkomständamål ska innehålla de egenskaper hos systemet genom vilka de väsentliga krav som ställs på det enligt dess åtkomständamål uppfylls. Informationssystemet ska ha alla de funktioner för åtkomständamålet som lagarna och andra bestämmelser förutsätter. Till exempel det informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt lagen om elektroniska recept. 
I paragrafens 2 mom. föreskrivs det om klassificeringen av informationssystemen, som gäller de informationssystem som ska anslutas till Folkpensionsanstaltens riksomfattande informationssystemtjänster. Social- och hälsovårdens informationssystem och välbefinnandeapplikationer uppdelas enligt deras åtkomständamål och egenskaper i klasserna A och B. Till klass A hör de Kanta-tjänster som förvaltas av Folkpensionsanstalten, till exempel arkiveringstjänsten och kundernas informationshanteringstjänst samt de informationssystem eller informationssystemtjänster som ska anslutas till Kanta-tjänsterna (1 och 2 punkten). Klass A anses också omfatta de förmedlingstjänster som används för att överföra uppgifter i regionala eller lokala informationssystem inom hälso- och sjukvården till de riksomfattande informationssystemtjänsterna. Till klass A hör även de övriga informationssystem vars åtkomständamål förutsätter certifiering. Dessa system kan till exempel innefatta sådana system som tillhandahåller s.k. molntjänster (Saas, PaaS, IaaS) för social- och hälsovårdens informationssystem, om verksamheten innebär betydande risker vad gäller dataskyddet eller informationssäkerheten eller sådana system som uppfyller kriterierna för klass B och vars åtkomständamål är såpass kritiskt att det behövs certifiering eller allmänna ärendehanteringssystem som används inom socialtjänster på motsvarande sätt som ett kunduppgiftssystem och som även kan anslutas till riksomfattande informationssystemtjänster via en teknisk förmedlingstjänst. (4 punkten). Till klass A hör även de välbefinnandeapplikationer som utnyttjar sådana kunduppgifter som har registrerats i Kanta-tjänsterna (3 punkten). 
I paragrafens 3 mom. föreslås det att de informationssystem och välbefinnandeapplikationer som inte räknas upp i 2 mom. ovan ska höra till klass B. 
Informationssystemen i klass B ska vara sådana som varken direkt eller via en förmedlingstjänst är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientuppgiftssystem hör till klass B även om patientuppgiftssystemet registrerar laboratorieresultaten senare i Kanta-tjänsternas arkiveringstjänst. 
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska avgöra på basis av bestämmelserna i 2 och 3 mom. huruvida ett informationssystem hör till klass A eller B i de enskilda fall detta är oklart. Dessutom får Institutet för hälsa och välfärd meddela närmare föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer samt om de åtkomständamål och tjänster som kräver certifiering. 
29 §.Registrering av informationssystem. Producenten av en informationssystemtjänst ska enligt 1 mom. göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som hör till klass A eller B innan de tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och åtkomständamål framgå, och till anmälan ska det fogas en utredning om att de väsentliga krav som ställs på systemet enligt dess åtkomständamål uppfylls. Bestämmelser om väsentliga ändringar som ska göras i informationssystemet finns i 33 § i lagförslaget. Dessutom ska producenten av en informationssystemtjänst göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion inte längre stöds eller att stödet övergått till en annan aktör. Om producenten av en informationssystemtjänst är någon annan än tillverkaren, ska också producenten framgå av anmälan. Välbefinnandeapplikationer behöver inte anmälas till Tillstånds- och tillsynsverket för social- och hälsovården, utan uppgifterna om de välbefinnandeapplikationer som har anslutits till riksomfattande informationssystemtjänster förvaltas av Folkpensionsanstalten. 
I paragrafens 2 mom. föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem inom social- och hälsovården som anmäls till verket. Registret ska innehålla uppgifter om de informationssystem i klass A eller B som används för produktion (1 punkten). I registret lagras även uppgifter om resultaten av interoperabilitetstestningen av de informationssystem i klass A som har godkänts för att användas i produktion och den tid resultaten är i kraft (2 punkten) samt om giltighetstiden för det överensstämmelseintyg som utfärdats enligt en bedömning av informationssäkerhet (3 punkten). På basis av registret kan de som anskaffar och använder ett informationssystem kontrollera att de informationssystem som de ska skaffa eller som de använder är ändamålsenliga. 
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården vid behov meddela närmare föreskrifter om innehållet i anmälan, giltighetstider, ny anmälan och om de uppgifter som ska antecknas i registret. 
30 §.Tagande av informationssystem i användning för produktion. I paragrafens 1 mom. föreslås det att ett informationssystem i klass A eller en välbefinnandeapplikation i klass A ska få användas för produktion och anslutas till riksomfattande informationssystemtjänster när bedömningsorganet för informationssäkerhet har beviljat ett överensstämmelseintyg för detta, dvs. när informationssystemet har certifierats. 
Enligt 2 mom. får ett informationssystem som hör till klass A eller B inte tas i användning för produktion, om det inte finns giltiga uppgifter om det i det register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om godkännandet av interoperabilitetstestningen av ett informationssystem som hör till klass A inte längre gäller eller om överensstämmelseintyget för bedömning av informationssäkerheten för ett informationssystem som hör till klass A har gått ut. 
31 §.Uppföljning efter ibruktagandet av informationssystem. Att informationssystemet eller välbefinnandeapplikationen fungerar och används korrekt behöver följas upp även efter ibruktagandet. Enligt bestämmelsen ska producenten samt tillverkaren av en välbefinnandeapplikation aktivt genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Om uppföljningen visar att det har gjorts betydande avvikelser från uppfyllandet av de väsentliga kraven, ska avvikelserna meddelas till samtliga tjänstetillhandahållare som använder systemet. Samtidigt ska producenten ge anvisningar om de åtgärder som ska vidtas i fråga om avvikelserna. Betydande avvikelser i informationssystem och välbefinnandeappplikationer som hör till klass A ska anmälas till bedömningsorganet för informationssäkerhet och Tillstånds- och tillsynsverket för social- och hälsovården. Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att vid behov underrätta Folkpensionsanstalten och övriga myndigheter om de betydande avvikelser som verket har blivit informerad om. 
Producenten av en informationssystemtjänst ska även följa upp eventuella ändringar i fråga om de väsentliga kraven på informationssystemen och vid behov göra de justeringar och korrigeringar i sitt informationssystem som dessa ändringar förutsätter. Bestämmelsen om detta finns i 2 mom. Av informationssystem i klass A förutsätts det dessutom att de ändringar som producenten gör ska meddelas till bedömningsorganet för informationssäkerhet och till Folkpensionsanstalten. På basis av dessa meddelanden kan bedömningsorganet bedöma och vid behov också utreda huruvida de gjorda ändringarna har konsekvenser för informationssäkerheten. I samband med detta föreskrivs det också att det vid behov ska utfärdas ett nytt överensstämmelseintyg eller göras en ny interoperabilitetstestning, om de gjorda ändringarna är betydande eller om de väsentliga kraven på informationssäkerheten har ändrats på så sätt att det förutsätts ett nytt godkännande. Bedömningsorganet för informationssäkerhet ska också följa upp hur informationssystemet överensstämmer med kraven. 
På basis av 3 mom. ska producenten av en informationssystemtjänst i minst fem år efter att informationssystemet inte längre användas för produktion bevara de uppgifter som gäller överensstämmelsen med kraven och andra uppgifter som tillsynen kräver. Syftet med bevaringsskyldigheten är att säkerställa att det till exempel i eventuella situationer som i efterhand kräver utredning av dataskyddet fortfarande finns tillräcklig information om informationssystems överensstämmelse och de ändringar som har gjorts i dem. Bestämmelsen gäller alla informationssystem oberoende av deras klass. 
På basis av bemyndigandet i 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om vilka avvikelser som enligt lagen ska anses vara betydande och hur anmälningarna om dessa ska göras för användarna av informationssystemen, bedömningsorganet för informationssäkerhet, Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 
7 kap. Väsentliga krav på informationssystemen
32 §.Allmänna skyldigheter för producenter och tillverkare av en informationssystemtjänst. I paragrafen föreslås det bestämmelser om de allmänna skyldigheterna för producenter och tillverkare av informationssystemtjänster inom social- och hälsovården. En producent av ett informationssystem ska enligt 1 mom. alltid själv ansvara för planeringen och tillverkningen av ett informationssystem inom social- och hälsovården. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. Detta ansvar är inte beroende av huruvida producenten genomför dessa åtgärder själv eller anlitar underleverantörer eller andra instanser för dessa tjänster och åtgärder. Begreppet producent av informationssystemtjänst ska i detta sammanhang tolkas brett så att det även avser ett företag eller en person som samlar ihop en informationssystemhelhet av flera olika delar som tillhandahålls kunden. Producenten av en informationssystemtjänst ska också kunna verka för en utländsk tillverkares räkning i egenskap av den instans i Finland som ansvarar för uppfyllandet och verifieringen av kraven. 
Enligt 2 mom. är producenten av en informationssystemtjänst skyldig att beskriva informationssystemets åtkomständamål och att ge systemanvändarna sådana uppgifter och anvisningar om informationssystemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Dessa uppgifter som följer med informationssystemet får lämnas till tjänstetillhandahållaren på finska, svenska eller engelska. Även de anvisningar och andra uppgifter som är avsedda för social- och hälsovårdspersonal som använder ett informationssystem ska finnas på finska eller svenska. 
Utöver vad som anges ovan förutsätts det i 3 mom. att tillverkaren av ett informationssystem och av en välbefinnandeapplikation som hör till klass A ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets åtkomständamål förutsätter, till exempel så som föreskrivs i den förordning som upphäver rådets direktiv 93/42/EEG om medicintekniska produkter. Innan förordningen träder i kraft ska direktivet och den nationella lagstiftningen iakttas. Syftet med kvalitetssystemen är att säkerställa att det inte finns några sådana problem med eller brister hos produkten som beror på planeringen eller genomförandet. Ett ändamålsenligt kvalitetssystem som beaktar åtkomständamålet och beaktar kritiskt innehåll kan dessutom främja avhjälpandet av de brister som har upptäckts. 
33 §.Väsentliga krav på informationssystemen. Enligt 1 mom. ska ett informationssystem eller en välbefinnandeapplikation som används vid behandling av kunduppgifter uppfylla de väsentliga krav på funktionalitet, interoperabilitet, informationssäkerhet och dataskydd som ställs enligt systemets åtkomständamål. Kraven ska uppfyllas när informationssystemet används såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det. 
Enligt 2 mom. ska de informationssystem som tjänstetillhandahållaren använder i fråga om sitt åtkomständamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. De väsentliga kraven gör det möjligt att ställa både allmänna och tjänstespecifika minimikrav på informationshanteringen för de tjänstetillhandahållare som producerar olika typer av tjänster. De olika tjänsternas behov av informationshantering kan då tillgodoses på ett ändamålsenligt sätt eftersom informationssystemlösningarna motsvarar de enskilda tjänsternas behov. 
Enligt 3 mom. uppfyller informationssystemet de väsentliga kraven då när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet, dataskydd, interoperabilitet och funktionalitet och de bestämmelser och beslut som utfärdats med stöd av lagarna. Kraven ska uppfyllas såväl när informationssystemet används självständigt som när det används tillsammans med anslutningsbara informationssystem. Kraven på informationssäkerhet och dataskydd garanterar att uppgifterna registreras och bevaras oförändrade i alla de olika situationer där de används. Behandlingen och utlämnandet av uppgifterna ska dessutom ske så att sekretessbelagda uppgifter inte kan behandlas av någon annan än de personer som enligt lagstiftningen har rätt att göra detta. 
Med interoperabilitet avses informationssystemens förmåga att utbyta information och att använda sådan information. Enligt definitionen ska systemen också ha teknisk och datainnehållsmässig interoperabilitet med de andra informationssystemen inom social- och hälsovården, dvs. vara semantiskt interoperabla, om dessa använder samma uppgifter i sina egna processer. Tack vare datainnehållets interoperabilitet kan datainnehållet tolkas enhetligt i alla organisationer. 
Informationssäkerheten hänför sig delvis till den interoperabilitet som behandlas ovan, eftersom syftet med informationssäkerheten är att säkerställa uppgifternas integritet och oförvanskade form och dessutom deras tillgänglighet och användbarhet. Syftet med dataskyddet är att sörja för att konfidentiella och sekretessbelagda klient- och patientuppgifter behandlas endast inom lagstiftningens gränser. Uppgifter ska få behandlas endast av de personer som har rätt till det och användas endast då när det finns en lagenlig grund för användningen. 
Kraven på informationssystemens funktionalitet definierar vad informationssystemet gör och hur. Kraven på funktionaliteten innefattar bland annat hur informationssystemet ska kommunicera med dess miljö och hur användarna ska arbeta med informationssystemet. Dessutom innefattar denna funktionalitet informationssystemets användbarhet, dvs. hur lätt och konsekvent användningen av informationssystemet är. 
Ett system som kan anses fungera tillsammans med ett annat informationssystem ska vara interoperabelt med de andra informationssystem till vilka det ska anslutas. Interoperabiliteten är en förutsättning för att uppgifterna behandlas korrekt och kan överföras mellan informationssystemen. 
Av informationssystem inom social- och hälsovården förutsätts det också att kraven i fråga om funktionaliteten uppfylls. Med funktionalitet avses i detta sammanhang att informationssystemet är lämpligt för det åtkomständamål för vilket det marknadsförs. Det ska kunna realisera alla de funktioner som gäller åtkomständamålet och som förutsätts i lagarna och i de övriga bestämmelserna. Till exempel det informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt receptlagen. Även informationssystemets användbarhet är en del av funktionaliteten. Detta innebär att användarna av informationssystemet genom de anvisningar och den utbildning som de får ska kunna använda informationssystemet eller programmen på det sätt som tillverkaren har avsett och anvisat. Uppfyllandet av de väsentliga kraven ska i fråga om informationssystemen i klass A dessutom verifieras genom certifiering. Det är producenten av informationssystemtjänsten som ansvarar för verifieringen. 
I paragrafens 4 mom. föreskrivs det om normgivningsbemyndiganden. Enligt förslaget ska Institutet för hälsa och välfärd meddela närmare föreskrifter om innehållet i de väsentliga kraven. Föreskrifterna säkerställer att de program och informationssystem som används uppfyller lagarnas krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Vid beredningen av en föreskrift ska Institutet för hälsa och välfärd höra berörda intressentgrupper i enlighet med principerna om god förvaltningspraxis. I bestämmelsen krävs det dessutom uttryckligen att Institutet för hälsa och välfärd ska höra delegationen för elektronisk informationsadministration inom social- och hälsovården innan institutet meddelar en föreskrift. De väsentliga kraven och föreskrifterna om dem ska godkännas i god tid innan de krav som dessa innehåller träder i kraft. Tillverkarna av informationssystem ska dessutom reserveras en tillräcklig och skälig tid för uppfyllandet av kraven och visandet av överensstämmelsen med kraven. Dessutom får Folkpensionsanstalten meddela föreskrifter om förfarandena för att verifiera att de informationssystem som ska anslutas till Kanta-tjänsterna är interoperabla med Kanta-tjänsterna och de övriga informationssystem som är anslutna till dessa. I praktiken ska detta genomföras genom en gemensam testning av informationssystemen. 
34 §.Påvisande av överensstämmelse med kraven. I paragrafens 1 mom. föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst ska påvisa att systemet uppfyller de väsentliga kraven. Enligt 1 mom. ska påvisandet av att ett informationssystem i klass A överensstämmer med kraven basera sig på tre olika delområden. Dessa gäller funktionaliteten, interoperabiliteten, dataskyddet och informationssäkerheten. 
Kraven på funktionalitet ska påvisas genom att producenten lämnar en utredning om att informationssystemet uppfyller alla de krav som gäller funktionaliteten. Uppfyllandet av kraven på interoperabilitet ska påvisas genom en gemensam testning som organiseras av Folkpensionsanstalten. De närmare bestämmelserna om den gemensamma testningen finns i 35 § i lagförslaget. Uppfyllandet av informationssäkerheten och dataskyddet ska däremot visas genom att bedömningsorganet för informationssäkerhet beviljar ett överensstämmelseintyg på basis av en bedömning av informationssäkerheten. Bedömningen av informationssäkerheten görs i enlighet med lagen om bedömningsorgan för informationssäkerhet och de nya bestämmelser som föreslås i kunduppgiftslagen. Bestämmelserna om informationssäkerhet finns i 36 § i lagförslaget. 
I paragrafens 2 mom. föreslås det att överensstämmelsen med kraven i fråga om de informationssystem som hör till klass B ska kunna påvisas genom ett lättare förfarande än det som gäller informationssystemen i klass A. Ett informationssystem i klass B kan tas i bruk efter det att producenten av informationssystemet har gett en skriftlig utredning om att informationssystemet uppfyller de föreskrivna väsentliga kraven. Informationssystemet ska uppfylla de väsentliga krav som ställs enligt dess åtkomständamål, om det har installerats, underhållits och använts på behörigt sätt. En välbefinnandeapplikation i klass B ska uppfylla de förutsättningar för godkännande som Institutet för hälsa och välbefinnande har angivit med stöd av 4 mom. samt bli godkänd i den testning som Folkpensionsanstalten samordnar. 
Enligt 3 mom. ska producenten av en informationssystemtjänst ansvara för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem som hör till klass A eller B. Producenten av informationssystemtjänsten ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets åtkomständamål har genomförts i systemet. 
Enligt 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om de förfaranden som ska iakttas vid visande av överensstämmelse med kraven och om innehållet i utredningen. Det förfarande som ska iakttas vid påvisande av överensstämmelsen med kraven innefattar också hur producentens utredning ska delges användarna av informationssystemen och myndigheterna. Institutet för hälsa och välfärd får också meddela föreskrifter om förutsättningarna och förfarandena för godkännande av program som hänför sig till datalagret för egna uppgifter. 
Närmare föreskrifter än de som finns i lag behövs särskilt för de utredningar av visande av överensstämmelse med kraven som producenten ska ge för de informationssystem som hör till klass B. 
35 §.Interoperabilitetstestning. I 1 mom. föreskrivs det att informationssystem och välbefinnandeapplikationer i klass A ska vara interoperabla med de riksomfattande informationssystemtjänster och övriga informationssystem i klass A som förvaltas av Folkpensionsanstalten. Interoperabiliteten ska påvisas genom interoperabilitetstestning. Genom denna testning påvisas att ett nytt eller ändrat informationssystem är interoperabelt med de övriga informationssystem som är anslutna till de riksomfattande informationssystemtjänsterna. 
Interoperabiliteten ska påvisas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. En förutsättning för at få delta i testning är att producenten av informationssystemtjänsten redogör för hur informationssystemet uppfyller alla de krav som gäller informationssystemets funktionalitet. I redogörelsen måste också kunna påvisas att uppfyllandet av kraven på funktionalitet har konstaterats genom åtkomsttest. Tidpunkten för testningen och de praktiska arrangemangen ska fastslås tillsammans med den ansvariga Folkpensionsanstalten. 
I paragrafens 2 mom. föreskrivs det att alla de informationssystem i klass A som används för produktion ska genomgå interoperabilitetstestning även i fortsättningen. Syftet med testningen uppfylls inte om det nya informationssystemet endast testas i förhållande till de system som förvaltas av Folkpensionsanstalten. Därför är det viktigt att även de andra informationssystem som redan används i produktionen tas med i testningen. Eftersom informationssystemen utvecklas kontinuerligt, gagnar dessa interoperabilitetstestningar även de äldre system som är med i testningen. Alla informationssystem som används i produktionen behöver dock inte vara med i alla testningar, och därför ska Folkpensionsanstalten bestämma vilka informationssystem som ska tas med i respektive testning. De producenter av informationssystem som deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllandet av kraven på interoperabilitet när kraven har verifierats. 
I paragrafens 3 mom. föreskrivs det att de informationssystem som förvaltas av Folkpensionsanstalten inte behöver genomgå en separat gemensam testning som en del av visandet av uppfyllandet av de väsentliga kraven, med undantag för gränssnittet för professionellt bruk, som ska tas med i den gemensamma testningen. Interoperabiliteten hos de system som förvaltas av Folkpensionsanstalten visas vid de gemensamma testningar som utförs med de andra informationssystemen. 
36 §.Bedömning av informationssäkerhet. På basis av förslaget i 1 mom. kan bedömningsorganet för informationssäkerhet utföra uppgifter i anknytning till bedömningen av överensstämmelsen i fråga om de informationssystem och välbefinnandeapplikationer som hör till klass A och bevilja de överensstämmelseintyg som avses i 34 § i lagförslaget. Bedömningen skiljer sig från de övriga bedömningar av informationssäkerhet som görs enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011) eftersom man inom social- och hälsovården endast bedömer de informationssystem och välbefinnandeapplikationer som hör till klass A. Ändamålsenligheten i fråga om de verksamhetslokaler som innehas av en producent eller tillverkare av en informationssystemtjänst eller av en tillverkare eller användare av en välbefinnandeapplikation får dock varken bedömas eller inspekteras. Bedömningen av informationssystemet och det överensstämmelseintyg som baserar sig på den kan beviljas på ansökan av producenten av en informationssystemtjänst eller en tillverkare av en välbefinnadeapplikation. Bedömningen ska göras i enlighet med de väsentliga kraven på informationssystemets åtkomständamål eller omfattningen av de ändringar som gjorts i systemet. 
I paragrafens 2 mom. föreskrivs det om beviljandet av överensstämmelseintyg. Om ett sådant informationssystem eller en sådan välbefinnandeapplikation i klass A för vilken det till bedömningsorganet för informationssäkerhet på behörigt sätt har lämnats en ansökan uppfyller de väsentliga kraven, ska bedömningsorganet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett överensstämmelseintyg och en tillhörande kontrollrapport. Innan bedömningsorganet beviljar överensstämmelseintyget ska det dock få ett positivt yttrande av Folkpensionsanstalten om att informationssystemet uppfyller de krav på interoperabilitet som anslutningen till de riksomfattande informationssystemtjänsterna förutsätter. Detta positiva yttrande ska bygga på en utförd interoperabilitetstestning. Systemen har mycket olika åtkomständamål och bedömningen behövs både för de helheter som innehåller en stor mängd data och för de mindre system som är avsedda för särskilda behov. Omfattningen av bedömningen ska dock alltid motsvara systemets åtkomständamål. 
I paragrafens 3 mom. föreskrivs det att ett beviljat överensstämmelseintyg är i kraft högst fem år. Bedömningsorganet kan besluta att intyget ska vara i kraft en kortare tid, om det på grund av informationssystemets utvecklingsfas eller en planerad revidering av de väsentliga kraven eller andra motsvarande faktorer är uppenbart att informationssystemet inte kommer att uppfylla de väsentliga kraven i fem år utan betydande ändringar. Bedömningsorganet kan förlänga giltigheten för överensstämmelseintyget. Detta kan göras för högst fem år åt gången. När förlängningen av giltigheten för överensstämmelseintyget bedöms, kan bedömningsorganet kräva att tillverkaren ska lämna alla de uppgifter som förutsätts för bedömningen så att överensstämmelseintyget kan utfärdas och upprätthållas. 
Bedömningsorganet för informationssäkerhet ska vid behov göra bedömningar av informationssystemet och dess tillverkare. Utgångspunkten är att bedömningarna i första hand ska basera sig på de anmälningar om ändringar i informationssystemet som tillverkaren har gjort. Dessutom bör de konsekvenser som ändringar i bestämmelser, föreskrifter och anvisningar har för informationssystemet bedömas. Vid behov kan bedömningsorganet också kontrollera informationssystem och deras tillverkare för att säkerställa att tillverkaren tillämpar sådana förfaranden i dess utvecklingsarbete som garanterar att uppfyllandet av de väsentliga kraven på informationssäkerhet är kontinuerligt. Tillverkaren ska lämna en rapport om bedömningen på basis av kontrollerna.  
Utöver det som anges ovan ska på utfärdande av överensstämmelseintyg tillämpas de bestämmelser och förfaranden som finns i 9 § i lagen om bedömningsorgan för informationssäkerhet. 
37 §.Återkallelse av överensstämmelseintyg. I paragrafens 1 mom. föreskrivs det om de förutsättningar enligt vilka bedömningsorganet ska återkalla ett överensstämmelseintyg som det har beviljat för ett informationssystem eller en välbefinnandeapplikation i klass A. Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem eller en välbefinnandeapplikation inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i lag eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska bedömningsorganet uppmana producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen att avhjälpa bristerna. Det ska fastställas en tidsfrist för avhjälpandet av bristerna. När tiden fastställs ska bedömningsorganet beakta bristens betydelse och omfattning samt den tid som i allmänhet behövs för att avhjälpa bristen i fråga. 
I paragrafens 2 mom. föreskrivs det om de åtgärder som bedömningsorganet för informationssäkerhet vidtar om inte producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen avhjälper bristerna inom den tidsfrist som bedömningsorganet har angett. Om de konstaterade bristerna inte avhjälps inom den angivna tidsfristen, ska bedömningsorganet för informationssäkerhet återkalla intyget för en bestämd tid eller helt och hållet eller bevilja ett begränsat intyg. Begränsningen kan till exempel gälla intygets giltighetstid eller de uppgifter för vars behandling systemet får användas. När tidsfristens fastställs ska det beaktas att den tid som ges för att korrigera informationssystemet ska vara rimlig. 
Om bedömningsorganet för informationssäkerhet återkallar intyget för en bestämd tid eller helt och hållet eller beviljar ett begränsat intyg, ska behövliga anmälningar till Tillstånds- och tillsynsverket för social- och hälsovården göras. På det sättet verkställs rättsskyddet för producenten av informationstjänsten eller tillverkaren av välbefinnandeapplikationen i enlighet med 45 och 51 § i propositionen då Tillstånds- och tillsynsverket för social- och hälsovården fattar beslut. 
Bestämmelser om de skyldigheter och rättigheter som gäller för bedömningsorganet för informationssäkerhet finns i lagen om bedömningsorgan för informationssäkerhet (1405/2011). Den lagen hör till kommunikationsministeriets förvaltningsområde. 
38 §.Anmälningsskyldighet för bedömningsorgan för informationssäkerhet. I paragrafens 1 mom. föreskrivs det att bedömningsorganet för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla överensstämmelseintyg som har beviljats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 37 § ovan. 
I paragrafens 2 mom. föreskrivs det att bedömningsorganet dessutom ska lämna Tillstånds- och tillsynsverket för social- och hälsovården på dess begäran alla de ytterligare uppgifter om informationssystemen och välbefinnandeapplikationerna i klass A som behövs för tillsynen och för vilka bedömningsorganet har beviljat ett överensstämmelseintyg. 
8 kap. Styrning och tillsyn
39 §.Styrning, övervakning och uppföljning. I paragrafens 1 mom. föreskrivs det om att social- och hälsovårdsministeriet ansvarar för den allmänna strategiska planeringen och styrningen av de riksomfattande informationssystemtjänsterna samt för beslutsfattandet om totalfinansieringen av betydande informationsadministrationsprojekt. Ministeriets ansvar motsvarar då det ansvar som det även i övrigt har för den riksomfattande planeringen och styrningen av social- och hälsovården. Ministeriets allmänna behörighet inom styrningen innefattar även att sörja för informationssystemens interoperabilitet vid verkställandet av informationsadministrationen inom social- och hälsovården. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Befolkningsregistercentralen hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
Enligt 2 mom. ansvarar Institutet för hälsa och välfärd för planeringen och styrningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma datalager som hänför sig till olika förvaltningsområden. Dessutom ansvarar Institutet för hälsa och välfärd för uppföljningen av de uppgifter som hänför sig till dessa. 
Den operativa styrningen och styrningen av finansieringen som ska innefattas i behörigheten för Institutet för hälsa och välfärd ska genomföras i enlighet med det beslutsfattande som gäller finansieringen av social- och hälsovårdsministeriets strategiska styrning och tillsyn samt betydande informationsadministrationsprojekt. 
I paragrafens 3 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde ska styra och övervaka i enlighet med sin behörighet efterlevnaden av denna lag. 
I paragrafens 4 mom. föreskrivs det om tjänstetillhandahållarens rätt att vid behov utreda om dess personals användning och åtkomst till uppgifterna är ändamålsenligt. För uppföljningen och övervakningen av dataskyddet och informationssäkerheten har tjänstetillhandahållaren rätt att få logguppgifter för sina egna kundregister från Folkpensionsanstalten, logguppgifter i anslutning till behandlingen av uppgifter i en informationshanteringstjänst som avses i 11 § i lagförslaget samt logguppgifter för det datalager för egna uppgifter som avses i 12 § i lagförslaget, till den del som anställda hos tjänstetillhandahållaren har haft åtkomst till och behandlat uppgifter i kundens informationshanteringstjänst och i datalagret för egna uppgifter, om det behövs för att utreda om behandlingen av kunduppgifter är lagenlig. 
40 §.Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja överensstämmelsen med kraven i fråga om informationssystemen inom social- och hälsovården. Tillsynen enligt lagen kompletterar den övriga tillsyn över social- och hälsovården som utövas av Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket, vars syfte är att säkerställa att tjänstetillhandahållarna följer bestämmelserna. 
Bestämmelser om metoderna för genomförandet av tillsynen finns i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner i syfte att verkställa tillsynen. För genomförandet av inspektionerna har den som utför en inspektion rätt att få tillträde till alla lokaler där tillverkare och tjänstetillhandahållare eventuellt förvarar uppgifter som är viktiga för bedömningen av informationssystemens överensstämmelse med kraven. Detta kan gälla till exempel tillverkares verksamhetslokaler, arkiv och andra motsvarande utrymmen samt alla de lokaler som används av tjänstetillhandahållarna inom social- och hälsovården. Inspektionsrätten gäller dock inte sådana lokaler som används för permanent boende. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. 
Bestämmelser om utförandet av inspektioner finns i 3 mom. För att uppfylla syftet med inspektionen får den utföras utan förhandsanmälan. Den som utför inspektionen har rätt att få se alla de handlingar som behövs för att utföra inspektionen. Inspektören har också rätt att få kopior på de handlingar som denna anser behövs. Det får även tas bilder av de lokaler som inspekteras. 
På basis av 4 mom. ska det föras protokoll över inspektionen. Föremålet för inspektionen ska få en kopia av protokollet inom 30 dagar från det att inspektionen utfördes. På basis av kopian får den som utför inspektionen detaljerade uppgifter om inspektionen och de observationer som har gjorts vid den. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara det ursprungliga protokollet över inspektionen i 10 år från den dag inspektionen avslutades. 
41 §.Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem. I paragrafen föreskrivs det att en tjänstetillhandahållare som konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem ska underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, producenten eller tillverkaren av informationssystemtjänsten eller Folkpensionsanstalten underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Till exempel en tjänstetillhandahållare kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som denna har upptäckt. Även andra instanser eller aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. 
42 §.Rätt att få information. Enligt bestämmelsen har Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna rätt att för tillsynen över informationssystemen inom social- och hälsovården få all nödvändig information av statliga och kommunala myndigheter samt fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut om riksomfattande informationssystem som utfärdats med stöd av denna lag. Informationen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna. 
43 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Det finns många olika informationssystem inom social- och hälsovården, och produkterna i dem har många invecklade och olika egenskaper. Den inspekterande myndighetens experter kan inte behärska alla olika egenskaper hos informationssystemen. Tillsynen förutsätter dock alltid en experts bedömning och därför föreslås det i 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att från fall till fall använda utomstående experter som biträden vid bedömning av informationssystem. De utomstående experterna får delta i inspektioner enligt denna lag samt undersöka och testa informationssystem, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur. 
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. 
I paragrafens 2 mom. föreskrivs det om att utomstående experter ska omfattas av förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter enligt denna lag. 
I paragrafens 3 mom. föreskrivs det om sekretessen för experter. De utomstående experterna omfattas av samma sekretessbestämmelser som tjänstemännen när de behandlar känsliga klient- och patientuppgifter i sin uppgift. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen inom socialvården. Bestämmelser om sekretess för de uppgifter som ingår i journalhandlingarna finns i 13 § i patientlagen. Sekretessen gäller även efter att experten har slutfört uppgiften. I bestämmelsen föreskrivs också att utomstående experter omfattas av bestämmelserna om tjänstemannajäv. 
44 §. Föreläggande att fullgöra skyldigheter. I paragrafen föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att kräva att en producent eller tillverkare av en informationssystemtjänst, en tjänstetillhandahållare, en mellanhand eller en Folkpensionsanstalt som underlåtit att fullgöra sin skyldighet enligt denna lag som gäller informationssystemen eller användningen av dem ska uppfylla sin skyldighet enligt lagen. Bestämmelsen behövs för att tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att säkerställa efterlevnaden av lagen. En av tillsynsmyndighetens basuppgifter är att ingripa om lagens bestämmelser inte iakttas. Om myndighetens uppmaning inte följs, ska Tillstånds- och tillsynsverket för social- och hälsovården ha en möjlighet att ålägga den berörda att iaktta lagen inom en viss tid. Bestämmelsen omfattar alla de förpliktelser i lagen som gäller informationssystem eller användningen av dem. 
45 §.Skyldigheter avseende informationssystem som är i bruk. Om ett informationssystem inte uppfyller de väsentliga kraven, ska producenten eller tillverkaren i regel ta intitiativ för att vidta korrigerande åtgärder. Utöver detta har Tillstånds- och tillsynsverket för social- och hälsovården enligt 1 mom. i den föreslagna bestämmelsen en möjlighet att i samband med den i 40 § avsedda tillsynen och inspektionen av informationssystemen ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa de brister som gäller de informationssystem som används för produktion, om det finns skäl att misstänka att producenten eller tillverkaren inte annars vidtar de åtgärder som behövs för att korrigera informationssystemet. 
Enligt 2 mom. får Tillstånds- och tillsynsverket för social- och hälsovården förbjuda användningen av ett informationssystem, om det inte har korrigerats inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har angett och om systemet äventyrar klientsäkerheten eller patientsäkerheten. Förbudsrätten gäller även de situationer där sekretessen för de klientuppgifter och patientuppgifter som ska hemlighållas äventyras. Förbudet kan vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Folkpensionsanstalten kan dessutom stänga förbindelsen till de riksomfattande informationssystemtjänster som den förvaltar över, om det finns en risk för att ett system som är anslutet till dem eller en organisation som använder dem kan äventyra den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. I dessa situationer påminner Folkpensionsanstaltens verksamhet om faktisk förvaltningsverksamhet. I dessa eventuellt mycket brådskande och avvikande situationer fattar Folkpensionsanstalten dock inte förvaltningsbeslut. Ifall Folkpensionsanstalten stänger åtkomsten till sina riksomfattande informationssystemtjänster, ska Folkpensionsanstalten anmäla detta till tillsynsmyndigheten, dvs. till Tillstånds- och tillsynsverket för social- och hälsovården. Bestämmelser om detta finns även i en lag som har samband med genomförandet Europeiska unionens av direktiv om nät- och informationssäkerhet (RP 192/2017 rd). I den propositionen konstateras det att den gällande klientuppgiftslagen inte behöver ändras eftersom lagen uppfyller kraven i direktivet. Då föreslagna 2 mom. i denna paragraf inte ändrar bestämmelsen jämfört med den gällande klientuppgiftslagen överensstämmer även detta förslag med direktivet om informationssäkerhet. 
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården ålägga producenten av informationssystemet eller en av denne befullmäktigad representant att informera om förbud och förelägganden som gäller användningen av informationssystemet i produktion. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma hur informerandet ska ske och den tid inom vilken det ska informeras om saken. Syftet med förpliktelsen är att säkerställa att tjänstetillhandahållarna känner till bristerna i informationssystemen och begränsningarna i fråga om användningen. 
9 kap. Särskilda bestämmelser
46 §.Delegationen för elektronisk informationsadministration inom social- och hälsovården. Enligt paragrafen finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården, som ska sköta behandlingen av principfrågor som gäller elektronisk informationshantering inom social- och hälsovården, utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och förenhetligande och utveckling av tjänsteanvändarnas informationssystem. Syftet med delegationen är att trygga möjligheterna för användarna av riksomfattande tjänster att påverka i sådana frågor som är viktiga för dem vid genomförandet av de riksomfattande informationssystemtjänsterna. Närmare bestämmelser om delegationens uppgifter och sammansättning får utfärdas genom förordning av statsrådet. Genom förordning ska särskilt utfärdas bestämmelser om de uppgifter för delegationen som är av betydelse för de olika parterna, som till exempel om deltagandet i beredningen av bestämmelser, anvisningar och förelägganden i anknytning till genomförandet av informationssystem, främjandet av interoperabiliteten hos tjänsteanvändarnas informationssystem och av utvecklandet av dem samt uppföljningen av genomförandet av riksomfattande informationssystemtjänster och uppföljningen av ekonomi, andra resurser och användaravgifter. 
47 §.Avgifter. I paragrafens 1 mom. föreskrivs det att användningen av de riksomfattande informationssystemtjänster som sköts av Folkpensionsanstalten och Befolkningsregistercentralen och som avses i 6 § är avgiftsbelagd för tjänstetillhandahållarna. Avgifterna inom den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för Befolkningsregistercentralens prestationer anges i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. 
I paragrafens 2 mom. föreslås det att Folkpensionsanstalten och Befolkningsregistercentralen årligen ska lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för åtkomstavgifterna för det följande året. 
I paragrafens 3 mom. föreslås det att producenten av en informationssystemtjänst ska ansvara för de kostnader som orsakas av påvisandet av överensstämmelsen med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för den gemensamma testning som avses i 35 § till ett självkostnadsvärde enligt 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 29 § i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagt. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
48 §.Straffbestämmelser. I paragrafen föreskrivs det om att det för brott mot skyldigheterna enligt vissa bestämmelser i den föreslagna lagen ska dömas ut böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, Straff för gärningarna eller försummelserna förutsätter uppsåtlighet eller grov oaktsamhet. Genom straffbestämmelsen betonas att de personer som har åtkomst till kunduppgifter kan behandla uppgifterna endast när de har kundens samtycke till det eller någon annan uttrycklig rätt som baserar sig på lag. 
Straffbestämmelsen gäller bestämmelserna i lagens 2–5 kap. Dessa kapitel gäller behandling av kunduppgifter, utlämnande av patientuppgifter samt skötseln av de riksomfattande informationssystemtjänsterna. Brottsrubriceringen är förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården när uppgifter används och är tillgängliga i strid med de ovannämnda bestämmelserna. 
Den som uppsåtligen eller av grov oaktsamhet bryter mot identifieringsskyldigheten i 16 §, lämnar ut sökuppgifter i strid med 25 §, lämnar ut kunduppgifter utan kundens samtycke enligt 19–21 § eller utan att en bestämmelse i lag tillåter det eller försummar sin skyldighet att informera enligt 15 § och på så sätt äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter. 
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 9 § i det kapitlet. Till straff för brott mot sekretess döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag. 
49 §.Handräckning av polisen. I den föreslagna paragrafen föreskrivs det om polisens skyldighet att ge Valvira handräckning om det behövs för att utföra en inspektion. I praktiken torde handräckning behövas endast om den instans som ska inspekteras motsäger sig utförandet av inspektionen eller på något annat sätt försöker försvåra utförandet av inspektionen. 
50 §.Vite. Enligt förslaget kan skyldigheterna i lagen förenas med vite i enlighet med vad som föreskrivs i viteslagen (1113/1990). Dessutom föreslås det att Valvira får meddela föreläggande för den som beslutet avser, om Valviras beslut inte iakttas. Motsvarande bestämmelser finns i lagen om produkter och utrustning för hälso- och sjukvård. Vite och hot om tvångsutförande är sinsemellan alternativa regleringsmöjligheter. I praktiken är hotet om tvångsutförande främst ett teoretiskt alternativ därför att de utomstående aktörerna inte har möjlighet att korrigera eller ändra informationssystemet. 
51 §.Ändringssökande. I paragrafen föreskrivs om sökande av ändring i beslut som fattats av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av den föreslagna lagen. I regel söks enligt 1 mom. ändring hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). 
Enligt 2 mom. får ändring i ett beslut som har meddelats i samband med en inspektion inte sökas utan att det först begärs omprövning hos tillstånds- och tillsynsverket. I beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat på grund av en begäran om omprövning söks ändring hos förvaltningsdomstolen. Förfarandet motsvarar vad som föreskrivs till exempel i lagen om produkter och utrustning för hälso- och sjukvård och i läkemedelslagen (393/1987). 
I 49 § i förvaltningslagen (434/2003) föreskrivs det om begäran om omprövning och besvärsförbud. Enligt den paragrafen får omprövning begäras av den som ett beslut avser eller den vars rätt, skyldighet eller fördel direkt påverkas av beslutet. I 46 § i förvaltningslagen föreskrivs det bland annat om att det samtidigt med beslutet ska ges en anvisning om begäran om omprövning. Enligt 3 mom. ska de beslut som fattas av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av lagen ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. 
10 kap. Ikraftträdande- och övergångsbestämmelser
52 §.Ikraftträdande. Lagen föreslås träda i kraft den 1 mars 2019. 
Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården. 
53 §.Övergångsbestämmelser. Syftet med den nya kunduppgiftslag som föreslås är att förtydliga den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, men så att lagens bestämmelser i huvudsak baserar sig på den gällande lagen. Övergångsbestämmelserna garanterar bland annat att socialvården får tillräckligt tid för att ta i bruk de riksomfattande informationssystemtjänsterna. 
I paragrafens 1 mom. föreslås det att tjänstetillhandahållarna inom den offentliga socialvården ska ansluta sig till arkiveringstjänsten för kunduppgifter inom de riksomfattande informationssystemtjänsterna senast från och med den 1 januari 2023 och tjänstetillhandahållarna inom den privata socialvården senast från och med den 1 januari 2025. De privata tjänstetillhandahållare som producerar tjänster för en offentlig tjänstetillhandahållares räkning ska följa samma tidtabell för anslutningen som de offentliga tjänstetillhandahållarna. 
I paragrafens 2 mom. föreskrivs det om de rättigheter enligt 14 § som gäller användningen av kunduppgifter. Det föreslås att skyldigheten att datatekniskt säkerställa ett samband inom socialvården ska gälla senast från och med den 1 januari 2021 eller senast från det att klienthandlingar inom socialvården lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Till övriga delar ska paragrafen träda i kraft då lagen träder i kraft. 
I paragrafens 3 mom. föreslås det att den rätt som klienten eller patienten enligt 17 § i lagförslaget har att förbjuda utlämnande av sina kunduppgifter ska tillämpas senast då kundhandlingar ska lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Inom hälso- och sjukvården ska bestämmelsen tillämpas genast då lagen har trätt i kraft, eftersom det redan nu lämnas ut patientuppgifter. Inom socialvården är förbudsrätten bunden till ibruktagandet av funktionen för utlämnandet av klienthandlingarna inom socialvården. 
I paragrafens 4 mom. föreslås det att 18 § om meddelande av förbud ska tillämpas inom socialvården från och med den 1 januari 2021 eller i fråga om klienthandlingarna inom socialvården senast då sådana handlingar lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. 
I 5 mom. föreslås det att lagens 20 § ska tillämpas senast den 1 januari 2021. I den paragrafen föreskrivs det om utlämnande av klientuppgifter inom socialvården från de riksomfattande informationssystemtjänsterna. 
Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft. 
1.2
Lagen om ändring av lagen om klienthandlingar inom socialvården
2 §.Tillämpningsområde. I paragrafen föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 
3 §.Definitioner. Definitionen av klientuppgifter i paragrafens 6 punkt föreslås bli ändrad så att begreppet klientuppgifter även täcker de uppgifter som antecknas om dessa personer även om de inte skulle bli klienter hos socialvården. Alla personer omfattas av socialvårdsverksamheten oberoende av om de är klienter hos den. 
9 §.Basuppgifter som ska antecknas i en klienthandling. Paragrafen ändras så att det inte krävs att alla basuppgifter om klienten måste föras in i alla handlingar. I den gällande lagen föreskrivs det att alla handlingar måste innehålla alla basuppgifter, och detta strider mot den bestämmelse enligt vilken man endast behöver registrera de uppgifter som behövs och som är tillräckliga med tanke på tjänsten. Med till exempel utlåtanden får mottagaren av utlåtandet dessutom sådana uppgifter om klienten som inte borde lämnas ut. 
I den föreslagna paragrafens 1 mom. förtecknas de basuppgifter om klienten som alltid ska antecknas. Sådana klientuppgifter är till exempel klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet (2 punkten), serviceanordnarens, serviceproducentens och vid behov servicegivarens namn och identifikationskod (3 punkten), upprättarens eller antecknarens namn och tjänsteställning eller uppgift vid verksam-hetsenheten (4 punkten), tidpunkten för upprättandet eller registreringen (5 punkten) och eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare (6 punkten). 
I den föreslagna paragrafens 2 mom. förtecknas de basuppgifter som ska föras in utöver de basuppgifter som nämns i 1 mom. då när de anknyter till eller påverkar klientens service eller när de behövs eller påverkar vilka åtgärder som föreslås i handlingen. Dessa basuppgifter innefattar klientens modersmål och kontaktspråk, kontaktuppgifter och hemkommun (1 punkten). Om handlingen gäller en minderårig klient, namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten, samt uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden (2 punkten). Om uppgifterna påverkar klientens service eller de åtgärder som föreslås i handlingen ska i handlingen dessutom antecknas de namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en myndig klient, eller för en person som klienten har befullmäktigat (3 punkten) samt vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten (4 punkten). 
10 §.Anteckningar om att uppgifter har lämnats ut. Paragrafen föreslås bli ändrat så att det är möjligt att verifiera, dvs. påvisa, utlämnandet av uppgifter i efterhand. Enligt den gällande paragrafen krävs det att utlämnandet antecknas i handlingen. Då det gäller elektroniska handlingar kan verifieringen av utlämnandet av uppgifter ske till exempel i en logg för datumanteckningar eller genom att anteckna detta i handlingen. 
11 §.Anteckningar om att uppgifter har tagits emot. Paragrafen föreslås bli preciserat så att det blir klart att klienten inte särskilt behöver antecknas som källa då uppgifterna har fåtts av klienten själv. Då uppgifterna om klienten fås eller skaffas från någon annan instans ska däremot källan till uppgifterna antecknas. Enligt den gällande ordalydelsen ska dessutom erhållandet av uppgifterna antecknas i handlingen. Paragrafen föreslås bli ändrat så att verifieringen av erhållandet av uppgifter från elektroniska handlingar ska kunna ske till exempel i en logg för datumanteckningar eller genom att anteckna detta i handlingen. 
22 §.Registrering av uppgifter i personregistret för socialvården.Rubriken för paragrafen föreslås bli ändrad till registrering av uppgifter i ett personregister för socialvården. I paragrafen föreslås ett nytt 1 mom. som innehåller en bestämmelse om socialvårdsmyndigheters skyldighet att se till att handlingar registreras i de riksomfattande informationssystemtjänsterna och en hänvisning till 7 § i den föreslagna kunduppgiftslagen. 
Gällande 1 mom. föreslås bli ändrat så att de separata anmälnings- och kundregistren slopas och ersätts av en mall med ett enda personregister för socialvården. Dessutom föreslås det att även övriga kundhandlingar ska registreras i personregistret för socialvården. 
Gällande 2 och 3 mom. föreslås bli ändrade så att pluralformen personregistren ändras till personregister i singularis. 
23 §.Åtkomsträttigheter till klientuppgifter som registrerats elektroniskt. I paragrafens 1 mom. föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 
24 §. Den registeransvarige samt ansvarsfördelningen när någon handlar för en annans räkning. Det föreslås att paragrafen ska upphävas. I EU:s allmänna dataskyddsförordning föreskrivs det om den personuppgiftsansvariges ansvar som inte kan regleras nationellt. Bestämmelserna om ansvarsfördelningen när någon handlar för en annans räkning har preciserats så att de motsvarar EU:s allmänna dataskyddsförordning, och bestämmelserna föreslås bli flyttade till 5 § i den föreslagna kunduppgiftslagen. 
25 §.Behandlingen av klientuppgifter när någon agerar för en serviceanordnare. Det föreslås att 1 och 2 mom.upphävs. I dessa moment behandlas sådana uppdragsavtal som serviceanordnaren, serviceproducenten och servicegivaren ingår om behandlingen av personuppgifter. Om detta föreskrivs i EU:s dataskyddsförordning. Därför kan det inte regleras om dessa frågor på nationell nivå. 
26 §.Uppföljning av användning och utlämnande av klientuppgifter. I paragrafen föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 
27 §.Förvaring av klientuppgifter. Paragrafens 2 mom. föreslås bli preciserat så att alla handlingar inom socialvården ska registreras i den riksomfattande arkiveringstjänsten för socialvården i stället för den riksomfattande kundinformationsresursen för socialvården. I momentet stryks dessutom verifikationerna. Den riksomfattande arkiveringstjänsten har ingen sådan funktion där verifikationer kan förstöras permanent eller gallras bort. 
28 §.Ikraftträdande. I fråga om lagen om klienthandlingar ska 22 § 1 och 2 mom. tillämpas från den dag då organisationen har anslutit sig till det riksomfattande arkivet för klientuppgifter inom socialvården eller senast från den 1 januari 2023. 
I den paragrafen föreskrivs det om registrering av uppgifter i socialvårdens personregister, och i paragrafens 1 mom. finns en hänvisning till 7 § i den föreslagna kunduppgiftslagen. I den paragrafen i kunduppgiftslagen föreskrivs det om skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster. 
Bilaga. Bilagan i lagen om klienthandlingar föreslås bli ändrad så att serviceuppgift ersätts med Helheten av handlingar inom socialvården. 
1.3
Lagen om ändring av lagen om elektroniska recept
1 §.Lagens syfte. Eftersom receptarkivet upphör föreslås paragrafen bli ändrad så att även begreppet receptarkiv stryks i denna paragraf om lagens syfte. I paragrafen slopas också kravet om att kundens samtycke vid klarläggande av patientens samlade medicinering ska ges när en person som på grund av sitt yrke har rätt att behandla patientens uppgifter om medicinering. Den föreslagna kunduppgiftslagen innehåller en allmän bestämmelse om grunderna för behandling av patientuppgifter enligt vilken en yrkesutbildad person inom social- och hälsovården ska få behandla kunduppgifter då detta grundar sig på en kundrelation eller en rättighet enligt lag. Dessutom preciseras ordalydelsen så att det föreslås att läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. 
3 §. Definitioner. Paragrafens 4 punkt föreslås bli ändrad så att receptcentrets databas består av elektroniska recept som lagrats av läkemedelsförskrivarna och inte av recept som insänts av dem. Dessutom ändras definitionen så att det i databasen även ska föras in sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som anges i 23 §, uppgifter om förskrivning, utlämnande och uppföljning samt anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen. 
Paragrafens 5 punkt med en definition av begreppet receptarkiv upphävs. Samtidigt blir 6 punkten 5 punkt, 7 punkten 6 punkt, 8 punkten 7 punkt och 9 punkten 8 punkt. Med receptarkiv avses den databas till vilken uppgifterna i receptcentret överförs efter att den förvaringstid som anges i lagen löpt ut. De uppgifter som har överförts till receptarkivet har oftast använts vid myndighetstillsynen och för vetenskaplig forskning. Varken hälso- och sjukvården eller apoteken har haft tillgång till uppgifterna, och patienter har inte kunnat se uppgifterna via Omakanta-tjänsten. 
Eftersom receptcentrets och receptets åtkomständamål nästan helt motsvarar varandra i fortsättningen, är det ändamålsenligt att begreppet receptarkiv slopas helt och hållet så att det i fortsättningen endast finns ett register och ett receptcenter för lagring och förvaring av uppgifter. Även med tanke på patienterna och de yrkesutbildade personerna inom hälso- och sjukvården är det mera förståeligt om det endast finns ett register där det förvaras receptuppgifter. 
I paragrafen föreslås en ny 9 punkt med en definition av pro auctore-recept. Med detta avses ett skriftligt recept genom vilket en läkare, tandläkare, optiker eller munhygienist förskriver ett läkemedel som behövs i samband med hans eller hennes yrkesutövning. 
4 §.Information till patienten. Paragrafens 1 mom. föreslås bli ändrat så att det harmoniseras med EU:s allmänna dataskyddsförordning. Bestämmelser om det informerande som gäller behandling av personuppgifter finns i artiklarna 12–14 i EU:s allmänna dataskyddsförordning (EU) 2016/679. Denna paragraf innehåller bestämmelser även om annat informerande än det som gäller rättigheterna i fråga om behandling av personuppgifter. I paragrafen stryks villkoren för utlämnande av receptuppgifter, om skydd av uppgifterna samt om andra för patienten relevanta omständigheter i anslutning till behandlingen av uppgifterna
I 2 mom. stryks hänvisningen till personuppgiftslagen. Bestämmelser om skyldigheten att lämna ut uppgifter finns i artiklarna 12–14 i EU:s allmänna dataskyddsförordning (EU) 2016/679. 
5 §.Uppgörande av recept. I paragrafens 1 mom. föreslås undantag från den huvudregel enligt vilken ett recept ska göras upp elektroniskt. Sådana undantag är pro auctore-recept och de recept som gäller läkemedelsgaser som endast kan göras upp skriftligt. Pro auctore-recept förskrivs inte för en specifik patient eller person. De som levererar läkemedelsgaserna är inte apotek och har för närvarande ingen rätt att få åtkomst till uppgifterna i receptcentret. De recept som gäller sådana läkemedelspreparat som kräver patientspecifika specialtillstånd kan göras upp antingen skriftligen eller elektroniskt. Detta undantag gäller läkemedelsgaser och patientspecifika preparat som kräver specialtillstånd, som i nuläget inte kan göras upp elektroniskt. I paragrafen konstateras det att även dessa recept ska kunna göras upp elektroniskt om det är möjligt, med undantag för recept för läkemedelsgaser.  
6 §.Informationen i recept. I paragrafens 2 mom. föreslås det att recept dessutom får innehålla uppgifter som är relevanta för förskrivningen av läkemedlet och för genomförandet och uppföljningen av läkemedelsbehandlingen. Dessa uppgifter är nödvändiga bland annat vid utvärdering av helheten av läkemedelsbehandlingen. 
7 §.Signering av recept samt systemcertifikat. I den föreslagna paragrafen läggs systemcertifikat till i rubriken. Tillägget är av informativ natur med beaktande av paragrafens innehåll. 
Enligt 2 mom. ansvarar Befolkningsregistercentralen för certifikattjänsten i enlighet med 14 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården. Eftersom den lagen föreslås bli upphävd ska hänvisningen strykas och ersättas av en hänvisning till 6 § i nya kunduppgiftslagen.  
10 §.Rättelse, avslutande, makulering och förnyelse av recept. Paragrafrubriken föreslås bli ändrad så att även avslutande nämns i rubriken utöver rättelse, makulering och förnyelse. Den nya rubriken lyder Rättelse, avslutande, makulering och förnyelse av recept
I paragrafen föreslås ett nytt 4 mom. om att läkemedelsförskrivaren ska göra en anteckning i receptcentret om patienten ska sluta använda ett läkemedel som patienten har använt kontinuerligt. En sådan anteckning om avslutandet bör göras till exempel när läkemedlet inte längre behövs eller när det är fråga om att läkemedlet har haft skadliga biverkningar.  
I 5 mom. föreslås ett bemyndigande för social- och hälsovårdsministeriet att utfärda förordning om anteckningar som gäller avslutad användning av ett läkemedel.  
11 §.Apotekets rätt att få uppgifter. Det föreslås att ett nytt 3 mom. tas in i paragrafen. Enligt förslaget ska apotek ha rätt att få uppgifter om recept och receptexpedieringar som har lagrats i receptcentret för så lång tid som skötseln av apotekets uppgifter kräver, dock för högst 42 månader från det att receptet gjordes upp eller någon annan uppgift lagrades i receptcentret. Ändringen kan även motiveras med den ändring i förordningen om förskrivning av läkemedel som trädde i kraft den 1 januari 2017 (347/2015) genom vilken giltighetstiden för recept förlängdes från ett år till två år för alla andra recept än de som gäller narkotika- och HCI-läkemedel, vilket betyder att receptcentrets förvaringstid på 30 månader kan vara för kort med tanke på apotekets behov av att få uppgifter. Eftersom giltighetstiden för recept förlängs med 12 månader föreslås det att giltigheten för rätten att få uppgifter i förlängs i proportion till detta, dvs. till 42 månader. Ändringen är också nödvändig bland annat med tanke på apotekets direktersättning. 
12 §.Expediering av elektroniska recept. Paragrafens 2 mom. föreslås bli ändrat så att det i samband med samtycket inte längre nämns att det krävs ett muntligt samtycke vid sökning av uppgifter ur alla de recept som har lagrats för patienten i receptcentret. I momentet föreslås ett tillägg om den fullmakt som patienten eller dennes lagliga företrädare ska ge. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, kan en utredning med alla receptuppgifter ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta eller om den som avhämtar läkemedlet kan visa upp fullmaktsgivarens FPA-kort och patientanvisning. Bestämmelser om fullmakt finns i 2 kap. i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också genom en behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) eller genom ett medborgargränssnitt som avses i kunduppgiftslagen. 
Det föreslås också att 4 mom. ändras så att apoteket ska lagra ett recept och expedieringsuppgifter som hänför sig till det skriftligt eller per telefon även av andra orsaker än tekniska störningar, om receptet inte har lagrats i receptcentret. Den ändringen görs som en följd av ändringarna i 5 § 1 mom.  
13 §.Patientens rätt att bestämma om utlämnande av uppgifter. Det föreslås att 1 mom. ändras så att ändringarna i klientuppgiftslagen beaktas. I paragrafens 1 mom. stryks begreppet receptarkiv samt bestämmelsen om att patienten ska ge sitt skriftliga samtycke. Slopandet av samtycket motiveras ovan i motiveringen till ändringen i 11 § 2 mom. Uppgifter som hänför sig till recept får lämnas till tjänstetillhandahållare inom hälso- och sjukvården i enlighet med 19 § i kunduppgiftslagen. På motsvarande sätt får receptuppgifter lämnas ut till läkemedelsförskrivare och tillhandahållare av socialvårdstjänster i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. I momentet föreslås det också att uppgiften om en patients förbud ska lagras i den informationshanteringstjänst som avses i 11 § i den föreslagna kunduppgiftslagen. För att förbuden ska följas bättre ska förbudsmekanismen vara enhetlig och förbudet rikta sig till ett specifikt recept. 
I paragrafens 2 mom. ändras hänvisningarna till 1 mom., eftersom samtycket slopas i 1 mom. I paragrafen bevaras den rätt som en laglig företrädare, en nära anhörig eller en annan närstående person har att meddela förbud mot utlämnande av uppgifter. 
I paragrafens 3 mom. ändras hänvisningarna till 1 mom., eftersom samtycket slopas i 1 mom. I paragrafen bevaras däremot den rätt som en minderårig patients vårdnadshavare eller dennes lagliga företrädare har att meddela ett förbud för patientens räkning till exempel i de situationer där den yrkesutbildade personen inom social- och hälsovården inte har de åtkomsträttigheter som krävs för att behandla patientuppgifterna. Bestämmelser om rätten att använda kunduppgifter finns i 14 § i den föreslagna kunduppgiftslagen.  
I paragrafens 4 mom. föreslås en ny 5 punkt. Enligt den får till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om expedieringar utifrån dem. I och med ändringen blir gällande 5 punkten 6 punkt och gällande 6 punkten 7 punkt. 
Gällande 5 punkten i 4 mom. föreslås bli ändrat så att begreppet verksamhetsenhet ersätts med tillhandahållare. 
I paragrafens 4 mom. föreslås det en ny 8 punkt enligt vilken uppgifter om handlingar som verksamhetsenheten har lagrat i receptcentret och om expedieringar utifrån dem ska få lämnas ut för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling. 
I paragrafens 5 mom. föreslås det att social- och hälsovårdsministeriets bemyndigande att utfärda förordning i fråga om samtycke slopas, eftersom det enligt EU:s dataskyddsförordning inte kan föreskrivas på nationell nivå om detta. I fråga om detta medges inget nationellt handlingsutrymme. Dessutom ska det hänvisas till momentets 7 punkt i stället för 6 punkten. 
14 §.Förbudshandling. Det föreslås att paragrafrubriken ändras så att samtyckesdokument stryks. Paragrafens 1 mom. föreslås bli ändrat så att det motsvarar det förfarande för kundens förbudsrätt som det föreskrivs om i kunduppgiftslagens 18 §. Dessutom föreslås det att hänvisningen till 13 § 2 eller 3 mom., i vilka bestämmelsen om samtycke stryks. 
Den som tar emot ett förbud som en kund meddelar ska på begäran ge kunden en utskrift av förbudet. Av utskriften ska förbudets betydelse för behandlingen av kunduppgifter framgå. Utskriften ska innehålla i 4 § avsedda uppgifter om de specificerade elektroniska recept som förbudet gäller och om förbudets betydelse. Utskriften ska innehålla en utredning om att de uppgifter som omfattas av ett gällande förbud inte får utnyttjas när hälso- och sjukvård ges även om de är relevanta med tanke på vården, om inte förbudet återtas eller är förenat med en reservation för situationer som avses i 8 § i patientlagen. I den paragrafen i patientlagen är det fråga om situationer som kräver brådskande vård.  
Paragrafens 2 mom. föreslås bli ändrat så att Folkpensionsanstalten ska vara den som bestämmer sakinnehållet i utskriften. En patient som meddelar ett förbud via det gränssnitt som avses i 17 § ska få motsvarande information via gränssnittet.  
15 §.Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning. Eftersom receptarkivet upphör stryks begreppet receptarkiv i paragrafens 1 mom. och 3 - 5 mom. 
16 §.Patientens rätt till information. Eftersom receptarkivet upphör stryks begreppet receptarkiv i paragrafens 1 - 3 mom. Dessutom ersätts hänvisningarna till personuppgiftslagen med motsvarande bestämmelser i EU:s dataskyddsförordning. Logguppgifterna i paragrafens 3 mom. hör till de skyddsåtgärder som avses i dataskyddsförordningen. 
16 a §.Informationshanteringstjänsten. Det föreslås att paragrafrubriken ändras så att ordet patient stryks.Därmed motsvarar paragrafrubriken bestämmelserna i den föreslagna kunduppgiftslagen. I paragrafen föreslås en hänvisning till informationshanteringstjänsten i 11 § i den föreslagna kunduppgiftslagen. I informationshanteringstjänsten ska det lagras uppgifter om patientens samtycken och förbud. I paragrafen stryks dessutom begreppet receptarkiv, eftersom receptarkivet upphör. 
17 §.Medborgargränssnitt. Paragrafens 1 mom. föreslås bli ändrat så att begreppen receptarkiv och samtycke stryks. Till 1 mom. fogas dessutom en hänvisning till 22 § i den föreslagna kunduppgiftslagen som gäller skötsel av ett ärende för någon annans räkning. I framtiden är det enligt hänvisningsbestämmelsen möjligt att på basis av en fullmakt sköta ett ärende för någon annans räkning i e-tjänsterna. 
I paragrafens 1 mom. 2 punkt stryks hänvisningen till samtycket i 13 §. Hänvisningen är inte längre relevant på grund av de föreslagna ändringarna i 13 §. 
I paragrafens 3 mom. stryks hänvisningen till insynsrätten enligt personuppgiftslagen. I enlighet med EU:s dataskyddsförordning ska i stället för insynsrätt användas uttrycket rätt att ta del av uppgifter om honom eller henne själv. 
18 §. Receptcentrets personuppgiftsansvar. Paragrafrubriken föreslås bli ändrad så att den nya rubriken lyder receptcentrets personuppgiftsansvar. Den nya rubriken motsvarar bättre paragrafens sakinnehåll. I paragrafen föreslås ett nytt 1 mom., varvid det nuvarande 1 mom. blir nytt 2 mom. Receptcentret är enligt 1 mom. gemensamt register för Folkpensionsanstalten och apoteken samt verksamhetsenheter, självständiga yrkesutövare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Bestämmelser om gemensamma register finns i artikel 26 i dataskyddsförordningen. 
I gällande 1 mom. stryks begreppet receptarkiv, eftersom receptarkivet upphör. I momentet stryks dessutom Folkpensionsanstaltens personuppgiftsansvar, eftersom det föreskrivs om detta i nya 1 mom. Folkpensionsanstalten ansvarar för användbarheten och integriteten hos uppgifterna i receptcentret samt för att datainnehållet är oförändrat och att uppgifterna förvaras och utplånas. 
Gällande 2 mom. föreslås bli nya 3 mom. I momentet föreslås det att inte bara läkemedelsförskrivarna utan även verksamhetsenheter och självständiga verksamhetsutövare som gör upp elektroniska recept samt läkemedelsförskrivare som är självständiga yrkesutövare ska ansvara för att uppgifterna i det recept som lagras i receptcentret är korrekta. Tillägget behövs för att det ska vara klart att de instanser som läggs till i momentet ansvarar bland annat för uppgifternas korrekthet. 
I nya 4 mom. föreslås det att Folkpensionsanstalten ska svara för en personuppgiftsansvarigs andra skyldigheter enligt dataskyddsförordningen än de som genom denna lag påförs apoteken samt verksamhetsenheter, självständiga yrkesutövare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. I dataskyddsförordningen förtecknas de övriga förpliktelser som gäller för personuppgiftsansvariga och som inte regleras särskilt på nationell nivå. I momentet föreslås också att Folkpensionsanstalten ska vara den kontaktpunkt för registrerade som avses i artikel 26.1 i EU:s dataskyddsförordning. 
19 §.Förvaring av uppgifterna. I paragrafens 1 mom. föreslås det en ändring i fråga om förvaringen av de uppgifter som lagras i receptcentret. De handlingar med uppgifter som har lagrats i receptcentret ska förvaras i receptcentret i 12 år efter patientens död eller i 120 år efter patientens födelse i stället för de 30 månader som anges i den gällande lagen. Förslaget om en så lång förvaringstid baserar sig på att de uppgifter som hänför sig till den sammanlagda medicineringen samlas i ett datalager i receptcentret. De föreslagna ändringarna stämmer överens med tiderna för bevarandet av journalhandlingarna. 
Paragrafens 2 mom. stryks eftersom detta handlar endast om det receptarkiv som upphör. 
22 a §.Godkännande och ibruktagande av informationssystem och programvara. Paragrafen innehåller bestämmelser om godkännande och ibruktagande av de informationssystem och program som hänför sig till elektroniska recept samt hänvisningar till kunduppgiftslagen. Enligt den föreslagna paragrafen ska de informationssystem som används när elektroniska recept görs upp och expedieras och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen kontrolleras eller utvärderas innan de tas i bruk för att säkerställa sekretessen, informationssäkerheten och interoperabiliteten för patientuppgifter på det sätt som föreskrivs i 6 och 7 kap. i kunduppgiftslagen. Till paragrafen fogas omnämnanden av certifiering och interoperabilitet, så att bestämmelserna motsvarar kunduppgiftslagen. Läkemedelsdatabasen innehåller inga patientuppgifter, men trots detta ska även den genomgå interoperabilitetstestning. 
22 b §. Informationssäkerhetsplan. Rubriken egenkontroll föreslås bli ändrad till informationssäkerhetsplan. Även i paragrafens 1 mom. ersätts begreppet egenkontroll med begreppet informationssäkerhetsplan. Begreppet informationssäkerhetsplan används även i den föreslagna kunduppgiftslagen. Undantag i fråga om den egenkontrollplan som utarbetas av de som gör upp elektroniska recept ska anmälas enligt vad som föreskrivs i 19 h och 19 i § i den klientuppgiftslag som upphävs. Eftersom den lagen föreslås bli upphävd ska hänvisningen strykas och ersättas av en hänvisning till 26 och 27 § i nya kunduppgiftslagen. 
23 §.Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården. I paragrafens 1 mom. föreslås ett tillägg om att verksamhetsenheten för socialvård eller hälso- och sjukvård ansvarar för att de uppgifter om läkemedel som enheten lämnar ut till en patient är korrekta. Tillägget är av informativ natur och kompletterar 18 § 3 mom. i detta lagförslag. 
23 a §.Gränsöverskridande elektroniska recept. Paragrafens 1 mom. föreslås bli ändrat så att grunden för behandlingen harmoniseras med den grund för behandling som föreslås i kunduppgiftslagen. I paragrafens 1 mom. slopas patientens samtycke om att ett elektroniskt recept får lämnas ut till utlandet. 
Samtidigt slopas patientens samtycke även i paragrafens 3 mom. 2 punkten. EU:s dataskyddsarbetsgrupp WP 29 behandlade i dess brev till eHealth network den 11 april 2018 grunderna för behandling av uppgifter inom den gränsöverskridande hälso- och sjukvården. Enligt dataskyddsarbetsgruppen borde man inom EU inte få utfärda särskilda och ytterligare grunder för behandling utöver den allmänna grunden, eftersom de försvårar den gränsöverskridande hälso- och sjukvården (artikel 1.3 i dataskyddsförordningen). Som behandlingsgrund ska enligt dataskyddsarbetsgruppen kunna användas sådan nationell reglering som utfärdats på basis av direktivet om gränsöverskridande hälso- och sjukvård (som t.ex. denna 23 a §) och som kan anses basera sig även på artikel 9.2 (h) i EU:s dataskyddsförordning. Dataskyddsgruppen hänvisar i sitt brev även till skäl 53 i dataskyddsförordningen. Med beaktande av dataskyddsarbetsgruppens ställningstagande är det motiverat att i receptlagens 23 a § slopa det särskilda samtycke som gäller gränsöverskridande läkemedelsförskrivning. Behandlingsgrunden harmoniseras med den behandlingsgrund som föreslås i kunduppgiftslagen och receptlagen. Även i andra länder baserar sig grunderna för behandling av uppgifter på EU:s dataskyddsförordning. Dataskyddsgruppen erkänner dock också att medlemsländerna med grund i artikel 9.4 i dataskyddsförordningen kan tillämpa eller ta i bruk nya sådana ytterligare villkor som gäller behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Även samtycket skulle kunna vara ett sådant särskilt villkor, förutsatt att det inte försvårar personuppgifternas fria rörlighet enligt artikel 1.3 i förordningen. 
Patienten ska dock få information i enlighet med EU:s dataskyddsförordning. Dessutom ska det vara möjligt att följa upp vart uppgifterna har lämnats. 
24 §.Styrning, uppföljning och övervakning. I paragrafens 1 mom. ersätts hänvisningen till 14 § i gällande klientuppgiftslag med en hänvisning till 6 § i den nya kunduppgiftslagen. 
Det föreslås att paragrafens 4 mom. stryks. I momentet föreskrivs det om den personuppgiftsansvariges uppgifter på motsvarande sätt som i EU:s dataskyddsförordning. Den personuppgiftsansvariges uppgifter kan inte regleras på nationell nivå och det medges inget nationellt handlingsutrymme i fråga om den personuppgiftsansvariges uppgifter. 
I paragrafens 5 mom. föreslås en informativ hänvisning till artikel 37 i EU:s allmänna dataskyddsförordning. I den artikeln föreskrivs det om dataskyddsombud. Paragrafens 5 mom. blir 4 mom. 
25 §.Avgifter. I paragrafens 1 mom. stryks begreppet receptarkiv eftersom arkivet upphör. Hänvisningen i paragrafen ersätts av en hänvisning till 6 § i den nya kunduppgiftslagen. 
28 §. Övergångsbestämmelse. Till paragrafens 1 mom. fogas en övergångsbestämmelse i fråga om det samtycke för elektroniska recept som har varit en grund för behandling av uppgifter. Denna ändring träder i kraft den 1 januari 2021. Momentet upphävs till övriga delar. 
Paragrafens 2 och 3 mom. upphävs som onödiga. 
1.4
Lagen om ändring av 9 § i hälso- och sjukvårdslagen
9 §.Registret över patientuppgifter och behandling av patientuppgifter. Det föreslås att 9 § 4 mom. i hälso- och sjukvårdslagen ändras vad gäller hänvisningen till kunduppgiftslagen så att det i stället för 5 § hänvisas till x § i lagen. 
1.5
Lagen om ändring av 25 b § i barnskyddslagen
25 b §.Registrering av barnskyddsanmälningar i ett personregister för socialvården. Rubriken föreslås lyda Registrering av barnskyddsanmälningar i ett personregister för socialvården. Paragrafen ska motsvara ändringen i lagen om klienthandlingar inom socialvården samt den föreslagna kunduppgiftslagen. I och med den nya kunduppgiftslagen ansluts socialvården till de riksomfattande informationssystemtjänsterna, och därför är det inte längre ändamålsenligt att upprätthålla två olika register. Enligt den föreslagna kunduppgiftslagen ska alla klienthandlingar inom socialvården lagras i ett personregister för socialvården och de separata register som förs av olika organ slopas. 
Till exempel barnskyddsanmälan hör till de klienthandlingar inom barnskyddet som ska lagras i personregistret för socialvården. Enligt 26 § i barnskyddslagen anhängiggörs ett barnskyddsärende på ansökan eller när en socialarbetare eller någon annan yrkesutövare inom barnskyddet på något annat sätt får veta att ett barn eventuellt är i behov av barnskydd. Då inleds barnskyddsärendet genom att barnskyddsanmälan tas emot och handlingarna om ärendet bifogas både till serviceuppgiften inom barnskyddet och till det ärende som behandlas. 
Socialvårdsmyndigheten måste sörja för personens rättsskydd och dataskydd vad gäller anmälan. Endast den personal som behandlar anmälningar ska ha åtkomst till barnskyddsanmälan, om den person som är föremål för anmälan inte är en klient inom barnskyddet. Om barnskyddsanmälan leder till ett klientförhållande med barnskyddet ska den personal inom socialvården som tillhandahåller barnskyddstjänster få åtkomst till anmälan. Även åtkomsträttigheterna bestämmer åtkomsten till klienthandlingarna. Enligt 23 § 2 mom. i lagen om klienthandlingar inom socialvården har Institutet för hälsa och välfärd meddelat föreskrifter om de grunder på vilka personalen ska ha åtkomst till barnskyddsanmälningar och andra klienthandlingar inom socialvården. 
1.6
Lagen om ändring av 13 a § i lagen om patientens ställning och rättigheter
13 a §.Riksomfattande informationssystemtjänster. I paragrafen föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 
1.7
Lagen om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården
2 §. Uppgifter. I paragrafens 1 mom. 1 punkt föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 
2
Ikraftträdande
Lagen föreslås träda i kraft den 1 mars 2019. 
Genom lagen upphävs lagen om behandling av klientuppgifter inom social- och hälsovården (159/2007). 
3
Förhållande till grundlagen samt lagstiftningsordning
3.1
Förhållande till grundlagen och EU:s dataskyddsförordning
Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter (GrUU 28/2016 rd, s. 5). 
I artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggas skyddet för privatlivet och i artikel 8 tryggas skyddet av personuppgifter. Enligt artikel 8 i stadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. 
Grundlagens 10 § 1 mom. motsvarar det tidigare gällande 8 § 1 mom. i regeringsformen (969/1995). Skyddet för personuppgifter är individen grundläggande rättighet och dessutom hör skyddet för personuppgifter med stöd av 8 § 1 mom. i grundlagen till området för lag. 
Grundlagsutskottet har ansett att det med anledning av inledningen av tillämpningen av dataskyddsförordningen är motiverat att revidera sin tidigare ståndpunkt i fråga om regleringsobjekt som är viktiga med hänsyn till skyddet av personuppgifter. Grundlagsutskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i dataskyddsförordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att det i speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskrivs om behandlingen av personuppgifter (GrUU 14/2018 rd). 
EU:s dataskyddsförordning ger ramvillkoren för när behandlingen av personuppgifter kan regleras nationellt. Att på nationell nivå utfärda bestämmelser som preciserar den allmänna dataskyddsförordningen är möjligt då behandlingen av personuppgifter sker med stöd av artikel 6 (c) och 6 (e) i dataskyddsförordningen, enligt vilka behandlingen ska vara nödvändig för den personuppgiftsansvariges fullgörande av en lagstadgad skyldighet eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den nationella lagstiftningen kan i syfte att anpassa tillämpningen av bestämmelserna i förordningen innehålla mer detaljerade bestämmelser som noggrannare definierar behandlingen av uppgifter - och särskilda krav som gäller andra åtgärder. När särskilda kategorier av personuppgifter behandlas ska dessutom något av de villkor som anges i artikel 9.2 uppfyllas. Propositionen baserar sig på artikel 6 (c) i dataskyddsförordningen. 
Enligt dataskyddsförordningen ska den nationella lagstiftningen innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
Hälsouppgifterna är en sådan särskild kategori av personuppgifter som avses i artikel 9 i dataskyddsförordningen som enligt huvudregeln i artikel 9.1 inte får behandlas. Enligt artikel 2.1 ska förbudet mot behandlingen dock inte tillämpas om något av de villkor som anges i artikel 2.2 (a-j) uppfylls. På basis av detta får personuppgifter som hör till de särskilda kategorierna av personuppgifter behandlas bland annat med samtycke av den berörda personen. 
Grundlagsutskottet har konstaterat att uppgifter som beskriver någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit inte enligt artikel 9.1 i dataskyddsförordningen hör till de särskilda kategorierna av personuppgifter. Det är dock inte uteslutet att dessa uppgifter kan innehålla uppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Det kan då exempelvis gälla hälsotillståndet för en klient hos socialvården. Uppgifter om socialvårdstjänster ingår inte heller i de uppgifter som räknas upp i artikel 8.1 i personuppgiftsdirektivet, som genomförts genom personuppgiftslagen. Registrering av dessa uppgifter har dock nationellt ansetts innebära en större risk än normalt för medborgarnas privatliv och rättsskydd, och därför är det motiverat att betrakta dem som känsliga (GrUU 15/2018 rd, RP 96/1998 rd, s. 4/I). 
Grundlagsutskottet har särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (GrUU 15/2018 rd). Enligt artikel 6 c) i dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen av personuppgifter är enligt artikel 6 e laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se GrUU 14/2018 rd, s. 4). Utskottet menar att de nämnda leden i artikeln i regel inte kräver och inte ens möjliggör att det ska finnas en särskild lag för varje enskild behandling. Trots det utgör uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner eller andra motsvariga uppgifter sådana risker för och hot mot den enskildes grundläggande fri- och rättigheter, att det inom de ramar dataskyddsförordningen tillåter måste föreskrivas om behandling av uppgifterna med samma noggrannhet och exakthet som gäller också för behandlingen av andra känsliga uppgifter. 
I lagförslagen beaktas att socialvårdens och hälso- och sjukvårdens rättsliga grund för behandling av uppgifter skiljer sig från varandra. Den som är personuppgiftsansvarig för kunduppgifterna inom social- och hälsovården har en rättslig förpliktelse att ordna social- och hälsotjänster. De yrkesutbildade personerna inom social- och hälsovården har en lagstadgad uppgift och när de fullgör sin uppgift har de rätt att behandla endast nödvändiga klient- och patientuppgifter. Bestämmelserna om uppgifterna inom social- och hälsovården finns i speciallagstiftningen. Ovannämnda faktorer utgör den rättsliga grunden för behandlingen av personuppgifter enligt artikel 6.1 (c) i förordningen. 
Grundlagsutskottet har konstaterat att särskild hänsyn bör tas till att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 42/2016 rd, s. 2-3). Lagstiftarens handlingsutrymme vid utfärdandet av bestämmelser om behandling av personuppgifter begränsas i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med tanke på systemet med de grundläggande fri- och rättigheterna som helhet. Utskottet har särskilt bedömt att tillåtelse att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/I) varför till exempel bildandet av register som innehåller sådana uppgifter bör bedömas i förhållande till villkoren för inskränkningar av de grundläggande fri- och rättigheterna, i synnerhet med tanke på lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd s. 4-5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (GrUU 38/2016 rd. s. 3). 
Enligt artikel 9 i EU:s dataskyddsförordning ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska eller biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. 
I propositionens bestämmelser om den rätt som de yrkesutbildade personerna inom social- och hälsovården har att använda kunduppgifter beaktas den i dataskyddsförordningen avsedda särskilda art av uppgifterna inom social- och hälsovården samt sekretess som gäller uppgifterna. Behandlingen av kunduppgifter ska i regel basera sig på sådana åtkomsträttigheter för yrkesutbildade personer inom social- och hälsovården eller andra personer som behandlar kunduppgifter som ger åtkomst enbart till de klient- eller patientuppgifter som personen behöver i sin arbetsuppgift. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Likaså får klient- och patientuppgifter lämnas ut för annat åtkomständamål endast om det finns laglig grund eller kundens uttryckliga samtycke för detta. Hälso- och sjukvårdsuppgifter som används i kundarbete kan inte krypteras eller pseudonymiseras, eftersom tillförlitlig identifiering av en person och behandling av hans eller hennes identifierbara uppgifter är nödvändigt i arbetet och behandlingen av patientuppgifterna baserar sig på lagstiftningen. 
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter (GrUU 15/2018 rd). Enligt grundlagsutskottet kan allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter vara förknippade med omfattande databaser, som i sista hand kan utgöra hot mot en persons identitet (GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Också i skäl 51 i ingressen i EU:s allmänna dataskyddsförordning betonas att de särskilda personuppgifter som avses i artikel 9 som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har av denna orsak särskilt påpekat att det bör finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd s. 5). När känsliga personuppgifter behandlas ska dessa åtnjuta särskilt skydd enligt EU:s dataskyddsförordning. Enligt artikel 25 i dataskyddsförordningen ska man beakta både den nyaste tekniken och genomförandekostnaderna. Dessutom måste hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål, samt de risker för fysiska personers rättigheter och friheter som behandlingen föranleder. Utifrån dessa omständigheter ska den personuppgiftsansvariga vid fastställandet av behandlingssätten och vid behandlingen av uppgifter iaktta dataskyddsprinciperna. Som dataskyddsprinciper nämns i förordningen exempelvis uppgiftsminimering samt lämpliga tekniska och organisatoriska åtgärder. Genom dessa tekniska och organisatoriska åtgärder säkerställs det att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Antalet personuppgifter, behandlingens omfattning, förvaringstiden och tillgängligheten ska bedömas i förhållande till personuppgifternas nödvändighet. Som standard ska inte heller Ett obegränsat antal personer få tillgång till uppgifter. Till sist nämns det att en godkänd certifieringsmekanism kan användas som ett element för att visa att de krav som nämns i detta stycke iakttas. 
Skyddsåtgärderna enligt EU:s dataskyddsförordning beaktas i propositionen. Syftet med de tekniska och organisatoriska åtgärder som ingår i lagförslagen är att hindra missbruk och lagstridig åtkomst till klient- och patientuppgifter. Sådana tekniska och organisatoriska åtgärder är bland annat administration av åtkomsträttigheter, tekniskt säkerställande av samband eller vårdrelation, utbildning för personal samt tillförlitlig identifiering av fysiska personer, organisationer och datatekniska enheter Samtidigt säkerställs det att ett obegränsat antal personer inte kommer åt uppgifterna, att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas och att principen om uppgiftsminimering enligt dataskyddsförordningen iakttas. 
För att den registrerades rättigheter ska tryggas ska kunden enligt den föreslagna kunduppgiftslagen informeras om att uppgifterna behandlas i riksomfattande informationssystemtjänster. Kunden har rätt att förbjuda att en personuppgiftsansvarig lämnar ut de uppgifter som han eller hon särskilt har specificerat till en annan personuppgiftsansvarig. Insamling av åtkomst- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk. På det sättet säkerställs att den registrerades rättigheter respekteras. 
För att minimera riskerna måste man enligt dataskyddsförordningen följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för genomförandet av den nyaste tekniken. Enligt den föreslagna kunduppgiftslagen måste datastrukturerna för informationssystemen och kundhandlingarna möjliggöra skydd av uppgifterna. Enligt propositionen ska informationssystemen vara certifierade. Propositionen innehåller bestämmelser om en informationssäkerhetsplan, genomförande av egenkontroll i fråga om informationssäkerheten, registrering av informationssystem inom social- och hälsovården, uppföljningen av informationssystem efter deras ibruktagande samt om de krav som ska ställas på informationssystemen och som bland annat gäller bedömningen av informationssäkerheten. Dessutom innehåller propositionen bestämmelser om tillsyn över och inspektioner av informationssystem inom social- och hälsovården. 
Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretess med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få uppgifter och möjlighet att lämna ut uppgifter har till exempel gällt ”behövliga uppgifter” för ett visst ändamål, när avsikten har varit att i lagen ge en uttömmande förteckning över datainnehållet. Om datainnehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2-3). Vid utskottets bedömningar av exaktheten och innehållet i lagstiftningen har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). 
Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter inte bara är fråga om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen (GrUU 15/2018 rd). Ju mer generella bestämmelserna om rätt till information är, desto större är risken att intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till materiella villkor, desto mer sannolikt är det att enskilda begäranden om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 17/2016 rd, s. 6). 
Då grundlagsutskottet har bedömt de patientuppgiftsregister som det föreskrivs om i hälso- och sjukvårdslagen har den understrukit att då det är fråga om ett register som innehåller känsliga uppgifter är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas (GrUU 41/2010 rd, s. 3/II). 
Grundlagsutskottet har i sitt utlåtande (GrUU 41/2010 rd, s. 3) om den regeringsproposition genom vilken hälso- och sjukvårdslagen stiftades (RP 90/2010 rd) tagit ställning till det gemensamma register för patientuppgifter som avses i 9 § i hälso- och sjukvårdslagen. Mellan de personuppgiftsansvariga som hör till det gemensamma patientuppgiftsregister som omfattar området för en samkommun för ett sjukvårdsdistrikt får det utan patientens särskilda samtycke lämnas ut sådana uppgifter om hälsotillstånd som patientens vård förutsätter. Patienten har dock rätt att förbjuda att uppgifter lämnas ut mellan personuppgiftsansvariga. I utlåtandet konstaterade utskottet att patientens rätt att förbjuda användning av hans eller hennes uppgifter och den skyldighet att redogöra för patienten om denna möjlighet ger tillräckliga garantier för att patientens självbestämmanderätt tillgodoses. Grundlagsutskottet ansåg inte att den föreslagna regleringen är problematisk med tanke på grundlagen. Utskottet konstaterade också att arrangemangen för informationssäkerheten fungerar och införs samtidigt som systemet börjar användas. 
Grundlagsutskottet har dessutom lyft fram kravet på ändamålsbegränsning, framför allt i fråga om behandling av känsliga uppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för (GrUU 14/2009 rd, s. 4/II). I så fall kan bara exakt avgränsade och mycket små undantag göras från ändamålsbundenheten. Bestämmelserna har inte fått leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga eller ens ett viktigt ändamål (se även t.ex. GrUU 14/2017 rd, s. 5-6). 
Enligt propositionen avgränsas behandlingen så att de uppgifter om kunden som är känsliga får behandlas av en yrkesutbildad person inom social- och hälsovården endast om kunduppgifterna är nödvändiga för arbetet. Detta får stöd av den gällande speciallagstiftning som gäller utlämnande och behandling av klient- och patientuppgifter inom social- och hälsovården samt av de skyddsåtgärder som ingår i propositionen. I fråga om de riksomfattande informationssystemtjänsterna är propositionens tekniska och organisatoriska skyddsåtgärder för behandling av kunduppgifter inom social- och hälsovården tillräckliga för att skydda personuppgifter mot obehörig åtkomst och mot att de oavsiktligt eller lagstridigt utplånas, ändras, utlämnas, överförs eller behandlas lagstridigt på något annat sätt. Den registrerades rättigheter tillgodoses i propositionen genom att kunden själv administrerar över sina egna uppgifter om välbefinnande och kan förbjuda att hans eller hennes kunduppgifter lämnas ut mellan personuppgiftsansvariga. Lagarna innehåller inga sådana bestämmelser som gör det möjligt att lämna ut uppgifter till utomstående utan kundens samtycke eller en gällande laglig grund. 
I 43 § i propositionen föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att anlita utomstående experter. Det finns många olika informationssystem inom social- och hälsovården, och produkterna i dem har många invecklade och olika egenskaper. Därför bör den myndighet som utövar tillsyn använda experter som behärskar alla olika egenskaper hos informationssystemen och kan bedöma dem. De utomstående experterna får delta i inspektioner enligt denna lag samt undersöka och testa informationssystem, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur.  
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. 
Det föreslås också att utomstående experter ska omfattas av förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter enligt denna lag. 
De utomstående experterna omfattas av samma sekretessbestämmelser som tjänstemännen när de behandlar känsliga klient- och patientuppgifter i sin uppgift. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen inom socialvården. Bestämmelser om sekretess för de uppgifter som ingår i journalhandlingarna finns i 13 § i patientlagen. Sekretessen gäller även efter att experten har slutfört uppgiften. I bestämmelsen föreskrivs också att utomstående experter omfattas av bestämmelserna om tjänstemannajäv. 
Med grund i det som framförs ovan kan det konstateras att 43 § i propositionen inte står i strid med 10 § i grundlagen. 
Med grund i det som framförs ovan kan de föreslagna bestämmelserna anses trygga kundens skydd för privatlivet och uppfylla de krav som gäller skyddet för personuppgifter på det sätt som grundlagen och dataskyddsförordningen förutsätter. 
3.2
Bemyndiganden att meddela föreskrifter
I 80 § i grundlagen föreskrivs om utfärdande av förordningar och delegering av lagstiftningsbehörighet. Enligt 1 mom. ska genom lag utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag. 
Enligt 80 § 2 mom. i grundlagen kan andra myndigheter än statsrådet eller ett ministerium genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat. Av grundlagen följer dessutom att de frågor som ett bemyndigande omfattar ska fastställas noggrant i lag. 
Lagen ska ge svar på de grundläggande frågorna, av lagen ska tydligt framgå vad det ska meddelas föreskrifter om och bemyndigandenas tillämpningsområde ska vara exakt avgränsat. Exempelvis i grundlagsutskottets utlåtande GrUU 10/2014 rd betonas kraven på exakthet och noggrann avgränsning. 
Det bemyndigande för social- och hälsovårdsministeriet att utfärda förordning som ingår i propositionen kan gälla uppdelningen och omfattningen av de handlingar som ska lagras i den riksomfattande arkiveringstjänsten, särskilt skydd för handlingar, centrala uppgifter som ska visas via informationshanteringstjänsten, tekniska metoder för identifiering och verifiering, åtkomsträttigheter, logguppgifter, minimitider för bevarande av uppgifter samt avgifter för användningen av riksomfattande informationssystemtjänsterna. Statsrådets bemyndigande att utfärda förordning gäller delegationen för informationsförvaltningen. 
I propositionen ges även Institutet för hälsa och välfärd bestämmanderätt i fråga om många bestämmelser på lägre nivå. Bemyndigandet att utfärda normer har angivits så noggrant och exakt som möjligt. Meddelandet av föreskrifter anknyter till de tekniska frågorna vid genomförandet av de riksomfattande informationssystemtjänsterna. Behovet av reglering är således detaljerat och av teknisk karaktär. 
Lagförslagens bemyndiganden strider inte mot grundlagen. 
Med stöd av vad som anförts ovan är bemyndigandena i lagförslagen inte i strid med grundlagens 80 §. 
På dessa grunder anser regeringen att propositionen är förenlig med grundlagen och att de föreslagna lagarna kan behandlas i vanlig lagstiftningsordning. 
Enligt social- och hälsovårdsministeriet finns det skäl för att begära utlåtande av grundlagsutskottet om lagförslaget. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag  
om elektronisk behandling av kunduppgifter inom social- och hälsovården 
I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Syftet med denna lag är att främja och möjliggöra en informationssäker behandling av kunduppgifter som produceras inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande, för ändamål i anslutning till vård och socialtjänster. Ett syfte med lagen är också att främja kundens möjligheter att få information om behandlingen av de egna kunduppgifterna.  
2 § 
Tillämpningsområde 
Denna lag innehåller bestämmelser om elektronisk behandling av kunduppgifter inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande, när uppgifterna behandlas i anslutning till ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande i syfte att främja medborgarnas eget välbefinnande.  
3 § 
Definitioner 
I denna lag avses med 
1) kund en sådan klient inom socialvården som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, 
2) kundhandling en sådan klienthandling inom socialvården som avses i klientlagen och lagen om klienthandlingar inom socialvården (254/2015), nedan klienthandlingslagen, och en journalhandling som avses i patientlagen,  
3) kunduppgift en personuppgift som avses i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och gäller en patient och som ingår i en i patientlagen avsedd journalhandling inom hälso- och sjukvården samt en personuppgift som gäller en klient inom socialvården och ingår i en i klientlagen eller klienthandlingslagen avsedd klienthandling inom socialvården, 
4) servicehändelse en kundkontakt, ett kundbesök eller en vårdperiod inom hälso- och sjukvården, 
5) serviceuppgift en serviceuppgift som avses i 3 § 4 punkten i klienthandlingslagen, 
6) informationssystem en programvara eller ett system eller delsystem som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kunduppgifter och för registrering och uppdatering av kundhandlingar eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- hälsovården kan använda uppgifter om välbefinnande,  
7) informationssystemets miljö den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsotjänster och behandlingen av kunduppgifter,  
8) tjänstetillhandahållare en anordnare eller producent av social- och hälsotjänster, 
9) serviceanordnare en tjänstetillhandahållare som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som han eller hon har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att kunden får sådana tjänster som han eller hon har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna,
 
10) tjänsteproducent en tjänstetillhandahållare som
a) i egenskap av serviceanordnare själv producerar social- eller hälsotjänster, eller
b) för en serviceanordnares räkning producerar social- eller hälsotjänster,
 
11) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar eller myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av informationssystemens överensstämmelse med kraven, 
12) informationssystems interoperabilitet två eller flera informationssystems förmåga att utbyta information och att använda sådan information, 
13) uppgifter om välbefinnande uppgifter om en persons hälsa och välbefinnande som inte ingår i kunduppgifterna och som personen har fört in i det i 14 punkten avsedda datalagret för egna uppgifter,  
14) datalager för egna uppgifter ett inom de riksomfattande informationssystemtjänsterna upprättat centraliserat elektroniskt datalager för bevarande och behandling av uppgifter om välbefinnande, 
15) välbefinnandeapplikation ett sådant program i anslutning till datalagret för egna uppgifter eller till andra riksomfattande informationssystemtjänster som den enskilde använder och med vilket uppgifter om välbefinnande eller, med personens samtycke, kunduppgifter behandlas, 
16) arkiveringstjänst ett datalager där kunduppgifter och andra för social- och hälsovården behövliga uppgifter bevaras och med vars hjälp sådana uppgifter kan användas, och som godkända informationssystem kan anslutas till, 
17) informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken handlingar som gäller information, samtycke och förbud samt andra viljeyttringar förvaltas och sammandrag av kunduppgifter produceras, 
18) producent av en informationssystemtjänst den som för en tjänstetillhandahållare tillhandahåller eller utför en informationssystemtjänst där kunduppgifter eller uppgifter om välbefinnande behandlas och som i egenskap av tillverkare av informationssystemet, för tillverkarens räkning eller för en eller flera tillverkares del ansvarar för de krav som ställs på informationssystemet,  
19) tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården, 
20) mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster, genomförandet av informationssystemens tekniska eller fysiska miljö eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll har en möjlighet att se okrypterade kunduppgifter, exempelvis i samband med underhåll, och 
21) certifiering ett förfarande för att verifiera att ett informationssystem uppfyller de väsentliga krav som ställs på det för att det ska få användas för produktion.  
2 kap.  
Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster  
4 § 
Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna 
Folkpensionsanstalten är personuppgiftsansvarig i fråga om den informationshanteringstjänst, det i 12 § avsedda datalager för egna uppgifter, den förvaringstjänst för logguppgifterna i utlämningsloggregistret och de användningsloggar i anslutning till dess egen verksamhet vilka ingår i de riksomfattande informationssystemtjänsterna.  
Varje tillhandahållare av social- och hälsotjänster är personuppgiftsansvarig i fråga om de användningsloggar som uppkommer i dess verksamhet.  
Varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården. Folkpensionsanstalten ansvarar för de skyldigheter som en personuppgiftsansvarig har enligt 6 och 13 §. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen.  
Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är en yrkesutbildad person inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är kontaktpunkt för användningsloggarna för gränssnittet. 
Bestämmelser om receptcentrets personuppgiftsansvar finns i 18 § i lagen om elektroniska recept (61/2007). 
5 § 
Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning 
När en tjänsteproducent tillhandahåller social- och hälsotjänster för en serviceanordnares räkning, ansvarar tjänsteproducenten  
1) för införande och registrering av kunduppgifter för serviceanordnarens räkning, 
2) för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen, 
3) för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen, 
4) för att kundhandlingarna i original lämnas till serviceanordnaren utan dröjsmål, och 
5) tillsammans med serviceanordnaren för att kundens rättigheter enligt dataskyddsförordningen och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, tillgodoses.  
Serviceanordnaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och fördelningen av de i 1 mom. 5 punkten avsedda uppgifterna samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor. 
3 kap.  
Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården  
6 §  
De riksomfattande informationssystemtjänsterna inom social- och hälsovården 
För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster: 
1) en riksomfattande arkiveringstjänst för kunduppgifter,  
2) en förvaringstjänst för loggregister, 
3) ett gränssnitt för professionell behandling av elektroniska recept,  
4) ett medborgargränssnitt, 
5) ett datalager för egna uppgifter, 
6) en informationshanteringstjänst,  
7) ett receptcenter,  
8) en läkemedelsdatabas, och 
9) en förfrågnings- och förmedlingstjänst. 
Dessutom förutsätter utförandet av de riksomfattande informationssystemtjänsterna följande riksomfattande tjänster: 
1) en kodtjänst, och 
2) en roll- och attributtjänst. 
Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta den roll- och attributtjänst och de kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Befolkningsregistercentralen för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ansvarar för innehållet i kodtjänsten. 
Befolkningsregistercentralen är i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) avsedd certifikatutfärdare för yrkesutbildade personer och annan personal inom social- och hälsovården, tjänstetillhandahållare och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Befolkningsregistercentralen har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården, ur det centralregister över yrkesutbildade personer inom social- och hälsovården som verket förvaltar, få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat och som kan lämnas ut med hjälp av en informationssäker teknisk anslutning. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Befolkningsregistercentralen få information om de certifikat som centralen utfärdat på de grunder som anges i denna paragraf. Informationen kan lämnas ut med hjälp av en teknisk anslutning. 
7 §  
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna 
Tjänstetillhandahållare ska ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 6 § 1 mom. 1, 6 och 7 punkten.  
Privata tillhandahållare av social- och hälsotjänster ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av klient- och patientuppgifter.  
Tillhandahållare av offentliga social-, hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. Bestämmelser om denna anslutning ska dock utfärdas särskilt på det sätt som föreskrivs i 32 § i självstyrelselagen för Åland (1144/1991). 
8 § 
Handlingar som ska sparas i den riksomfattande arkiveringstjänsten 
Av en elektronisk kundhandling får det i den riksomfattande arkiveringstjänsten finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning kan det av originalet göras ett extra exemplar av vilket det ska framgå att det inte är originalet. 
Efter anslutningen till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten. Kundhandlingar som uppkommit före anslutningen kan sparas i den riksomfattande arkiveringstjänsten. I arkiveringstjänsten kan det utöver kundhandlingar även sparas andra handlingar som hänför sig till ordnandet av social- och hälsovården och till informationshanteringen.  
Bestämmelser om när och i vilken omfattning originalhandlingar som avses i 1 mom. senast ska sparas i den riksomfattande arkiveringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet.  
9 §  
Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna 
Informationssystemens och kundhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, bevarande och skydd av elektroniska kundhandlingar och kunduppgifter med hjälp av de riksomfattande informationssystemtjänster som avses i 7 §.  
En tjänstetillhandahållare ska klassificera de kundhandlingar och kunduppgifter som kräver särskilt skydd som sådana kunduppgifter som ska skyddas genom separat begäran om bekräftelse. 
Bestämmelser om vilka kundhandlingar som ska klassificeras som sådana som kräver särskilt skydd får utfärdas genom förordning av social- och hälsovårdsministeriet.  
Institutet för hälsa och välfärd meddelar föreskrifter om de väsentliga krav som ställs på informationssystemen för att de riksomfattande informationssystemtjänsterna ska kunna utföras, och bestämmer kundhandlingarnas datainnehåll och datastrukturer samt de kodsystem som i hela landet ska användas i datastrukturerna.  
10 §  
Elektronisk underskrift av handlingar  
Handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift när uppgifter behandlas, överförs och bevaras elektroniskt.  
Vid elektronisk underskrift som görs av en fysisk person ska det användas en sådan avancerad elektronisk underskrift som avses i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Bestämmelser om elektronisk underskrift finns även i lagen om stark autentisering och betrodda elektroniska tjänster. Vid underskrifter som görs av organisationer och datatekniska enheter ska det användas en elektronisk underskrift med motsvarande tillförlitlighet.  
11 §  
Informationshanteringstjänsten 
Informationshanteringstjänsten sammanställer sådana patient- eller klientuppgifter som är viktiga för genomförandet av social- och hälsovården och som tjänstetillhandahållaren kan använda när social- eller hälsovård ordnas eller produceras för kunden.  
I informationshanteringstjänsten ska det föras in uppgifter om  
1) information som en kund har fått,  
2) förbud som en kund har meddelat i fråga om sina kunduppgifter, 
3) en kunds övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster, och 
4) samtycke som en kund har gett i fråga om sina kunduppgifter. 
Bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. 
12 §  
Datalagret för egna uppgifter 
En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i datalagret för egna uppgifter och via det använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från datalagret.  
En person kan ge sitt samtycke till att en tjänstetillhandahållare får använda de uppgifter om välbefinnande som finns i datalagret för egna uppgifter när denna tillhandahåller social- och hälsotjänster. En person kan också ge sitt samtycke till att uppgifter om välbefinnande används i forskningssyfte. 
De uppgifter som finns om en person i datalagret för egna uppgifter ska bevaras tills personen avlägsnar dem ur datalagret eller tills 12 år har förflutit från personens död.  
13 §  
Folkpensionsanstaltens ansvar som personuppgiftsbiträde när den förvaltar riksomfattande informationssystemtjänster 
De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska vara tillgängliga dygnet runt. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. 
Folkpensionsanstalten ansvarar  
1) för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver, 
2) för användbarhet, integritet, oförvansklighet, skydd, bevarande och utplåning i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förs in i de riksomfattande informationssystemtjänsterna,  
3) för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter, uppgifter om välbefinnande och andra uppgifter som har införts i de riksomfattande informationssystemtjänsterna lämnas ut i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården ( / ), 
4) för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister,  
5) för det datatekniska utförandet av kodtjänsten,  
6) för information till befolkningen i anslutning till de riksomfattande informationssystemtjänsterna. 
Folkpensionsanstalten har rätt 
1) att av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för skötseln av lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna,  
2) att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt med tanke på uppgifter som hänför sig till förvaltningen av de riksomfattande informationssystemtjänsterna, 
3) att besluta om frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den, 
4) att lämna ut handlingar som omfattas av Folkpensionsanstaltens personuppgiftsansvar, och logguppgifter över sådana handlingar, till berörda organisationer för uppföljning och tillsyn, 
5) att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster,  
6) att trots sekretessen av Befolkningsregistercentralen få information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna.  
Folkpensionsanstalten kan i egenskap av personuppgiftsansvarig lämna ut uppgifter till tillsynsmyndigheter och andra myndigheter, om mottagaren har en lagstadgad rätt att få uppgifter. Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. 
I fråga om skyddet av de riksomfattande informationssystemtjänsterna iakttas 36 § i offentlighetslagen. Folkpensionsanstalten får inte på en utomstående överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna, eller av loggregister som hänför sig till sådana register. 
4 kap.  
Behandling av kunduppgifter inom social- och hälsovården 
14 § 
Åtkomsträttigheter till kunduppgifter 
Tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Åtkomsträttigheter får beviljas enbart till de nödvändiga kunduppgifter som varje enskild yrkesutbildad person eller annan person som behandlar sådana uppgifter behöver i sina arbetsuppgifter. Behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. 
Tjänstetillhandahållaren ska föra register över dem som använder tjänstetillhandahållarens kundinformationssystem och kundregister och över deras åtkomsträttigheter. 
Institutet för hälsa och välfärd meddelar föreskrifter om de grunder enligt vilka tjänstetillhandahållaren ska bestämma åtkomstsrättigheterna till kunduppgifter för de personer som behandlar sådana uppgifter. 
15 §  
Information till kunden om riksomfattande informationssystemtjänster 
Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som hänför sig till hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten. 
Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet. 
16 §  
Identifiering av dem som behandlar kunduppgifter  
Vid elektronisk behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. De personer som behandlar kunduppgifter, tjänstetillhandahållarna, de datatekniska enheterna och de riksomfattande informationssystemtjänsterna ska identifieras genom verifiering.  
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Befolkningsregistercentralen. 
17 § 
Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut  
En klient har rätt att förbjuda att en personuppgiftsansvarig inom socialvården lämnar ut klientuppgifter om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. En patient har rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till ett annat register inom hälso- och sjukvården eller till en annan personuppgiftsansvarig inom hälso- och sjukvården via riksomfattande informationssystemtjänster. En vårdnadshavare har inte rätt att meddela ett förbud för en minderårigs räkning som vårdnadshavaren har vårdnaden om. 
Ett förbud som klienten eller patienten meddelar kan gälla alla hans eller hennes patient- och kunduppgifter inom social- och hälsovården. Inom socialvården kan förbudet gälla en serviceuppgift eller en enskild klienthandling. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Dessutom kan förbudet gälla en offentlig tillhandahållare av social- och hälsovårdstjänster och dess register samt ett register inom företagshälsovården.  
Genom ett förbud går det inte att förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information.  
Uppgifter om en patients hälsotillstånd får trots ett förbud lämnas ut till en annan personuppgiftsansvarig, om patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet.  
När socialvård tillhandahålls får klientuppgifter som omfattas av ett gällande förbud inte lämnas ut till en annan personuppgiftsansvarig, om inte förbudet har återtagits eller något annat föreskrivs i 17–21 § i klientlagen eller i någon annan lag.  
Ett förbud gäller tills vidare och får återtas.  
18 §  
Meddelande av förbud mot behandling av klientuppgifter och patientuppgifter  
Meddelande av förbud mot behandling av kunduppgifte kan lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssitt. Tjänstetillhandahållaren ska utan dröjsmål informera den riksomfattande informationssystemtjänsten om det meddelade förbudet.  
Den som tar emot ett förbud ska på begäran ge kunden en utskrift av förbudshandlingen.  
Folkpensionsanstalten bestämmer innehållet i en förbudshandling. Av förbudshandlingen ska förbudets betydelse vid behandlingen av kunduppgifter framgå.  
19 §  
Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster  
Patientuppgifter inom hälso- och sjukvården får med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. 
Patientuppgifter lämnas med hjälp av riksomfattande informationssystemtjänster ut av en personuppgiftsansvarig inom hälso- och sjukvården till en annan efter det att patienten har informerats i enlighet med 15 § och existensen av en vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten med stöd av 17 § har förbjudit att uppgifter om honom eller henne lämnas ut.  
En person kan ge sitt samtycke till att hans eller hennes patientuppgifter kan lämnas ut till en personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård.  
Patientuppgifter får lämnas ut till patienten med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut.  
20 §  
Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster  
Klientuppgifter inom socialvården får med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten.  
På grundval av en begäran lämnas klientuppgifter med hjälp av riksomfattande informationssystemtjänster ut av en personuppgiftsansvarig inom socialvården till en annan efter det att klienten har informerats i enlighet med 15 § och existensen av en klientrelation mellan klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte klienten med stöd av 17 § har förbjudit att uppgifter om honom eller henne lämnas ut.  
En person kan ge sitt samtycke till att hans eller hennes klientuppgifter kan lämnas ut till en personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård.  
Klientuppgifter får lämnas ut till klienten med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut.  
21 §  
Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården 
Med hjälp av de riksomfattande informationssystemtjänsterna kan handlingar förmedlas till den aktör utanför social- och hälsovården som handlingarna har upprättats för eller som med stöd av lag har rätt att få dem. Övriga specificerade handlingar som bifogats till handlingarna kan förmedlas samtidigt. Kundhandlingarna förmedlas med hjälp av den förfrågnings- och förmedlingstjänst som hör till de riksomfattande informationssystemtjänsterna. 
Institutet för hälsa och välfärd meddelar föreskrifter om vilka handlingar som får förmedlas med hjälp av förfrågnings- och förmedlingstjänsten.  
22 §  
Användning av e-tjänster och behandling av uppgifter för någon annans räkning  
En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) för en annan persons räkning behandla sådana uppgifter om denna person som har sparats i en riksomfattande informationssystemtjänst. En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen eller 9 § 2 mom. i patientlagen.  
Med stöd av 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) svarar Befolkningsregistercentralen för förmedling av uppgifter via behörighetstjänsten.  
23 §  
Medborgargränssnitt samt kunduppgifter och viljeyttringar som visas via det 
En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt.  
Personen kan via medborgargränssnittet visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 och 3 mom. i offentlighetslagen eller enligt annan lagstiftning inte har rätt att få. Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. 
Uppgifter om en minderårig person kan via gränssnittet visas för personen själv och för hans eller hennes vårdnadshavare eller för någon annan laglig företrädare. Uppgifterna kan visas för en minderårig persons vårdnadshavare också via välbefinnandeapplikationer som godkänts för datalagret för egna uppgifter. När uppgifter visas ska utöver bestämmelserna i 2 mom. även bestämmelserna i 9 § 2 mom. i patientlagen och 11 § 3 mom. i klientlagen beaktas.  
Uppgifter om en person kan via gränssnittet visas för en av honom eller henne befullmäktigad person. 
24 §  
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande 
En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje kundregister samla in logguppgifter om all användning och allt utlämnande av kunduppgifter.  
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen.  
I utlämningsloggregistret ska det föras in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av utlämnandet.  
Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 6 § avsedda informationssystemtjänsterna och som har lämnats ut via dem samla in dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, utlämningstidpunkten och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk. I den förvaringstjänst för loggregister som avses i 6 § får logguppgifter om utlämnande och användning av en tjänstetillhandahållares kundregisteruppgifter sparas.  
Närmare bestämmelser om logguppgifter och uppgifter om åtkomsträttigheter och om den tid som dessa uppgifter åtminstone ska bevaras får utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll.  
25 § 
Kundens rätt att få information om behandlingen av sina egna uppgifter 
En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid eller senast inom två månader av tjänstetillhandahållaren med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Kunden har motsvarande rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, receptcentret och datalagret för egna uppgifter, logguppgifter för använda eller utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. 
Kunden har dock ingen rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. 
Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 23 § får dock ingen avgift tas ut. 
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska det meddelas ett skriftligt avslagsbeslut. Kunden har rätt att föra ärendet till förvaltningsdomstolen för avgörande. 
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge kunden en utredning om grunderna för användningen eller utlämnandet av uppgifterna och uppge sin motiverade uppfattning om huruvida det har varit sakligt motiverat att använda eller lämna ut uppgifterna eller om det förekommit missbruk. Om tjänstetillhandahållaren bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren på eget initiativ vidta behövliga åtgärder.  
5 kap.  
Egenkontroll i fråga om informationssäkerhet och dataskydd 
26 § 
Informationssäkerhetsplan  
En tjänstetillhandahållare ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. I planen ska det redogöras för hur följande frågor som hänför sig till behandlingen av klient- och patientuppgifterna och systemen säkerställs: 
1) de som använder informationssystemen har den utbildning som användningen kräver, 
2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen, 
3) informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten, 
4) informationssystemen underhålls och uppdateras enligt anvisningar från producenten av informationssystemtjänsten, 
5) miljön är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet, 
6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd,  
7) informationssystemen installeras, underhålls och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs,  
8) informationssystem som hör till klass A eller B uppfyller i enlighet med 33 § de väsentliga krav som ställs enligt deras användningsändamål, och  
9) tjänstetillhandahållaren har en plan för hur egenkontrollen ska ordnas och genomföras inom tjänstetillhandahållarens verksamhet. 
Innan en tjänstetillhandahållare ansluter sig som användare av de riksomfattande informationssystemtjänsterna, ska det i tjänstetillhandahållarens informationssäkerhetsplan redogöras för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster. En mellanhand ska utarbeta en informationssäkerhetsplan, och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan för de riksomfattande informationssystemtjänster som den förvaltar. 
Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten. 
27 §  
Genomförande av och ansvar för egenkontroll i fråga om informationssäkerheten 
Den ansvariga föreståndaren hos varje tillhandahållare av social- och hälsotjänster ska meddela skriftliga instruktioner om hur kunduppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. Denna föreståndare ska också se till att en informationssäkerhetsplan som avses i 26 § utarbetas och iakttas.  
Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artikel 37 i dataskyddsförordningen.  
6 kap.  
Informationssystemens användningsändamål och ibruktagande  
28 § 
Informationssystemens användningsändamål och klassificering 
Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska utarbeta en beskrivning av informationssystemets användningsändamål och av hur informationssystemet uppfyller de väsentliga krav som ställs på det.  
Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör 
1) de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten, 
2) de informationssystem och informationssystemtjänster som behandlar kunduppgifter och som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna, 
3) de välbefinnandeapplikationer som använder kunduppgifter som finns sparade i de riksomfattande informationssystemtjänsterna, 
4) sådana andra informationssystem, informationssystemtjänster eller tjänster tillhandahållna av mellanhänder som i fråga om sitt användningsändamål kräver certifiering. 
Andra än i 2 mom. avsedda informationssystem, informationssystemtjänster och välbefinnandeapplikationer hör till klass B. 
Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer samt om de användningsändamål och tjänster som kräver certifiering. I oklara fall beslutar Institutet för hälsa och välfärd som om ett informationssystem hör till klass A eller B.  
29 § 
Registrering av informationssystem 
Producenten av en informationssystemtjänst ska göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som hör till klass A eller B innan de tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och användningsändamål framgå, och till anmälan ska det fogas en i 33 § avsedd utredning om att de väsentliga krav som ställs på systemet enligt dess användningsändamål uppfylls. Om producenten av en informationssystemtjänst är någon annan än tillverkaren, ska också producenten framgå av anmälan. Producenten av en informationssystemtjänst ska göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion inte längre stöds eller att stödet övergått till en annan aktör. 
Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över de informationssystem för social- och hälsovården som har anmälts till verket. Registret ska innehålla uppgifter om 
1) informationssystem som hör till klass A eller B och som är avsedda att användas för produktion, deras användningsändamål och de väsentliga krav som de uppfyller,  
2) resultat av interoperabilitetstestningen av informationssystem som hör till klass A och har godkänts för användning i produktion och den tid resultaten är i kraft, och 
3) giltighetstiden för det överensstämmelseintyg som utfärdats enligt en bedömning av informationssäkerhet för informationssystem som hör till klass A och har godkänts för användning i produktion. 
Tillstånds- och tillsynsverket för social- och hälsovården får meddela närmare föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.  
30 §  
Tagande av informationssystem i användning för produktion  
Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion och anslutas till de riksomfattande informationssystemtjänsterna efter det att informationssystemet har certifierats.  
Ett informationssystem som hör till klass A eller B får inte tas i användning för produktion, om det inte finns giltiga uppgifter om systemet i det register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om godkännandet av interoperabilitetstestningen av ett informationssystem som hör till klass A inte längre gäller eller om överensstämmelseintyget enligt en bedömning av informationssäkerheten för ett informationssystem som hör till klass A har gått ut. 
31 §  
Uppföljning efter ibruktagandet av informationssystem  
Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation som hör till klass A ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Anmälan om betydande avvikelser från de väsentliga krav som ställs på informationssystemet ska göras till alla tjänstetillhandahållare som använder systemet. Betydande avvikelser i informationssystem som hör till klass A ska av producenten av en informationssystemtjänst anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården, som vidarebefordrar informationen till bedömningsorganet för informationssäkerhet. Betydande avvikelser i välbefinnandeapplikationer som hör till klass A ska anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 
Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Bedömningsorganet för informationssäkerhet och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem eller välbefinnandeapplikationer som hör till klass A. Överensstämmelseintyget eller interoperabilitetstestningen ska göras om, om betydande ändringar görs i informationssystemet eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering. 
Producenten av en informationssystemtjänst ska bevara uppgifter om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet inte längre används för produktion.  
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras. 
7 kap.  
Väsentliga krav på informationssystemen  
32 § 
Allmänna skyldigheter för producenter och tillverkare av en informationssystemtjänst  
Tillverkaren av en informationssystemtjänst ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården, oberoende av om åtgärderna utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. 
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska. 
Tillverkaren av ett informationssystem och av en välbefinnandeapplikation som hör till klass A ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter. 
33 §  
Väsentliga krav på informationssystemen  
Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Kraven ska uppfyllas vid användningen av informationssystemet såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det. 
De informationssystem som tjänstetillhandahållaren använder ska till sitt användningsändamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. 
Ett informationssystem uppfyller de väsentliga kraven när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av klient- och patientuppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. För informationssystem och välbefinnandeapplikationer som hör till klass A ska uppfyllandet av de väsentliga kraven verifieras genom certifiering. Producenten av informationssystemtjänsten ansvarar för att ett informationssystem är certifierat.  
Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven och om de väsentliga krav de informationssystem som används i de olika tjänsterna ska uppfylla. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifieringen av interoperabiliteten i fråga om sådana informationssystem enligt denna lag som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i lagen om elektroniska recept.  
34 §  
Påvisande av överensstämmelse med kraven  
Överensstämmelse med kraven ska för ett informationssystem som hör till klass A visas med en utredning från producenten av informationssystemtjänsten om att systemet uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål. Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska dessutom genomgå certifiering. Att certifieringen har godkänts ska visas med en godkänd interoperabilitetstestning enligt 35 § och ett sådant överensstämmelseintyg av ett bedömningsorgan för informationssäkerhet som avses i 36 §. 
Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, underhållits och använts på behörigt sätt. En välbefinnandeapplikation som hör till klass B ska uppfylla de förutsättningar för godkännande som bestäms med stöd av 4 mom. och bli godkänd i den testning som Folkpensionsanstalten samordnar. 
Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem som hör till klass A eller B. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet. 
Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Institutet för hälsa och välfärd får också meddela föreskrifter om förutsättningarna och förfarandena för godkännande av program som hänför sig till datalagret för egna uppgifter. 
35 §  
Interoperabilitetstestning 
Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten. 
Ett informationssystem som hör till klass A och har tagits i användning för produktion ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet när kraven har verifierats. 
Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de centraliserade informationssystemtjänster som Folkpensionsanstalten förvaltar.  
36 §  
Bedömning av informationssäkerhet 
Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för producenten eller tillverkaren av en informationssystemtjänst, för tillverkaren av en välbefinnandeapplikation eller för användaren. Bedömningen av överensstämmelse med kraven görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation.  
Om ett informationssystem som hör till klass A uppfyller de väsentliga krav på informationssäkerhet som ställs enligt systemets användningsändamål, ska bedömningsorganet för informationssäkerhet utifrån sin bedömning av överensstämmelsen med kraven ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett överensstämmelseintyg och en tillhörande kontrollrapport. Bedömningen eller den nya bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet. 
Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst alla uppgifter som behövs för bedömningen i syfte att upprätta överensstämmelseintyget och hålla det i kraft. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Överensstämmelseintyget är giltigt i högst fem år. Intygets giltighetstid får förlängas med högst fem år i sänder. 
37 § 
Återkallelse av överensstämmelseintyg  
Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem eller en välbefinnandeapplikation inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i denna lag eller i bestämmelser som utfärdats med stöd av den eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska organet uppmana producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen att avhjälpa bristerna.  
Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen avhjälper bristerna inom den tid som organet angett. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att ändra informationssystemet. 
38 §  
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet  
Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla överensstämmelseintyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 37 §.  
Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och de välbefinnandeapplikationer som hör till klass A för vilka organet har utfärdat överensstämmelseintyg. 
8 kap.  
Styrning och tillsyn 
39 §  
Styrning, övervakning och uppföljning  
Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt beslutsfattandet om totalfinansieringen av betydande informationsadministrationsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Befolkningsregistercentralen hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter.  
Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma datalager som hänför sig till olika förvaltningsområden.  
Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag. 
För uppföljningen och övervakningen av dataskyddet och informationssäkerheten har tjänstetillhandahållaren rätt att av Folkpensionsanstalten få logguppgifter för sina egna kundregister, logguppgifter i anslutning till behandlingen av uppgifter i en informationshanteringstjänst som avses i 11 § samt logguppgifter för det datalager för egna uppgifter som avses i 12 §, till den del som anställda hos tjänstetillhandahållaren har haft åtkomst till och behandlat uppgifter i kundens informationshanteringstjänst och i datalagret för egna uppgifter, om det behövs för att utreda om behandlingen av kunduppgifterna är lagenlig.  
40 §  
Övervakning och inspektioner av informationssystem  
Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades. 
41 §  
Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem 
Om tjänstetillhandahållaren konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denne underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för kundsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, apoteket, producenten eller tillverkaren av informationssystemtjänsten, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. 
42 §  
Rätt att få information  
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över riksomfattande informationssystem få nödvändig information av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut om riksomfattande informationssystem som utfärdats med stöd av denna lag. 
43 §  
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av ett informationssystems överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. 
På utomstående experter tillämpas förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter enligt denna lag. 
Utomstående experter får inte utan tillstånd röja vad de på grund av sin ställning, sitt uppdrag eller sitt arbete har fått veta om en persons hälsotillstånd, sjukdom eller funktionsnedsättning eller om social- eller hälsovårdsåtgärder som avser personen eller om andra motsvarande omständigheter. Tystnadsplikten kvarstår efter det att uppdraget har upphört.  
44 § 
Föreläggande att fullgöra skyldigheter  
Om en producent eller tillverkare av en informationssystemtjänst för social- eller hälsovården, en tjänstetillhandahållare, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården utfärda ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid.  
45 §  
Skyldigheter avseende informationssystem som är i bruk  
När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem med stöd av 40 § får verket samtidigt ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa brister i informationssystem som används för produktion. 
Om ett informationssystem kan äventyra dataskyddet eller klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst eller en av denne befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet för produktion. 
9 kap.  
Särskilda bestämmelser 
46 §  
Delegationen för elektronisk informationsadministration inom social- och hälsovården 
För behandlingen av principfrågor som gäller elektronisk informationshantering inom social- och hälsovården, för utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och för förenhetligande och utveckling av tjänsteanvändarnas informationssystem finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården. Närmare bestämmelser om delegationens uppgifter och sammansättning utfärdas genom förordning av statsrådet. 
47 §  
Avgifter  
Användningen av de riksomfattande informationssystemtjänster enligt 6 § som administreras av Folkpensionsanstalten och Befolkningsregistercentralen är avgiftsbelagd för tjänstetillhandahållarna. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för Befolkningsregistercentralens prestationer anges i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. 
Folkpensionsanstalten och Befolkningsregistercentralen ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för användningsavgifterna för det följande året. 
Producenten av en informationssystemtjänst svarar för kostnaderna för att visa överensstämmelse med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för interoperabilitetstestning enligt 35 § till ett självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 29 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
48 § 
Straffbestämmelser 
Den som uppsåtligen eller av grov oaktsamhet bryter mot identifieringsskyldigheten i 16 §, lämnar ut logguppgifter i strid med 25 §, lämnar ut kunduppgifter utan kundens samtycke enligt 19—21 § eller utan att en bestämmelse i lag tillåter det eller försummar sin skyldighet att informera enligt 15 § och på så sätt äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter. 
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag. 
49 §  
Handräckning av polisen  
Bestämmelser om handräckning av polisen finns i polislagen (872/2011). 
50 § 
Vite  
Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag och ett beslut som verket har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990). 
51 §  
Ändringssökande  
Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får överklagas genom besvär hos förvaltningsdomstolen enligt vad som föreskrivs i förvaltningsprocesslagen (586/1996). Förvaltningsdomstolens beslut får överklagas genom besvär hos högsta förvaltningsdomstolen endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
Omprövning av ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion får begäras hos tillstånds- och tillsynsverket inom 30 dagar från det att inspektionen avslutades. Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med anledning av begäran om omprövning får överklagas genom besvär i enlighet med 1 mom. 
Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. 
10 kap.  
Ikraftträdande- och övergångsbestämmelser 
52 §  
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
53 §  
Övergångsbestämmelser 
Den skyldighet enligt 7 § att i fråga om 6 § 1 mom. 1 punkten ansluta sig till de riksomfattande informationssystemtjänsterna tillämpas inom den offentliga socialvården senast från och med den 1 januari 2023 och inom den privata socialvården senast från och med den 1 januari 2025. Lagens 14 § tillämpas i fråga om skyldigheten att datatekniskt säkerställa ett samband inom socialvården senast från och med den 1 januari 2021 eller senast från det att klienthandlingar inom socialvården lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. 
Lagens 17 § tillämpas senast från det att kundhandlingar lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten.  
Lagens 18 § tillämpas inom socialvården från och med den 1 januari 2021 eller senast från det att klienthandlingar inom socialvården lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten.  
Lagens 20 § tillämpas senast från och med den 1 januari 2021. 
2. 
Lag 
om ändring av lagen om klienthandlingar inom socialvården 
I enlighet med riksdagens beslut 
upphävs i lagen om klienthandlingar inom socialvården (254/2015) 24 § och 25 § 1 och 2 mom. och  
ändras 2 § 3 mom., 3 § 6 punkten, 9—11 §, rubriken för 22 § samt 22 § 1 och 2 mom., rubriken för 23 § samt 23 § 1 mom., 26 §, 27 § 2 mom. och 28 § 5 mom. samt  
fogas till 22 § ett nytt 1 mom. som följer:  
2 § 
Tillämpningsområde 
Bestämmelser om behandlingen av klientuppgifter finns dessutom i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, förvaltningslagen (434/2003), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), arkivlagen (831/1994) och lagen om patientens ställning och rättigheter (785/1992). 
3 § 
Definitioner 
I denna lag avses med 
6) klientuppgift en personuppgift som har erhållits inom socialvården och som har antecknats eller som enligt denna lag ska antecknas i en klienthandling inom socialvården, 
9 § 
Basuppgifter som ska antecknas i en klienthandling 
Följande basuppgifter ska alltid antecknas i en klienthandling: 
1) handlingens namn, 
2) klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet, 
3) serviceanordnarens, serviceproducentens och vid behov servicegivarens namn och identifikationskod, 
4) upprättarens eller antecknarens namn och tjänsteställning eller uppgift vid verksamhetsenheten, 
5) tidpunkten för upprättandet eller registreringen, samt 
6) eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare. 
Vidare ska följande basuppgifter om de berörda antecknas i en handling när de inverkar på hurdana tjänster klienten får eller vilka åtgärder som föreslås i handlingen:  
1) klientens modersmål och kontaktspråk, kontaktuppgifter och hemkommun, 
2) om handlingen gäller en minderårig klient, namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten, samt uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, 
3) namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en myndig klient, eller för en person som klienten har befullmäktigat, samt 
4) vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten. 
10 § 
Anteckningar om att uppgifter har lämnats ut 
När uppgifter om en klient lämnas ut till en utomstående ska den som lämnar ut uppgifterna kunna verifiera 
1) vilka uppgifter som har lämnats ut, 
2) till vem uppgifterna har lämnats ut, 
3) när uppgifterna lämnades ut, 
4) vem som har lämnat ut uppgifterna, 
5) vilken bestämmelse som ligger till grund för utlämnandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har lämnats ut. 
11 §  
Anteckningar om att uppgifter har tagits emot 
När uppgifter om en klient fås av någon annan än klienten själv ska mottagaren kunna verifiera 
1) vilka uppgifter som har inhämtats eller tagits emot, 
2) av vem man har fått uppgifterna, 
3) när uppgifterna togs emot, 
4) vem som har begärt uppgifterna, om de har inhämtats på eget initiativ, 
5) vilken bestämmelse som ligger till grund för inhämtandet eller mottagandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har inhämtats eller mottagits. 
22 § 
Registrering av uppgifter i personregistret för socialvården 
Bestämmelser om socialvårdsmyndighetens skyldighet att se till att handlingarna registreras finns i 7 § i kunduppgiftslagen. 
Socialvårdsmyndigheten ska i personregistret för socialvården registrera de anmälningar och framställningar som har gjorts i syfte att utreda en enskild persons servicebehov samt uppgifter om hur dessa har behandlats, och även registrera övriga klienthandlingar. 
Av varje klienthandling som registreras i personregistret ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter handlingen ansluter sig. 
23 § 
Åtkomsträttigheter till klientuppgifter som registrerats elektroniskt 
Bestämmelser om åtkomsträttigheter till klientuppgifter som registrerats elektroniskt finns i 14 § i kunduppgiftslagen. Åtkomsträttigheterna för yrkesutbildad personal inom social- och hälsovården till klientuppgifter inom socialvården som har registrerats elektroniskt ska bestämmas enligt serviceuppgift och med beaktande av varje persons arbetsuppgifter. 
26 §  
Uppföljning av användning och utlämnande av klientuppgifter 
Bestämmelser om logguppgifter, användningsloggregister och utlämningsloggregister som hänför sig till uppföljningen av de klientuppgifter som en tillhandahållare av social- och hälsotjänster har använt och lämnat ut i elektronisk form samt bestämmelser om den tid som dessa uppgifter och register ska bevaras finns i 24 § i kunduppgiftslagen. 
27 § 
Förvaring av klientuppgifter 
Handlingar inom socialvården som registreras elektroniskt i den riksomfattande arkiveringstjänst som avses i kunduppgiftslagen ska förvaras varaktigt. 
28 § 
Ikraftträdande 
Lagens 22 § 1 och 2 mom. tillämpas när en organisation ansluts till det riksomfattande arkivet för socialvården, dock senast från och med den 1 januari 2023. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av lagen om elektroniska recept 
I enlighet med riksdagens beslut 
upphävs i lagen om elektroniska recept (61/2007) 3 § 5 punkten, varvid den nuvarande 6—9 punkten blir 5—8 punkt, 13 § 2 mom., varvid det nuvarande 3—5 mom. blir 2—4 mom., 19 § 2 mom., 24 § 4 mom., varvid det nuvarande 5 mom. blir 4 mom., samt 28 § 3 mom., 
av dem 3 § 5 punkten och 19 § 2 mom. sådana de lyder i lag 251/2014, 
ändras 1 §, 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., 6 § 2 mom., rubriken för 7 § samt 7 § 2 mom., rubriken för 10 § samt 10 § 5 mom., 12 § 2 och 4 mom., 13 § 1–3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, det inledande stycket i 15 § 1 mom. och 15 § 3—5 mom., 16 § 1—3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 18 §, 19 § 1 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 1 och 5 mom., 25 § 1 mom. samt 28 § 1 mom.,  
av dem rubriken för 7 § samt 7 § 2 mom. och 24 § 1 mom. sådana de lyder lag 982/2010 och 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., rubriken för 10 § samt 10 § 5 mom., 12 § 2 och 4 mom., 13 § 1—3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, rubriken för 15 § samt 15 § 1 och 3—5 mom., 16 § 1—3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 1 och 5 mom. samt 25 § 1 mom., 28 § 1 mom. sådana de lyder i lag 251/2014, och 
fogas till 3 §, sådan den lyder i lag 251/2014, en ny 9 punkt, till 10 § ett nytt 4 mom., varvid det nuvarande 4 och 5 mom. blir 5 och 6 mom., till 11 § ett nytt 3 mom., till 13 § 4 mom. nya 5 och 8 punkter, varvid den nuvarande 5 och 6 punkten blir 6 och 7 punkt, och ett nytt 5 mom. samt till 15 § ett nytt 6 mom. som följer:  
1 §  
Lagens syfte 
Syftet med denna lag är att förbättra patient- och läkemedelssäkerheten samt underlätta och effektivisera förskrivningen och expedieringen av läkemedel genom ett system där patientens läkemedelsordinationer kan lagras elektroniskt i ett receptcenter på riksnivå och där läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. De recept som lagrats i receptcentret gör det möjligt att klarlägga patientens samlade medicinering och beakta den vid läkemedelsbehandling. De samlade uppgifterna i receptcentret kan dessutom nyttiggöras i samband med myndigheternas verksamhet inom hälso- och sjukvården. 
3 §  
Definitioner 
I denna lag avses med 
4) receptcenter en databas som består av elektroniska recept som lagrats av läkemedelsförskrivarna, av recept som apoteken har lagrat på de grunder som nämns i 12 §, av sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som anges i 23 §, av expedieringsuppgifter som fogats till recepten och av anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen, 
9) pro auctore-recept ett skriftligt recept genom vilket en läkare, tandläkare, optiker eller munhygienist förskriver ett läkemedel som behövs i samband med hans eller hennes yrkesutövning. 
4 §  
Information till patienten 
Innan ett elektroniskt recept görs upp ska patienten informeras om elektroniska recept och patientens rättigheter i anslutning till sådana. Dessutom ska patienten informeras om de riksomfattande informationssystemtjänster som hänför sig till elektroniska recept, om de allmänna principerna för hur tjänsterna fungerar och om anordnaren av informationssystemtjänster. 
Tillhandahållaren av hälso- och sjukvårdstjänster ska personligen informera patienten skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på något annat sätt än skriftligt ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i patientens informationshanteringstjänst som avses i 16 a §. 
5 § 
Uppgörande av recept 
Recept ska göras upp elektroniskt med undantag för pro auctore-recept och recept som gäller läkemedelsgaser, vilka kan göras upp skriftligt, och recept som gäller patientspecifika specialtillståndspreparat, vilka kan göras upp skriftligt eller elektroniskt. Om det på grund av en teknisk störning inte är möjligt att göra en elektronisk förskrivning, får ett recept också göras upp skriftligt eller förskrivas per telefon. Ett recept kan likaså göras upp skriftligt eller förskrivas per telefon på begäran av ett apotek, om apoteket inte kan expediera ett elektroniskt recept på grund av en teknisk störning. Dessutom kan ett recept göras upp skriftligt eller förskrivas per telefon, om läkemedelsbehandlingen brådskar och det på grund av exceptionella förhållanden eller av någon annan särskild orsak inte går att göra upp ett elektroniskt recept. 
6 § 
Informationen i recept 
Av ett recept får utöver de uppgifter som avses i 1 mom. framgå andra uppgifter som är relevanta för förskrivningen, användningen och expedieringen av läkemedlet och för genomförandet och uppföljningen av läkemedelsbehandlingen. 
7 § 
Signering av recept samt systemcertifikat 
Befolkningsregistercentralen svarar för certifikattjänsten i enlighet med 6 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kundsuppgiftslagen. Genom förordning av social- och hälsovårdsministeriet utfärdas närmare bestämmelser om certifieringen av att den som gjort upp receptet har rätt att förskriva läkemedel och om genomförandet av certifikattjänsten. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Befolkningsregistercentralen till den del det gäller Befolkningsregistercentralens ovan angivna uppgift.  
10 § 
Rättelse, avslutande, makulering och förnyelse av recept 
Om läkemedelsförskrivaren beslutar att en patient ska sluta använda ett läkemedel som patienten har använt kontinuerligt, ska en anteckning om detta föras in i receptcentret. 
Närmare bestämmelser om rättelse, makulering, förnyelse och förhindrande av förnyelse av ett elektroniskt recept och om anteckningar som gäller avslutad användning av ett läkemedel får utfärdas genom förordning av social- och hälsovårdsministeriet. 
11 §  
Apotekets rätt att få uppgifter 
Apoteket har rätt att få uppgifter om recept och receptexpedieringar som har lagrats i receptcentret för så lång tid som skötseln av apotekets uppgifter kräver, dock för högst 42 månader från det att receptet gjordes upp eller någon annan uppgift lagrades i receptcentret.  
12 § 
Expediering av elektroniska recept 
När läkemedlet överlåts ska den som köper läkemedlet få en skriftlig utredning om det expedierade läkemedlet och information om den oexpedierade delen av receptet, om inte köparen uppger att han eller hon inte vill ha någon utredning. Med patientens samtycke får utredningen innehålla information om patientens alla recept som finns lagrade i receptcentret. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, får en utredning med alla receptuppgifter dock ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta eller om den som avhämtar läkemedlet visar upp fullmaktsgivarens FPA-kort och patientanvisning. Bestämmelser om fullmakt finns i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också inom en behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) eller genom ett medborgargränssnitt som avses i kunduppgiftslagen. 
Om ett recept har gjorts upp skriftligt eller förskrivits per telefon på grund av en sådan teknisk störning eller annan orsak som avses i 5 § 1 mom. och receptet inte har lagrats i receptcentret, ska apoteket lagra receptet och expedieringsuppgifter som hänför sig till det i receptcentret när receptet expedieras eller, om en teknisk störning hindrar omedelbar lagring, så snart som möjligt. Samtidigt kan också uppgifter om andra skriftliga recept lagras i receptcentret. Den som har antecknats som läkemedelsförskrivare i ett recept har oberoende av vårdrelation rätt att från receptcentret få uppgifter om vilka recept som av ett apotek har lagrats i receptcentret med anteckning om att han eller hon är läkemedelsförskrivare. Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om lagring av skriftliga recept och telefonrecept samt expedieringsuppgifter i receptcentret och om de sökfunktioner med vilka en läkemedelsförskrivare kan få uppgifter om recept som apoteken lagrat i receptcentret.  
13 § 
Patientens rätt att bestämma om utlämnande av uppgifter 
Uppgifter i receptcentret om en patients recept, receptexpedieringar och begäran om receptförnyelser får lämnas ut till tillhandahållare av hälso- och sjukvårdstjänster och socialvårdstjänster och till läkemedelsförskrivare i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. Patienten har dock rätt att förbjuda att de recept som han eller hon preciserat lämnas ut till de ovan avsedda aktörerna och till apoteken. Ett förbud får återtas när som helst. Förbud och återtagande av förbud kan meddelas till vilken som helst tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har anslutit sig till de elektroniska recepten. Förbud får meddelas och återtas också genom det gränssnitt som avses i 17 §. Uppgiften om ett förbud som en patient har meddelat ska lagras i den informationshanteringstjänst som avses i 11 § i kunduppgiftslagen. 
Patientens lagliga företrädare, en nära anhörig eller någon annan närstående person har inte rätt att förbjuda att uppgifter som avses i 1 mom. lämnas ut. 
Om en minderårig patient på det sätt som avses i 7 § 1 mom. i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, med beaktande av sin ålder och utvecklingsnivå själv kan fatta beslut om sin vård, kan han eller hon också besluta om förbud som avses i 1 mom. En minderårigs vårdnadshavare eller lagliga företrädare har inte rätt att förbjuda utlämnande. En minderårig som avses i 9 § 2 mom. i patientlagen har dessutom rätt att förbjuda att uppgifter i ett elektroniskt recept lämnas ut till den minderåriges vårdnadshavare eller andra lagliga företrädare. 
Oberoende av 1 mom. får 
5) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om expedieringar utifrån dem, 
6) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster eller till en yrkesutbildad person inom hälso- och sjukvården i sådana brådskande fall som avses i 8 § i patientlagen lämnas ut uppgifter om recept som har lagrats i receptcentret och om expedieringar av dem; om utlämnande av receptuppgifter har förbjudits i enlighet med 1 mom., får uppgifter lämnas ut trots förbudet, 
7) till sådan teknisk personal hos en tillhandahållare av hälso- och sjukvårdstjänster, hos Folkpensionsanstalten och hos informationssystemets leverantör som svarar för de elektroniska receptens funktion lämnas ut uppgifter i den omfattning som krävs för att åtgärda störningar och problemsituationer, och 
8) för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som verksamhetsenheten har lagrat i receptcentret och om expedieringar utifrån dem. 
Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om förbudsförfarandet samt om tillgodoseendet av den rätt att få uppgifter och om sådant klarläggande av den tekniska personalens rättigheter som avses i 3 mom. 7 punkten. 
Uppgifter i ett elektroniskt recept får lämnas ut till patienten med hjälp av en välbefinnandeapplikation som definieras i 3 § 15 punkten i kunduppgiftslagen eller ett medborgargränssnitt. För att få uppgifterna via en välbefinnandeapplikation ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut.  
14 §  
Förbudshandling  
Den som tar emot ett förbud som en kund meddelar ska på begäran ge kunden en utskrift av förbudet. Av utskriften ska förbudets betydelse för behandlingen av kunduppgifter framgå. Utskriften ska innehålla i 4 § avsedda uppgifter om de specificerade elektroniska recept som förbudet gäller och om förbudets betydelse. Utskriften ska innehålla en utredning om att de uppgifter som omfattas av ett gällande förbud inte får utnyttjas när hälso- och sjukvård ges även om de är relevanta med tanke på vården, om inte förbudet återtas eller är förenat med en reservation för situationer som avses i 8 § i patientlagen.  
Folkpensionsanstalten bestämmer innehållet i en förbudshandling. En patient som meddelar ett förbud via det gränssnitt som avses i 17 § ska få motsvarande information via gränssnittet.  
15 § 
Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning  
Trots sekretessbestämmelserna och andra bestämmelser om användningen av uppgifterna får Folkpensionsanstalten i egenskap av personuppgiftsansvarig, utöver vad som föreskrivs någon annanstans i lagstiftningen, på begäran också med hjälp av en teknisk anslutning från receptcentret 
Folkpensionsanstaltens rätt att ta del av uppgifterna i receptcentret bestäms enligt 19 kap. 1 § i sjukförsäkringslagen (1224/2004). Folkpensionsanstalten får inte lämna uppgifter vidare med stöd av sådan skyldighet eller rätt att lämna uppgifter som den har enligt någon annan lag. 
Folkpensionsanstalten får lämna ut uppgifter från receptcentret för vetenskaplig forskning i enlighet med 28 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). Utlämnandet kräver dock alltid tillstånd av Institutet för hälsa och välfärd.  
Folkpensionsanstalten får upprätta och överlåta sammanställningar över sådana uppgifter i receptcentret som kan vara av betydelse för utredning av läkemedelssäkerheten eller nyttan av och kostnaderna för läkemedelsbehandlingar. 
16 § 
Patientens rätt till information 
I fråga om patientens rätt att ta del av uppgifterna om sig själv i receptcentret gäller bestämmelserna i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i 34 § i personuppgiftslagen.  
Bestämmelser om rättelse av felaktiga uppgifter i receptcentret finns i 10 § och i artikel 16 i dataskyddsförordningen. Om patienten eller dennes lagliga företrädare med stöd av artikel 16 i dataskyddsförordningen kräver att en uppgift ska rättas och om den felaktiga uppgiften grundar sig på läkemedelsförskrivarens eller läkemedelsexpedierarens anteckning, ska kravet på rättelse riktas till den person som gjort den felaktiga anteckningen eller den organisation där personen var anställd när felet begicks. 
Patienten har rätt att på begäran utifrån logguppgifter få veta vem som har behandlat eller haft åtkomst till sådan information om honom eller henne som finns i receptcentret eller i informationshanteringstjänsten. Patienten har dock inte rätt att få logguppgifter, om den som lämnar ut uppgifterna vet att utlämnandet kan medföra allvarlig fara för patientens hälsa eller vård eller för någon annans rättigheter. Patienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Logguppgifter som en patient har fått får inte användas eller lämnas vidare för något annat ändamål. Folkpensionsanstalten ska lämna ut uppgifterna utan dröjsmål. Det får inte tas ut någon avgift för utlämnandet av uppgifterna. En patient som på nytt begär samma uppgifter som han eller hon redan har fått har rätt att få uppgifterna endast om det finns grundad anledning till det med hänsyn till tillgodoseendet av patientens intressen eller rättigheter. För uppgifter som lämnas ut på nytt får Folkpensionsanstalten ta ut en avgift som inte får överstiga kostnaderna för utlämnande av uppgifterna.  
16 a §  
Informationshanteringstjänsten 
I den informationshanteringstjänst som avses i 11 § i kunduppgiftslagen lagras uppgifter om patientens förbud och samtycken och om information som patienten fått. Genom informationshanteringstjänsten är det möjligt att i den utsträckning som föreskrivs i 13 § i denna lag få åtkomst till uppgifter om recept och om expedieringar av dem som finns i receptcentret. Uppgifterna får användas för att förskriva läkemedel till patienten och för att ordna och tillhandahålla hälso- och sjukvård för patienten. 
17 § 
Medborgargränssnitt 
Med hjälp av medborgargränssnittet ges en patient uppgifter om patientens recept som finns lagrade i receptcentret, rättelse- och expedieringsanteckningar i dem, uppgifter om förbud samt utlämningslogguppgifter, med undantag för personuppgifter om den som fått uppgifter och sådana utlämningslogguppgifter som patienten enligt 16 § 3 mom. inte har rätt att få. Bestämmelser om skötsel av ärenden för någon annans räkning i en e-tjänst finns också i 22 § i kunduppgiftslagen. 
Genom gränssnittet kan patienten dessutom 
2) meddela och återta ett förbud som avses i 13 §, och  
Medborgargränssnittet ska realiseras så att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får genom gränssnittet lämnas ut till patienten och till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Vid utlämnandet av uppgifterna ska det som i 9 § 2 mom. i patientlagen föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Åtkomsten till uppgifter genom gränssnittet får inte påverka patientens rätt att ta del av uppgifter om honom eller henne själv. 
18 § 
Receptcentrets personuppgiftsansvar 
Receptcentret är gemensamt register för Folkpensionsanstalten och apoteken samt verksamhetsenheter, självständiga yrkesutövare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. 
Folkpensionsanstalten ansvarar för användbarheten och integriteten hos uppgifterna i receptcentret samt för att datainnehållet är oförändrat och att uppgifterna förvaras och utplånas.  
Verksamhetsenheter, självständiga yrkesutövare och självständiga läkemedelsförskrivare som gör upp elektroniska recept ansvarar för att uppgifterna i recept som lagras i receptcentret är korrekta. Det apotek som expedierar ett läkemedel ansvarar för riktigheten i de expedieringsuppgifter som lagras i receptcentret.  
Folkpensionsanstalten ansvarar för en personuppgiftsansvarigs andra skyldigheter enligt dataskyddsförordningen än de som genom denna lag påförs apoteken samt verksamhetsenheter, självständiga yrkesutövare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Folkpensionsanstalten är dessutom i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt för de registrerade. 
19 § 
Förvaring av uppgifterna 
De handlingar och uppgifter om handlingarna som har lagrats i receptcentret ska förvaras i receptcentret i 12 år efter patientens död eller i 120 år efter patientens födelse. Särskilda bestämmelser gäller i fråga om den skyldighet som verksamhetsenheterna för hälso- och sjukvård och apoteken har att förvara uppgifter om recept. 
22 a § 
Godkännande och ibruktagande av informationssystem och programvara 
De informationssystem som används när elektroniska recept görs upp och expedieras och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen ska innan de tas i bruk kontrolleras eller utvärderas för säkerställande av sekretessen, informationssäkerheten och interoperabiliteten för patientuppgifter på det sätt som föreskrivs i 6 och 7 kap. i kunduppgiftslagen.  
22 b § 
Informationssäkerhetsplan 
Verksamhetsenheter, apotek och självständiga yrkesutövare som gör upp elektroniska recept samt Folkpensionsanstalten och producenterna av tjänster för förmedling av kunduppgifter ska utarbeta en informationssäkerhetsplan för säkerställande av sekretessen och informationssäkerheten för patientuppgifter, följa verksamheten och anmäla avvikelser på det sätt som föreskrivs i 26 och 27 § i kunduppgiftslagen. 
23 §  
Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården 
Uppgifter om läkemedel som en verksamhetsenhet för socialvård eller hälso- och sjukvård lämnar ut till en patient får lagras i receptcentret. När uppgifter om dessa läkemedel lagras i receptcentret iakttas i övrigt vad som i denna lag föreskrivs om elektroniska recept. Verksamhetsenheten för socialvård eller hälso- och sjukvård ansvarar för att de uppgifter om läkemedel som enheten lämnar ut till en patient är korrekta. 
23 a §  
Gränsöverskridande elektroniska recept 
Ett elektroniskt recept som gjorts upp någon annanstans än i Finland får godkännas och expedieras av ett apotek som är verksamt i Finland, även om receptet inte uppfyller alla de krav som i denna lag ställs på elektroniska recept. En förutsättning för godkännande är dock att receptet uppfyller de krav som godkänts i Europeiska unionen eller som avtalats mellan Europeiska unionens medlemsstater och staterna inom Europeiska ekonomiska samarbetsområdet och att receptet förmedlas till ett finländskt apotek genom en utländsk och en finländsk nationell kontaktpunkt som certifierar receptets riktighet. En förutsättning för att receptet ska lämnas ut till utlandet är att utlämnandet sker via Finlands och mottagarlandets nationella kontaktpunkt.  
Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om 
2) överlåtelse av elektroniska recept till den nationella kontaktpunkten i en annan stat, och 
24 §  
Styrning, uppföljning och övervakning 
Social- och hälsovårdsministeriet har hand om den allmänna planeringen, styrningen och övervakningen av elektroniska recept samt av ordnande och genomförande av de riksomfattande informationssystemtjänster som avses i denna lag. Den allmänna styrningen och övervakningen av den i 6 § i kunduppgiftslagen avsedda certifikattjänst som sköts av Befolkningsregistercentralen hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
Den personuppgiftsansvarige, den ansvariga föreståndaren för en verksamhetsenhet för hälso- och sjukvård eller en verksamhetsenhet för socialvård och apotekaren ska meddela skriftliga anvisningar om behandlingen av kunduppgifter och om de förfaranden som ska iakttas samt sörja för att de anställda har tillräcklig sakkunskap och kompetens när patientuppgifter behandlas. Dessutom ska den personuppgiftsansvarige, verksamhetsenheterna för hälso- och sjukvård, verksamhetsenheterna för socialvård och apoteket för uppföljnings- och övervakningsuppgiften ha ett utnämnt dataskyddsombud som avses i artikel 37 i dataskyddsförordningen.  
25 § 
Avgifter 
För lagring av elektroniska recept och receptexpedieringsuppgifterna om dem, för certifiering som avses i denna lag samt för användning av uppgifterna i receptcentret och läkemedelsdatabasen tas det ut en avgift som motsvarar kostnaderna för serviceproduktionen. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. Avgiften tas ut av Folkpensionsanstalten. Avgifter som hänför sig till den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Bestämmelser om de avgifter som tas ut för Befolkningsregistercentralens prestationer enligt 6 § i kunduppgiftslagen finns i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. 
28 §  
Övergångsbestämmelse 
Lagens 23 a § tillämpas från och med den 1 januari 2021. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av 9 § i hälso- och sjukvårdslagen 
I enlighet med riksdagens beslut  
ändras i hälso- och sjukvårdslagen (1326/2010) 9 § 4 mom. som följer: 
9 §  
Registret över patientuppgifter och behandling av patientuppgifter 
Den som med hjälp av informationssystem använder uppgifter som har registrerats av en annan verksamhetsenhet inom hälso- och sjukvården ska följa upp användningen av patientuppgifterna på det sätt som anges i 24 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Det ska datatekniskt säkerställas att en vårdrelation existerar mellan patienten och den som begärt uppgifter. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om ändring av 25 b § i barnskyddslagen  
I enlighet med riksdagens beslut 
ändras i barnskyddslagen (417/2007) 25 b §, sådan den lyder i lag 1302/2014, som följer:  
25 b §  
Registrering av barnskyddsanmälningar i personregistret för socialvården 
Barnskyddsanmälningar ska registreras i det personregister för socialvården som avses i 22 § i lagen om klienthandlingar inom socialvården.  
Denna lag träder i kraft den 20 . 
6. 
Lag 
om ändring av 13 a § i lagen om patientens ställning och rättigheter 
I enlighet med riksdagens beslut 
ändras i lagen om patientens ställning och rättigheter (785/1992) 13 a §, sådan den lyder i lag 1230/2010, som följer: 
13 a §  
Riksomfattande informationssystemtjänster 
Bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten upprätthåller finns i lagen om elektroniska recept (61/2007). 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården 
I enlighet med riksdagens beslut 
ändras i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) 2 § 1 mom. 1 punkten, sådan den lyder i lag 1118/2017, som följer: 
2 §  
Uppgifter 
Verket ska sköta följande: 
1) den tillståndsförvaltning, styrning och tillsyn som föreskrivs för verket i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994), lagen om yrkesutbildade personer inom socialvården (817/2015), folkhälsolagen (66/1972), lagen om företagshälsovård (1383/2001), lagen om specialiserad sjukvård (1062/1989), hälso- och sjukvårdslagen (1326/2010), mentalvårdslagen (1116/1990), lagen om privat hälso- och sjukvård (152/1990), lagen om smittsamma sjukdomar (1227/2016), lagen om hälsovården inom försvarsmakten (322/1987), lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), lagen om elektroniska recept (61/2007), socialvårdslagen (1301/2014), lagen om privat socialservice (922/2011), lagen angående specialomsorger om utvecklingsstörda (519/1977), hälsoskyddslagen (763/1994), alkohollagen (1102/2017), tobakslagen (549/2016), gentekniklagen (377/1995), lagen om produkter och utrustning för hälso- och sjukvård (629/2010) och lagen om Enheten för hälso- och sjukvård för fångar (1635/2015),  
Denna lag träder i kraft den 20 . 
Helsingfors den 5 december 2018  
Statsminister
Juha
Sipilä
Familje- och omsorgsminister
Annika
Saarikko
Senast publicerat 5.12.2018 13:54