Senast publicerat 25-05-2021 15:01

Betänkande ShUB 11/2021 rd RP 212/2020 rd Social- och hälsovårdsutskottet Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den (RP 212/2020 rd): Ärendet har remitterats till social- och hälsovårdsutskottet för betänkande och till grundlagsutskottet för utlåtande. 

Utlåtande

Utlåtande har lämnats av 

  • grundlagsutskottet 
    GrUU 4/2021 rd

Sakkunniga

Utskottet har hört (distanskontakt) 

  • regeringsråd Joni Komulainen 
    social- och hälsovårdsministeriet
  • specialsakkunnig Anna Kärkkäinen 
    social- och hälsovårdsministeriet
  • lagstiftningsråd Virpi Koivu 
    justitieministeriet
  • justitieråd, JD Eija Siitari 
    högsta förvaltningsdomstolen
  • biträdande dataombudsman Jari Råman 
    Dataombudsmannens byrå
  • biträdande professor Antti Honkela 
    Helsingfors universitet
  • docent Marjut Salokannel 
    Helsingfors universitet
  • professor Martti Lehto 
    Jyväskylä universitet
  • utvecklingsdirektör Merja Tepponen 
    Södra Karelens social- och hälsovårdsdistrikt
  • jurist Kirsi Talonen 
    Tillståndsmyndigheten för användning av social- och hälsovårdsdata Findata
  • huvudarkitekt Konstantin Hyppönen 
    Folkpensionsanstalten
  • servicechef för kanta-tjänsterna Outi Lehtokari 
    Folkpensionsanstalten
  • överingenjör Antti Härkönen 
    Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
  • utvecklingschef Riitta Konttinen 
    Institutet för hälsa och välfärd (THL)
  • ledande expert Juha Mykkänen 
    Institutet för hälsa och välfärd (THL)
  • utvecklingsöverläkare Juuso Tamminen 
    Norra Savolax sjukvårdsdistrikt
  • specialsakkunnig Marjo Orava 
    Finlands Kommunförbund
  • datasäkerhetschef Janne Mutanen 
    Egentliga Finlands sjukvårdsdistrikt
  • ledande konsult Pasi Korhonen 
    F-Secure Oyj
  • expert Jarno Talvitie 
    Hyvinvointiala HALI ry.

Skriftligt yttrande har lämnats av 

  • Riksdagens justitieombudsmans kansli
  • finansministeriet
  • Regionförvaltningsverket i Södra Finland
  • Regionförvaltningsverket i Västra och Inre Finland
  • Riksarkivet
  • Nationella kommittén för medicinsk forskningsetik TUKIJA
  • Riksomfattande etiska delegationen inom social- och hälsovården ETENE
  • DigiFinland Oy
  • Esbo stad
  • Helsingfors och Nylands sjukvårdsdistrikt
  • CGI Suomi Oy
  • Oy Apotti Ab
  • UNA Oy
  • Finlands Apotekareförbund rf
  • Finlands Tandläkarförbund rf
  • Suomen Kuntoutusyrittäjät ry
  • Finlands Läkarförbund rf
  • Finlands Psykologförbund rf
  • Företagarna i Finland rf
  • Handikappforum rf.

Inget yttrande av 

  • Säkerhets- och utvecklingscentret för läkemedelsområdet
  • SOSTE Finlands social och hälsa rf.

PROPOSITIONEN

Regeringen föreslår att det stiftas en ny lag om elektronisk behandling av kunduppgifter inom social- och hälsovården samt att det företas behövliga ändringar i vissa andra lagar. Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården. Den föreslagna lagen baserar sig till största delen på den gällande lagen. 

Propositionen har utarbetats utifrån proposition RP 300/2018 rd, som förföll när riksmötet avslutades och riksdagsval förrättades. 

Inom hälso- och sjukvården har man från och med 2010 stegvis infört riksomfattande elektroniska informationssystemtjänster. De föreslagna ändringarna gör det möjligt att införa riksomfattande informationssystemtjänster i socialvården genom att ålägga tillhandahållare av socialvårdstjänster att ansluta sig till de riksomfattande informationssystemtjänsterna samt genom att göra det möjligt att lämna ut uppgifter ur klientdataarkivet för socialvården. 

Lagförslaget innehåller för social- och hälsovården behövliga bestämmelser om informationshantering samt de nödvändiga ändringar som EU:s allmänna dataskyddsförordning förutsätter. Det föreslås att det vidsträckta samtycke som begärts av patienten inom hälso- och sjukvården slopas. En kund ska fortfarande ha möjlighet att förbjuda att personuppgiftsansvariga inom hälso- och sjukvården lämnar ut hans eller hennes uppgifter till varandra och motsvarande förbud mot utlämnande införs även inom socialvården. För att kunduppgifter ska få behandlas inom hälso- och sjukvården ska det också i fortsättningen förutsättas en vårdrelation som säkerställts datatekniskt eller någon annan lagstadgad rätt. För att kunduppgifter ska få behandlas inom socialvården ska det på motsvarande sätt förutsättas en kundrelation som säkerställts datatekniskt eller någon annan lagstadgad rätt. 

Det föreslås i propositionen att innehållet i de riksomfattande informationssystemtjänsterna utvidgas så att kunden själv i informationsresursen för egna uppgifter kan föra in uppgifter om sitt eget välbefinnande eller information som olika välbefinnandeapplikationer producerat. Uppgifterna om välbefinnande ska vara tillgängliga för yrkesutbildade personer, som kan använda uppgifterna på ett datatekniskt tillförlitligt sätt utifrån kundens samtycke. En kund ska kunna bemyndiga en annan person att använda elektroniska tjänster för sin räkning. 

Det föreslås att lagen om elektroniska recept ändras så att receptarkivet slopas. I fortsättningen ska uppgifterna föras in endast i receptcentret, där de också förvaras. Grunden för behandling av uppgifter förenhetligas i enlighet med den föreslagna nya lagen. 

Propositionen hänför sig till den kompletterande budgetpropositionen för 2021 och avses bli behandlad i samband med den. 

Lagarna avses träda i kraft den 1 april 2021. 

UTSKOTTETS ÖVERVÄGANDEN

Syftet med de föreslagna ändringarna

Utskottet anser att propositionen är viktig och konstaterar att den på många sätt har en positiv inverkan på den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och utvecklingen av den. 

De föreslagna ändringarna gör det möjligt att införa Folkpensionsanstaltens riksomfattande informationssystemtjänster (Kantatjänsterna) i socialvården genom att ålägga tillhandahållare av socialvårdstjänster att ansluta sig till de riksomfattande informationssystemtjänsterna samt genom att göra det möjligt att lämna ut uppgifter ur klientdataarkivet för socialvården. Det förbättrar enligt utskottet informationssäkerheten vid behandlingen av uppgifter inom socialvården och främjar ett smidigt utlämnande av uppgifter mellan socialvården och hälsovården. 

Utskottet välkomnar utvidgningen av de riksomfattande informationssystemtjänsterna så att kunden själv kan lagra välfärdsinformation eller uppgifter som producerats av olika välfärdsapplikationer i datalagret för egna uppgifter, där dessa uppgifter med samtycke är tillgängliga för yrkesutbildade personer på ett informationssäkert sätt. Utskottet anser att datalagret för egna uppgifter är en innovation som är värd att understöda och förbättrar kundernas tjänster. Med hjälp av det föreslagna datalagret för egna uppgifter är det möjligt att övergå till ett riksomfattande datalager, och organisationerna behöver inte bygga egna arkiv för välfärdsinformation. 

Utskottet välkomnar preciseringarna i lagen om elektroniska recept; de beror huvudsakligen på EU:s allmänna dataskyddsförordning. För att förhindra missbruk av läkemedel anser utskottet dessutom att det är viktigt att bestämmelserna om elektroniska recept fortfarande möjliggör att den som huvudsakligen förskriver läkemedel som påverkar det centrala nervsystemet och narkotiska läkemedel får tillgång till uppgifter om alla motsvarande läkemedel som förskrivits till patienten. Det förebygger effektivt möjligheterna till missbruk av läkemedel. 

Den föreslagna kunduppgiftslagen baserar sig i huvudsak på den gällande klientuppgiftslagen, dock så att lagens struktur, språkdräkt och terminologi har förtydligats och ändrats så att den blir mer konsekvent. En tydligare och mer konsekvent reglering än för närvarande är enligt utskottet viktig med tanke på rättsskyddet för såväl klienter som personal inom social- och hälsovården. Tydliga och konsekventa bestämmelser tryggar å ena sidan klientens integritetsskydd och å andra sidan ett smidigt utlämnande av information. 

Utlämnande av kunduppgifter

I propositionen (s. 53) föreslås det att utlämnande av klientuppgifter och patientuppgifter inom socialvården genom Kanta-tjänsterna trots sekretessbestämmelserna ska basera sig på information, den föreslagna lagstiftningen och existensen av en kund- eller vårdrelation och inte på samtycke som begärs av kunden. Patient- och klientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationssystemtjänster efter det att personen har informerats i enlighet med 16 § i lagförslaget och existensen av en kund- eller vårdrelation mellan patienten eller klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten eller klienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. I 15 § föreskrivs det om åtkomsträtt till endast nödvändiga patient- och klientuppgifter. 

Inom hälso- och sjukvården tillämpas med stöd av gällande bestämmelser ett förfarande med så kallat brett samtycke till utlämnande av alla patientuppgifter med hjälp av riksomfattande informationssystemtjänster. Dessutom har patienten möjlighet att förbjuda utlämnandet av en del eller åtskilliga uppgifter. Numera kan en patient alltså genom en enda viljeyttring ge sitt samtycke till att patientuppgifter som rör honom eller henne lämnas ut till andra personuppgiftsansvariga (tjänstetillhandahållare), och om han eller hon så vill begränsa samtyckets omfattning genom förbud. 

Slopandet av detta vidsträckta samtycke grundar sig enligt propositionen (s. 53) på kravet på samtyckets form i EU:s dataskyddsförordning. Ett vidsträckt samtycke som riktar sig på framtiden uppfyller enligt propositionen inte det krav i dataskyddsförordningen på att samtycket ska vara frivilligt, specifikt, informerat, otvetydigt och i fråga om särskilda kategorier av personuppgifter, till exempel hälsouppgifter också uttryckligt. 

Grundlagsutskottets ställningstaganden

Grundlagsutskottet uttrycker sin oro vad syftet med den valda regleringen, som lösgör sig från kravet på samtycke, innebär med tanke på att det måste finnas godtagbara grunder för en inskränkning av självbestämmanderätten (GrUU 4/2021 rd, stycke 29). Regleringen i dess helhet uppfyller alltså inte förutsättningarna för att på det föreslagna sättet slopa huvudregeln om krav på samtycke, vilket tryggar självbestämmanderätten, i en regleringskontext inom social- och hälsovården som bygger på självbestämmanderätt (GrUU 4/2021 rd, stycke 40). Grundlagsutskottet anser att om rätten att förbjuda utlämnande kräver aktiva åtgärder, kan självbestämmanderätten inte säkerställas tillräckligt väl. Bestämmelserna om utlämnande av uppgifter i 20 § 1 mom. och 21 § 1 mom. i lagförslag 1 (kunduppgiftslagen) i propositionen måste enligt grundlagsutskottet ändras. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

Enligt grundlagsutskottets uppfattning kan denna ändring, som bättre säkerställer självbestämmanderätten och är ett krav för vanlig lagstiftningsordning, göras vid riksdagsbehandlingen på så sätt att den föreslagna begränsningen av självbestämmanderätten inte är huvudregel, utan att det i stället föreskrivs att samtycke är ett villkor för utlämnande enligt 20 och 21 § (GrUU 4/2021 rd, stycke 42). 

Grundlagsutskottet anser att det trots grundlagen är möjligt att föreskriva om ett brett samtycke på samma sätt som i den gällande lagen, om det förenas med en möjlighet att begränsa samtycket genom förbud av det slag som föreslås i 18 § (se även GrUU 10/2012 rd, s. 2—4). Regleringen av samtycket ska uppfylla de villkor som nämns i utskottets praxis. 

Enligt utredning till grundlagsutskottet (GrUU 4/2021 rd, stycke 44) och enligt statsrådets ståndpunkt sådan den uttrycks i vissa propositioner är en sådan reglering möjlig också med tanke på EU:s dataskyddsförordning. Att personen ska ge sitt godkännande till att uppgifterna överförs kompletterar denna rättsliga grund som en skyddsåtgärd i fråga om behandlingen av personuppgifter. 

Det väsentliga är då enligt grundlagsutskottet (GrUU 4/2021 rd, stycke 45) att det på det sätt som dataskyddsförordningen förutsätter föreskrivs om behandlingen i en lag som uppfyller förutsättningarna enligt förordningen och som utgör den grund för behandlingen som avses i artiklarna 6 och 9 i förordningen. Social- och hälsovårdsutskottet ska då enligt grundlagsutskottet försäkra sig om att regleringen är ändamålsenlig och proportionerlig med tanke på dataskyddsförordningen (GrUU 4/2021 rd, stycke 45) samt att den föreslagna regleringen inte strider mot de krav som ställs i EU-rätten (stycke 12). 

Social- och hälsovårdsutskottets förslag

Social- och hälsovårdsutskottet delar grundlagsutskottets ståndpunkt och föreslår att 20 § 1 mom. och 21 § 1 mom. i kunduppgiftslagen ändras med anledning av grundlagsutskottets utlåtande så att uppgifter inte får lämnas ut till en annan tjänstetillhandahållare inom verksamhetsområdet utan en viljeyttring av kunden som motsvarar brett samtycke enligt gällande lag eller rätt till utlämnande enligt någon annan lag. Rättsgrunden, sådan den avses i dataskyddsförordningen, för utlämnande inom ett verksamhetsområde är den bestämmelse i kunduppgiftslagen som berättigar utlämnande, när viljeyttringen är en skyddsåtgärd. Vid utlämnande mellan socialvården och hälso- och sjukvården kvarstår som rättslig grund det samtycke som avses i EU:s allmänna dataskyddsförordning och som föreslås i 20 § 2 mom. och 21 § 2 mom. i lagförslag 1. Enligt inkommen utredning bör ett annat uttryck användas om viljeyttringar som krävs för interna överlåtelser inom ett verksamhetsområde, för att det ska vara klart när det är fråga om samtycke enligt dataskyddsförordningen och när det är fråga om en viljeyttring som utgör en skyddsåtgärd. Utskottet föreslår att uttrycket tillstånd för utlämnande används för den viljeyttring som är en förutsättning för utlämnande inom ett verksamhetsområde. 

I kunduppgiftslagen är samtycket ett noggrant avgränsat, specificerat och uttryckligt samtycke, om vilket det föreskrivs i EU:s allmänna dataskyddsförordning. Med tillstånd för utlämnande avses en viljeyttring som ges som en skyddsåtgärd och som kan ges på samma sätt som det så kallade breda samtycket, som för närvarande används i Kanta-tjänsten, och som således inte förutsätter motsvarande noggranna avgränsning eller specificering av de uppgifter som lämnas ut som samtycke. Omfattningen av tillståndet för utlämnande ska dock kunna begränsas genom specificerade förbud. 

Social- och hälsovårdsutskottet betonar betydelsen av bestämmelserna om utlämnande av uppgifter å ena sidan med tanke på kundens integritetsskydd och å andra sidan med tanke på behovet av att informationen förs vidare smidigt. Bestämmelserna ska vara tillräckligt tydliga och täckande för att kundens självbestämmanderätt ska kunna förverkligas och kunden ska kunna bevara ett förtroligt förhållande till tjänstetillhandahållaren. Å andra sidan anser utskottet det viktigt att utlämnandet av uppgifter sker så smidigt som möjligt när det finns en rättslig grund för utlämnandet. 

En smidig rörlighet för information har enligt utskottet en central betydelse när det gäller att säkerställa patientsäkerheten samt kvaliteten på vården och omsorgen. Samtidigt måste man dock sörja för integritetsskyddet. Vårdens eller socialservicens konfidentialitet kan lätt äventyras i det fall att känsliga uppgifter om klienten eller patienten i mycket stor utsträckning kan fås med hjälp av elektroniska system. Det finns många vårdhändelser där det inte behövs någon omfattande bakgrundsinformation om patienten. När dessa uppgifter å andra sidan behövs eller till och med är nödvändiga för att skydda liv eller hälsa, är det å andra sidan nödvändigt att snabbt och tillförlitligt trygga tillgången till uppgifterna. 

Enligt utskottet är ett tillstånd för utlämnande som liknar det nuvarande breda samtycket motiverat när det gäller utlämnande av uppgifter mellan tjänsteproducenter inom ett verksamhetsområde, eftersom klienten och patienten utöver tillståndet för utlämnande har möjlighet att begränsa utlämnandet i fråga genom förbud av olika omfattning. Det är med hjälp av omfattande förbudsmöjligheter i praktiken möjligt att i mycket stor utsträckning begränsa mängden uppgifter som får lämnas ut. I stället för det samtycke som avses i EU:s dataskyddsförordning anser utskottet att tillstånd för utlämnande i kombination med förbudsrättigheter vid internt utlämnande inom verksamhetsområdet är godtagbart och proportionerligt, i synnerhet eftersom uppgifterna då har samma användningsändamål. Därför är behovet av information mellan tillhandahållare av hälso- och sjukvårdstjänster eller på motsvarande sätt mellan tillhandahållare av socialvårdstjänster både innehållsmässigt och kvantitativt större. 

Dessutom är antalet breda samtycken som för närvarande ges i Kanta-tjänsten mycket stort. Före utgången av mars 2020 hade cirka 3 miljoner personer gett sitt samtycke till utlämnande av uppgifter. I förhållande till antalet beviljade samtycken har det däremot utfärdats få förbud som begränsar utlämnandet.Antalet förbud fram till den 30 april 2021 är 127 730. Siffran anger hur många personer som åtminstone en gång har förbjudit att uppgifter om dem lämnas ut. Personen har därefter kunnat göra ändringar i förbudet mot utlämnande (återkallelse/återställande av förbud), så siffran anger inte antalet gällande förbud.Av detta kan man sluta sig till att väldigt många patienter vill att den yrkesutbildade personal inom hälso- och sjukvården som behandlar dem ska ha bred tillgång till patientuppgifterna. Patienterna visar således ett starkt godkännande för omfattande utlämnande av uppgifter mellan tillhandahållare av hälso- och sjukvårdstjänster. Utlämnande av uppgifter genom brett samtycke är dessutom möjligt i de riksomfattande informationssystemen, så ett system med tillstånd för utlämnande kräver således ingen lång övergångsperiod. 

Utskottet konstaterar att kravet på ändamålsbundenhet framhävs vid utlämnandet av uppgifter mellan socialvården och hälso- och sjukvården, eftersom uppgifterna har samlats in för olika användningsändamål. Med tanke på kund- eller vårdförhållandets konfidentialitet är det enligt utskottet ohållbart om utlämnandet från socialvården till hälso- och sjukvården eller vice versa inte baserar sig på klientens specificerade och noggrant avgränsade samtycke eller en bestämmelse i lag som berättigar till utlämnandet. Social- och hälsovården omfattar många sådana tjänster som fungerar helt åtskilda från varandra och utan något behov av inbördes informationsutbyte. I dessa fall är kravet på separat behandling av uppgifter accentuerat med tanke på kundens självbestämmanderätt. Därför anser utskottet det motiverat att det vid det samtycke mellan olika verksamhetsområden som avses i 20 § 2 mom. och 21 § 2 mom. ska ges ett sådant specificerat och uttryckligt samtycke som avses i EU:s dataskyddsförordning och som föreslås i propositionen. 

Utskottet konstaterar dock att man i praktiken i fråga om vissa gemensamma tjänster kan identifiera ett mycket likartat användningsändamål för klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården. Det gäller i synnerhet när tjänster som hör till såväl socialvården som hälso- och sjukvården i praktiken tillhandahålls tillsammans för att de gemensamma målen ska nås. Exempelvis kan man nämna tjänster i anslutning till hemvård av äldre, där servicen kan vara hemsjukvård inom hälso- och sjukvården eller hemservice inom socialvården. Utskottet betonar behovet av en smidig behandling av uppgifterna i synnerhet i fråga om sådana tjänster. Detta behov är särskilt accentuerat när kunden är en person som inte själv har förmåga att bedöma vilken betydelse informationsbehovet har för tjänstens innehåll och kvalitet. Bakgrunden till försöket med hemvård enligt 2 a kap. i folkhälsolagen är den smidiga rörligheten för uppgifter i detta gemensamma syfte. Enligt bestämmelserna har personalen vid verksamhetsenheten för hemvård rätt att använda uppgifter i hemvårdsregistren på det sätt som deras arbetsuppgifter förutsätter. Utskottet konstaterar att det är nödvändigt att utvärdera det försök som inleddes vid ingången av 2005 i samband med den totalreform som konstateras nedan i slutet av utskottets överväganden och att på behörigt sätt föreskriva om behandlingen av uppgifter genom lagstiftning som gäller tills vidare. 

Bedömning av förslagen om utlämnande med hänsyn till EU:s dataskyddsförordning

Grundlagsutskottet förutsatte att social- och hälsovårdsutskottet försäkrar sig om att bestämmelserna om utlämnande är ändamålsenliga och proportionella med tanke på dataskyddsförordningen (GrUU 4/2021 rd, stycke 45). Utifrån uppgifter från social- och hälsovårdsministeriet konstaterar social- och hälsovårdsutskottet följande: 

EU:s allmänna dataskyddsförordning möjliggör utlämnande av personuppgifter på basis av ett specificerat och uttryckligt samtycke på det sätt som avses i förordningen eller, om förutsättningarna i förordningen uppfylls, på basis av en bestämmelse i lagen. Den grund för behandling av personuppgifter som utskottet föreslår skiljer sig beroende på om det är fråga om utlämnande inom ett verksamhetsområde eller utlämnande mellan olika verksamhetsområden. 

Utskottets förslag om tillstånd för utlämnande av uppgifter mellan tjänsteproducenter inom olika branscher är inte en grund för behandling av personuppgifter enligt dataskyddsförordningen, utan en skyddsåtgärd som ska ställas som villkor för utlämnande och som det kan föreskrivas om nationellt. Således baserar sig utlämnandet av uppgifter enligt 20 § 1 mom. och 21 § 1 mom. i enlighet med grundlagsutskottets utlåtande i konstitutionellt hänseende på en viljeyttring av klienten eller patienten, men i ljuset av dataskyddsförordningen är grunden för utlämnandet av uppgifterna de bestämmelser i 20 § 1 mom. och 21 § 1 mom. i kunduppgiftslagen som har utfärdats med stöd av artikel 6.1 c, 6.3 b och 9.2 h i dataskyddsförordningen. 

Utlämnandet av uppgifter mellan tjänstetillhandahållare inom samma verksamhetsområde är av orsaker som beskrivs närmare ovan motiverat med stöd av bestämmelserna i 20 § 1 mom. och 21 § 1 mom. samt med stöd av ett tillstånd för utlämnande som utgör en skyddsåtgärd, eftersom uppgifterna då har samma användningsändamål och behovet av information i flera situationer är omfattande. Med tanke på integritetsskyddet är det då också väsentligt att klienten och patienten dessutom har möjlighet att genom förbud av olika omfattning begränsa utlämnande som grundar sig på det breda samtycke som han eller hon gett. 

I EU:s allmänna dataskyddsförordning föreskrivs det inte uttryckligen om ett sådant tillstånd för utlämnande som föreslås som en skyddsåtgärd. Enligt inkommen utredning är det möjligt att nationellt föreskriva om tillstånd för utlämnande som skyddsåtgärd med stöd av artikel 6.4 e, artikel 9.2 h och i synnerhet artikel 9.4 i EU:s dataskyddsförordning och på motsvarande sätt också med stöd av 6 § i dataskyddslagen. 

Det samtycke som enligt propositionen krävs som grund för utlämnande mellan socialvården och hälso- och sjukvården är ett sådant samtycke som avses i EU:s allmänna dataskyddsförordning. Vid utlämnande mellan olika verksamhetsområden är den rättsliga grunden för behandlingen samtycke enligt artikel 6.1 a och 9.2 a i dataskyddsförordningen. Då ska personen redan när han eller hon ger sitt samtycke bland annat rikta det specificerade samtycket till vissa uppgifter som lämnas ut. Utskottet anser att detta är motiverat, eftersom uppgifterna då har ett annat användningsändamål och även behovet av de uppgifter som lämnas ut således innehållsmässigt och kvantitativt är betydligt mindre än inom ett verksamhetsområde. 

Både tillståndet för utlämnande och samtycket förutsätter tillräcklig information. Den föreslagna 16 § i kunduppgiftslagen innehåller bestämmelser om den information till kunden som tillstånd för utlämnande som skyddsåtgärd ska grunda sig på. Bestämmelser om informationsskyldigheter i anslutning till samtycke som grund för utlämnande finns i dataskyddsförordningen. 

Utlämnandet av personuppgifter enligt utskottets förslag till 20 § 1 mom. och 21 § 1 mom. i kunduppgiftslagen grundar sig på den kunduppgiftslag som är under behandling och begränsar de grundläggande fri- och rättigheter som hänför sig till integritetsskyddet enligt 10 § i grundlagen. I lagförslaget begränsas dock inte den registrerades rättigheter enligt dataskyddsförordningen. I enlighet med artikel 23.1 e i dataskyddsförordningen kan de grundläggande fri- och rättigheterna begränsas bland annat när syftet är att säkerställa folkhälsan och den sociala tryggheten. Den riksomfattande tillgången till klient- och patientuppgifter via de riksomfattande informationssystemtjänsterna är med stöd av den föreslagna lagen motiverad för ordnandet och genomförandet av hälsovårdstjänster och socialtjänster som främjar folkhälsan och den sociala tryggheten. 

Enligt artikel 23.2 i EU:s allmänna dataskyddsförordning ska de lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone avseende 

  • a) ändamålen med behandlingen eller kategorierna av behandling, 
  • b) kategorierna av personuppgifter, 
  • c) omfattningen av de införda begränsningarna, 
  • d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, 
  • e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, 
  • f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, 
  • g) riskerna för de registrerades rättigheter och friheter, och 
  • h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. 

Förslaget till kunduppgiftslag (lagförslag 1) innehåller flera av de ovan nämnda åtgärder som skyddar de registrerades rättigheter och som också gäller sådana utlämnanden som avses i 20 § 1 mom. och 21 § 1 mom., för vilka utskottet föreslår att ett tillstånd för utlämnande ska ställas som villkor. I lagförslaget och i annan gällande reglering av informationshanteringen inom social- och hälsovården finns bestämmelser om ändamålet med behandlingen av klient- och patientuppgifter vid ordnande och produktion av tjänster. I bestämmelserna avgränsas de grupper som har rätt att behandla klient- och patientuppgifter. På grund av olika användningsändamål specificeras dessutom bestämmelserna om klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården samt föreskrivs att endast nödvändiga klient- och patientuppgifter får behandlas inom social- och hälsovården. I lagförslaget föreskrivs att åtkomsträttigheter till kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar klient- och patientuppgifter sköter och de tjänster som denna person tillhandahåller. En kund kan i enlighet med 20 § 1 mom. och 21 § 1 mom. ge tillstånd att lämna ut uppgifter om honom eller henne samt begränsa utlämnandet med hjälp av förbud. Alla som behandlar kunduppgifter ska identifieras på ett tillförlitligt sätt och logguppgifter samlas in om användningen och utlämnandet av kunduppgifter. Uppgifter om utlämnanden visas i medborgargränssnittet (Mina Kanta-sidor). 

Bakom de riksomfattande informationssystemtjänsternas verksamhet ligger ett tungt vägande intresse som berör kärnan i individens och samhällets grundläggande fri- och rättigheter när det gäller ordnande av social- och hälsovård (grundlagens 19 § om rätt till social trygghet) och samtidigt säkerheten i samhället (grundlagens 7 § om rätt till liv, personlig frihet och integritet). En smidig rörlighet för behövlig och nödvändig information har nästan alltid en central betydelse för kvaliteten på den service som tillhandahålls och ibland till och med för tryggandet av liv och hälsa. Utskottet anser på de grunder som anges närmare ovan att ett lagbaserat tillstånd för internt utlämnande inom verksamhetsområdet är proportionerligt när det kombineras med möjligheten att förbjuda utlämnande. Det centrala vid bedömningen är att informationen har samma användningsändamål. Därför är behovet av information mellan tillhandahållare av hälso- och sjukvårdstjänster eller på motsvarande sätt mellan tillhandahållare av socialvårdstjänster både innehållsmässigt och kvantitativt större. Ett omfattande utlämnande av patientuppgifter mellan aktörerna inom hälso- och sjukvården har dessutom som konstateras ovan ett brett godkännande bland patienterna. 

Utskottet konstaterar dessutom att man i propositionen (s. 50) kritiskt har bedömt en modell som baserar sig på samtycke enligt EU:s dataskyddsförordning. Kritiken mot bedömningen riktar sig dock enligt utskottets uppfattning i synnerhet mot att det breda samtycket inom verksamhetsområdet ändras till ett uttryckligt och specificerat samtycke enligt EU:s dataskyddsförordning. I propositionen föreslås det att samtycke mellan olika verksamhetsområden ska vara ett specificerat samtycke. Det beror enligt utskottet på de skäl som anförs ovan. För genomförande av samtycke mellan olika verksamhetsområden föreslås också en övergångsperiod, på grund av den tid det tar att genomföra modellen. 

Förbud mot utlämnande av uppgifter om minderåriga

I 18 § i förslaget till kunduppgiftslag föreskrivs det att en minderårigs vårdnadshavare inte har rätt att meddela ett förbud mot utlämnande av uppgifter för en minderårigs räkning som vårdnadshavaren har vårdnaden om. I detaljmotiveringen till paragrafen (s. 105—106) sägs följande: ”En vårdnadshavare har inte rätt att meddela ett förbud för en minderårig som vårdnadshavaren har vårdnaden om. Detta baserar sig på 9 § 4 mom. i patientlagen enligt vilket patientens vårdnadshavare eller andra lagliga företrädare inte har rätt att förbjuda sådan vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa. Denna princip tillämpas också inom socialvården där den centrala principen är hänsynen till barnets bästa. Inom hälso- och sjukvården kan ett barn som är tillräckligt moget att besluta om sin vård meddela förbud själv.” 

Utskottet anser att den föreslagna omfattande begränsningen av talan är problematisk. Enligt 4 § i lagen angående vårdnad om barn och umgängesrätt (361/1983) företräder barnets vårdnadshavare barnet i de ärenden som avses i lagen och för barnets talan i dem. Det har gjorts noggrant definierade undantag från denna huvudregel, bland annat när det gäller att föra barnets talan inom socialvården och förordna en intressebevakare för barnet. Den fara för liv och hälsa som avses i 9 § 4 mom. i lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) motiverar enligt utskottet inte en så omfattande begränsning av vårdnadshavarens rätt att föra talan i fråga om behandlingen av uppgifter. Den bestämmelse som föreslås i propositionen stämmer således inte till alla delar överens med de rättsprinciper för barnets egen talan och föräldrarnas talan som för närvarande iakttas i civilrätten och den gällande social- och hälsovårdslagstiftningen. 

Utskottet föreslår att bestämmelsen ändras så att den motsvarar propositionsmotiven, det vill säga så att vårdnadshavaren eller någon annan laglig företrädare har rätt att förbjuda utlämnande av uppgifter för en minderårigs räkning i andra än sådana nödsituationer som avses i 13 § 3 mom. 3 punkten i patientlagen. Således begränsas rätten för en minderårig vårdnadshavare eller någon annan laglig företrädare till vad som föreslås i propositionsmotiven. Detta innebär att vårdnadshavaren eller någon annan laglig företrädare inte har rätt att förbjuda utlämnande av uppgifter när det är fråga om nödvändig vård för avvärjande av en fara som hotar en minderårig patients liv eller hälsa. Tidigare registrerade patientuppgifter kan vara nödvändiga för ordnandet och genomförandet av vården av patienten. Därför är det nödvändigt att säkerställa att patientuppgifterna för ett minderårigt barn finns tillgängliga via de riksomfattande informationssystemtjänsterna, i synnerhet i nödsituationer, utan att vårdnadshavaren eller någon annan laglig företrädare kan förbjuda att uppgifterna lämnas ut. 

I fråga om de riksomfattande informationssystemtjänsterna har det redan genomförts en funktion genom vilken en person särskilt kan tillåta eller förbjuda att hans eller hennes uppgifter lämnas ut i de nödsituationer som avses i 13 § 3 mom. 3 punkten i patientlagen. Alltså kan också den begränsning av vårdnadshavarens förbudsrätt som nu föreslås genomföras i de riksomfattande informationssystemtjänsterna genom att man i fråga om minderåriga slopar möjligheten för vårdnadshavaren eller någon annan laglig företrädare att välja att förbudet ska gälla dessa nödsituationer. 

Rätt att radera uppgifter och motsätta sig behandling

Grundlagsutskottet konstaterar (GrUU 4/2021 rd, stycke 12) att social- och hälsovårdsutskottet särskilt bör beakta vad dataskyddsförordningen säger om rätten att radera uppgifter och motsätta sig behandlingen av uppgifter. 

Social- och hälsovårdsutskottet konstaterar att det i den föreslagna kunduppgiftslagen inte föreslås någon begränsning av de registrerades rättigheter. De registrerades rättigheter enligt dataskyddsförordningen varierar beroende på vilken rättslig grund behandlingen grundar sig på. 

Enligt artikel 17.3 b och c i dataskyddsförordningen föreligger ingen rätt att få sina uppgifter raderade, om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige, eller för skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3. Behandlingen av uppgifter som avses i kunduppgiftslagen omfattas av de ovan nämnda punkterna i artikel 17 i dataskyddsförordningen. 

Bevarandet av klient- och patientuppgifter i Kanta-tjänsterna och lagringstiderna enligt lagstiftningen tryggar enligt utskottet både de yrkesutbildade personernas och social- och hälsovårdens kunders rättigheter och intressen. I värsta fall skulle rätten att få sina uppgifter raderade förhindra att kundernas och de yrkesutbildade personernas rättigheter tillgodoses och äventyra patientsäkerheten. Uppgifter kan också behövas för utredning av skadesituationer. Till exempel kan en misstänkt patientskada anmälas upp till tio år efter det att skadan borde ha upptäckts. Möjligheten att radera uppgifter skulle i sådana situationer äventyra både kundens och yrkespersonernas rättsskydd. 

När det gäller rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen konstaterar utskottet att den rättsliga grunden för behandling enligt kunduppgiftslagen är artikel 6.1 c och artikel 9.2 h i dataskyddsförordningen, vilka alltså inte ger den registrerade rätt att göra invändningar. Den rättsliga grund för behandling som valts i kunduppgiftslagen utesluter inte andra väsentliga rättigheter för den registrerade, såsom rätten att begära begränsning av behandlingen eller radering eller rättelse av felaktiga eller föråldrade uppgifter. 

Kundens rätt att få information om behandlingen av sina egna uppgifter

Utskottet konstaterar att kundens rätt att få logguppgifter är en viktig rätt som ger henne eller honom möjlighet att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. 

Kunden har redan med stöd av 18 § i den gällande klientuppgiftslagen rätt att få logguppgifter. Rätten att få logguppgifter anges i 26 § i den föreslagna kunduppgiftslagen. Enligt den bestämmelsen har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren utifrån loggregistret avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Kunden har motsvarande rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, viljeyttringstjänsten, receptcentret och informationsresursen för egna uppgifter, logguppgifter för använda eller utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. 

I 4 mom. föreslås en ny uppgift för dataombudsmannen, enligt vilken ett ärende kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen (1050/2018). Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska det fattas ett skriftligt avslagsbeslut. 

Enligt gällande bestämmelser har dataombudsmannen inte till uppgift att bedöma hur den rätt att få uppgifter som avses i 18 § i den föreslagna kunduppgiftslagen tillgodoses. Dataombudsmannen har inte heller i andra sammanhang bedömt kundens rätt att få logguppgifter. Dataombudsmannen har i ett yttrande ansett att propositionen i och med den nya uppgiften i betydande grad ökar dataombudsmannens uppgifter inom social- och hälsovården. 

I praktiken har det också i viss mån varit oklart vad man ska söka ändring i när en privat aktör vägrar lämna logguppgifter, eftersom den nuvarande klientuppgiftslagen inte innehåller någon bestämmelse om sökande av ändring. När det gäller myndighetsaktörer baserar sig rätten att få logguppgifter allmänt taget på offentlighetslagen. 

Social- och hälsovårdsministeriet har utifrån förvaltningsdomstolarnas avgöranden bedömt de tilläggsresurser som behövs. Enligt en utredning från ministeriet har det vid vissa förvaltningsdomstolar under en period av åtskilliga år förekommit endast några fall som gäller underlåtenhet att lämna logguppgifter och vid vissa förvaltningsdomstolar har det inte förekommit några fall alls. I fråga om tjänstetillhandahållarna vid social- och hälsovårdsverket i Helsingfors och Helsingfors och Nylands sjukvårdsdistrikt har högst ett fall förekommit per år. Antalet har således varit litet. 

Utskottet anser det vara viktigt att rättsmedlen i fråga om logguppgifter är tydliga och tillräckligt täckande, så den föreslagna bestämmelsen är motiverad. När det gäller klientens rättsskydd är det också av betydelse att det föreslagna rättsskyddsförfarandet i fråga om utebliven tillgång till logguppgifter är avgiftsfritt. Samtidigt konstaterar utskottet dock att antalet behandlingar av denna anledning kan antas öka. Dessutom behandlas ärenden som gäller den privata sektorn inte av förvaltningsdomstolarna, vilket framöver ökar antalet fall. Rådgivning och handledning i anslutning till detta kräver likaså mer resurser. 

Utskottet anser det nödvändigt att säkerställa att dataombudsmannens byrå har tillräckliga resurser. Klienternas rättssäkerhet kan inte tillgodoses om det de facto inte finns tillräckliga resurser för de förfaranden som gäller den. Utskottet framhåller att statsrådet noggrant bör följa de behov av personalresurser som behandlingen orsakar och vid behov vidta åtgärder för att trygga resurserna. 

Information till kunderna

Enligt 16 § i lagförslag 1 ska tjänstetillhandahållaren informera kunden om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om kundens rättigheter när det gäller de riksomfattande informationssystemtjänsterna. Enligt lagförslaget svarar Institutet för hälsa och välfärd för sakinnehållet i informationen om de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten svarar för informationsmaterialet. Informationen ska lämnas senast i samband med den första kontakten. 

Utskottet anser det viktigt att informationsskyldigheten är lagfäst. Tillräcklig, begriplig och rättidig information har en central betydelse dels med tanke på kundens rättsskydd i anslutning till privatlivet, dels med tanke på tillgodoseendet av kundens rättigheter i fråga om tillgången till och kvaliteten på social- och hälsovårdstjänster. 

Utskottet betonar att grupper med särskilda behov bör beaktas i informationen. Bland kunderna inom socialvården och hälso- och sjukvården finns det också personer i utsatt ställning vars förmåga att tillägna sig information kan vara nedsatt. Då framhävs skyldigheten att lämna information på ett sätt som klienten förstår och som beaktar klientens omständigheter. Informationen ska finnas tillgänglig på de språk som lagstiftningen förpliktar till samt med hjälp av olika informationsmetoder. 

Utskottet betonar också vikten av tillräckligt tydlig information till minderåriga kunder, så att deras rättigheter kan tillgodoses vid behandlingen av uppgifterna på det sätt som tryggas i lagstiftningen. En minderårigs rättigheter har ett nära samband dels med hans eller hennes ställning som klient eller patient, dels i relation till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Den minderåriga själv och vårdnadshavaren ska ges tillräcklig och tydlig information om behandlingen av uppgifterna och om deras rättigheter. 

Krav på informationssystem och välbefinnandeapplikationer

I 29 § i den föreslagna kunduppgiftslagen föreskrivs det om klassificering av informationssystem. Social- och hälsovårdens informationssystem och välbefinnandeapplikationer uppdelas enligt deras användningsändamål och egenskaper i klasserna A och B. Till klass A hör de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten samt de informationssystem och välbefinnandeapplikationer som behandlar kunduppgifter och som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna. Klass A anses också omfatta de förmedlingstjänster som används för att överföra uppgifter i regionala eller lokala informationssystem inom hälso- och sjukvården till de riksomfattande informationssystemtjänsterna. 

Informationssystemen i klass B ska vara sådana som varken direkt eller via en förmedlingstjänst är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientuppgiftssystem hör till klass B även om patientuppgiftssystemet registrerar laboratorieresultaten senare i Kanta-tjänsternas arkiveringstjänst. 

Institutet för hälsa och välfärd får enligt 29 § 4 mom. i lagförslaget meddela föreskrifter om klassificeringen av informationssystem. 

I 35 § i förslaget till kunduppgiftslag föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska påvisa att informationssystemet eller välbefinnandeapplikationen uppfyller de väsentliga kraven. 

Utskottet understöder ett förfarande där alla tjänstetillhandahållare som behandlar kunduppgifter via elektroniska informationssystem ska ansluta sig till de riksomfattande informationssystemtjänsterna med ett informationssystem som hör till klass A. Den föreslagna kunduppgiftslagen utvidgar skyldigheten för privata tjänstetillhandahållare att ansluta sig. Utskottet välkomnar att man samtidigt också utvidgar kretsen av informationssystem i kategori A. Eftersom dessa informationssystem utöver Kanta-tjänsternas interoperabilitet också ska klara av den bedömning av informationssäkerheten som utförs av bedömningsorganet för informationssäkerhet, minskar reformen sårbarheten hos enskilda aktörers kundinformationssystem. Samtidigt framhävs dock skyldigheten att sörja för nivån på informationssäkerheten inom Kanta-tjänsterna. 

Utskottet anser med tanke på tillsynen att det är viktigt att närmare föreskrifter än vad som föreskrivs i lag utfärdas om producentens utredning för påvisande av att informationssystem som hör till klass B överensstämmer med kraven. Enligt uppgift har de närmare bestämmelserna hittills i huvudsak gällt system i kategori A. Utskottet konstaterar att det i fortsättningen är nödvändigt att på det sätt som propositionen möjliggör rikta väsentliga krav också till informationssystem i klass B för att säkerställa interoperabilitet och informationssäkerhet. 

Förvaringstider

Enligt grundlagsutskottet gäller kravet på att bestämmelser om känsliga personuppgifter ska utfärdas genom lag också förvaringstiderna (GrUU 14/2018 rd, s. 2 och 6). Grundlagsutskottet konstaterar att regleringen måste kompletteras. 

Social- och hälsovårdsutskottet konstaterar att den gällande klientuppgiftslagen och det nya lagförslaget inte innehåller bestämmelser om förvaringstiden i anslutning till de riksomfattande informationssystemtjänsterna. Grunden för bestämmelserna om förvaringstider för journalhandlingar finns i 12 § i patientlagen. Närmare bestämmelser om förvaringstiderna för journalhandlingar finns i social- och hälsovårdsministeriets förordning om journalhandlingar. Bestämmelser om förvaringstiderna för klienthandlingar inom socialvården finns i 27 § i lagen om klienthandlingar inom socialvården (254/2015) och i bilagan till lagen. De föreskrivna förvaringstiderna gäller också uppgifter som förs in i de riksomfattande informationssystemtjänsterna. 

Enligt inkommen utredning är avsikten att i samband med den totalreform som är under beredning till behövliga delar föreskriva närmare om förvaring av journalhandlingar i lag i stället för i förordning. Samtidigt ska bestämmelserna också uppdateras innehållsmässigt. Vid ministeriet har man för detta ändamål inlett en värdering som ska vara klar före utgången av oktober 2021. Det är frågan om en utredning av vilka handlingar som är nödvändiga eller behövliga med tanke på ordnandet och produktionen av patienternas hälso- och sjukvård. 

I ljuset av de nuvarande bestämmelserna konstaterar utskottet att bestämmelserna om förvaringstider inte hör till den nu föreslagna kunduppgiftslagen, eftersom grunden för bestämmelserna om förvaringstider finns i annan lagstiftning. Bestämmelserna gäller både elektroniska uppgifter och pappersdokument. Utskottet konstaterar att förvaringstiderna bör granskas som en helhet, oberoende av vilken form materialet finns i. Därför anser utskottet det vara ändamålsenligt att bestämmelserna om förvaringstider revideras i samband med den ovan nämnda totalreformen. Med tanke på lagens enhetlighet och informativitet föreslår utskottet att det till 8 § i kunduppgiftslagen nu fogas en hänvisning till bestämmelserna om förvaringstider. 

Propositionens ekonomiska konsekvenser

Vid utskottets sakkunnigutfrågning påtalades det att propositionens konsekvensbedömning är delvis bristfällig. Utifrån inkomna yttranden förorsakas både myndighetsfunktionerna och tillhandahållarna av social- och hälsovårdstjänster kostnader för ändringar i verksamheten och för tekniska investeringar. Kostnaderna för de ändringar som föreslås i synnerhet i tjänstetillhandahållarnas klient- och patientdatasystem har dock inte specificerats eller uppskattats närmare i propositionen. Det konstateras också att personalutbildning och stöd för verkställigheten orsakar kostnader. 

Sakkunniga har å andra sidan också lyft fram de kostnadsfördelar som är förenade med propositionen. I synnerhet i början är risken för kostnadsökningar dock betydande på grund av de investeringar som behövs. 

Utskottet konstaterar att en tillräcklig finansiering av Kanta-tjänsterna, som upprätthålls av Folkpensionsanstalten, bör tryggas genom en modell som stöder en långsiktig, planmässig och transparent utveckling av den omfattande och fortgående växande systemhelheten. 

Institutet för hälsa och välfärd bedömer att propositionen ökar och utvidgar dess uppgifter jämfört med nuläget. Behovet av tilläggsresurser uppskattas uppgå till 600 000 euro per år. 

Även Tillstånds- och tillsynsverket för social- och hälsovården Valvira konstaterar att dess nuvarande personalresurser är otillräckliga för de uppgifter som tillkommer genom propositionen. 

Behovet av att följa hur dataombudsmannens resurser räcker till har konstaterats ovan. 

Utskottet betonar att tillräckliga resurser är en förutsättning för att informationssystemen ska fungera och för att de ska kunna övervakas på ett trovärdigt och verkningsfullt sätt. 

Utskottet konstaterar att det finns många små producenter av privat socialservice och att de sociala tjänster som dessa tillhandahåller utgör en betydande del av servicesystemet. Lagreformen får inte äventyra de små tjänstetillhandahållarnas existens och verksamhetsförutsättningar. Det väsentliga enligt utskottet är att det blir så enkelt och förmånligt som möjligt att ansluta sig till de riksomfattande informationssystemtjänsterna. 

Tidsplan för genomförandet

Sakkunniga har framfört oro över den alltför snäva tidsplanen för verkställigheten av den föreslagna kunduppgiftslagen. Utifrån en utredning från social- och hälsovårdsministeriet föreslår utskottet nedan vissa ändringar i övergångsbestämmelserna. Utskottet betonar dock att ministeriet måste bevaka genomförandet av reformerna samt bedöma och i rätt tid föreslå eventuella ändringsbehov i övergångstiderna. Dessutom ska det i samband med verkställigheten sörjas för informationen till och den allmänna kommunikationen med de aktörer och medborgare som är föremål för bestämmelserna samt för utbildningen av personalen inom social- och hälsovården i anslutning till ändringarna i informationssystemens funktioner. 

Avslutningsvis

Utskottet fäster allvarlig uppmärksamhet vid att det under riksdagsbehandlingen har varit nödvändigt att göra ett flertal ändringar i propositionen med anledning av såväl grundlagsutskottets utlåtande som social- och hälsovårdsutskottets sakkunnigutfrågning. Riksdagsbehandlingen lämpar sig inte särskilt bra för omfattande ändringar. De lagförslag riksdagen får ska grunda sig på tillräckligt täckande motiveringar och konsekvensbedömningar samt på ett offentligt utkast som är tillgängligt för alla; därigenom säkerställs lagstiftningens transparens och kvalitet. Om riksdagen måste göra omfattande ändringar i lagförslagen blir det också svårt att få en helhetsbild av förarbetena till lagen, vilket kan göra tillämpningen av lagen besvärlig. 

Utskottet konstaterar också att även om propositionen förtydligar bestämmelserna om elektronisk behandling av kunduppgifter, förblir lagstiftningen om dataskydd och informationshantering inom social- och hälsovården fortfarande splittrad, svårtolkad och delvis bristfällig. Regleringen omfattar ett flertal lagar och förordningar, och bestämmelserna motsvarar inte till alla delar kraven i EU:s allmänna dataskyddsförordning. Regleringen är också delvis föråldrad och inbördes motstridig, vilket innebär att det i praktiken är utmanande att tillämpa och samordna flera olika lagar samtidigt. Vid behandlingen av vissa propositioner i utskottet har det också framkommit att förhållandet mellan olika lagar om behandling av klient- och patientuppgifter delvis är oklart. Särskilt förhållandet mellan lagen om sekundär användning av personuppgifter inom social- och hälsovården och annan reglering har visat sig vara utmanande, och därför betonar utskottet behovet av att uppdatera lagen om sekundär användning. 

Enligt inkommen utredning har social- och hälsovårdsministeriet inlett en fullständig översyn av bestämmelserna om informationshantering inom social- och hälsovården. Avsikten är att avhjälpa de påtalade bristerna. Översynen är ett omfattande projekt och kommer att sträcka sig över flera regeringsperioder. Enligt utredningen är avsikten att en proposition för den första fasen ska lämnas till riksdagen ännu under innevarande regeringsperiod. 

Utskottet betonar behovet av att reformera författningsgrunden för behandlingen av uppgifter inom social- och hälsovården så att den är tydlig, enhetlig och heltäckande och motsvarar kraven i Europeiska unionens stadga om de grundläggande rättigheterna, grundlagen och den allmänna dataskyddsförordningen samt stöder servicesystemet inom social- och hälsovården och integrationen av social- och hälsovården. Regleringen bör förenhetligas och förtydligas så att behandlingen av personuppgifter och de registrerades rättigheter framgår på ett begripligt och entydigt sätt. Det är också nödvändigt att förtydliga förhållandet mellan olika lagar så att det i olika situationer inte råder oklarhet om vilken lag som ska tillämpas. Utskottet föreslår ett uttalande om detta. (Utskottets förslag till uttalande

DETALJMOTIVERING

1. Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården

3 §. Definitioner.

Det föreslås att hänvisningsbestämmelsen i 11 punkten korrigeras så att den hänvisar till informationsresursen för egna uppgifter i 12 punkten i stället för till 16 punkten. Eftersom det till 20 § 1 mom. och 21 § 1 mom. fogas ett krav på tillstånd för utlämnande, fogas till 3 § 16 punkten också tillstånd för utlämnande som en handling som upprätthålls i viljeyttringstjänsten. 

4 §. Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna.

Utskottet föreslår att 1 mom. förtydligas så att omnämnandet av att de välbefinnandeuppgifter som lagrats i informationsresursen för egna uppgifter inte omfattas av Folkpensionsanstaltens personuppgiftsansvar stryks, eftersom omnämnandet är otydligt och vilseledande. Bestämmelsen strider mot momentets första mening, enligt vilken Folkpensionsanstalten personuppgiftsansvarig i fråga om informationsresursen för egna uppgifter. Utskottet föreslår dessutom att 1 mom. preciseras så att Folkpensionsanstalten inte ska ha rätt att lämna ut uppgifter som lagrats i informationsresursen för egna uppgifter för andra ändamål än de som avses i 13 § 2 mom. i klientuppgiftslagen. Med andra ord får personuppgifter som lagrats i informationsresursen för egna uppgifter endast med personens samtycke användas för ordnande och produktion av social- och hälsotjänster, inte för andra användningsändamål, såsom exempelvis vetenskaplig forskning. 

8 §. Handlingar som ska sparas i den riksomfattande arkiveringstjänsten.

Enligt propositionsmotiven till 8 § 3 mom. (s. 90) gör den föreslagna bestämmelsen det möjligt att i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis. 

Grundlagsutskottet har ansett att orsaker som gäller tidsplanerna för sådana administrativa åtgärder inte uppfyller kravet på särskilda skäl i grundlagens 79 § 3 mom. (se också GrUU 3/2019 rd, s. 3). Föranstaltningar av detta slag hör till det normala lagstiftningsarbetet, och den behövliga tiden kan reserveras när beslut fattas om ikraftträdandet i samband med stadfästelsen av lagen (GrUU 11/2014 rd, s. 7/II, GrUU 4/2014 rd, s. 5/II, och GrUU 7/2005 rd, s. 11/II). Med andra ord måste 8 § 3 mom. i lagförslag 1 enligt grundlagsutskottet ändras för att det ska kunna behandlas i vanlig lagstiftningsordning till dessa delar (GrUU 4/2021 rd, stycke 51). 

Social- och hälsovårdsutskottet föreslår att bestämmelserna i 3 mom. stryks och bestämmelser om tidsfristerna för de handlingar som ska lagras i de riksomfattande informationssystemtjänsterna fogas till 52 § om övergångsbestämmelser. Utskottet föreslår med anledning av grundlagsutskottets utlåtande och av skäl som framgår av utskottets allmänna överväganden att det till 8 § 3 mom. fogas hänvisningar till bestämmelserna om förvaringstid i 12 § i patientlagen och 27 § i klienthandlingslagen. 

12 §. Viljeyttringstjänsten.

Till 1 mom. fogas som uppgift som sparas i viljeyttringstjänsten uppgifter om tillstånd för utlämnande som beviljats en person. 

18 §. Tillstånd för, samtycke till och förbud mot utlämnande.

Med anledning av grundlagsutskottets utlåtande och av skäl som framgår av utskottets allmänna överväganden föreslås det att det till paragrafen fogas nya 1—3 mom. som gäller tillstånd för och samtycke till utlämnande. 

I det nya 1 mom. föreskrivs det om sättet att meddela tillstånd för och samtycke till utlämnande genom de riksomfattande informationssystemtjänsterna. 

I det nya 2 mom. föreskrivs det om informationsskyldighet, frivillighet och giltighetstid i samband med tillståndet för utlämnande och rätten att återkalla tillståndet. Eftersom det samtycke som avses i 20 § 2 mom. och 21 § 2 mom. är det samtycke som avses i den allmänna dataskyddsförordningen, hänvisas det i fråga om samtycken till dataskyddsförordningen. 

I det nya 3 mom. föreskrivs det om den lagliga företrädarens rätt att meddela tillstånd för eller samtycke till utlämnande, om kunden inte har förutsättningar att bedöma deras betydelse. 

Lagförslagets 1 mom. om rätt att förbjuda utlämnande blir 4 mom. Utskottet föreslår att bestämmelsen om vårdnadshavares rätt att meddela förbud ändras av de orsaker som anges ovan i de allmänna övervägandena, så att vårdnadshavarens rätt att meddela förbud för en minderårig tillåts i andra än sådana nödsituationer som avses i 13 § 3 mom. 3 punkten i patientlagen. Det föreslås att bestämmelsen utöver vårdnadshavaren också gäller en annan laglig företrädare, om denna för talan på en minderårigs vägnar i stället för vårdnadshavaren. Det innebär att vårdnadshavaren eller någon annan laglig företrädare inte har rätt att förbjuda nödvändig vård för avvärjande av en fara som hotar en minderårig patients liv eller hälsa. 

Propositionens 2 mom. blir därmed 5 mom. Utskottet konstaterar att momentet i fråga står i strid med propositionsmotiven såtillvida att det i motiven (s. 106) konstateras att förbudet kan gälla en personuppgiftsansvarig inom social- och hälsovården. Detta framgår dock inte av paragrafen. Utskottet föreslår att bestämmelsen kompletteras till denna del och att ordningsföljden för momentets bestämmelser samtidigt ändras i en mer konsekvent ordning i enlighet med omfattningen av de helheter som förbudet gäller. 

Propositionens 3 mom. blir därmed 6 mom. Utskottet föreslår att momentets uttryck kund ersätts med klient och patient, eftersom viljeyttringarna särskilt gäller klientuppgifter inom socialvården och patientuppgifter inom hälso- och sjukvården. 

Propositionens 4 mom. blir därmed 7 mom. Den föreslagna paragrafen om förbud innehåller inga bestämmelser om den informationsskyldighet som ligger till grund för förbudet eller om att det är frivilligt att meddela förbud. Utskottet föreslår att momentet om förbudets giltighetstid och återkallelse kompletteras till denna del. 

På grund av de ovan nämnda ändringarna föreslås det också att paragrafens rubrik ändras så att den gäller tillstånd för, samtycke till och förbud mot utlämnande. 

19 §. Meddelande och återkallande av tillstånd för, samtycke till och förbud mot utlämnande.

Med anledning av grundlagsutskottets utlåtande föreslås det att det till 20 § 1 mom. och 21 § 1 mom. fogas ett omnämnandet av att tillstånd för utlämnande utgör en förutsättning för utlämnande. På grund av denna ändring föreslås det att 19 § 1—4 mom. ska gälla inte bara meddelande av förbud mot utlämnande utan också meddelande av tillstånd för utlämnande och samtycke till utlämnande. 

Dessutom föreslås det att det till 2 mom. fogas ett omnämnande av att tillståndshandlingen, samtyckeshandlingen och förbudshandlingen vid behov ska ges alternativt på något annat tillgängligt sätt. Utskottet anser att tillägget är viktigt för att uppgifterna i handlingarna i fråga ska vara tillgängliga på lika villkor oberoende av olika begränsningar i kundens funktionsförmåga. 

Bestämmelserna i 3 mom. kompletteras så att de gäller också handlingar som gäller tillstånd för respektive samtycke till utlämnande. 

Paragrafens rubrik ändras så att också tillstånd för och samtycke till utlämnande nämns. 

20 §. Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster.

Utskottet föreslår att det på de grunder som konstateras i de allmänna övervägandena och med anledning av grundlagsutskottets utlåtande till 1 mom. fogas ett omnämnande av att patientuppgifter inte får lämnas ut utan patientens tillstånd eller en grund som anges i 13 § 3 mom. 3 punkten i patientlagen eller i en bestämmelse i någon annan lag som berättigar till utlämnande. Utskottet föreslår att uttrycket tillstånd för utlämnande används för patientens viljeyttring i 1 mom., eftersom det vid dessa utlämnanden inte är en grund för behandling enligt EU:s dataskyddsförordning, utan en sådan skyddsåtgärd som enligt den allmänna motiveringen ska ställas som villkor för utlämnande. Till skillnad från det noggrant avgränsade, uttryckliga och specificerade samtycke som avses i EU:s dataskyddsförordning kan tillstånd för utlämnande ges på samma sätt som det så kallade breda samtycke som för närvarande används i Kanta-tjänsten ges. 

Till 2 mom. fogas för tydlighetens skull en hänvisningsbestämmelse till artikel 7 i dataskyddsförordningen. 

21 §. Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster.

Utskottet föreslår att paragrafen ändras på samma sätt som 21 §, med undantag för hänvisningen till patientlagen som gäller utlämnande av patientuppgifter. 

24 §. Medborgargränssnitt samt kunduppgifter och viljeyttringar som visas via det.

Enligt 2 mom. får en person via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. Utskottet konstaterar att det dock ska vara möjligt att via gränssnittet visa namnet på den person som har uträttat ärenden på personens vägnar. Utskottet föreslår att det till paragrafen fogas ett nytt 3 mom. om detta. 

25 §. Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande.

Bestämmelserna i 4 mom. är oklara i fråga om vad organisationen ska spara i förvaringstjänsten för loggregister. Utskottet föreslår att momentet ändras så att det i stället för kundregisteruppgifter föreskrivs om logguppgifter om utlämnande av kundhandlingar. 

34 §. Väsentliga krav på informationssystem och välbefinnandeapplikationer.

En applikation som godkänns av en myndighet ska vara förenlig med Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer Den reglering som genomförandet av det så kallade tillgänglighetsdirektivet förutsätter ingår i lagen om tillhandahållande av digitala tjänster (306/2019), men den gäller endast myndighetens tjänster. Utskottet föreslår att det till 1 mom. fogas ett krav på att en välbefinnandeapplikation ska uppfylla tillgänglighetskraven. 

36 §. Interoperabilitetstestning.

Den interoperabilitetstestning som avses i paragrafen är ändamålsenlig endast i de system av klass A som är anslutna till de riksomfattande informationssystemtjänsterna. Utskottet föreslår att 3 mom. preciseras så att inte heller informationssystem i kategori A som inte ansluts till de riksomfattande informationssystemtjänsterna omfattas av någon separat interoperabilitetstestning. 

40 §. Övervakning och inspektioner av informationssystem.

Utskottet konstaterar att den föreslagna bestämmelsen inte motsvarar motiveringen (s. 127), enligt vilken inspektionerna också kan utföras utan förhandsanmälan och tillsynsmyndigheten har rätt till handräckning. Utskottet föreslår att sådana bestämmelser fogas till paragrafens 2 mom. 

43 §. Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter.

I paragrafen saknas en hänvisning till straffrättsligt tjänsteansvar, och frågan om tjänsteansvar har inte heller behandlats i motiveringen till bestämmelsen. Utskottet konstaterar att det för tydlighetens och den straffrättsliga legalitetsprincipens skull finns anledning att till den föreslagna bestämmelsen foga en bestämmelse om att bestämmelserna om straffrättsligt tjänsteansvar ska tillämpas på en sakkunnig när han eller hon utför uppgifter som avses i lagen och att bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). 

47 §. Avgifter.

Utskottet föreslår att en term i 1 mom. i den finska språkdräkten ändras så att den språkligt stämmer överens med de övriga bestämmelserna i lagförslaget. Ändringen påverkar inte den svenska språkdräkten. 

48 §. Straffbestämmelser.

Det föreslås att ordet ”rikkoo” i den inledande meningen i 1 mom. i den finska språkdräkten flyttas till början av 1 punkten. Ändringen påverkar inte den svenska språkdräkten. 

Det föreslås att uttrycket ”utan kundens samtycke eller utan att en bestämmelse i lag tillåter det” i rekvisitet för gärningssätt i 1 mom. 2 punkten ändras till ”utan kundens samtycke eller utan lagfäst rätt” i enlighet med motiveringen till paragrafen (s. 132) i propositionen, dock så att också tillstånd för utlämnande fogas till den. 

I rekvisitet för äventyrande av integritetsskyddet i 1 mom. 3 punkten nämns också att förfarandet äventyrar ”hans eller hennes rättigheter i övrigt”. Utskottet föreslår att uttrycket stryks, eftersom innehållet inte är tillräckligt noggrant avgränsat och det inte ges något innehåll i propositionsmotiven. 

52 §. Övergångsbestämmelser.

Eftersom grundlagsutskottet i sitt utlåtande har förutsatt att tillstånd att lämna ut uppgifter enligt 20 § 1 mom. och 21 § 1 mom. ska vara ett villkor för utlämnande av uppgifter, ändras betydelsen av förbudet mot utlämnande av alla klient- och patientuppgifter så att det inte är nödvändigt att omedelbart tillämpa förbudet. Utskottet föreslår att det till 2 mom. fogas en motsvarande övergångsperiod för förbudet mot utlämnande av alla klient- och patientuppgifter som redan gäller företagshälsovårdsuppgifter. Enligt inkommen utredning möjliggör övergångsperioden att ett förbud som omfattar alla uppgifter kan verkställas direkt i klient- och patientdatasystemen utan ett separat användargränssnitt, vilket minskar kostnaderna och arbetet för tillhandahållare av social- och hälsovårdstjänster, dock utan att kundernas rättigheter äventyras. 

Utskottet föreslår att alla övergångsperioder ändras i förhållande till lagens ikraftträdande för att trygga en tillräcklig övergångstid. Utifrån inkommen utredning föreslås det att den övergångsperiod som föreskrivs i 5 mom. förlängs till cirka två år från lagens ikraftträdande. 

Det föreslås dock inte att de tidsplaner för anslutning till socialvården som anges i 1 mom. ändras, eftersom övergångsperioderna i fråga enligt uppgift från social- och hälsovårdsministeriet är tillräckliga. 

Med hänvisning till specialmotiveringen till 8 § 3 mom. föreslår utskottet att det till 52 § om övergångsbestämmelser fogas nya 8—13 mom., som med anledning av grundlagsutskottets utlåtande ska innehålla bestämmelser om tidsfristerna för de handlingar som ska sparas i de riksomfattande informationssystemtjänsterna. De föreslagna tidsfristerna baserar sig på en utredning från social- och hälsovårdsministeriet om behövliga övergångstider. 

3. Lagen om ändring av lagen om elektroniska recept

10 §. Rättelse, avslutande, makulering och förnyelse av recept.

I paragrafen föreslås enligt propositionen ett nytt 4 mom. om att läkemedelsförskrivaren ska göra en anteckning i receptcentret om patienten ska sluta använda ett läkemedel som patienten har använt. Utskottet föreslår att också det moment som blir 5 mom. kompletteras med ett omnämnande av avslutande av recept. I momentet i fråga föreskrivs om skyldigheten att till receptet foga en motivering till åtgärden, om receptet rättas, makuleras eller förnyas eller när förnyelse förhindras. Enligt utskottets åsikt är ett beslut om avslutande av recept också ett vårdbeslut, och det kan inverka på genomförandet av läkemedelsbehandlingen i fortsättningen. Därför ska orsaken till avslutandet kunna spåras. 

11 §. Apotekets rätt att få uppgifter.

I 1 mom. används termen ”undertecknat samtycke”, trots att motsvarande term i 12 § i lagförslaget föreslås bli ändrad till fullmakt. Utskottet föreslår att också 1 mom. ändras så att det till denna del motsvarar 12 § i lagen. 

13 §. Patientens rätt att bestämma om utlämnande av uppgifter.

I 1 mom. föreslås en komplettering där avslutande av recept nämns. Utskottet anser det med tanke på patientsäkerheten vara motiverat att det i bestämmelsen nämns att uppgiften om att receptet avslutats ska lämnas ut, eftersom detta kan påverka vården av patienten. 

Bestämmelserna i paragrafen och specialmotiveringen till den är sinsemellan motstridiga i propositionen. I lagförslaget föreslås det att det nuvarande 2 mom. upphävs, medan det i motiveringen (och i parallelltexterna i bilagan) föreslås att det ändras. För tydlighetens skull konstaterar utskottet att det nuvarande 2 mom. upphävs. 

I det nuvarande 3 mom., som blir 2 mom., definieras inte återtagande av förbud, vilket det gör i 1 mom. Utskottet föreslår att bestämmelsen kompletteras till denna del. 

Utskottet föreslår också att det till 4 mom. 5 punkten fogas uppgifter om att recept har avslutats, eftersom de kan inverka på vården av patienten i synnerhet om avslutandet av receptet har berott på att läkemedlet inte har lämpat sig för patienten eller att det har orsakat fara för patientens hälsa. 

Enligt uppgift innebär den nya ordalydelsen i 5 punkten en väsentlig förändring av förfarandet i fråga om förbud att lämna ut enskilda recept i sådana situationer som avses i 8 § i patientlagen där brådskande vård måste ges och patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet. Utskottet föreslår att punkten bibehålls i den form den har i den gällande lagen, eftersom den föreslagna formen skulle medföra ändringar i alla patientdatasystem, vilket vore omöjligt enligt den föreslagna tidsplanen. Enligt utredningen ska recepttjänsten och Kanta-arkivet fungera på samma sätt som när den nuvarande så kallade nödsökningen används. 

14 §. Förbudshandling.

Utskottet föreslår att det till 1 mom. fogas ett omnämnande av att ett undantag från förbudet har gjorts med tanke på situationer som avses i 8 § i patientlagen, eftersom uppgifterna i fråga ska lämnas ut i dessa situationer. 

16 a §. Viljeyttringstjänsten.

Utskottet konstaterar att enligt social- och hälsovårdsministeriet har det i paragrafen av misstag blivit kvar omnämnanden av informationshanteringstjänsten i såväl rubriken som paragraftexten. Avsikten är inte att föreskriva att det genom informationshanteringstjänsten är möjligt att i den utsträckning som föreskrivs i 13 § i denna lag ge åtkomst till de uppgifter om recept och om expedieringar av dem som finns i receptcentret. Det föreslås att paragrafen och dess rubrik ändras till denna del. 

17 §. Medborgargränssnitt.

Enligt utskottet bör patienten genom medborgargränssnittet också få uppgifter om avslutade recept. Utskottet föreslår att en sådan komplettering görs i 1 mom. 

Utskottet föreslår dessutom att det till 1 mom. fogas en bestämmelse som motsvarar tillägget till 24 § i kunduppgiftslagen, dvs. att namnet på den som har uträttat ett ärende för patientens räkning får ges via användargränssnittet. 

24 §. Styrning, uppföljning och övervakning.

I propositionen föreslås det att 4 mom. stryks, eftersom det enligt motiven föreskrivs om den personuppgiftsansvariges uppgifter, om vilka det föreskrivs i EU:s allmänna dataskyddsförordning. Den personuppgiftsansvariges uppgifter kan inte regleras på nationell nivå och det medges inget nationellt handlingsutrymme i fråga om den personuppgiftsansvariges uppgifter. Utskottet konstaterar dock att motiveringen ovan inte gäller slutdelen av det 4 mom. som enligt förslaget ska strykas. Det föreskrivs där att verksamhetsenheterna för hälso- och sjukvård, verksamhetsenheterna för socialvård och apoteken har rätt att få logguppgifter av Folkpensionsanstalten till den del anställda vid verksamhetsenheten eller apoteket i fråga har läst och behandlat uppgifter i receptcentret. Man har alltså enligt gällande bestämmelser hittills i eventuella problemsituationer som gäller loggar kunnat lita på att man av Folkpensionsanstalten kan få logguppgifter, om loggen i apotekets eller tjänstetillhandahållarens system inte ger tillräckliga uppgifter eller om uppgifterna av någon annan orsak inte kan nås. Strykningen av denna bestämmelse utesluter denna möjlighet. Utskottet föreslår att bestämmelsen om detta i gällande 4 mom. fogas till paragrafen. För enhetlighetens skull används dock termen tillhandahållare av social- och hälsovårdstjänster. 

Paragrafens 4 mom. blir 5 mom. Utskottet föreslår att Folkpensionsanstalten fogas till momentet, så att skyldigheterna är enhetliga för alla aktörer, med undantag för utnämning av ett dataskyddsombud, vilket följer av bestämmelserna i artiklarna 37—39 i EU:s allmänna dataskyddsförordning och 6 § i dataskyddslagen (1050/2018). 

9. Lagen om ändring av 55 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården

55 §. Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd.

I 55 § 5 mom. i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) föreskrivs det om patientens rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Enligt den bestämmelsen antecknas förbudet i patientens informationshanteringstjänst som avses i klientuppgiftslagen. I propositionen föreslås det dock inte att den bestämmelsen ska ändras. Utskottet föreslår att momentet ändras så att det i fråga om hänvisningarna motsvarar den föreslagna regleringen i kunduppgiftslagen. 

FÖRSLAG TILL BESLUT

Social- och hälsovårdsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 2, 4—6 och 8 i proposition RP 212/2020 rd utan ändringar. Riksdagen godkänner lagförslag 1, 3 och 7 i proposition RP 212/2020 rd med ändringar. (Utskottets ändringsförslag) Riksdagen godkänner ett nytt lagförslag 9. (Utskottets nya lagförslag) Riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande) 

Utskottets ändringsförslag

1. Lag om elektronisk behandling av kunduppgifter inom social- och hälsovården 

I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Syftet med denna lag är att främja och möjliggöra att kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas på ett informationssäkert sätt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Ett syfte med lagen är också att främja kundens möjligheter att få information om behandlingen av de egna kunduppgifterna. 
2 § 
Tillämpningsområde och förhållande till övrig lagstiftning 
Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag. 
Till den del som denna lag inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det om saken i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, lagen om informationshantering inom den offentliga förvaltningen (906/2019), dataskyddslagen, lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019), lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) samt arkivlagen (831/1994). Bestämmelser om språkliga rättigheter vid behandlingen av kunduppgifter och ordnandet av tjänster och verksamhet enligt denna lag finns dessutom i språklagen (423/2003). Bestämmelser om produkter och utrustning som används inom hälso- och sjukvården finns i lagen om produkter och utrustning för hälso- och sjukvård (629/2010). 
3 § 
Definitioner 
I denna lag avses med 
1) kund en sådan klient inom socialvården som avses i klientlagen och en patient som avses i patientlagen, 
2) kundhandling en sådan klienthandling inom socialvården som avses i klientlagen och lagen om klienthandlingar inom socialvården (254/2015), nedan klienthandlingslagen, och en journalhandling som avses i patientlagen, 
3) klientuppgift inom socialvården en personuppgift som gäller en kund och som ingår i en handling som avses i klientlagen eller klienthandlingslagen, 
4) patientuppgift en personuppgift som gäller en patient och som ingår i en journalhandling som avses i patientlagen, 
5) kunduppgift i 3 och 4 punkten avsedda klientuppgifter inom socialvården och patientupp- gifter, 
6) informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kunduppgifter och för registrering och uppdatering av kundhandlingar eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- och hälsovården kan använda uppgifter om välbefinnande, 
7) tjänstetillhandahållare en anordnare och en producent av social- och hälsotjänster, 
8) serviceanordnare en tjänstetillhandahållare som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna,
 
9) tjänsteproducent en tjänstetillhandahållare som
a) i egenskap av serviceanordnare själv producerar social- eller hälsotjänster, eller
b) för en serviceanordnares räkning producerar social- eller hälsotjänster,
 
10) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömnings- organ för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av informationssäkerhet, 
11) uppgifter om välbefinnande sådana uppgifter som en person producerat om sin hälsa och sitt välbefinnande och som personen själv har fört in i den i Utskottet föreslår en ändring 12 Slut på ändringsförslaget punkten avsedda informationsresursen för egna uppgifter, 
12) informationsresursen för egna uppgifter en inom de riksomfattande informationssystemtjänsterna upprättad centraliserad elektronisk informationsresurs för bevarande och behandling av uppgifter om välbefinnande, 
13) välbefinnandeapplikation ett sådant program i anslutning till informationsresursen för egna uppgifter som den enskilde använder och med vilket uppgifter om välbefinnande behandlas, och till vilket en person kan få sina kunduppgifter från arkiveringstjänsten, receptcentret och informationshanteringstjänsten, 
14) arkiveringstjänst en informationsresurs där kunduppgifter och andra för social- och hälsovården behövliga uppgifter bevaras och med vars hjälp sådana uppgifter kan användas, och som godkända informationssystem kan anslutas till, 
15) informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken sammandrag av patientuppgifter produceras, 
16) viljeyttringstjänst en riksomfattande informationssystemtjänst genom vilken handlingar som gäller information, Utskottet föreslår en ändring tillstånd för, samtycke till och förbud mot utlämnande Slut på ändringsförslaget, andra viljeyttringar med anknytning till hälso- och sjukvård samt socialtjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården förvaltas, 
17) producent av en informationssystemtjänst den som för en tjänstetillhandahållare tillhandahåller eller genomför ett informationssystem där kunduppgifter eller uppgifter om välbefinnande behandlas och som i egenskap av tillverkare av informationssystemet, för tillverkarens räkning eller för en eller flera tillverkares del ansvarar för de krav som ställs på informationssystemet, 
18) tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkning- en av ett informationssystem för social- och hälsovården, 
19) mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster, genomförandet av informationssystemens tekniska eller fysiska miljö eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll har en möjlighet att se okrypterade kunduppgifter, exempelvis i samband med underhåll, och 
20) certifiering ett förfarande genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion. 
2 kap. 
Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster 
4 § 
Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna 
Folkpensionsanstalten är personuppgiftsansvarig i fråga om informationsresursen för egna uppgifter, förvaringstjänsten för logguppgifterna i utlämningsloggregistret och användningsloggarna i anslutning till dess egen verksamhet. Utskottet föreslår en ändring Folkpensionsanstalten har dock inte rätt att behandla uppgifter i informationsresursen för egna uppgifter i större omfattning än vad som är nödvändigt för att administrera informationsresursen eller rätt att lämna ut uppgifter ur den för andra ändamål än de som anges i 13 § 2 mom. i denna lag så som föreskrivs i det momentet. Slut på ändringsförslaget 
Varje tillhandahållare av social- och hälsotjänster är personuppgiftsansvarig i fråga om de användningsloggar som uppkommer i dess verksamhet. 
Varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården, för informationshanteringstjänsten och för viljeyttringstjänsten. Folkpensionsanstalten ansvarar i egenskap av gemensamt personuppgiftsansvarig för tillgängligheten och integriteten i fråga om uppgifterna, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna på det sätt som föreskrivs i 14 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten och tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. 
Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är den yrkesutbildade personen inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är kontaktpunkt för användningsloggarna för det gränssnittet. 
Bestämmelser om receptcentrets personuppgiftsansvar finns i 18 § i lagen om elektroniska recept (61/2007). 
5 § 
Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning 
När en tjänsteproducent tillhandahåller social- och hälsotjänster för en serviceanordnares räkning, ansvarar tjänsteproducenten 
1) för införande och registrering av kunduppgifter för serviceanordnarens räkning, 
2) för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen, 
3) för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen, 
4) för att kundhandlingarna i original lämnas till serviceanordnaren utan dröjsmål, och 
5) tillsammans med serviceanordnaren för att kundens rättigheter enligt dataskyddsförord- ningen och offentlighetslagen tillgodoses. 
Serviceanordnaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och om tillgodoseendet av kundens rättigheter enligt 1 mom. 5 punkten samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor. 
3 kap. 
Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården 
6 § 
De riksomfattande informationssystemtjänsterna inom social- och hälsovården 
För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster: 
1) en riksomfattande arkiveringstjänst för kunduppgifter, 
2) en förvaringstjänst för loggregister, 
3) ett gränssnitt för professionell behandling av elektroniska recept, 
4) ett medborgargränssnitt, 
5) en informationsresurs för egna uppgifter, 
6) en informationshanteringstjänst, 
7) en viljeyttringstjänst, 
8) ett receptcenter, 
9) en läkemedelsdatabas, och 
10) en informationsförmedlings- och förfrågningsservice. 
Dessutom förutsätter utförandet av de riksomfattande informationssystemtjänsterna en kodtjänst och en roll- och attributtjänst. Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta roll- och attributtjänsten och kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ansvarar för innehållet i kodtjänsten. 
Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tillhandahållare av social- och hälsovårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som centralen utfärdat enligt 3 mom. 
7 § 
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna 
Tjänstetillhandahållare ska ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 6 § 1 mom. 1, 6, 7 och 8 punkten. 
Privata tillhandahållare av social- och hälsotjänster ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av klient- och patientuppgifter. 
Andra aktörer inom social- och hälsovården, beträffande vilkas tjänster och behandling av personuppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 6 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten. 
Tillhandahållare av social-, hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. 
8 § 
Handlingar som ska sparas i den riksomfattande arkiveringstjänsten 
Av en elektronisk kundhandling får det i den riksomfattande arkiveringstjänsten finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning får det av originalet göras ett extra exemplar av vilket det ska framgå att det inte är originalet. 
Efter anslutning till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten. Kundhandlingar som uppkommit före anslutningen får sparas i den riksomfattande arkiveringstjänsten. I arkiveringstjänsten får det utöver kundhandlingar även sparas andra handlingar som hänför sig till ordnandet av social- och hälsovården och till informationshanteringen. 
Utskottet föreslår en ändring Bestämmelser om förvaringstider för klienthandlingar inom socialvården finns i 27 § i lagen om klienthandlingar inom socialvården (254/2015). Bestämmelser om förvaringstider för journalhandlingar finns i 12 § i patientlagen. Slut på ändringsförslaget 
9 § 
Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna 
Informationssystemens och kundhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, bevarande och skydd av elektroniska kundhandlingar och kunduppgifter med hjälp av de riksomfattande informationssystemtjänster som avses i 6 §. 
Institutet för hälsa och välfärd meddelar föreskrifter om kundhandlingarnas datainnehåll och datastrukturer i informationssystemen för att de riksomfattande informationssystemtjänsterna ska kunna utföras samt om de kodsystem som överallt i landet ska användas i datastrukturerna. 
10 § 
Elektronisk underskrift av handlingar 
Klientuppgifternas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och förvaring av uppgifterna. 
Vid elektronisk signering som görs av en fysisk person ska det användas en sådan avancerad elektronisk underskrift som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Vid signering som görs av en organisation och datatekniska enheter ska det användas en elektronisk underskrift av motsvarande tillförlitlighet. 
11 § 
Informationshanteringstjänsten 
Informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga för genomförandet av hälso- och sjukvården och producerar sammandrag av dem för tjänstetillhandahållare för genomförande av patientens vård. Viktiga patientuppgifter som informationshanteringstjänsten kan sammanställa är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, medicineringsuppgifter, fysiologiska mätningar och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt i 4 a § i patientlagen avsedda planer för undersökning, vård och medicinsk rehabilitering eller andra motsvarande planer. Uppgifter får lämnas ut med hjälp av informationshanteringstjänsten på det sätt som föreskrivs i 20 §. Uppgifter i informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 15 §. 
12 § 
Viljeyttringstjänsten 
I viljeyttringstjänsten ska det föras in uppgifter om information som en person har fått enligt denna lag och lagen om elektroniska recept samt om Utskottet föreslår en ändring tillstånd för, samtycke till och förbud mot utlämnande  Slut på ändringsförslagetsom en person har meddelat i fråga om kunduppgifter. 
I viljeyttringstjänsten kan det föras in uppgift om en persons 
1) andra viljeyttringar i fråga om hälso- och sjukvård eller socialtjänster än sådana som avses i 1 mom., 
2) andra viljeyttringar i fråga om tjänster inom social- och hälsovården och behandling av kunduppgifter än sådana som avses i 1 mom. 
13 § 
Informationsresursen för egna uppgifter 
En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i informationsresursen för egna uppgifter och via den använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från informationsresursen. 
En person kan ge sitt samtycke till att de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsotjänster. 
Bestämmelser om registrering av uppgifter som påverkar vården eller tjänster i kund- eller journalhandlingarna finns i patientlagen, klientlagen och klienthandlingslagen. 
De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller tills högst fem år har förflutit från personens död. 
14 § 
Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster 
De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska alltid vara tillgängliga. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. 
Folkpensionsanstalten svarar 
1) för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver, 
2) för säkerställande av säkerhet på det sätt som föreskrivs i 14 § i lagen om informationshantering inom den offentliga förvaltningen i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förs in i de riksomfattande informationssystemtjänsterna samt för utplåning av uppgifterna efter det att förvaringstiden gått ut, 
3) för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter, uppgifter om välbefinnande och andra uppgifter som har införts i de riksomfattande informationssystemtjänsterna lämnas ut endast i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården, 
4) för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister, 
5) för det datatekniska utförandet av kodtjänsten, 
6) för information till befolkningen med avseende på de riksomfattande informationssystemtjänsterna, 
7) för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna. 
Folkpensionsanstalten har rätt 
1) att av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för skötseln av lagstadgade uppgifter med avseende på de riksomfattande informationssystemtjänsterna, 
2) att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt med tanke på uppgifter som hänför sig till förvaltningen av de riksomfattande informationssystemtjänsterna, 
3) att besluta om frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den, 
4) att lämna ut handlingar som omfattas av Folkpensionsanstaltens personuppgiftsansvar, och logguppgifter över sådana handlingar, till tjänstetillhandahållare inom social- och hälsovården för uppföljning och tillsyn i fråga om användning och utlämnande av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom, 
5) att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster, 
6) att trots sekretessen av Myndigheten för digitalisering och befolkningsdata få nödvändig information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna. 
Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. 
I skyddet av de riksomfattande informationssystemtjänsterna iakttas vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter. Folkpensionsanstalten får inte på en utomstående överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna, eller av loggregister som hänför sig till sådana register. 
4 kap. 
Behandling av kunduppgifter inom social- och hälsovården 
15 § 
Åtkomsträttigheter till kunduppgifter 
Åtkomsträttigheterna till kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar klient- och patientuppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har åtkomsträtt endast till de nödvändiga kunduppgifter som han eller hon behöver i sina arbetsuppgifter och beträffande vilka han eller hon har rätt att få uppgifter. Behandlingen av kunduppgifter ska grunda sig på en kund- eller vårdrelation eller någon annan lagstadgad rätt som har säkerställts datatekniskt. 
Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet. 
Tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Tjänstetillhandahållaren ska föra register över dem som använder tjänstetillhandahållarens kundinformationssystem och kundregister och över deras åtkomsträttigheter. 
16 § 
Information till kunden om riksomfattande informationssystemtjänster 
Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som omfattar hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten. 
Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet. 
17 § 
Identifiering av dem som behandlar kunduppgifter 
Vid elektronisk behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. De personer som behandlar kunduppgifter, tjänstetillhandahållarna, de datatekniska enheterna och de riksomfattande informationssystemtjänsterna ska identifieras genom verifiering. 
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Myndigheten för digitalisering och befolkningsdata. 
18 § 
Utskottet föreslår en ändring Tillstånd för, samtycke till och förbud mot utlämnande Slut på ändringsförslaget 
Utskottet föreslår en ändring En kund får meddela tillstånd för och samtycke till utlämnande enligt 20 och 21 § via riksomfattande informationssystemtjänster. Slut på ändringsförslaget (Nytt) 
Utskottet föreslår en ändring Tillstånd för utlämnande enligt 20 § 1 mom. och 21 § 1 mom. ska grunda sig på tillräcklig information som ges i ett förfarandet enligt 16 § och ska ha lämnats frivilligt. Ett tillstånd för utlämnande gäller tills vidare och kan återtas. Bestämmelser om samtycke till utlämnande enligt 20 § 2 mom. och 21 § 2 mom. finns i dataskyddsförordningen. Slut på ändringsförslaget (Nytt) 
Utskottet föreslår en ändring Om kunden saknar förutsättningar att bedöma betydelsen av ett tillstånd för eller ett samtycke till utlämnande, får kunduppgifter lämnas ut med stöd av ett tillstånd eller samtycke som lämnats av kundens lagliga företrädare. Kundens lagliga företrädare har rätt att trots tystnadsplikten få de uppgifter om kunden som är nödvändiga för att meddela och effektuera tillstånd för eller samtycke till utlämnande. Slut på ändringsförslaget (Nytt) 
En klient har rätt att förbjuda att en personuppgiftsansvarig inom socialvården lämnar ut klientuppgifter inom socialvården om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. En patient har rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till ett annat register inom hälso- och sjukvården eller till en annan personuppgiftsansvarig inom hälso- och sjukvården via riksomfattande informationssystemtjänster. En vårdnadshavare Utskottet föreslår en ändring eller en annan laglig företrädare  Slut på ändringsförslagethar inte rätt att Utskottet föreslår en ändring förbjuda utlämnande av patientuppgifter Slut på ändringsförslaget för en minderårigs räkning Utskottet föreslår en ändring i situationer som avses i 13 § 3 mom. i patientlagen Slut på ändringsförslaget
Ett förbud som klienten eller patienten meddelar kan gälla alla hans eller hennes klientuppgifter inom socialvården och patientuppgifter. Utskottet föreslår en ändring Förbudet kan gälla en personuppgiftsansvarig inom offentlig social- och hälsovård och dess register samt en personuppgiftsansvarig inom privat socialvård och företagshälsovårdens register inom privat hälso- och sjukvård.  Slut på ändringsförslagetInom socialvården kan förbudet gälla en serviceuppgift inom socialvården eller en enskild kundhandling. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse.Utskottet föreslår en strykning  Dessutom kan förbudet gälla en personuppgiftsansvarig inom offentlig social- och hälsovård och dess register samt ett register inom företagshälsovården. Slut på strykningsförslaget 
Genom ett förbud går det inte att förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens Utskottet föreslår en ändring eller patientens  Slut på ändringsförslagetviljeyttring oberoende rätt att få information. 
Utskottet föreslår en ändring Ett förbud ska grunda sig på tillräcklig information som ges i ett förfarande enligt 16 § och ska ha lämnats frivilligt.  Slut på ändringsförslagetEtt förbud gäller tills vidare och får återtas. 
19 § 
Meddelande och återkallande av Utskottet föreslår en ändring tillstånd för, samtycke till och  Slut på ändringsförslagetförbud mot utlämnandeUtskottet föreslår en strykning  av kunduppgifter Slut på strykningsförslaget 
Meddelande av Utskottet föreslår en ändring tillstånd för, samtycke till och förbud mot utlämnande  Slut på ändringsförslagetav kunduppgifter lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssitt. Tjänstetillhandahållaren ska utan dröjsmål föra in uppgift om det meddelade Utskottet föreslår en ändring tillståndet, samtycket eller förbudet  Slut på ändringsförslageti viljeyttringstjänsten. 
Den som tar emot ett Utskottet föreslår en ändring tillstånd för, samtycke till och förbud mot utlämnande  Slut på ändringsförslagetska på begäran ge kunden en utskrift av Utskottet föreslår en ändring tillståndshandlingen, samtyckeshandlingen eller  Slut på ändringsförslagetförbudshandlingenUtskottet föreslår en ändring  eller vid behov ge kunden handlingen i fråga på ett annat sätt som är tillgängligt Slut på ändringsförslaget
Folkpensionsanstalten bestämmer innehållet i en Utskottet föreslår en ändring tillståndshandling, samtyckeshandling och  Slut på ändringsförslagetförbudshandling. Av Utskottet föreslår en ändring tillståndshandlingen, samtyckeshandlingen respektive  Slut på ändringsförslagetförbudshandlingen ska Utskottet föreslår en ändring tillståndets, samtyckets eller  Slut på ändringsförslagetförbudets betydelse vid behandlingen av kunduppgifter framgå. 
På återkallande av Utskottet föreslår en ändring tillstånd för, samtycke till och  Slut på ändringsförslagetförbud Utskottet föreslår en ändring mot utlämnande  Slut på ändringsförslagettillämpas vad som i 1–3 mom. föreskrivs om meddelande av Utskottet föreslår en ändring tillstånd, samtycke och  Slut på ändringsförslagetförbud. 
20 § 
Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster 
Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan tjänstetillhandahållare inom hälso- och sjukvården eller till ett annat patientregister hos samma tjänstetillhandahållare för ordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten.Utskottet föreslår en ändring  Patientuppgifter får dock inte lämnas ut utan att patienten meddelat tillstånd att lämna ut uppgifter eller utan någon grund som anges i 13 § 3 mom. 3 punkten i patientlagen eller någon annan i lag angiven grund som berättigar till utlämnande. Slut på ändringsförslaget 
Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården, om patienten samtycker, lämnas ut till en tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård.Utskottet föreslår en ändring  Bestämmelser om förutsättningarna för samtycke finns i artikel 7 i dataskyddsförordningen. Slut på ändringsförslaget 
Patientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationstjänster efter det att patienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. Bestämmelser om åtkomsträtt till nödvändiga patientuppgifter finns i 15 §. 
Patientuppgifter får lämnas ut till kunden med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
21 § 
Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster 
Trots sekretessbestämmelserna får klientuppgifter inom socialvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten.Utskottet föreslår en ändring  Klientuppgifter får dock inte lämnas ut utan kundens tillstånd eller någon i lag angiven grund som berättigar till utlämnande. Slut på ändringsförslaget 
Trots sekretessbestämmelserna får klientuppgifter inom socialvården, om klienten samtycker, lämnas ut till en tjänstetillhandahållare inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård.Utskottet föreslår en ändring  Bestämmelser om förutsättningarna för samtycke finns i artikel 7 i dataskyddsförordningen. Slut på ändringsförslaget 
Klientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationssystemtjänster efter det att klienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte klienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. Bestämmelser om åtkomsträtt till nödvändiga kunduppgifter finns i 15 §. 
Klientuppgifter inom socialvården får lämnas ut till klienten med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
22 § 
Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården 
Med hjälp av de riksomfattande informationssystemtjänsterna får intyg, utlåtanden och andra handlingar som innehåller kunduppgifter förmedlas till en aktör utanför social- och hälsovården. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Kundhandlingarna förmedlas med hjälp av den informationsförmedlings- och förmedlingsservice som hör till de riksomfattande informationssystemtjänsterna. 
Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen. 
23 § 
Användning av e-tjänster och behandling av uppgifter för någon annans räkning 
En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) för en annan persons räkning behandla sådana uppgifter om denna person som har sparats i en riksomfattande informationssystemtjänst. En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen, 9 § 2 mom. i patientlagen, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983). 
24 § 
Medborgargränssnitt samt kunduppgifter och viljeyttringar som visas via det 
En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt. 
Personen får via medborgargränssnittet visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen eller enligt annan lagstiftning inte har rätt att få. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. 
Utskottet föreslår en ändring Trots det som föreskrivs i 2 mom. får en person visas namnet på en person som handlat för hans eller hennes räkning. Slut på ändringsförslaget (Nytt) 
25 § 
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande 
En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje kundregister samla in logguppgifter om all användning och allt utlämnande av kunduppgifter. 
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen. 
I utlämningsloggregistret ska det föras in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren och tidpunkten för utlämnandet samt andra uppgifter som behövs för tillsynen och uppföljningen av utlämnandet. 
Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 6 § avsedda riksomfattande informationssystemtjänsterna och som har lämnats ut via dem samla in dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk. I den förvaringstjänst för loggregister som avses i 6 § sparas logguppgifter om utlämnande av en tjänstetillhandahållares Utskottet föreslår en ändring kundhandlingar Slut på ändringsförslaget. I förvaringstjänsten för loggregister får logguppgifter om användning sparas. 
Närmare bestämmelser om förvaringstiden för logguppgifter får utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll. 
26 § 
Kundens rätt att få information om behandlingen av sina egna uppgifter 
En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren utifrån loggregistret avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Kunden har motsvarande rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, viljeyttringstjänsten, receptcentret och informationsresursen för egna uppgifter, logguppgifter för använda eller utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. 
Kunden har dock ingen rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. 
Om en kund på nytt begär logguppgifter som han eller hon redan har fått, får tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillgång till logguppgifter med hjälp av det i 24 § avsedda medborgargränssnittet får dock ingen avgift tas ut. 
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska det fattas ett skriftligt avslagsbeslut. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen. 
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Om tjänstetillhandahållaren bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren på eget initiativ vidta nödvändiga åtgärder. 
5 kap. 
Egenkontroll av informationssäkerhet och dataskydd 
27 § 
Informationssäkerhetsplan 
En tjänstetillhandahållare, en mellanhand och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. Planen ska innehålla redogörelser för hur följande krav som hänför sig till behandlingen av klient- och patientuppgifterna och systemen säkerställs: 
1) de som använder informationssystemen har den utbildning som användningen kräver, 
2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen, 
3) informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten, 
4) informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten, 
5) informationssystemens driftsmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet, 
6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd, 
7) informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs, 
8) informationssystem som avses i 29 § uppfyller i 34 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål, och 
9) tjänstetillhandahållaren, mellanhanden och Folkpensionsanstalten har en plan för hur egenkontrollen ska ordnas och genomföras inom dess verksamhet. 
Innan en tjänstetillhandahållare ansluter sig som användare av de riksomfattande informationstjänsterna, ska det i tjänstetillhandahållarens informationssäkerhetsplan redogöras för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster. 
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten. 
28 § 
Genomförande av och ansvar för egenkontroll av informationssäkerheten 
Den ansvariga föreståndaren hos en tillhandahållare av social- och hälsovårdstjänster ska se till att en informationssäkerhetsplan enligt 27 § utarbetas och iakttas. Den ansvariga föreståndaren ska meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. 
För att uppföljning och tillsyn i fråga om dataskyddet och informationssäkerheten har tjänstetillhandahållaren rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i informationshanteringstjänsten och viljeyttringstjänsten och logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig. 
Folkpensionsanstalten och en mellanhand ska följa genomförandet av informationssäkerhetsplanen. 
Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artiklarna 37—39 i dataskyddsförordningen. 
6 kap. 
Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande 
29 § 
Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering 
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. 
Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör 
1) de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten, 
2) de informationssystem och välbefinnandeapplikationer som behandlar kunduppgifter och som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna, 
3) sådana andra informationssystem och välbefinnandeapplikationer och tjänster tillhandahållna av mellanhänder som i fråga om sitt användningsändamål kräver certifiering. 
Andra informationssystem än de som avses i 2 mom. hör till klass B. 
Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem. I oklara fall beslutar Institutet för hälsa och välfärd om huruvida ett informationssystem hör till klass A eller klass B. 
30 § 
Registrering av informationssystem och välbefinnandeapplikationer 
Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket för social- och hälsovården innan informationssystemen eller välbefinnandeapplikationerna tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål framgå, och till anmälan ska det fogas i 35 och 36 § avsedda utredningar om och i 37 § avsett intyg över att de väsentliga krav som ställs på systemet eller applikationen enligt dess användningsändamål uppfylls. Om producenten av en informationssystemtjänst är någon annan än tillverkaren av informationssystemet, ska också producenten framgå av anmälan. Producenten av en informationssystemtjänst ska göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion av tjänster inte längre stöds eller att en annan aktör övertagit ansvaret för informationssystemet. 
Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket. Registret ska innehålla uppgifter om 
1) informationssystem och välbefinnandeapplikationer som är avsedda att användas för produktion av tjänster, deras användningsändamål och de väsentliga krav som de uppfyller, 
2) resultat av interoperabilitetstestningen av informationssystem och välbefinnandeapplikationer som hör till klass A och som har godkänts för användning i produktion av tjänster, och 
3) giltighetstiden för det intyg över bedömning av informationssäkerhet som utfärdats enligt en bedömning av informationssäkerhet för informationssystem och välbefinnandeapplikationer som hör till klass A och har godkänts för användning i produktion av tjänster, och 
4) en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion av tjänster, medan avvikelsen varar. 
Tillstånds- och tillsynsverket för social- och hälsovården får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret. 
31 § 
Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster 
Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna efter det att systemet eller applikationen har certifierats i enlighet med 35 §. 
Ett informationssystem eller en välbefinnandeapplikation får inte tas i användning för produktion av tjänster, om det inte finns giltiga uppgifter om systemet eller applikationen i det i 30 § 2 mom. avsedda registret, eller om intyget över bedömning av informationssäkerhet för ett informationssystem eller en välbefinnandeapplikation som hör till klass A har gått ut. 
32 § 
Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer 
Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 
Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Bedömningsorganet för informationssäkerhet och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering. 
Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska bevara uppgifter om interoperabilitet och informationssäkerhet samt övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster. 
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras. 
7 kap. 
Väsentliga krav på informationssystem och välbefinnandeapplikationer 
33 § 
Allmänna skyldigheter för tillverkare av informationssystem och välbefinnandeapplikationer och producenter av informationssystemtjänster 
Tillverkaren av ett informationssystem för social- och hälsovården ansvarar för planeringen och tillverkningen av informationssystemet, oberoende av om dessa åtgärder utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. 
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska. 
Tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter. 
34 § 
Väsentliga krav på informationssystem och välbefinnandeapplikationer 
Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Utskottet föreslår en ändring En välbefinnandeapplikation ska uppfylla tillgänglighetskraven.  Slut på ändringsförslagetKraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det. 
De informationssystem som tjänstetillhandahållaren använder ska till sitt användningsändamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. 
Ett informationssystem uppfyller de väsentliga kraven när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av klient- och patientuppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. 
Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven och om de väsentliga krav de informationssystem och välbefinnandeapplikationer som används i de olika tjänsterna ska uppfylla. 
35 § 
Påvisande av överensstämmelse med kraven 
Överensstämmelse med kraven ska för ett informationssystem och en välbefinnandeapplikation som hör till klass A visas med certifiering, det vill säga en utredning från producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen om att systemet eller applikationen uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål. Certifieringen visas med en godkänd interoperabilitetstestning och ett sådant intyg över bedömning av informationssäkerhet av ett bedömningsorgan för informationssäkerhet som avses i 37 §. Producenten av en informationssystemtjänst ansvarar för att informationssystemet är certifierat och tillverkaren av välbefinnandeapplikation ansvarar för att applikationen är certifierad. 
Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, drivits och använts på behörigt sätt. Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet. 
Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifiering av interoperabiliteten i fråga om informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i lagen om elektroniska recept. 
36 § 
Interoperabilitetstestning 
Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets eller välbefinnandeapplikationens funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten. 
Ett informationssystem som hör till klass A och har tagits i användning för produktion av tjänster ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet när kraven har verifierats. 
Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltarUtskottet föreslår en ändring  eller av informationssystem som hör till klass A och inte ansluts till de riksomfattande informationssystemtjänsterna Slut på ändringsförslaget
37 § 
Bedömning av informationssäkerhet 
Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för producenten eller tillverkaren av en informationssystemtjänst eller för användaren. Bedömningen av informationssäkerhet görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation. 
Bedömningsorganet för informationssäkerhet ska utifrån sin bedömning av informationssäkerhet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport. Bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets eller välbefinnandeapplikationens användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet. 
Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Intyget är giltigt i högst tre år. Intygets giltighetstid får förlängas med högst tre år i sänder. 
38 § 
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet 
Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. 
Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet. 
8 kap. 
Styrning och tillsyn 
39 § 
Styrning, övervakning och uppföljning 
Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt beslutsfattandet om totalfinansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden. 
Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag. 
40 § 
Övervakning och inspektioner av informationssystem 
Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. Utskottet föreslår en ändring Inspektioner kan göras utan förhandsanmälan.  Slut på ändringsförslagetFör att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas.Utskottet föreslår en ändring  Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har tillsynsmyndigheten rätt att få handräckning av polisen på det sätt som föreskrivs i 9 kap. 1 § 1 mom. i polislagen (872/2011). Slut på ändringsförslaget 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades. 
41 § 
Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem 
Om tjänstetillhandahållaren konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denne underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för kundsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Om tjänstetillhandahållaren eller en annan aktör konstaterar dataskyddsavvikelser när det gäller uppfyllandet av de väsentliga kraven på ett datasystem, ska denne underrätta dataombudsmannen om saken. 
42 § 
Rätt att få information 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över informationssystem inom social- och hälsovården få nödvändig information av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården. 
43 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av ett informationssystems överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver.Utskottet föreslår en ändring  På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). Slut på ändringsförslaget 
44 § 
Föreläggande att fullgöra skyldigheter 
Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tjänstetillhandahållare, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid. 
45 § 
Skyldigheter avseende informationssystem som är i bruk 
När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem med stöd av 40 § får verket samtidigt ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa brister i informationssystem som används för produktion av tjänster. 
Om ett informationssystem kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst eller en av denne befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet för produktion av tjänster. 
9 kap. 
Särskilda bestämmelser 
46 § 
Samarbete som gäller elektronisk informationshantering inom social- och hälsovården 
Social- och hälsovårdsministeriet ska se till att det har ordnats samarbetsformer och samarbetsförfaranden för det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag. 
Statsrådet kan tillsätta delegationer och andra samarbetsorgan som behövs för det samarbete som avses i 1 mom. 
Folkpensionsanstalten ska se till att det har ordnats samarbetsformer och samarbetsförfaranden kring den produktionsverksamhet som gäller informationssystemtjänster med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten. 
47 § 
Avgifter 
Användningen av de riksomfattande informationssystemtjänster enligt 6 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tjänstetillhandahållarna. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. 
Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för användningsavgifterna för de följande fyra åren och av investeringsbehoven under de fyra följande åren och kostnaderna för dem. 
Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Folkpensionsanstalten har rätt att ta ut en avgift för interoperabilitetstestning enligt 36 § till ett självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 30 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
48 § 
Straffbestämmelser 
Den som uppsåtligen eller av grov oaktsamhet 
1) bryter mot identifieringsskyldigheten i 17 § 1 mom., 
2) lämnar ut kunduppgifter i strid med 20—22 § utan kundens Utskottet föreslår en ändring tillstånd för eller  Slut på ändringsförslagetsamtycke Utskottet föreslår en ändring till utlämnande  Slut på ändringsförslageteller utan Utskottet föreslår en ändring lagfäst rätt Slut på ändringsförslaget eller 
3) försummar sin skyldighet att informera enligt 16 § 1 mom. och på så sätt äventyrar kundens integritetsskyddUtskottet föreslår en strykning  eller hans eller hennes rättigheter i övrigt Slut på strykningsförslaget 
ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter. 
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen. 
49 § 
Vite 
Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag och ett beslut som verket har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990). 
50 § 
Ändringssökande 
Omprövning får begäras i fråga om ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen. 
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). 
Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat. 
10 kap. 
Ikraftträdande och övergångsbestämmelser 
51 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
52 § 
Övergångsbestämmelser 
Tjänstetillhandahållare inom den offentliga socialvården ska ansluta sig till den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten för kunduppgifter senast den 1 september 2024 och tjänstetillhandahållare inom den privata socialvården senast den 1 januari 2026. 
Bestämmelserna i 13 § 2 mom., vad som föreskrivs om förbud som riktas till Utskottet föreslår en ändring alla klient- och patientuppgifter och till  Slut på ändringsförslagetföretagshälsovården i 18 § Utskottet föreslår en ändring 5 mom. Slut på ändringsförslaget samt bestämmelserna i 20 § 2 mom. och 21 § 2 mom. tillämpas senast den 1 Utskottet föreslår en ändring januari 2024 Slut på ändringsförslaget
Lagens 18 § tillämpas utom i fråga om förbud som gäller Utskottet föreslår en ändring alla klient- och patientuppgifter samt  Slut på ändringsförslagetregister inom företagshälsovården senast från det att kundhandlingar lämnas ut från den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten för kunduppgifter. 
Lagens 19 § tillämpas inom socialvården från och med den 1 Utskottet föreslår en ändring januari 2023 Slut på ändringsförslaget eller senast från det att kundhandlingar inom socialvården lämnas ut från den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten. 
Lagens 20 § 4 mom. tillämpas i fråga om välbefinnandeapplikationer senast den 1 december Utskottet föreslår en ändring 2023 Slut på ändringsförslaget
Lagens 21 § 1 och 3 mom. tillämpas senast den 1 Utskottet föreslår en ändring januari 2023 Slut på ändringsförslaget
Lagens 21 § 4 mom. tillämpas i fråga om välbefinnandeapplikationer senast den 1 Utskottet föreslår en ändring maj 2025 Slut på ändringsförslaget
Utskottet föreslår en ändring Med avvikelse från skyldigheten enligt 8 § 2 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten ska tjänstetillhandahållaren senast den 1 oktober 2026 börja spara följande handlingar: Slut på ändringsförslaget 
Utskottet föreslår en ändring 1) handling över tidsbeställningar inom hälso- och sjukvården som reserverats för kunden och om vilka kunden har underrättats, Slut på ändringsförslaget
Utskottet föreslår en ändring 2) handlingar och laboratorieresultat som anknyter till radiologisk screening, Slut på ändringsförslaget
Utskottet föreslår en ändring 3) intyg och blanketter som anknyter till körhälsa, Slut på ändringsförslaget
Utskottet föreslår en ändring 4) intyg och blanketter som anknyter till olycksfall och anmälan av yrkessjukdom, Slut på ändringsförslaget
Utskottet föreslår en ändring 5) läkarutlåtande om hälsotillstånd (T-intyg), Slut på ändringsförslaget
Utskottet föreslår en ändring 6) läkarintyg (TOD), Slut på ändringsförslaget
Utskottet föreslår en ändring 7) läkarintyg C, och Slut på ändringsförslaget
Utskottet föreslår en ändring 8) dödsattest. Slut på ändringsförslaget (Nytt 8 mom.)
 
Utskottet föreslår en ändring Med avvikelse från skyldigheten enligt 8 § 2 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten ska tjänstetillhandahållaren inom hälso- och sjukvården senast den 1 oktober 2029 börja spara följande handlingar: Slut på ändringsförslaget 
Utskottet föreslår en ändring 1) uppgifter om strålbelastning, Slut på ändringsförslaget
Utskottet föreslår en ändring 2) video- och ljudupptagningar samt fotografier, Slut på ändringsförslaget
Utskottet föreslår en ändring 3) patologiskt bildmaterial, Slut på ändringsförslaget
Utskottet föreslår en ändring 4) biosignaler, Slut på ändringsförslaget
Utskottet föreslår en ändring 5) bilder tagna av enheter för mun- och tandvård, och Slut på ändringsförslaget
Utskottet föreslår en ändring 6) andra bilder: ritningar och illustrationer. Slut på ändringsförslaget (Nytt 9 mom.)
 
Utskottet föreslår en ändring Med avvikelse från skyldigheten enligt 8 § 2 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten ska tjänstetillhandahållaren inom hälso- och sjukvården senast den 1 oktober 2029 börja spara dagliga anteckningar inom vårdarbetet. Slut på ändringsförslaget (Nytt 10 mom.) 
Utskottet föreslår en ändring Den offentliga socialvården och tjänstetillhandahållare som arbetar för dess räkning ska börja spara klienthandlingar inom socialvården i den riksomfattande arkiveringstjänsten enligt följande: Slut på ändringsförslaget 
Utskottet föreslår en ändring 1) handlingar som uppkommer i serviceuppgifter för barnfamiljer, personer i arbetsför ålder och äldre personer, senast den 1 september 2024, Slut på ändringsförslaget
Utskottet föreslår en ändring 2) handlingar som uppkommer i serviceuppgifter inom barnskyddet, senast den 1 mars 2025; Slut på ändringsförslaget
Utskottet föreslår en ändring 3) kundhandlingar som uppkommer i serviceuppgifter inom handikappservicen, senast den 1 september 2025; Slut på ändringsförslaget
Utskottet föreslår en ändring 4) kundhandlingar som uppkommer i serviceuppgifter inom missbrukarvården, senast den 1 mars 2026; sekä Slut på ändringsförslaget
Utskottet föreslår en ändring 5) kundhandlingar som uppkommer i serviceuppgifter inom familjerättsliga tjänster, senast den 1 september 2026. Slut på ändringsförslaget (Nytt 11 mom.)
 
Utskottet föreslår en ändring  Kundhandlingar som uppkommer inom privat socialvård som grundar sig på avtal mellan tjänstetillhandahållaren och kunden ska börja sparas i de riksomfattande informationssystemtjänsterna enligt följande: Slut på ändringsförslaget 
Utskottet föreslår en ändring 1) handlingar som uppkommer i serviceuppgifter för barnfamiljer, personer i arbetsför ålder och äldre personer samt i serviceuppgifter inom handikappservicen, senast den 1 januari 2026; Slut på ändringsförslaget
Utskottet föreslår en ändring 2) handlingar som uppkommer i serviceuppgifter inom missbrukarvården, senast den 1 mars 2026. Slut på ändringsförslaget (Nytt 12 mom.)
 
Utskottet föreslår en ändring  Video- och ljudupptagningar som uppkommer i serviceuppgifter inom socialvården ska dock börja sparas senast den 1 oktober 2029. Slut på ändringsförslaget (Nytt 13 mom.) 
 Slut på lagförslaget 

2. Lag om ändring av lagen om klienthandlingar inom socialvården 

I enlighet med riksdagens beslut 
upphävs i lagen om klienthandlingar inom socialvården (254/2015) 3 § 9 punkten, 21 §, 23 § 2 mom., 24 §, 25 § 1 och 2 mom. och 27 § 2 mom. samt 
ändras 2 § 2 och 3 mom., 3 § 6 punkten, 6 § 1 mom., 7 §, 9—11 §, 13 § 1 mom., 22 §, rubriken för 23 § samt 23 § 1 mom., 26 § och 27 § 1 mom., av dem 2 § 2 och 3 mom. sådana de lyder i lag 1202/2019, som följer: 
2 § 
Tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
Denna lag tillämpas behandlingen av sådana klientuppgifter inom socialvården som avses i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, inom såväl den offentliga som den privata socialvården. 
Bestämmelser om behandlingen av klientuppgifter finns dessutom i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, för- valtningslagen (434/2003), dataskyddslagen (1050/2018), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009), arkivlagen (831/1994), lagen om informationshantering inom den offentliga förvaltningen (906/2019) och lagen om patientens ställning och rättigheter (785/1992). 
3 § 
Definitioner 
I denna lag avses med 
 En icke ändrad del av lagtexten har utelämnats 
6) klientuppgift en personuppgift som har erhållits inom socialvården och som har antecknats eller som enligt denna lag ska antecknas i en klienthandling inom socialvården, 
 En icke ändrad del av lagtexten har utelämnats 
6 § 
Språket i handlingarna 
Det språk som används i klienthandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem. 
 En icke ändrad del av lagtexten har utelämnats 
7 § 
Anteckning av klientuppgifter inom social- och hälsovården i det interna samarbetet vid en verksamhetsenhet inom socialvården 
Om socialservice lämnas gemensamt av personal inom socialvården och hälso- och sjukvården vid en verksamhetsenhet inom socialvården, ska det upprättas en gemensam genomföranderapport för klienten. Dessutom kan det utarbetas en gemensam klientplan och andra behövliga gemensamma klienthandlingar för klienten. Sådana gemensamma klienthandlingar som avses i detta moment ska registreras i socialvårdens klientregister. 
En person som deltar i lämnandet av i 1 mom. avsedd gemensam service ska ha tillgång till sådana gemensamma klienthandlingar som han eller hon behöver i sitt arbete. En kopia av en gemensam klientplan får vid behov registreras i patientregistret. 
Patientuppgifter om hälso- och sjukvård som lämnas av en yrkesutbildad person inom hälso- och sjukvården ska dessutom antecknas i journalhandlingarna och registreras i patientregistret i enlighet med vad som föreskrivs särskilt. 
9 § 
Basuppgifter som ska antecknas i en klienthandling 
Följande basuppgifter ska alltid antecknas i en klienthandling: 
1) handlingens namn, 
2) klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet, 
3) serviceanordnarens, serviceproducentens och vid behov servicegivarens namn och identifikationskod, 
4) namnet på den som upprättat handlingen eller gjort anteckningen samt dennes tjänsteställning eller uppgift vid verksamhetsenheten, 
5) tidpunkten för när handlingen upprättats eller anteckningen gjorts, samt 
6) eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare. 
Vidare ska följande basuppgifter om berörda personer antecknas i en handling om uppgifterna inverkar på de tjänster klienten får eller de åtgärder som föreslås i handlingen: 
1) klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun, 
2) namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten och samt uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, om handlingen gäller en minderårig klient, 
3) namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en myndig klient, eller för en person som klienten har bemyndigat, samt 
4) vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten. 
10 § 
Anteckningar om att uppgifter har lämnats ut 
Om uppgifter om en klient lämnas ut till en utomstående, ska den som lämnar ut uppgifterna kunna verifiera 
1) vilka uppgifter som har lämnats ut, 
2) till vem uppgifterna har lämnats ut, 
3) när uppgifterna har lämnats ut, 
4) vem som har lämnat ut uppgifterna, 
5) vilken bestämmelse som ligger till grund för utlämnandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har lämnats ut. 
11 § 
Anteckningar om att uppgifter har tagits emot 
Om uppgifter om en klient fås av någon annan än klienten själv, ska mottagaren kunna verifiera 
1) vilka uppgifter som har inhämtats eller tagits emot, 
2) av vem man har fått uppgifterna, 
3) när uppgifterna har tagits emot, 
4) vem som har begärt uppgifterna, om de har inhämtats på eget initiativ, 
5) vilken bestämmelse som ligger till grund för inhämtandet eller mottagandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har inhämtats eller mottagits. 
13 § 
Rättelse av anteckningar i en klienthandling 
Bestämmelser om rättelse av uppgifter i en klienthandling finns i artikel 16 i dataskyddsförordningen. En rättelse av uppgifter ska alltid göras i originalhandlingen. 
 En icke ändrad del av lagtexten har utelämnats 
22 § 
Registrering av uppgifter i socialvårdens klientregister 
Bestämmelser om socialvårdsmyndighetens skyldighet att se till att handlingarna registreras finns i 8 § i kunduppgiftslagen. 
Socialvårdsmyndigheten ska registrera klienthandlingarna i socialvårdens klientregister. 
Av varje klienthandling som registreras i klientregistret ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter inom socialvården handlingen ansluter sig. 
 En icke ändrad del av lagtexten har utelämnats 
23 § 
Åtkomsträttigheter till klientuppgifter som registrerats elektroniskt 
Bestämmelser om åtkomsträttigheter till klientuppgifter som registrerats elektroniskt finns i 15 § i kunduppgiftslagen. Åtkomsträttigheterna för yrkesutbildad personal inom social- och hälsovården till klientuppgifter inom socialvården som har registrerats elektroniskt ska bestämmas enligt serviceuppgift inom socialvården och med beaktande av varje persons arbetsuppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
26 § 
Uppföljning av användning och utlämnande av klientuppgifter 
Bestämmelser om logguppgifter, användningsloggregister och utlämningsloggregister som hänför sig till uppföljningen av de klientuppgifter som en tillhandahållare av social- och hälsotjänster har använt och lämnat ut elektroniskt samt bestämmelser om den tid som dessa uppgifter och register ska bevaras finns i 25 § i kunduppgiftslagen. 
27 § 
Förvaring av klientuppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Handlingar inom socialvården ska förvaras den tid som anges i bilagan. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av lagen om elektroniska recept 

I enlighet med riksdagens beslut 
upphävs i lagen om elektroniska recept (61/2007) 3 § 5 punkten, 13 § 2 mom., 19 § 2 mom.Utskottet föreslår en strykning , 24 § 4 mom. Slut på strykningsförslaget och 28 § 3 mom., 
av dem 3 § 5 punkten, 13 § 2 mom.Utskottet föreslår en ändring  och Slut på ändringsförslaget 19 § 2 mom. Utskottet föreslår en strykning och 24 § 4 mom.  Slut på strykningsförslagetsådana de lyder i lag 251/2014, 
ändras 1 §, 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., 6 § 2 mom., rubriken för 7 § samt 7 § 2 mom., rubriken för 10 § samt 10 § Utskottet föreslår en ändring 4 och  Slut på ändringsförslaget5 mom., Utskottet föreslår en ändring 11 § 1 mom. 3 punkten,  Slut på ändringsförslagetrubriken för 12 § samt 12 § 2 och 4 mom., 13 § 1 och 3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, det inledande stycket i 15 § 1 mom. samt 15 § 3—5 mom., rubriken för 16 § samt 16 § 1—3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 18 §, 19 § 1 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 1Utskottet föreslår en ändring , 4 Slut på ändringsförslaget och 5 mom. samt 25 § 1 mom., 
av dem 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., rubriken för 10 § samt 10 § Utskottet föreslår en ändring 4 och  Slut på ändringsförslaget5 mom., 12 § 4 mom., 13 § 1 och 3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, det inledande stycket i 15 § 1 mom.,16 § 3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 5 mom. och 28 § 1 mom. sådana de lyder i lag 251/2014 samt 7 § 2 mom., 15 § 4 och 5 mom., 24 § 1 mom. och 25 § 1 mom., sådana de lyder i lag 557/2019, och 
fogas till 3 §, sådan den lyder delvis ändrad i lagarna 436/2010 och 251/2014, en ny 8 a- punkt, till 10 §, sådan den lyder i lag 251/2014, ett nytt 4 mom., varvid det nuvarande 4 och det ändrade 5 mom. blir 5 och 6 mom., till 11 §, sådan den lyder delvis ändrad i lag 251/2014, ett nytt 3 mom. samt till 13 § Utskottet föreslår en strykning 4 mom., sådant det lyder i lag 251/2014, Slut på strykningsförslaget nya Utskottet föreslår en ändring 4 mom. 4 a- Slut på ändringsförslaget och 7 punkter Utskottet föreslår en ändring och ett nytt 6 mom., sådana de lyder i lag 251/2014, Slut på ändringsförslaget som följer: 
1 § 
Lagens syfte 
Syftet med denna lag är att förbättra patient- och läkemedelssäkerheten samt underlätta och effektivisera förskrivningen och expedieringen av läkemedel genom ett system där patientens läkemedelsordinationer kan lagras elektroniskt i ett receptcenter på riksnivå och där läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. Syftet med lagen är dessutom att möjliggöra klarläggandet av patientens samlade medicinering och beakta den vid läkemedelsbehandling samt att nyttiggöra de samlade uppgifterna i receptcentret i myndigheternas verksamhet inom hälso- och sjukvården. 
3 § 
Definitioner 
I denna lag avses med 
 En icke ändrad del av lagtexten har utelämnats 
4) receptcenter en databas som består av elektroniska recept som lagrats av läkemedelsförskrivarna, av recept som apoteken har lagrat på de grunder som föreskrivs i 12 §, av sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som föreskrivs i 23 §, av expedieringsuppgifter som fogats till recepten och av anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen, 
 En icke ändrad del av lagtexten har utelämnats 
8 a) pro auctore-recept ett skriftligt recept genom vilket en läkare, tandläkare, optiker eller munhygienist förskriver ett läkemedel som behövs i samband med hans eller hennes yrkesutövning. 
 En icke ändrad del av lagtexten har utelämnats 
4 § 
Information till patienten 
Innan ett elektroniskt recept görs upp ska patienten informeras om elektroniska recept och patientens rättigheter i anslutning till sådana. Dessutom ska patienten informeras om de riksomfattande informationssystemtjänster som hänför sig till elektroniska recept, om de allmänna principerna för hur tjänsterna fungerar och om anordnaren av informationssystemtjänster. 
Tillhandahållaren av hälso- och sjukvårdstjänster ska personligen informera patienten skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på något annat sätt än skriftligt, ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i den viljeyttringstjänst som avses i 16 a §. 
 En icke ändrad del av lagtexten har utelämnats 
5 § 
Uppgörande av recept 
Recept ska göras upp elektroniskt med undantag för pro auctore-recept och recept som gäller läkemedelsgaser, vilka får göras upp skriftligt, och recept som gäller patientspecifika specialtillståndspreparat, vilka får göras upp skriftligt eller elektroniskt. Om det på grund av en teknisk störning inte är möjligt att göra en elektronisk förskrivning, får ett recept också göras upp skriftligt eller förskrivas per telefon. Ett recept får likaså göras upp skriftligt eller förskrivas per telefon på begäran av ett apotek, om apoteket inte kan expediera ett elektroniskt recept på grund av en teknisk störning. Dessutom får ett recept göras upp skriftligt eller förskrivas per telefon, om läkemedelsbehandlingen brådskar och det på grund av exceptionella förhållanden eller av någon annan särskild orsak inte går att göra upp ett elektroniskt recept. 
 En icke ändrad del av lagtexten har utelämnats 
6 § 
Informationen i recept 
 En icke ändrad del av lagtexten har utelämnats 
Av ett recept får det utöver de uppgifter som avses i 1 mom. framgå andra uppgifter som är relevanta för förskrivningen, användningen och expedieringen av läkemedlet och för genomförandet och uppföljningen av läkemedelsbehandlingen. 
 En icke ändrad del av lagtexten har utelämnats 
7 § 
Signering av recept samt systemcertifikat 
 En icke ändrad del av lagtexten har utelämnats 
Myndigheten för digitalisering och befolkningsdata svarar för certifikattjänsten i enlighet med 6 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kundsuppgiftslagen. Närmare bestämmelser om certifiering av att den som gjort upp recept har rätt att förskriva läkemedel och om genomförandet av certifikattjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Myndigheten för digitalisering och befolkningsdata till den del det gäller den uppgift som Myndigheten för digitalisering och befolkningsdata har enligt vad som föreskrivs ovan. 
10 § 
Rättelse, avslutande, makulering och förnyelse av recept 
 En icke ändrad del av lagtexten har utelämnats 
Om läkemedelsförskrivaren beslutar att en patient ska sluta använda ett läkemedel som patenten har använt, ska en anteckning om detta föras in i receptcentret. 
När ett recept rättasUtskottet föreslår en ändring , Slut på ändringsförslaget makuleras Utskottet föreslår en ändring eller avslutas  Slut på ändringsförslageteller dess förnyelse förhindras enligt 1–3 mom., ska till receptet fogas en motivering av åtgärden. RättelseUtskottet föreslår en ändring , Slut på ändringsförslaget makulering Utskottet föreslår en ändring och avslutande Slut på ändringsförslaget samt förhindrande av förnyelse av ett recept ska signeras elektroniskt. 
Närmare bestämmelser om rättelse, makulering, förnyelse och förhindrande av förnyelse av ett elektroniskt recept och om anteckningar som gäller avslutad användning av ett läkemedel får utfärdas genom förordning av social- och hälsovårdsministeriet. 
 En icke ändrad del av lagtexten har utelämnats 
11 § 
Apotekets rätt att få uppgifter 
På muntlig begäran av patienten eller den som handlar för patientens räkning (den som köper läkemedlet) har apoteket rätt att i fråga om patienten från receptcentret få 
 En icke ändrad del av lagtexten har utelämnats 
3) övriga uppgifter i receptcentret som gäller patientens recept; om läkemedlet avhämtas av någon annan än patienten eller dennes lagliga företrädare, Utskottet föreslår en ändring ska Slut på ändringsförslaget den som köper läkemedlet då ha ett Utskottet föreslår en ändring undertecknat samtycke Slut på ändringsförslaget av patienten eller dennes lagliga företrädare. 
 En icke ändrad del av lagtexten har utelämnats 
Apoteket har rätt att få uppgifter om recept och receptexpedieringar som har lagrats i receptcentret för så lång tid som de är nödvändiga för skötseln av apotekets uppgifter, dock för högst 42 månader från det att receptet gjordes upp. 
12 § 
Expediering av recept 
 En icke ändrad del av lagtexten har utelämnats 
När läkemedlet överlåts ska den som köper läkemedlet få en skriftlig utredning om det expedierade läkemedlet och uppgift om den oexpedierade delen av receptet, om inte köparen uppger att han eller hon inte vill ha någon utredning. Med patientens samtycke får utredningen innehålla information om patientens alla recept som finns lagrade i receptcentret. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, får en utredning med alla receptuppgifter dock ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta. Bestämmelser om fullmakt finns i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också inom en behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). 
 En icke ändrad del av lagtexten har utelämnats 
Om ett recept har gjorts upp skriftligt eller förskrivits per telefon på grund av en sådan teknisk störning eller annan orsak som avses i 5 § 1 mom. och receptet inte har lagrats i receptcentret, ska apoteket lagra receptet och expedieringsuppgifter som hänför sig till det i receptcentret när receptet expedieras eller, om en teknisk störning hindrar omedelbar lagring, så snart som möjligt. I samband med detta kan också uppgifter om andra skriftliga recept lagras i receptcentret. Apoteket kan också i samband med detta lagra sådana pappers- och telefonrecept för kunden i receptcentret som inte expedieras vid den tidpunkten. Den som har antecknats som läkemedelsförskrivare i ett recept har oberoende av vårdrelation rätt att från receptcentret få uppgifter om vilka recept som av ett apotek har lagrats i receptcentret försedda med anteckning om att han eller hon är läkemedelsförskrivare. Närmare bestämmelser om lagring av skriftliga recept och telefonrecept och expedieringsuppgifter i fråga om dem i receptcentret och om de sökfunktioner med vilka en läkemedelsförskrivare kan få uppgifter om recept som apoteken lagrat i receptcentret får utfärdas genom förordning av statsrådet. 
13 § 
Patientens rätt att bestämma om utlämnande av uppgifter 
Uppgifter i receptcentret om en patients recept, receptexpedieringarUtskottet föreslår en ändring ,  Slut på ändringsförslagetbegäran om receptförnyelser Utskottet föreslår en ändring och avslutande av recept  Slut på ändringsförslagetfår trots sekretessbestämmelserna lämnas ut till tillhandahållare av hälso- och sjukvårdstjänster och socialvårdstjänster och till läkemedelsförskrivare i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. Patienten har dock rätt att förbjuda att de recept som han eller hon specificerat lämnas ut till de ovan avsedda aktörerna och till apoteken. Ett förbud får återtas när som helst. Förbud och återtagande av förbud kan meddelas till vilken som helst tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har anslutit sig till de elektroniska recepten. Förbud får meddelas och återtas också genom det medborgargränssnitt som avses i 17 §. Uppgiften om ett förbud som en patient har meddelat ska lagras i den viljeyttringstjänst som avses i 12 § i kunduppgiftslagen. 
 En icke ändrad del av lagtexten har utelämnats 
Om en minderårig patient på det sätt som avses i 7 § 1 mom. i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, med beaktande av sin ålder och utvecklingsnivå själv kan fatta beslut om sin vård, kan han eller hon också besluta om förbud som avses i 1 mom.Utskottet föreslår en ändring  samt om återtagande av ett sådant beslut. Slut på ändringsförslaget En minderårigs vårdnadshavare eller lagliga företrädare har inte rätt att förbjuda utlämnande. En minderårig som avses i 9 § 2 mom. i patientlagen har dessutom rätt att förbjuda att uppgifter i ett elektroniskt recept lämnas ut till den minderåriges vårdnadshavare eller andra lagliga företrädare. 
Oberoende av 1 mom. får 
 En icke ändrad del av lagtexten har utelämnats 
4 a) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om expedieringar utifrån dem, 
5) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster och till en yrkesutbildad person inom hälso- och sjukvården, i sådana Utskottet föreslår en ändring brådskande  Slut på ändringsförslagetsituationer som avses i 8 § i patientlagen Utskottet föreslår en strykning där brådskande vård måste ges och patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet,  Slut på strykningsförslaget, lämnas ut uppgifter om recept som har lagrats i receptcentret och om expedieringar Utskottet föreslår en ändring och avslutande  Slut på ändringsförslagetav demUtskottet föreslår en ändring ; om utlämnande av uppgifter i ett recept är förbjudet enligt 1 mom., får uppgifterna lämnas ut endast om patienten särskilt har meddelat att de får lämnas ut i de situationer som avses ovan Slut på ändringsförslaget, 
6) till sådan teknisk personal hos en tillhandahållare av hälso- och sjukvårdstjänster, hos Folkpensionsanstalten och hos informationssystemets leverantör som svarar för de elektroniska receptens funktion lämnas ut uppgifter i den omfattning som krävs för att åtgärda störningar och problemsituationer, och 
7) för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tjänstetillhandahållaren har lagrat i receptcentret och om expedieringar utifrån dem. 
Närmare bestämmelser om förbudsförfarandet samt om tillgodoseendet av den rätt att få uppgifter och om sådant klarläggande av den tekniska personalens rättigheter som avses i 4 mom. 6 punkten får utfärdas genom förordning av social- och hälsovårdsministeriet. 
Uppgifter i ett elektroniskt recept får lämnas ut till patienten med hjälp av en i 3 § 17 punkten i kunduppgiftslagen avsedd välbefinnandeapplikation eller ett i 17 § i denna lag avsett medborgargränssnitt. För att få uppgifterna via en välbefinnandeapplikation ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
14 § 
Förbudshandling 
Den som tar emot ett förbud som en kund meddelar ska på begäran ge kunden en utskrift av förbudet. Av utskriften ska förbudets betydelse för behandlingen av kunduppgifter framgå. Utskriften ska innehålla i 13 § avsedda uppgifter om de specificerade elektroniska recept som förbudet gäller och om förbudets betydelse. Utskriften ska innehålla en utredning om att de uppgifter som omfattas av ett gällande förbud inte får utnyttjas när hälso- och sjukvård ges även om de är relevanta med tanke på vården, om inte förbudet återtas eller mottagaren av uppgifterna har lagstadgad rätt att få uppgifterUtskottet föreslår en ändring  eller undantag från förbudet inte har gjorts för de situationer som avses i 8 § i patientlagen Slut på ändringsförslaget
Folkpensionsanstalten meddelar närmare föreskrifter om innehållet i en förbudshandling. En patient som meddelar ett förbud via det gränssnitt som avses i 17 § ska få motsvarande information via gränssnittet. 
15 § 
Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning 
Trots sekretessbestämmelserna och andra bestämmelser om användningen av uppgifterna får Folkpensionsanstalten i egenskap av gemensamt personuppgiftsansvarig för receptcentret, utöver vad som föreskrivs någon annanstans i lagstiftningen, från receptcentret på begäran 
 En icke ändrad del av lagtexten har utelämnats 
Bestämmelser om Folkpensionsanstaltens rätt att ta del av uppgifterna i receptcentret finns i 19 kap. 1 § i sjukförsäkringslagen (1224/2004). Folkpensionsanstalten får inte lämna uppgifter vidare med stöd av sådan skyldighet eller rätt att lämna uppgifter som den har enligt någon annan lag. 
Tillståndsmyndigheten för användning av social- och hälsovårdsdata har rätt att behandla uppgifter i och lämna ut uppgifter från receptcentret i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019). 
Folkpensionsanstalten får i egenskap av gemensamt personuppgiftsansvarig för de myndigheter som nämns i 1 mom. upprätta och till dem överlåta sammanställningar över sådana uppgifter i receptcentret som kan vara av betydelse för utredning av läkemedelssäkerheten eller nyttan av eller kostnaderna för läkemedelsbehandlingar eller vid utvecklandet av Folkpensionsanstaltens verksamhet och tjänster. 
16 § 
Patientens rätt till information och rättelse av felaktiga uppgifter i receptcentret 
Bestämmelser om patientens rätt att ta del av uppgifterna om sig själv i receptcentret finns i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i 34 § i dataskyddslagen (1050/2018). 
Bestämmelser om rättelse av felaktiga uppgifter i receptcentret finns i 10 § och i artikel 16 i dataskyddsförordningen. Om patienten eller dennes lagliga företrädare med stöd av artikel 16 i dataskyddsförordningen kräver att en uppgift ska rättas och om den felaktiga uppgiften grundar sig på läkemedelsförskrivarens eller läkemedelsexpedierarens anteckning, ska kravet på rättelse riktas till den person som gjort den felaktiga anteckningen eller den organisation där personen var anställd när felet begicks. 
Patienten har rätt att på begäran utifrån logguppgifter få veta vem som har behandlat eller haft åtkomst till sådan information om honom eller henne som finns i receptcentret eller i den i 12 § i kunduppgiftslagen avsedda viljeyttringstjänsten. Patienten har dock inte rätt att få logguppgifter, om den som lämnar ut uppgifterna vet att utlämnandet kan medföra allvarlig fara för patientens hälsa eller vård eller för någon annans rättigheter. Patienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Logguppgifter som en patient har fått får inte användas eller lämnas vidare för något annat ändamål. Folkpensionsanstalten ska lämna ut uppgifterna utan dröjsmål. Det får inte tas ut någon avgift för utlämnandet av uppgifterna. En patient som på nytt begär samma uppgifter som han eller hon redan har fått har rätt att få uppgifterna endast om det finns grundad anledning till det med hänsyn till tillgodoseendet av patientens intressen eller rättigheter. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen. För uppgifter som lämnas ut på nytt får Folkpensionsanstalten ta ut en avgift som inte får överstiga kostnaderna för utlämnande av uppgifterna. 
 En icke ändrad del av lagtexten har utelämnats 
16 a § 
ViljeyttringstjänstenUtskottet föreslår en strykning  och informationshanteringstjänsten Slut på strykningsförslaget 
I den viljeyttringstjänst som avses i 12 § i kunduppgiftslagen lagras uppgifter om patientens förbud och samtycken och om information som patienten fått.Utskottet föreslår en strykning  Genom den informationshanteringstjänst som avses i 11 § i kunduppgiftslagen är det möjligt att i den utsträckning som föreskrivs i 13 § i denna lag ge åtkomst till de uppgifter om recept och om expedieringar av dem som finns i receptcentret. Uppgifterna får användas för att förskriva läkemedel till patienten och för att ordna och tillhandahålla hälso- och sjukvård för patienten. Slut på strykningsförslaget 
17 § 
Medborgargränssnitt 
Med hjälp av medborgargränssnittet ges en patient uppgifter om patientens i receptcentret lagrade recept, rättelse- och expedieringsanteckningar i dem, Utskottet föreslår en ändring uppgifter om avslutade recept,  Slut på ändringsförslagetuppgifter om förbud samt utlämningslogguppgifter, med undantag för personuppgifter om mottagaren av uppgifter och sådana utlämningslogguppgifter som en patient enligt 16 § 3 mom. inte har rätt att få. Bestämmelser om skötsel av ärenden och behandling av uppgifter för någon annans räkning i en e-tjänst finns också i 23 § i kunduppgiftslagen.Utskottet föreslår en ändring  Med hjälp av gränssnittet ges en person namnet på den som skött ett ärende för hans eller hennes räkning. Slut på ändringsförslaget 
Genom gränssnittet kan patienten dessutom 
 En icke ändrad del av lagtexten har utelämnats 
2) meddela och återta ett förbud som avses i 13 §, och 
 En icke ändrad del av lagtexten har utelämnats 
Medborgargränssnittet ska genomföras så att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får genom gränssnittet lämnas ut till patienten och till patientens vårdnadshavare eller någon annan laglig företrädare. Vid utlämnandet av uppgifter ska vad som i 9 § 2 mom. i patientlagen föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om patientens hälsotillstånd ges till patentens vårdnadshavare eller någon annan laglig företrädare då beaktas. Vårdnadshavarens eller företrädarens åtkomst till uppgifter genom gränssnittet får inte påverka patientens rätt att ta del av uppgifter som gäller honom eller henne själv. 
 En icke ändrad del av lagtexten har utelämnats 
18 § 
Receptcentrets personuppgiftsansvar 
Receptcentret är gemensamt register för Folkpensionsanstalten och apoteken samt för tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. 
Folkpensionsanstalten ansvarar för användbarheten och integriteten hos uppgifterna i receptcentret samt för att datainnehållet är oförändrat och att uppgifterna bevaras och utplånas. 
Tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept ansvarar för riktigheten av uppgifterna i recept som lagras i receptcentret. Det apotek som expedierar ett läkemedel ansvarar för riktigheten av de expedieringsuppgifter som lagras i receptcentret. 
Folkpensionsanstalten ansvarar för en personuppgiftsansvarigs andra skyldigheter enligt dataskyddsförordningen än de som genom denna lag påförs apoteken samt tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Folkpensionsanstalten är dessutom i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt för de registrerade. 
19 § 
Förvaring av uppgifterna 
De handlingar och uppgifter om handlingarna som har lagrats i receptcentret bevaras i receptcentret i 20 år. Särskilda bestämmelser gäller i fråga om den skyldighet som tillhandahållarna av hälso- och sjukvårdstjänster och apoteken har att bevara uppgifter om recept. 
 En icke ändrad del av lagtexten har utelämnats 
22 a § 
Godkännande och ibruktagande av informationssystem och programvara 
De informationssystem som används när elektroniska recept görs upp och expedieras och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen ska innan de tas i bruk kontrolleras eller utvärderas för säkerställande av sekretessen, informationssäkerheten och interoperabiliteten för patientuppgifter i enlighet med 6 och 7 kap. i kunduppgiftslagen. 
22 b § 
Informationssäkerhetsplan 
Tjänstetillhandahållare som gör upp elektroniska recept, apoteken, Folkpensionsanstalten och producenterna av tjänster för förmedling av kunduppgifter ska utarbeta en informationssäkerhetsplan för säkerställande av sekretessen och informationssäkerheten för patientuppgifter i enlighet med 27 § i kunduppgiftslagen samt följa verksamheten och anmäla avvikelser i enlighet med 41 § i den lagen. 
23 § 
Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården 
Uppgifter om läkemedel som en tillhandahållare av social- eller hälso- och sjukvårdstjänster lämnar ut till en patient får lagras i receptcentret. När det gäller lagring av uppgifter om dessa läkemedel i receptcentret tillämpas i övrigt vad som i denna lag föreskrivs om elektroniska recept. Tillhandahållaren av social- eller hälso- och sjukvårdstjänster ansvarar för riktigheten av de uppgifter om läkemedel som enheten lämnar ut till en patient. 
 En icke ändrad del av lagtexten har utelämnats 
23 a § 
Gränsöverskridande elektroniska recept 
Ett elektroniskt recept som gjorts upp någon annanstans än i Finland får godkännas och expedieras av ett apotek som är verksamt i Finland, även om receptet inte uppfyller alla de krav som i denna lag ställs på elektroniska recept. En förutsättning för godkännande är dock att receptet uppfyller de krav som godkänts i Europeiska unionen eller som avtalats mellan Europeiska unionens medlemsstater och staterna inom Europeiska ekonomiska samarbetsområdet och att receptet förmedlas till ett finländskt apotek genom en utländsk och en finländsk nationell kontaktpunkt som certifierar receptets riktighet. En förutsättning för att receptet ska lämnas ut till utlandet är att utlämnandet sker via Finlands och mottagarlandets nationella kontaktpunkt. 
 En icke ändrad del av lagtexten har utelämnats 
Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om 
 En icke ändrad del av lagtexten har utelämnats 
2) överlåtelse av elektroniska recept till den nationella kontaktpunkten i en annan stat, och 
 En icke ändrad del av lagtexten har utelämnats 
24 § 
Styrning, uppföljning och övervakning 
Ordnandet och genomförandet och den allmänna planeringen, styrningen och övervakningen av elektroniska recept och i denna lag avsedda riksomfattande informationssystemtjänster hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av den i 6 § i kunduppgiftslagen avsedda certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
Utskottet föreslår en ändring Den personuppgiftsansvarige, verksamhetsenheterna och apoteken ska på eget initiativ vidta behövliga åtgärder, om någon lagstridigt har läst, använt eller lämnat ut uppgifter som finns i receptcentret. För uppföljningen och övervakningen har tjänstetillhandahållarna inom social- och hälsovården och apoteken rätt att få logguppgifter av Folkpensionsanstalten till den del anställda vid verksamhetsenheten eller apoteket i fråga har läst och behandlat uppgifter i receptcentret. Slut på ändringsförslaget 
Den ansvariga föreståndaren för en tjänstetillhandahållareUtskottet föreslår en ändring ,  Slut på ändringsförslagetapotekaren Utskottet föreslår en ändring och Folkpensionsanstalten  Slut på ändringsförslagetska meddela skriftliga anvisningar om behandlingen av kunduppgifter och om de förfaranden som ska iakttas samt sörja för att de anställda har tillräcklig sakkunskap och kompetens när patientuppgifter behandlas. Bestämmelser om det dataskyddsombud som ska utnämnas för uppföljnings- och övervakningsuppgiften hos tjänstetillhandahållare och apotek finns i artikel 37 i dataskyddsförordningen. 
25 § 
Avgifter 
För lagring av elektroniska recept och receptexpedieringsuppgifterna om dem, för certifiering som avses i denna lag samt för användning av uppgifterna i receptcentret och läkemedelsdatabasen tas det ut en avgift som motsvarar kostnaderna för serviceproduktionen. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. Avgiften tas ut av Folkpensionsanstalten. Avgifter som hänför sig till den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. Trots 10 § i lagen om grunderna för avgifter till staten (150/1992) föreskrivs det genom förordning av social- och hälsovårdsministeriet om de avgifter som Folkpensionsanstalten tar ut så att de motsvarar kostnaderna för skötseln av tjänsterna. Bestämmelser om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer enligt 6 § i kunduppgiftslagen finns i lagen om grunderna för avgifter till staten. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
Bestämmelserna om utlämnande av uppgifter med hjälp av välbefinnandeapplikationer enligt 13 § 5 mom. ska börja tillämpas senast den 1 december 2022. 
Bestämmelserna i 23 a § tillämpas från och med den 1 januari 2023. 
 Slut på lagförslaget 

4. Lag om ändring av 9 § i hälso- och sjukvårdslagen 

I enlighet med riksdagens beslut 
ändras i hälso- och sjukvårdslagen (1326/2010) 9 § 4 mom. som följer: 
9 § 
Registret över patientuppgifter och behandling av patientuppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Den som med hjälp av informationssystem använder uppgifter som har registrerats av en annan tillhandahållare av hälso- och sjukvårdstjänster ska följa upp användningen av patient- uppgifterna på det sätt som anges i 25 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Det ska datatekniskt säkerställas att en vårdrelation existerar mellan patienten och den som begärt uppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av 25 b § i barnskyddslagen 

I enlighet med riksdagens beslut 
ändras i barnskyddslagen (417/2007) 25 b §, sådan den lyder i lag 1302/2014, som följer: 
25 b § 
Registrering av barnskyddsanmälningar i socialvårdens klientregister 
Barnskyddsanmälningar ska registreras i enlighet med 22 § i lagen om klienthandlingar inom socialvården (254/2015) i socialvårdens klientregister som avses i den lagen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av 13 a § i lagen om patientens ställning och rättigheter 

I enlighet med riksdagens beslut 
ändras i lagen om patientens ställning och rättigheter (785/1992) 13 a §, sådan den lyder i lag 1230/2010, som följer: 
13 a § 
Riksomfattande informationssystemtjänster 
Bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten förvaltar finns i lagen om elektroniska recept (61/2007). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården 

I enlighet med riksdagens beslut 
ändras i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) 2 § 1 mom. 1 punkten, sådan den lyder i lag Utskottet föreslår en ändring 1263/2010 Slut på ändringsförslaget, som följer: 
2 § 
Uppgifter 
Verket ska sköta följande: 
1) den tillståndsförvaltning, styrning och tillsyn som hör till verkets uppgifter enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994), lagen om yrkesutbildade personer inom socialvården (817/2015), folkhälsolagen (66/1972), lagen om företagshälsovård (1383/2001), lagen om specialiserad sjukvård (1062/1989), hälso- och sjukvårdslagen (1326/2010), mentalvårdslagen (1116/1990), lagen om privat hälso- och sjukvård (152/1990), lagen om smittsamma sjukdomar (1227/2016), lagen om hälsovården inom försvarsmakten (322/1987), lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), lagen om elektroniska recept (61/2007), socialvårdslagen (1301/2014), lagen om privat socialservice (922/2011), lagen angående specialomsorger om utvecklingsstörda (519/1977), hälsoskyddslagen (763/1994), alkohollagen (1102/2017), tobakslagen (549/2016)Utskottet föreslår en strykning , gentekniklagen (377/1995), lagen om produkter och utrustning för hälso- och sjukvård (629/2010) Slut på strykningsförslaget och lagen om Enheten för hälso- och sjukvård för fångar (1635/2015), 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av lagen om klientens ställning och rättigheter inom socialvården 

I enlighet med riksdagens beslut 
fogas till lagen om klientens ställning och rättigheter inom socialvården (812/2000) en ny 14 a § som följer: 
14 a § 
Riksomfattande informationssystemtjänster 
Bestämmelser om utlämnande av uppgifter i handlingar inom socialvården med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kund- uppgifter inom social- och hälsovården ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

Utskottets nya lagförslag

Utskottet föreslår en ändring 9. Slut på ändringsförslaget Utskottet föreslår en ändring Lag Slut på ändringsförslaget Utskottet föreslår en ändring om ändring av 55 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården Slut på ändringsförslaget 

Utskottet föreslår en ändring I enlighet med riksdagens beslut Slut på ändringsförslaget 
Utskottet föreslår en ändring ändras Slut på ändringsförslagetUtskottet föreslår en ändring  i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) 55 § 5 mom. som följer: Slut på ändringsförslaget 
55 §  
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd 
 En icke ändrad del av lagtexten har utelämnats 
Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i Utskottet föreslår en ändring den viljeyttringstjänst Slut på ändringsförslaget som avses i Utskottet föreslår en ändring 12 Slut på ändringsförslaget § i Utskottet föreslår en ändring lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ) Slut på ändringsförslaget. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 19 § i klientuppgiftslagen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Utskottet föreslår en ändring Denna lag träder i kraft den 20 . Slut på ändringsförslaget 
 Slut på lagförslaget 

Utskottets förslag till uttalande

Riksdagen förutsätter att regeringen påskyndar beredningen av en totalreform av bestämmelserna om informationshanteringen inom social- och hälsovården.  
Helsingfors 12.5.2021 

I den avgörande behandlingen deltog

ordförande 
Markus Lohi cent 
 
vice ordförande 
Mia Laiho saml 
 
medlem 
Anna-Kaisa Ikonen saml 
 
medlem 
Arja Juvonen saf 
 
medlem 
Pia Kauma saml 
 
medlem 
Noora Koponen gröna 
 
medlem 
Aki Lindén sd 
 
medlem 
Hanna-Leena Mattila cent 
 
medlem 
Ilmari Nurminen sd 
 
medlem 
Veronica Rehn-Kivi sv 
 
medlem 
Minna Reijonen saf 
 
medlem 
Heidi Viljanen sd 
 
medlem 
Sofia Virta gröna. 
 

Sekreterare var

utskottsråd 
Päivi Salo.