Senast publicerat 10-07-2025 18:10

2022 rd Social- och hälsovårdsutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den (RP 246/2022 rd): Ärendet har remitterats till social- och hälsovårdsutskottet för betänkande och till grundlagsutskottet för utlåtande.

Utlåtande

Utlåtande har lämnats av

grundlagsutskottet
GrUU 89/2022 rd

Sakkunniga

Utskottet har hört

regeringsråd Joni Komulainen
social- och hälsovårdsministeriet
specialsakkunnig Anna Sandberg
social- och hälsovårdsministeriet
specialsakkunnig Amanda Mäkelä
justitieministeriet
barnombudsman Elina Pekkarinen
Barnombudsmannens byrå
överinspektör Tanja Muotka
Dataombudsmannens byrå
professor Lasse Lehtonen
Helsingfors universitet
professor Tomi Voutilainen
Östra Finlands universitet
direktör Johanna Seppänen
Tillståndsmyndigheten för användning av social- och hälsovårdsdata Findata
forskningsdirektör Arto Palmu
FVR - Suomen rokotetutkimus
projektchef Riitta Tuomaala
Folkpensionsanstalten
jurist Arttu Malava
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
chefsforskare Jukka Jokinen
Institutet för hälsa och välfärd (THL)
ledande expert Juha Mykkänen
Institutet för hälsa och välfärd (THL)
förvaltningsöverläkare Jukka Pellinen
Helsingfors stad
förvaltningsöverläkare Teppo Heikkilä
HUS-sammanslutningen
jurist Kaisa-Maria Kimmel
Välfärdsområdesbolaget Hyvil Ab
expert Jarno Talvitie
Hyvinvointiala HALI ry
farmaceutisk chef Charlotta Sandler
Finlands Apotekareförbund rf
professor Kaija-Leena Kolho
Barnläkarföreningen i Finland rf
hälsovårdspolitisk expert Mervi Kattelus
Finlands Läkarförbund.

Skriftligt yttrande har lämnats av

Myndigheten för digitalisering och befolkningsdata
Regionförvaltningsverket i Södra Finland
Säkerhets- och utvecklingscentret för läkemedelsområdet
Esko Systems Oy
Oy Apotti Ab
UNA Oy
Heta - Henkilökohtaisten Avustajien Työnantajien Liitto ry
Tehy rf.

Inget yttrande av

Södra Karelens välfärdsområde.

PROPOSITIONEN

Regeringen föreslår att det stiftas en ny lag om behandling av kunduppgifter inom social- och hälsovården. Samtidigt upphävs lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården och lagen om klienthandlingar inom socialvården samt de bestämmelser om behandling av kund- eller klientuppgifter som finns i andra lagar och som ingår i den nya lagen. I propositionen föreslås vidare sådana ändringar i 34 lagar som är nödvändiga på grund av den nya lagen.

Den nya lagen innehåller centrala bestämmelser om behandlingen av kunduppgifter och av kundhandlingar inom social- och hälsovården samt om informationssystem inom social- och hälsovården.

Bestämmelserna om behandling av kunduppgifter inom social- och hälsovården uppdateras i sin helhet så att de överensstämmer med EU:s allmänna dataskyddsförordning. Bestämmelserna om behandling av kunduppgifter och kundhandlingar ska bli enhetliga inom socialvården och hälso- och sjukvården. Bestämmelserna om utlämnande av kunduppgifter förtydligas så att de blir enklare och begripligare för kunder och vårdpersonalen. Recept ska definieras som journalhandlingar, och genom propositionen blir det möjligt att realisera en nationell läkemedelslista i receptcentret.

I lagen om Institutet för hälsa och välfärd föreslås ändringar som främjar utnyttjandet av de riksomfattande informationssystemtjänsterna vid institutets uppgiftsinsamlingar. Dessutom föreslås det sådana ändringar i den lagen och i lagen om klinisk prövning av läkemedel som gör det möjligt att för medicinsk forskning lämna ut patientuppgifter som Institutet för hälsa och välfärd innehar.

Propositionen hänför sig till budgetpropositionen för 2023 och avses bli behandlad i samband med den.

Lagarna avses träda i kraft den 1 januari 2024. I lagen föreslås åtskilliga övergångsbestämmelser för att trygga en tillräckligt lång tid för genomförandet.

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Ett av syftena med propositionen (s. 27) är att förtydliga och förenhetliga lagstiftningen om informationshantering inom social- och hälsovården så den är tydlig och begriplig för dem som ska tillämpa den och så att lagstiftningen som helhet överensstämmer med dataskyddsförordningen. Lagstiftningen skapar enligt motiveringen en grund för den fortsatta utvecklingen av lagstiftningen om informationshantering inom social- och hälsovården. Ett ytterligare syfte är att utarbeta lagstiftning för situationer för vilka bestämmelser på lagnivå saknas, det vill säga för behandlingen av journalhandlingar när hälso- och sjukvård ges i samband med socialservice samt personuppgiftsansvaret och ansvaret för bevarandet av kundhandlingar efter det att en tjänstetillhandahållare har avslutat sin verksamhet.

Ett syfte med propositionen är också att göra det möjligt att i receptcentret lagra uppgifter om en patients mot recept förskrivna medicinering som patienten ska köpa i ett apotek. Sammantaget är enligt propositionsmotiven avsikten att genomföra lagringen av patientens läkemedelsinformation i receptcentret före utgången av 2030.

De centrala bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården ska samlas i en lag (lagen om behandling av kunduppgifter inom social- och hälsovården, nedan kunduppgiftslagen) och enligt propositionen (s. 28) i sin helhet bringas i överensstämmelse med kraven i grundlagen och dataskyddsförordningen.

Grundlagsutskottet konstaterar (GrUU 89/2022 rd, stycke 2) att det inte har något att anmärka mot syftena med regleringen, men påpekar dock att bestämmelserna om behandling av kunduppgifter fortfarande är relativt svårbegripliga. Grundlagsutskottet påpekar (GrUU 89/2022 rd, stycke 3) att det i flera sammanhang har konstaterat att lagstiftningen har blivit mycket ogenomtänkt och svårtydd (se t.ex. GrUU 47/2006 rd, s. 2, GrUU 43/2006 rd, s. 2, GrUU 41/2006 rd, s. 2, och GrUU 25/2005 rd, s. 5). Grundlagsutskottet slår fast (GrUU 89/2022 rd, stycke 3) att det har fäst särskild uppmärksamhet vid att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Enligt grundlagsutskottet är det klart att EU:s dataskyddslagstiftning är en synnerligen starkt bidragande orsak till den komplicerade regleringen. Grundlagsutskottet anser trots det att social- och hälsovårdsutskottet bör undersöka om det finns något sätt att förtydliga regleringen.

Social- och hälsovårdsutskottet stöder propositionens syften. Utskottet påpekar dock i likhet med grundlagsutskottet att regleringen är svårbegriplig och föreslår nedan ett flertal förtydliganden. Dessutom föreslås vissa ändringar som gör förhållandet mellan den föreslagna kunduppgiftslagen (lagförslag 1) och annan reglering tydligare. Utskottet fäster allvarlig uppmärksamhet vid att det med anledning av såväl grundlagsutskottets utlåtande som social- och hälsovårdsutskottets utfrågningar har behövts ett stort antal korrigeringar och tillägg i lagförslagen under riksdagsbehandlingen. I en korrekt genomförd lagberedning bör sådana i princip göras under behandlingen i statsrådet. Det bör dessutom reserveras tillräckligt med tid för riksdagens behandling av propositioner.

Rätt att få information

I 8 kap. i kunduppgiftslagen finns det bestämmelser om rätten att få information och om utlämnande av kunduppgifter till kundens nära anhöriga, tjänsteproducenter och andra myndigheter och aktörer. Enligt propositionens motiv till lagstiftningsordningen (s. 186) tryggas skyddet för privatlivet och självbestämmanderätten för människorna genom bestämmelserna om sekretess och tystnadsplikt för kunduppgifter inom social- och hälsovården samt genom bestämmelserna om behandling av kunduppgifter. En kund kan bestämma om utlämnande av sina kunduppgifter inom social- och hälsovården med hjälp av tillstånd för och förbud mot utlämnande samt med hjälp av förbud som gäller läkemedel som förskrivits till en patient.

Grundlagsutskottet (stycke 10) anser att denna utgångspunkt fortfarande är motiverad med avseende på skyddet för privatlivet och personuppgifter samt kundens självbestämmanderätt. Utskottet har betonat att detta inte hindrar att det i samtyckeskravet bestäms om undantag och annan rätt att få information på det sätt som föreskrivs exempelvis i 13 § i lagen om patientens ställning och rättigheter (se närmare GrUU 4/2021 rd). Grundlagsutskottet framhåller dock att social- och hälsovårdsutskottet bör försäkra sig om att de föreslagna bestämmelserna som gäller tillstånd för och samtycke till utlämnande av uppgifter är förenliga med EU:s dataskyddsförordning. Bestämmelserna bör också kompletteras med en definition av tillstånd för utlämnande.

Social- och hälsovårdsutskottet konstaterar att den föreslagna reglering som grundar sig på tillstånd för och förbud mot utlämnande enligt utredning från social- och hälsovårdsministeriet bygger på den gällande lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (784/2021, bl.a. 18—21 §), som i samband med dess godkännande konstaterades vara förenlig med dataskyddsförordningen. Utskottet föreslår att en definition av tillstånd för utlämnande fogas till definitionerna i 3 § i den föreslagna kunduppgiftslagen.

Det föreslås vissa begränsningar i rätten att bestämma över information om sig själv. Grundlagsutskottet påpekar (stycke 11) att enligt 53 § 1 mom. i förslaget till kunduppgiftslag har de som deltar i tillhandahållandet av en tjänst som socialvården och hälso- och sjukvården tillhandahåller gemensamt rätt att få och använda sådana kundhandlingar som är nödvändiga för tillhandahållandet av tjänsten. Grundlagsutskottet anser att denna rätt att få uppgifter, som avviker från samtyckeskravet, har motiverats tämligen knapphändigt i propositionen. Social- och hälsovårdsutskottet bör enligt grundlagsutskottet utreda om den föreslagna rätten att få information är nödvändig.

Grundlagsutskottet noterar (stycke 13) att även om rätten att få information i huvudsak på behörigt sätt är bunden till kravet på nödvändighet, framgår det inte till alla delar av regleringen uttryckligen vem eller vilka som har rätt att få eller lämna ut information. Exempelvis enligt motiveringen till 54 § (s. 111) kan patientuppgifter med stöd av 4 mom. lämnas ut inte bara inom hälso- och sjukvården utan också till de tjänstetillhandahållare som producerar socialtjänster i samband med vilka också hälso- och sjukvård tillhandahålls. Sådana tjänster är till exempel hemvård, omsorgs- och boendetjänster samt institutions- och rehabiliteringstjänster inom missbrukarvården. Social- och hälsovårdsutskottet bör enligt grundlagsutskottet försöka precisera bestämmelserna.

Enligt uppgifter till social- och hälsovårdsutskottet har avsikten uttryckligen varit att föreskriva om rätten att få information i fråga om en tjänst som socialvårdspersonal och hälso- och sjukvårdspersonal genomför tillsammans, utan att bestämmelsen kopplas till något administrativt begrepp i organisationsstrukturen. I anslutning till många socialvårdstjänster, såsom boende- och institutionsservice, finns yrkesutbildade personer inom hälso- och sjukvården. Gemensamma tjänster kan dock tillhandahållas också på annat sätt än inom socialvården. När en gemensam tjänst tillhandahålls samarbetar socialvårdspersonalen och hälso- och sjukvårdspersonalen nära och kan anses ha ett gemensamt användningsändamål för behandlingen av uppgifterna. De som deltar i tillhandahållandet av servicen ska ha heltäckande information om kundens situation för att servicen ska kunna genomföras på ett säkert sätt och patientsäkerheten inte äventyras. I paragrafen begränsas rätten att få information till nödvändiga kunduppgifter, och dessutom kan varje person som deltar i tillhandahållandet av tjänsten endast ha rätt att använda sådana kunduppgifter som är nödvändiga med tanke på arbetsuppgiften och den tjänst som tillhandahålls. Närmare bestämmelser om vilka kunduppgifter yrkesutbildade personer får använda i sina arbetsuppgifter och i sina tjänster utfärdas genom förordning av social- och hälsovårdsministeriet.

Social- och hälsovårdsutskottet föreslår att 53 § 1 mom. i enlighet med dataskyddsförordningens princip om uppgiftsminimering preciseras så att där avses socialvårdstjänster och hälso- och sjukvårdstjänster som tillhandahålls vid samma verksamhetsställe. Utskottet konstaterar att 54 och 55 § handlar om utlämning av uppgifter mellan tjänstetillhandahållarna och att paragraferna till denna del bör preciseras på det sätt som anges nedan.

Grundlagsutskottet (stycke 14) påpekar att enligt 66 § 3 mom. 9 punkten i förslaget till kunduppgiftslag har Folkpensionsanstalten och enligt 5 § 1 mom. i lagförslag 8 har Institutet för hälsa och välfärd rätt att få uppgifter och att behandla kunduppgifter i syfte att för den tekniska kvalitetskontrollen av handlingar säkerställa att datastrukturerna är korrekta och interoperabla. Syftet har enligt grundlagsutskottet definierats tämligen vagt, och social- och hälsovårdsutskottet bör precisera regleringen.

Också biträdande dataombudsmannen påpekade vid social- och hälsovårdsutskottets sakkunnigutfrågning att de uppgifter som anförtrotts Folkpensionsanstalten i 66 § 3 mom. och den övervakningscentral som avses i 4 mom. förutsätter behandling av personuppgifter. I fråga om dessa uppgifter är det nödvändigt att fastställa rollfördelningen vid behandlingen av personuppgifter och att redogöra för de föreslagna behandlingsgrunderna, som ska följa dataskyddsförordningen. De föreslagna uppgifterna förutsätter behandling av kunduppgifter som samlats in i samband med andra personuppgiftsansvarigas verksamhet samt av uppgifter i användningsloggar. Enligt biträdande dataombudsmannen är det viktigt att förtydliga rollerna för att säkerställa de registrerades rättssäkerhet (arbetstagare och kunder eller patienter).

Enligt uppgifter från social- och hälsovårdsministeriet kräver de ovannämnda synpunkterna betydande tilläggsutredningar som inte kan genomföras i samband med riksdagsbehandlingen av den nu aktuella propositionen. Utskottet föreslår i detta sammanhang att de punkter som gäller de nya uppgifter som föreslås för Folkpensionsanstalten i 66 § 3 mom. och för övervakningscentralen i 4 mom. stryks. Ansvaret för dessa uppgifter ligger i princip hos de personuppgiftsansvariga och tillsynsmyndigheterna, så strykningen av dessa punkter försvagar inte uppföljningen eller tillsynen jämfört med nuläget. Utskottet föreslår också att Institutet för hälsa och välfärds uppgift att svara för uppföljningen av att de uppgifter och datastrukturer som ska lagras i de riksomfattande informationssystemtjänsterna är korrekta stryks i 2 § 1 mom. 4 b-punkten och 5 § 1 mom. i lagförslag 8, eftersom också den uppgiften kräver ytterligare beredning. Utskottet betonar att det fortsatta utredningsarbetet i anslutning till dessa uppgifter bör inledas utan dröjsmål.

Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren

I 51 § i den föreslagna kunduppgiftslagen finns bestämmelser om minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren. I 1 mom. föreskrivs det liksom i den gällande lagen om rätten för en minderårig patient att förbjuda att uppgifter om honom eller henne lämnas ut, när han eller hon med beaktande av sin ålder och utvecklingsnivå kan fatta beslut om vården. I 2 mom. finns en motsvarande bestämmelse om förbudsrätt för minderåriga klienter inom socialvården, som bygger på redan gällande reglering.

Grundlagsutskottet noterar (stycke 16) att enligt det föreslagna 51 § 2 mom. om socialvård kan en minderårig inte förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, om det klart strider mot den minderåriges intresse. Motsvarande avgränsning har inte gjorts i 1 mom. Grundlagsutskottet anser att social- och hälsovårdsutskottet bör överväga att införa motsvarande avgränsning i bestämmelsen om hälso- och sjukvård i 1 mom.

Social- och hälsovårdsutskottet bör enligt grundlagsutskottet (stycke 18) fästa särskild uppmärksamhet vid situationer där utlämnande av uppgifter om en minderårig till vårdnadshavaren oberoende av den minderåriges förbud kan medföra hot om fysiskt våld mot den minderårige. Social- och hälsovårdsutskottet bör alltså enligt grundlagsutskottet fästa särskild uppmärksamhet vid definitionen av avvikelse från förbudsrätten och vid förfarandet när en avvikelse görs.

Social- och hälsovårdsutskottet konstaterar att bestämmelserna i lagförslaget motsvarar den gällande lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) och lagen om klientens ställning och rättigheter inom socialvården (812/2000). Utgångspunkterna för barnets rätt att förbjuda att uppgifter lämnas ut till vårdnadshavaren är olika inom socialvården och hälso- och sjukvården till följd av tjänsternas olika karaktär. Utgångspunkten inom hälso- och sjukvården är bedömningen av barnets förmåga att självt besluta om vården. Bedömningen ska alltid göras i förhållande till det ärende som behandlas inom hälso- och sjukvården. I praktiken ska bedömningen alltså göras separat för varje besök eller vårdperiod. Förbudsrätten förutsätter att en yrkesutbildad person har bedömt att barnet har förmåga att självt besluta om vården, till skillnad från det som gäller för socialvårdsärenden. Om barnet enligt bedömningen inte har förmåga fatta beslut om vården, kan barnet inte heller förbjuda att uppgifter lämnas till vårdnadshavaren. En yrkesutbildad person inom hälso- och sjukvården ska vid behov göra en barnskyddsanmälan enligt 25 § i barnskyddslagen, om behovet av vård och omsorg, omständigheter som äventyrar barnets utveckling eller barnets eget beteende kräver att behovet av barnskydd utreds.

Utskottet konstaterar att en ändring av regleringen så att patientuppgifter kan lämnas till vårdnadshavaren trots att ett barn som självt kan besluta om vården förbjudit det är en anmärkningsvärt stor ändring jämfört med nuläget och att den till sina konsekvenser för tjänsterna är mer omfattande än endast en ändring som hänför sig till behandlingen av personuppgifter. Ändringen är betydelsefull med tanke på barnets självbestämmanderätt och också med tanke på verksamhetssätten inom hälso- och sjukvården. Med tanke på barnets bästa ska man utöver vårdnadshavarens rätt att få information och vårdnadshavarens uppgifter också beakta barnets rätt att uträtta ärenden inom hälso- och sjukvården konfidentiellt. Som grundlagsutskottet konstaterar i sitt utlåtande, bör man fästa särskild uppmärksamhet vid definitionen av avvikelse från förbudsrätten och vid förfarandet när en avvikelse görs.

Social- och hälsovårdsutskottet anser att det inte är motiverat att i samband med riksdagsbehandlingen göra en så betydande ändring i det etablerade rättsläget, utan beredningen förutsätter en omsorgsfull bedömning av om det finns vägande skäl att till denna del ändra de grundläggande principerna för en reglering som påverkar tillhandahållandet av tjänsterna.

Utskottet uttrycker dessutom oro över att det har uppstått problem vid elektronisk utlämning av patientuppgifter om minderåriga via Kanta-tjänsten i situationer där åtkomsten till uppgifter grundar sig på samtycke eller annan lagstadgad rätt för vårdnadshavaren att få uppgifter. Utskottet anser det vara viktigt att Kanta-tjänstens och de övriga patientdatasystemens funktion utvärderas och att behövliga funktionella ändringar görs för att den minderårige själv och den minderåriges vårdnadshavare ska få smidig tillgång till de uppgifter som de har lagstadgad rätt till.

Tekniskt gränssnitt

Grundlagsutskottet (stycke 19 och 20) fäster uppmärksamhet vid bestämmelserna om tekniskt gränssnitt i 57 § 1 mom. i den föreslagna kunduppgiftslagen. Den rätt att få uppgifter som avses i 53—55 och 64 § får tillgodoses med hjälp av ett tekniskt gränssnitt efter det att existensen av en vårdrelation eller klientrelation mellan patienten eller socialvårdsklienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. Enligt motiveringen (s. 116) tillgodoses rätten att få information med hjälp av de riksomfattande informationssystemtjänsterna redan för närvarande med hjälp av ett tekniskt gränssnitt, även om det inte har funnits några särskilda bestämmelser om detta. Rätten att få uppgifter med hjälp av ett tekniskt gränssnitt gäller enligt hänvisningen i det föreslagna 57 § 1 mom. också den rätt att få uppgifter av penninginstitut som avses i 64 § 2 mom. Vid ett förfarande enligt den bestämmelsen förutsätts det för att få uppgifter att en skriftlig begäran som grundar sig på ett beslut framställs till penninginstitutet. Innan begäran framställs ska kunden underrättas om den.

Grundlagsutskottet menar att det inbördes förhållandet mellan bestämmelserna är oklart. Grundlagsutskottet anser (stycke 22) att det inbördes förhållandet mellan 57 § 1 mom. och 64 § 2 mom. måste förtydligas och preciseras så att det tydligt framgår av bestämmelserna att förfarandet enligt 64 § 2 mom. också gäller utlämnande av uppgifter via ett tekniskt gränssnitt. Det här är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Också sakkunniga har lyft fram problem i 57 § om tekniskt gränssnitt. Innehållet i paragrafen har ansetts delvis vara rentav vilseledande. Paragrafen har ansetts problematisk också i förhållande till informationshanteringslagen (906/2019).

Enligt uppgift till utskottet lämpar sig informationshanteringslagen inte som sådan för att reglera tillgången till information inom social- och hälsovården. Bestämmelserna om behandling av kunduppgifter är specialbestämmelser i förhållande till informationshanteringslagen, så utskottet föreslår att 57 § 2 mom. stryks.

I anslutning till detta föreslår utskottet utifrån en utredning från social- och hälsovårdsministeriet att det i 57 § i stället för om ett tekniskt gränssnitt föreskrivs om tillgodoseendet av rätten att få information med hjälp av riksomfattande informationssystemtjänster och något annat gemensamt informationssystem som tillhandahållarna av tjänster använder. Paragrafen gör det enligt utredning möjligt att lämna ut uppgifter med hjälp av riksomfattande informationssystemtjänster på samma sätt som den gällande regleringen. Dessutom kan uppgifterna fås med hjälp av tjänstetillhandahållarnas gemensamma informationssystem. Utskottet konstaterar att avsikten med bestämmelsen inte är att skapa nya rättigheter att få uppgifter eller behörighet att inrätta nya informationssystem. Den rätt att få uppgifter som avses i regleringen kan tillgodoses exempelvis i Nylands välfärdsområdes, Helsingfors stads och HUS-sammanslutningens lagstadgade gemensamma informationssystem.

Enligt erhållen utredning förtydligar regleringen nuläget, där utlämnandet av uppgifter ur de riksomfattande informationssystemtjänsterna har reglerats annorlunda än utlämnande på annat sätt. Förutsättningarna för rätten att få uppgifter är desamma oberoende av om rätten tillgodoses med hjälp av riksomfattande informationssystemtjänster eller något annat gemensamt informationssystem. Förutsättningen är att det finns ett datatekniskt säkerställd vårdrelation eller klientrelation. I fråga om en person som behandlar kunduppgifter ska rätten att få information begränsas till de nödvändiga kunduppgifter som personen med stöd av 9 § och bestämmelser som utfärdats med stöd av den har rätt att använda. Dessutom ska kundens tillstånd för eller förbud mot utlämnande samt andra skyddsåtgärder enligt propositionen iakttas, såsom uppföljning av utlämnande och användning av kunduppgifter samt informationssystemens informationssäkerhetskrav.

Utskottet föreslår med anledning av grundlagsutskottets utlåtande att också förhållandet mellan 57 och 64 § förtydligas så att hänvisningen till 64 § stryks i 57 § 1 mom., varvid bestämmelserna i 57 § blir tillämpliga endast inom social- och hälsovården. Dessutom föreslås det att bestämmelserna om tillhandahållare av social- och hälsovårdstjänster och yrkesutbildade personer inom hälso- och sjukvården i 64 § 1 mom. flyttas till 53 och 55 §, varvid rätten att få uppgifter enligt 64 § endast gäller andra aktörer än aktörerna inom social- och hälsovården.

Beredningen av bestämmelserna om det tekniska gränssnittet förutsätter en omsorgsfull bedömning av genomförandet och den eventuella anknytande teknisk förbindelsen. Det eventuella behovet av en teknisk förbindelse togs upp också vid utskottets sakkunnigutfrågning. Utskottet betonar att den fortsatta beredningen av detta bör inledas utan dröjsmål.

Förvaringstider

Enligt 12 § 2 mom. i patientlagen föreskrivs angående förande av journalhandlingar samt förvaring av dem och prov och modeller som avses i 1 mom. samt om förvaringstiderna enligt användningsändamålet närmare genom förordning av social- och hälsovårdsministeriet. Dessa handlingar, prov och modeller får förvaras också efter den i förordning av social- och hälsovårds-ministeriet föreskrivna förvaringstiden har gått ut, om det är nödvändigt för att ordna och tillhandahålla vård för patienten. Bestämmelser om varaktig förvaring av handlingar finns enligt 3 mom. i arkivlagen (832/1994). Bestämmelser om förvaringstiderna för klienthandlingar inom socialvården finns i bilagan till lagen om klienthandlingar inom socialvården (254/2015).

Enligt 23 § i den förslagna kunduppgiftslag ska kundhandlingar i original samt sådana prov och modeller av organ som uppkommer vid undersökning och vård av en patient och som innehåller biologiskt material bevaras den tid som anges i bilagan. I lagförslaget föreslås således bestämmelser om bevaringstider på lagnivå, det vill säga i en bilaga till kunduppgiftslagen. Dessutom föreslås det att bestämmelserna om förvaringstider uppdateras och förtydligas. Dessutom bringas bestämmelserna om förvaringstider i överensstämmelse med dataskyddsförordningen bland annat i fråga om principen om uppgiftsminimering när det gäller ändamålen för ordnandet och tillhandahållandet av social- och hälsovård, men å andra sidan med beaktande av kundernas behov av att få tillgång till sina egna kunduppgifter även en längre tid efter det att vården eller tjänsten eller ärendet inom socialvården har avslutats.

Grundlagsutskottet har fäst uppmärksamhet vid bestämmelserna om förvaringstider. Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (se GrUU 31/2017 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Grundlagsutskottet har understrukit att framför allt lagringstiden för känsliga uppgifter ska vara begränsad på så sätt att uppgifterna bara får finnas lagrade så länge det är nödvändigt för att fullfölja det syfte för vilket uppgifterna har registrerats (se t.ex. GrUU 31/2017 rd, s. 5, och GrUU 13/2017 rd, s. 6). Grundlagsutskottet har till exempel ansett att en förvaringstid på fem år för känsliga uppgifter är lång (GrUU 51/2018 rd, s. 16, och GrUU 13/2017 rd, s. 6).

Social- och hälsovårdsutskottet måste enligt grundlagsutskottet (stycke 25) särskilt försäkra sig om att de föreslagna långa lagringstiderna är nödvändiga.

Enligt utredning till social- och hälsovårdsutskottet baserar sig förvaringstiderna på en värdering som gjordes under beredningen av propositionen. I samband med detta utreddes social- och hälsovårdsexperternas åsikter om behovet av att förvara kundhandlingar. Värderingen gjordes i ett av social- och hälsovårdsministeriet samordnat samarbete mellan organisationer och sakkunniga inom social- och hälsovården. En utgångspunkt vid värderingen var att bedöma till vilka delar de nuvarande långa förvaringstiderna i synnerhet för journalhandlingar kan förkortas, med beaktande av grundlagsutskottets tidigare utlåtandepraxis och dataskyddsförordningens princip om uppgiftsminimering.

Vid värderingen och under beredningen av propositionen var det klart att det ur medicinsk synvinkel är nödvändigt att bevara journalhandlingarna så länge patienten lever. De föreslagna långa förvaringstiderna är därför nödvändiga för att det mål för vilket uppgifterna har lagrats ska nås. Handlingar som hänför sig till medicinsk genetik och sällsynta sjukdomar avviker från andra journalhandlingar, eftersom de inte bara är av betydelse för patientens egen vård utan också för dennes avkomlingar. Därför har det föreslagits att de ska förvaras varaktigt.

Utskottet anser dock att det är motiverat att regelbundet bedöma behovet av att bevara varaktigt förvarade uppgifter och föreslår att paragrafen kompletteras till denna del. Utskottet föreslår vissa tekniska ändringar i uttrycken och strukturen i bilagan om förvaringstider för att göra det lättare att tolka och tillämpa bilagan.

Behandling av patientuppgifter i Nyland

I samband med social- och hälsovårdsreformen fogades till lagen om genomförande av reformen av social- och hälsovården och räddningsväsendet och om införande av den lagstiftning som gäller reformen (616/2021, nedan införandelagen) en temporär 64 a §. Enligt den har en myndighet som ordnar och tillhandahåller hälso- och sjukvårdstjänster för ett välfärdsområde, Helsingfors stad och HUS-sammanslutningen och den som handlar för dess räkning och som vårdar en patient i landskapet Nyland trots sekretessbestämmelserna rätt att få och använda patientuppgifter hos den behöriga myndighet i ett annat välfärdsområde i Nyland och i Helsingfors stad och HUS-sammanslutningen som svarar för ordnandet av hälso- och sjukvårdstjänster i den omfattning som vården av patienten kräver. Patienten har rätt att förbjuda utlämnandet av sina uppgifter. Regleringen grundar sig på de bestämmelser om behandling av patientuppgifter i ett gemensamt register inom sjukvårdsdistriktet och som avses i den 9 § i hälso- och sjukvårdslagen (1326/2010) som gällde före reformen.

Införandelagens temporära 64 a § är i kraft till utgången av 2025. Den nu föreslagna regleringen ändrar inte den gällande regleringen i fråga om behandlingen av uppgifter i Nyland. Det innebär att behandlingen av uppgifter i Nyland från och med ingången av 2026 ska ske i enlighet med den allmänna regleringen utan några undantagsbestämmelser.

Utskottet konstaterar att den gällande temporära regleringen om behandling av uppgifter i Nyland uttryckligen har godkänts som temporär reglering och att den inte var avsedd som en permanent lösning när den infördes. Också grundlagsutskottet har bedömt det som en temporär lösning.

Sakkunniga har dock framfört kritiska åsikter om att propositionen inte på ett bestående sätt löser att det genom särlösningen för Nyland är svårt att få till en smidig användning av patientuppgifter mellan Nylands välfärdsområden, Helsingfors stad och HUS-sammanslutningen. Utlämnande som grundar sig på rätten att ge tillstånd för eller förbjuda utlämnande skulle efter att den temporära regleringen upphört att gälla äventyra klient- och patientsäkerheten, försvåra integrationen av vården och försätta medborgarna i ojämlik ställning.

Utskottet upprepar sin tidigare ståndpunkt (ShUB 9/2022 rd, s. 5—6) och fäster allvarlig uppmärksamhet vid att den nu föreslagna behandlingen av patientuppgifter i Nyland under giltighetstiden för den nu föreslagna temporära regleringen måste lösas på ett hållbart sätt genom bestämmelser som gäller tills vidare så att yrkesutbildade personer inom hälso- och sjukvården har smidig tillgång till uppgifter som är väsentliga för patientsäkerheten, med respekt för patientens dataskydd. Utskottet föreslår ett uttalande om detta. (Utskottets förslag till uttalande)

Avslutningsvis

Förslaget har enligt propositionsmotiven (s. 30) direkta ekonomiska konsekvenser för såväl statsfinanserna som tjänstetillhandahållarna inom social- och hälsovården. De ekonomiska konsekvenserna hänför sig i synnerhet till åren 2023—2024. I enlighet med övergångsbestämmelserna fördelar sig verkställigheten på åren 2023—2029, men förslagen enligt övergångsbestämmelserna har i huvudsak ingått i den gällande kunduppgiftslagen och det är inte fråga om några nya skyldigheter. Enligt propositionsmotiven har förslaget samband med budgeten för 2023.

Utskottet konstaterar att propositionen på grund av tidpunkten när den lämnades har lösgjorts från budgeten för 2023. Utskottet betonar dock att tillräcklig finansiering och tillräckliga resurser bör reserveras för genomförandet av propositionen.

Utskottet betonar att de föreslagna ändringarna förutsätter tillräcklig information och utbildning för dem som deltar i verkställigheten samt information till kunderna och patienterna för att trygga tillgodoseendet av deras rättigheter. Också till denna del bör behövliga resurser reserveras för verkställigheten.

DETALJMOTIVERING

1. Lagen om behandling av kunduppgifter inom social- och hälsovården

2 §. Tillämpningsområde och förhållande till annan lagstiftning.

Den föreslagna lagens förhållande till annan lagstiftning behöver förtydligas. Det föreslås att de allmänna hänvisningarna till allmän lagstiftning utgår ur paragrafen.

Innehållet i 2 och 4 mom. stryks i sin helhet, varvid de föreslagna 3 mom. och 5 mom. blir 2 mom. respektive 3 mom.

Hänvisningarna till språklagen, dataskyddslagen, lagen om sekundär användning och arkivlagen stryks i det moment som blir 2 mom. Hänvisningen till lagen om elektroniska recept bör kvarstå, eftersom den tillsammans med den föreslagna kunduppgiftslagen bildar en viktig helhet som gäller hanteringen av recept.

I det moment som blir 3 mom. stryks hänvisningarna till lagen om stödtjänster och bestämmelserna om medicintekniska produkter. När det gäller EU:s direktiv om nätverks- och informationssäkerhet (direktiv (EU) 2016/1148, det så kallade NIS-direktivet) preciseras momentet så att det framgår att direktivet genomförs genom den föreslagna lagen.

3 §. Definitioner.

Det föreslås att en definition av tillstånd för utlämnande fogas till definitionerna i paragrafen. Med tillstånd för utlämnande avses en viljeyttring genom vilken en person eller dennes lagliga företrädare ger tillstånd till att tjänstetillhandahållarna inom social- och hälsovården lämnar ut kunduppgifter sinsemellan och mellan sina register med kunduppgifter i syfte att ordna och tillhandahålla social- och hälsovårdstjänster. Definitionen av tillstånd för utlämnande omfattar således både ett internt, omfattande tillstånd för utlämnande inom socialvården och hälso- och sjukvården och ett mer noggrant avgränsat tillstånd för utlämnande mellan socialvården och hälso- och sjukvården. Definitionen av tillstånd för utlämnande läggs till som punkt 10.

Dessutom stryks begreppen serviceanordnare och tjänsteproducent ur definitionerna, eftersom definitionerna väsentligt avviker från begreppsapparaten i regleringen av ordnande av social- och hälsovård. Ansvaret för att ordna tjänster enligt lagen om ordnande av social- och hälsovård hör till välfärdsområdena, vilket innebär att det kan uppstå förvirring när det gäller ansvaret, om en serviceanordnare fogas till aktörerna inom den privata hälso- och sjukvården. Utskottet föreslår att definitionen av tjänstetillhandahållare preciseras så att det tydligare framgår att den också avser offentligrättsliga samfund och arbetsgivare som själva ordnar företagshälsovård för sina arbetstagare. Då kan serviceanordnare i den föreslagna lagen ersättas med tjänstetillhandahållare.

Till följd av dessa ändringar ändras numreringen av de efterföljande punkterna.

4 §. Sekretess för kunduppgifter.

Uttrycket serviceanordnare ändras till tjänstetillhandahållare.

5 §. Tystnadsplikt och förbud mot utnyttjande.

Hänvisningen till dataskyddslagen stryks i 1 mom., eftersom den föreslagna bestämmelsen om tystnadsplikt utgör en självständig bestämmelse i förhållande till den delvis inexakta sekretessbestämmelsen i dataskyddslagen.

För tydlighetens skull ändras ordningsföljden mellan 2 och 3 mom.

Till det moment som blir 2 mom. fogas ett omnämnande av förbudet att röja uppgifter, vilket saknas i momentet. Till det moment som blir 3 mom. fogas ett omnämnande av förbudet mot utnyttjande.

6 §. Undantag från tystnadsplikten och sekretessen.

Till paragrafen och dess rubrik fogas ett omnämnande av sekretess för att patient- och klientuppgifter ska kunna lämnas på basis av samtycke också i skriftlig form.

7 §. Anvisningar för behandling av kunduppgifter.

I paragrafen stryks 2 mom., enligt vilket en offentlig tjänstetillhandahållare ska lämna en beskrivning av sin informationshanteringsmodell till Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket. Utskottet konstaterar att det föreslagna förfarandet i praktiken inte fungerar som tillsynsmetod, eftersom modellen inte innehåller uppgifter som är väsentliga med tanke på tillsynen och den kontinuerligt måste uppdateras. Det är inte heller klart på vilket sätt tillsynsmyndigheten ska behandla beskrivningarna. Omnämnandet av informationshanteringsmodell stryks också i paragrafens rubrik.

8 §. Identifiering av dem som deltar i behandlingen av kunduppgifter.

Hänvisningen i 2 mom. korrigeras tekniskt på grund av de hänvisningar som stryks i 2 §.

12 §. Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran.

I paragrafen ersätts uttrycket serviceanordnare med tjänstetillhandahållare.

13 §. Personuppgiftsansvarig för kunduppgifter.

I paragrafen ersätts uttrycket serviceanordnare med tjänstetillhandahållare. Personuppgiftsansvaret fastställs genom den offentliga tjänstetillhandahållarens organiseringsansvar. En privat tjänstetillhandahållares personuppgiftsansvar bestäms genom ett avtalsförhållande med kunden. Personuppgiftsansvarig för privata social- och hälsovårdstjänster är alltså den tjänstetillhandahållare som enligt avtal ansvarar för genomförandet av alla de social- och hälsovårdstjänster som kunden köper, även om tillhandahållaren köper vissa tjänster, till exempel undersökningstjänster, av andra tjänstetillhandahållare.

14 §. Tjänsteproducenters ansvar när de handlar för tjänstetillhandahållares räkning.

I hänvisningen i 1 mom. görs en teknisk korrigering till följd av de hänvisningar som stryks i 2 §.

I paragrafen och dess rubrik ersätts uttrycket serviceanordnare med tjänstetillhandahållare.

15 §. Personuppgiftsansvarig vid ändring av tjänstetillhandahållare.

I paragrafens 1 mom. ersätts uttrycket serviceanordnare med tjänstetillhandahållare.

16 §. Personuppgiftsansvar när en privat tjänstetillhandahållares verksamhet upphör.

Det föreslås att 1 mom. ändras så att när verksamheten har upphört ska kundhandlingarna lämnas till Folkpensionsanstalten för bevaring. Syftet är att regleringen och Folkpensionsanstaltens roll ska vara enhetliga.

Det föreslås att 2 mom. ändras så att det välfärdsområde som bestäms enligt hemorten för den tjänstetillhandahållare som har avslutat verksamheten eller Helsingfors stad och Folkpensionsanstalten tillsammans är personuppgiftsansvariga. Det är således fråga om gemensamt personuppgiftsansvar enligt dataskyddsförordningen. Som gemensamt personuppgiftsansvarig är Folkpensionsanstalten den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och till vilken kunderna kan rikta sina begäranden om uppgifter. Dessutom svarar Folkpensionsanstalten för säkerställandet av handlingarnas säkerhet samt för förvaringen och utplånandet av handlingar. Varje välfärdsområde eller Helsingfors stad svarar för den personuppgiftsansvariges övriga skyldigheter enligt dataskyddsförordningen, såsom utlämnande av uppgifter. Folkpensionsanstalten och andra personuppgiftsansvariga kan komma överens om de närmare detaljerna i arrangemanget.

I paragrafens 1 och 2 mom. samt i rubriken ersätts uttrycket serviceanordnare med tjänstetillhandahållare. Dessutom stryks omnämnandet av privata tjänstetillhandahållare i 1 mom., eftersom bestämmelsen är avsedd att gälla också till exempel kommuner som i egenskap av arbetsgivare ordnar företagshälsovård för sin egen personal.

Bestämmelsen om införande av elektroniska handlingar blir nytt 4 mom.

19 §. Språket i kundhandlingar.

I hänvisningen i 2 mom. görs en teknisk korrigering på grund av de hänvisningar som stryks i 2 §.

21 §. Tidsfrist för upprättande av handlingar.

I paragrafen stryks som onödigt omnämnandet av att en förutsättning för lämnande av uppgifter är att de lämnas i enlighet med patientens samtycke. Det ska i vilket fall som helst avtalas med patienten om platsen för fortsatt vård.

22 §. Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet.

I hänvisningen i 3 mom. görs en teknisk korrigering på grund av de hänvisningar som stryks i 2 §.

23 §. Bevarande av kundhandlingar.

Det föreslås att det till paragrafen fogas ett omnämnande av varaktig bevaring av handlingar, prover och organmodeller som är av medicinsk betydelse för medicinsk genetik och sällsynta sjukdomar, dock så att behovet av bevaring ska bedömas med fem års mellanrum. Handlingar som hänför sig till medicinsk genetik och sällsynta sjukdomar avviker från andra journalhandlingar, eftersom de är av betydelse inte bara för vården och behandlingen av patienten, utan också för dennes avkomlingar. Därför har det föreslagits att de ska bevaras varaktigt. Det är dock nödvändigt att med jämna mellanrum bedöma behovet av att bevara varaktigt förvarade uppgifter, för att behovet av förvaring regelbundet ska kunna bedömas medicinskt utifrån handlingarnas användningsändamål.

Det föreslås att hänvisningarna till lagring av handlingar i Riksarkivet stryks i 2 mom., eftersom ärendet har samband med revidering av arkivlagen (831/1994). Om man i samband med den revideringen kommer fram till att kundhandlingarna ska överföras till Riksarkivet, bör man samtidigt beakta de ändringar som behövs i bestämmelserna om dataskydd för de kundhandlingar som innehåller känsliga uppgifter. I momentet görs en teknisk korrigering till följd av ändringarna i 2 §.

24 §. Förstörande av kundhandlingar.

Till paragrafens 1 mom. fogas utöver tjänstetillhandahållare också den aktör som ansvarar för förvaringen av handlingarna efter det att tjänstetillhandahållarens verksamhet har upphört, eftersom handlingarna efter det i enlighet med 16 § kan förvaras av Folkpensionsanstalten eller av en privat tjänstetillhandahållare som varit gemensamt personuppgiftsansvarig. Tidigare har handlingar också skickats till kommunerna och samkommunerna för förvaring. Sedan ansvaret för dessa handlingar övergått till välfärdsområdena kan också välfärdsområdena höra till de aktörer som ansvarar för förvaring av handlingar.

I paragrafen ersätts uttrycket serviceanordnare med tjänstetillhandahållare.

46 §. Anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller tjänster tillsammans.

Paragrafen preciseras i enlighet med principen om uppgiftsminimering i dataskyddsförordningen genom att ett omnämnande av verksamhetsställe fogas till den. Gemensamma tjänster tillhandahålls i praktiken i nära dagligt samarbete vid samma verksamhetsställe, till exempel hemvård eller serviceboende.

53 §. Rätt att få uppgifter mellan socialvården och hälso- och sjukvården.

Det föreslagna 1 mom. preciseras i enlighet med principen om uppgiftsminimering i dataskyddsförordningen genom att ett omnämnande av verksamhetsställe fogas till det. Gemensamma tjänster tillhandahålls i praktiken i nära dagligt samarbete vid samma verksamhetsställe, till exempel hemvård eller serviceboende. Dessutom görs begreppsapparaten i lagen mer enhetlig på så sätt att rätten att få uppgifter gäller kunduppgifter i stället för kundhandlingar.

För tydlighetens skull flyttas till 5 mom. den bestämmelse i 64 § som gäller rätten för en offentlig tjänstetillhandahållare inom socialvården, dvs. en myndighet, att få nödvändiga uppgifter av en tjänstetillhandahållare inom hälso- och sjukvården. Således finns alla bestämmelser om rätt för socialvården och hälso- och sjukvården att få uppgifter i samma paragraf, vilket gör det lättare att tillämpa bestämmelserna. För enhetlighetens skull används begreppet myndighet i stället för offentlig tjänstetillhandahållare.

54 §. Rätt för tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter och utlämnande av patientuppgifter för att trygga vården.

För att de aktörer som uttryckligen har rätt att lämna ut uppgifter ska framgå av regleringen, preciseras 1 och 2 mom. så att det är fråga om rätt att få patientuppgifter av andra tillhandahållare av hälso- och sjukvårdstjänster

Paragrafens 4 mom. korrigeras så att begreppet tjänstetillhandahållare används i stället för verksamhetsenhet.

55 §. Rätt för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården.

För att de aktörer som uttryckligen har rätt att lämna ut uppgifter ska framgå av regleringen, preciseras 1 och 2 mom. så att det är fråga om rätt att få klientuppgifter av andra tillhandahållare av socialvårdstjänster

Till 2 mom. överförs den föreslagna bestämmelsen i 64 § om en socialvårdsmyndighets rätt att få nödvändiga klientuppgifter av andra tillhandahållare av socialvårdstjänster.

57 §. Tillgodoseende av rätten att få uppgifter med hjälp av ett informationssystem.

Avsikten är att den föreslagna lagen ska möjliggöra användning av ett tekniskt gränssnitt endast inom social- och hälsovården. Därför stryks i 1 mom. hänvisningen till 64 §, som ger rätt att få uppgifter också av andra aktörer än tillhandahållare av social- och hälsovårdstjänster.

Av de skäl som framgår av utskottets allmänna överväganden ändras paragrafens 1 mom. och paragrafrubriken så att det i stället för ett tekniskt gränssnitt föreskrivs om tillgodoseende av rätten att få uppgifter med hjälp av ett informationssystem.

Av de skäl som framgår av utskottets överväganden ovan föreslås det att 2 mom. stryks som felaktigt.

59 §. Inriktning av förbuden.

I 1 och 2 mom. föreslås det att begreppet personuppgiftsansvarig används i stället för serviceanordnare, eftersom förbudet liksom nu är avsett att uttryckligen gälla en serviceanordnare som är personuppgiftsansvarig. I detta sammanhang skulle begreppet tjänstetillhandahållare vara missvisande, eftersom förbudet inte kan riktas exempelvis mot en tjänstetillhandahållare som producerar tjänster inom välfärdsområdet. Förbudet får inte begränsa rätten för den som handlar för en tjänstetillhandahållare räkning att använda uppgifterna och inte heller rätten för den tjänstetillhandahållare som svarar för ordnandet av tjänsten att använda uppgifter som registrerats av dess tjänsteproducent.

61 §. Utlämnande av patientuppgifter för klinisk prövning av läkemedel och medicinsk forskning.

Vid utskottets sakkunnigutfrågning har det ansetts oklart hur den föreslagna paragrafen förhåller sig till 34 § i lagen om klinisk prövning av läkemedel (983/2021) och 21 c § i lagen om medicinsk forskning (488/1999). Utskottet föreslår att 61 § i kunduppgiftslagen kompletteras med en hänvisning till dessa bestämmelser, varvid det samlat i kunduppgiftslagen finns bestämmelser om utlämnande. På klinisk prövning av läkemedel och medicinsk forskning tillämpas dock fortfarande bestämmelserna i de lagarna. Paragrafens rubrik ändras så att den bättre motsvarar det ändrade innehållet.

62 §. Anmälan av uppgifter om en kund till polisen för bedömning av ett hot eller förhindrande av en hotande gärning.

Det föreslås att hänvisningen korrigeras så att det i paragrafen i fråga om fullgörandet av uppgifter i stället för den nu föreslagna lagen hänvisas till socialvårdslagen (1301/2014) och hälso- och sjukvårdslagen (1326/2010), i vilka uppgifterna ingår.

63 §. Utlämnande av klientuppgifter inom socialvården i vissa andra situationer.

För tydlighetens och enhetlighetens skull ändras paragrafen så att begreppet kunduppgift används i stället för handling.

64 §. Myndigheters rätt att få uppgifter.

Omnämnandena av tjänstetillhandahållare inom social- och hälsovården och yrkesutbildade personer i 1 mom. flyttas till 53—55 §. I paragrafen, dess rubrik och mellanrubrik används för tydlighetens skull begreppet myndighet i stället för begreppet offentlig tjänstetillhandahållare. Avsikten med ändringen är att betona att avsikten inte är att ge rätt att få uppgifter till privata tjänsteproducenter som arbetar för det allmännas räkning.

66 §. Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster.

I 2 mom. 2 punkten stryks en felaktig hänvisning till 15 § i informationshanteringslagen. Enligt erhållen utredning kan Folkpensionsanstalten inte stå för alla de ansvar som avses i de paragrafen, utan endast för säkerställandet av informationssäkerheten, det vill säga handlingarnas integritet, oförvanskade form och tillförlitlighet.

I hänvisningen i 2 mom. 3 punkten görs en teknisk korrigering till följd av ändringarna i 2 §.

I 3 mom. stryks i enlighet med det som sägs ovan i utskottets överväganden och med anledning av grundlagsutskottets utlåtande de nya rättigheter som föreslås för Folkpensionsanstalten. Till följd av strykningarna ändras numreringen av punkterna i momentet så att 7 punkten blir 6 punkten.

I 4 mom. stryks i anslutning till övervakningscentralen omnämnandet av uppföljning av behövliga uppgifter, eftersom bestämmelser om FPA:s rätt att behandla uppgifter och utföra övervakning finns i 3 mom.

77 §. Informationssäkerhetsplan.

I 1 mom. 7 punkten görs en teknisk korrigering till följd av ändringarna i 2 §.

84 §. Väsentliga krav på informationssystem och välbefinnandeapplikationer.

Till 4 mom. fogas en skyldighet för Institutet för hälsa och välfärd att höra dataombudsmannens byrå om kraven på dataskydd för att kraven ska beaktas på behörigt sätt redan vid planeringen av informationssystem.

85 §. Påvisande av överensstämmelse med kraven.

I 2 mom. stryks hänvisningen till kraven på funktionalitet, eftersom leverantören av informationssystemtjänster ska ansvara för alla bedömningar av de väsentliga kraven, inte bara för bedömningen av kraven på funktionalitet.

90 §. Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i informationssäkerheten avseende informationsnät.

Till 1 mom. fogas ett omnämnande av vem som tillverkar välfärdsapplikationen, eftersom också tillverkaren ska vara skyldig att anmäla avvikelser i applikationen.

99 §. Avgifter.

Paragrafens 1 mom. preciseras så att användningen av de riksomfattande informationssystemtjänsterna är avgiftsbelagd för tjänstetillhandahållarna och apoteken efter utgången av tidsfristen för anslutningsskyldigheten. Tjänstetillhandahållarna och apoteken ansluter sig stegvis till användningen av tjänsterna. Utskottet anser det motiverat att avgifterna tas ut först efter det att anslutningsskyldigheten inträtt, varvid avgifterna kan riktas rättvist till alla som är skyldiga att ansluta sig.

101 §. Ikraftträdande.

Utskottet föreslår att ikraftträdandebestämmelsen kompletteras med ett nytt 4 mom., enligt vilket också handlingar som innehas av tjänstetillhandahållare som avslutat sin verksamhet före lagens ikraftträdande kan överföras till Folkpensionsanstalten för bevarande.

Dessutom föreslås ett nytt 5 mom. som gör det möjligt att i patientregistret föra in journalhandlingar som upprättats före lagens ikraftträdande i samband med socialvård, så att journalhandlingar som upprättats vid olika tidpunkter kan behandlas på ett enhetligt sätt.

102 §. Övergångsbestämmelser.

Det föreslås att omnämnandet av uppgifter om strålningsexponering stryks i förteckningen över patientuppgifter som ska registreras i de riksomfattande informationssystemtjänsterna. Utifrån sakkunnigutfrågningen i utskottet är det sannolikt att den totala nyttan av att uppgifterna lagras i Kanta-tjänsterna inte är så betydande att det genom lag bör åläggas skyldighet att registrera dem.

Bilaga

Bevarandetiderna för kundhandlingar.

Utskottet föreslår att man för att förtydliga bilagan om bevarandetider grupperar de handlingar som förvaras i tolv år efter patientens död separat och kombinerar dem med EEG, EKG, ENMG, KTG, hörselkurvor och andra motsvarande resultatkurvor.

Också handlingar som anknyter till dödsfallet sammanställs i en egen grupp.

Dessutom föreslås det att rubriceringen av dokumentgrupperna preciseras så att det av rubriken framgår vilka handlingar det är fråga om i respektive grupp samt när det är fråga om journalhandlingar respektive klienthandlingar inom socialvården.

Dessutom föreslår utskottet ändringar av teknisk natur i bilagan.

2. Lagen om ändring av lagen om klientens ställning och rättigheter inom socialvården

27 §. Tillämpningsområdet för bestämmelserna om datasekretess och handräckning.

Hänvisningen i paragrafen preciseras.

3. Lagen om ändring av lagen om patientens ställning och rättigheter

Ingressen.

I ingressen görs en teknisk korrigering.

4. Lagen om ändring av lagen om elektroniska recept

5 c §. Sjukskötares, farmaceuters och provisorers rätt att anteckna dosjusteringar.

Utskottet gör en teknisk korrigering i paragrafen.

10 §. Rättelse, makulering och förnyelse av recept samt anteckning om avslutad användning av läkemedel.

I 2 mom. stryks meningen om att den föregående ordinationen träder i kraft efter makulering. Bestämmelsen är uppenbart onödig, eftersom den senaste versionen av ordinationen enligt uppgift i vilket fall som helst ska leda till att den tidigare versionen gäller utan att det föreskrivs särskilt om detta.

Rätten enligt 4 mom. att göra en anteckning om avslutande kopplas, i stället för till koden för det använda läkemedlet, till huruvida receptet har gjorts upp före den 1 oktober 2027, det vill säga innan den nationella läkemedelslistan införs. Enligt inkommen utredning hinner de informationssystem som tjänstetillhandahållarna använder inte uppdateras enligt de nya kraven innan lagen träder i kraft. De kan alltså inte stödja sådan förskrivning eller avslutande av läkemedel enligt läkemedelslistan som baserar sig på läkemedlets kod och de kontinuum som bildas på basis av den. Det är ändamålsenligt att utvidga den möjlighet att göra en anteckning om avslutande som föreslås för de sjukskötare, farmaceuter, provisorer och läkemedelsexpedierare som tjänstetillhandahållaren har utsett till att gälla också under övergångsperioden innan den nationella läkemedelslistan börjar användas.

13 §. Patientens rätt att bestämma om utlämnande av uppgifter.

I paragrafen beaktas den 8 punkt som fogats till paragrafen genom lag 1232/2022, varvid 8 punkten i propositionen blir 9 punkt.

Ikraftträdande- och övergångsbestämmelsen.

Till övergångsbestämmelsen fogas en övergångstid för verkställigheten av 10 § 4 mom. En övergångsperiod behövs, eftersom det är fråga om en ny typ av uppgift i anknytning till recept, det vill säga en anteckning om avslutande, som ännu inte har införts i patientdatasystemen. Fram till dess att en anteckning om avslutande tas i bruk är det nödvändigt att läkemedelsförskrivaren och läkemedelsexpedieraren i samförstånd med patienten kan makulera ett oexpedierat eller delvis expedierat recept av terapeutiska skäl.

6. Lagen om ändring av 2 och 34 § i lagen om klinisk prövning av läkemedel

34 §. Användning av uppgifter som gäller patienter vid prövningar.

Det föreslagna 1 mom. stryks till följd av ändringarna i 61 § i lagförslag 1. I paragrafen görs en teknisk korrigering för att paragrafens 1—3 mom. ska motsvara den gällande lagen.

Propositionens 2 och 3 mom. blir 4 och 5 mom. i paragrafen.

I det moment som blir 4 mom. görs en teknisk korrigering och till de föreslagna bestämmelserna om rätt att få uppgifter fogas rätten att få sådana uppgifter om mikrobfynd i registret över smittsamma sjukdomar som enligt uppgift är nödvändiga särskilt för att vaccinundersökningarna ska kunna utföras på ett mångsidigt sätt.

I 5 mom. görs tekniska korrigeringar, och det bemyndigande att meddela föreskrifter om informationssäkerhetskrav som gäller Säkerhets- och utvecklingscentret för läkemedelsområdet ändras och ges en möjliggörande formulering, varvid centret kan meddela föreskrifter inom ramen för sina resurser om centret anser att det finns behov av det.

7. Lagen om ändring av 21 c § i lagen om medicinsk forskning

Ingressen.

I ingressen görs en teknisk korrigering.

21 c §. Användning av uppgifter som gäller patienter vid forskning.

Hänvisningen i 1 mom. ändras till att gälla lagen om behandling av kunduppgifter. I paragrafen görs en teknisk korrigering för att paragrafens 2—5 mom. ska motsvara den gällande lagen.

Propositionens 2 mom. om kraven på informationssäkerhet blir nytt 6 mom.

8. Lagen om ändring av lagen om Institutet för hälsa och välfärd

2 §. Uppgifter.

I 1 mom. 4 b-punkten stryks uppgiften att svara för uppföljningen av att de uppgifter och datastrukturer som ska lagras i de riksomfattande informationssystemtjänsterna är korrekta. Utifrån utskottets sakkunnigutfrågning förutsätter den rätt att få information som hänför sig till uppgiften samt rollerna och ansvaren för behandlingen av personuppgifter betydande extra beredning.

5 §. Rätt att få och att behandla uppgifter.

I 1 mom. 4 punkten ändras Befolkningsregistercentralens namn så att det motsvarar det nya namnet Myndigheten för digitalisering och befolkningsdata.

5 a §. Utlämnande av uppgifter.

Till 2 mom. fogas en möjlighet att lämna ut sådana uppgifter om mikrobfynd i registret över smittsamma sjukdomar som enligt uppgift är nödvändiga särskilt för att utföra vaccinundersökningar. Förutsättningarna för utlämnande av uppgifter preciseras så att det förutsätts ett positivt beslut om klinisk läkemedelsprövning. Dessutom preciseras momentet så att det samtycke till att delta i en undersökning som krävs för utlämnande av uppgifter grundar sig både på lagen om prövning av läkemedel och på förordningen om prövning av läkemedel.

10. Lagen om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården

Ingressen.

I ingressen görs en teknisk korrigering.

13. Lagen om ändring av 25 § i lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland

Ingressen.

I ingressen görs en teknisk korrigering.

27. Lagen om ändring av 13 § i lagen om inkomstdatasystemet

Ingressen.

I ingressen görs tekniska korrigeringar.

13 §. Uppgiftsanvändares rätt att få uppgifter ur inkomstdatasystemet.

I 1 mom. 18 punkten beaktas de ändringar som gjorts genom lag 940/2022. Genom den lagen har 19 punkten ändrats så att den inte längre gäller social- och hälsovården. Utskottet föreslår att 19 punkten bibehålls i dess gällande form, det vill säga sådan den lyder ändrad genom lag 940/2022.

33. Lagen om ändring av 9 § i lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn samt om tillämpning av konventionen

Ingressen.

I ingressen görs en teknisk korrigering.

36. Lagen om ändring av 3 a kap. i lagen om utkomststöd

18 a §. Folkpensionsanstaltens rätt till information och skyldighet att lämna ut uppgifter.

Hänvisningen i 2 mom. till 20 § i lagen om klientens ställning och rättigheter inom socialvården ändras till en hänvisning till 64 § i kunduppgiftslagen. Hänvisningen i 3 mom. till 13 § i lagen om klientens ställning och rättigheter inom socialvården ändras till en hänvisning till 63 § i kunduppgiftslagen.

18 f §. Antecknande av klientuppgifter som gäller grundläggande utkomststöd.

Hänvisningen i 2 mom. till 8 § 1 mom. i lagen om klientens ställning och rättigheter inom socialvården ändras till en hänvisning till 48 § i kunduppgiftslagen.

18 g §. Välfärdsområdets rätt till information.

Hänvisningen till 20 § 1 mom. i lagen om klientens ställning och rättigheter inom socialvården ändras till en hänvisning till 64 § i kunduppgiftslagen.

FÖRSLAG TILL BESLUT

Social- och hälsovårdsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 5, 9, 11, 12, 14—26, 28—32, 34 och 35 i proposition RP 246/2022 rd utan ändringar. Riksdagen godkänner lagförslag 1—4, 6—8, 10, 13, 27 och 33 i proposition RP 246/2022 rd med ändringar. (Utskottets ändringsförslag) Riksdagen godkänner ett nytt lagförslag 36. (Utskottets nya lagförslag) Riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande)

Utskottets ändringsförslag

1. Lag om behandling av kunduppgifter inom social- och hälsovården

I enlighet med riksdagens beslut föreskrivs:

AVDELNING I
LAGENS TILLÄMPNINGSOMRÅDE OCH BEHANDLINGEN AV KUNDUPPGIFTER

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

Syftet med denna lag är att förenhetliga behandlingen av kunduppgifter inom social- och hälsovården vid både ordnandet och tillhandahållandet av social- och hälsovårdstjänster.

2 §
Tillämpningsområde och förhållande till annan lagstiftning

Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, vid behandlingen av kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag.

Till den del som denna lag inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det i fråga om offentliga tjänstetillhandahållare om behandlingen i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, lagen om informationshantering inom den offentliga förvaltningen (906/2019), nedan informationshanteringslagen, lagen om tillhandahållande av digitala tjänster (306/2019) och lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Bestämmelser om tillgången till digitala tjänster finns i Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer.

Bestämmelser om språkliga rättigheter vid behandlingen av kunduppgifter och vid ordnandet av tjänster och verksamhet enligt denna lag finns dessutom i språklagen (423/2003). Bestämmelser om behandling av kunduppgifter i fråga om alla tjänstetillhandahållare finns i dataskyddslagen och lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019), nedan lagen om sekundär användning. Bestämmelser om arkivering av handlingar finns i arkivlagen (831/1994). Bestämmelser om behandlingen av elektroniska recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns utöver i denna lag också i lagen om elektroniska recept (61/2007), nedan receptlagen.

Bestämmelser om elektronisk identifiering, elektronisk underskrift och betrodda elektroniska tjänster finns i Europaparlamentets och rådets förordning (EU) 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, nedan eIDAS-förordningen, i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) och i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009).

Genom denna lag genomförs inom social- och hälsovården Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.Bestämmelser om stödtjänster för e-tjänster finns i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). Bestämmelser om medicintekniska produkter inom hälso- och sjukvården finns i Europaparlamentets och rådets förordning (EU) 2017/745 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG samt i lagen om medicintekniska produkter (719/2021).

3 §
Definitioner

I denna lag avses med

1) kund en sådan socialvårdsklient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en sådan patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen,

2) handling en framställning i skrift eller bild och ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel,

3) kundhandling en handling som har upprättats eller tagits emot eller som innehåller uppgifter för bedömning av en kunds behov av social- eller hälsovårdstjänster, för ordnande eller tillhandahållande av behövliga tjänster eller för expediering av läkemedel,

4) journalhandling en kundhandling som gäller en patient,

5) klienthandling inom socialvården en kundhandling som gäller en socialvårdsklient,

6) kunduppgift patientuppgifter samt klientuppgifter inom socialvården,

7) patientuppgift kunduppgifter som ingår i journalhandlingar och andra handlingar som utarbetats inom hälso- och sjukvården och som gäller en patients hälsotillstånd eller funktionsförmåga eller hälso- och sjukvårdstjänster som patienten har fått,

8) klientuppgift inom socialvården uppgifter som ingår i klienthandlingar inom socialvården och andra handlingar som utarbetats inom socialvården och som gäller behovet av stöd för en socialvårdsklient, behandlingen av klientens ärende eller kunduppgifter som gäller den socialservice som ges till klienten,

9) uppgifter om välbefinnande sådana uppgifter som en person producerat och administrerar om sin hälsa och sitt välbefinnande och som personen själv har fört in i den i 18 punkten avsedda informationsresursen för egna uppgifter,

10) tillstånd för utlämnande en viljeyttring genom vilken en person eller dennes lagliga företrädare ger sitt tillstånd till att tjänstetillhandahållarna inom social- och hälsovården lämnar ut kunduppgifter sinsemellan och mellan sina register med kunduppgifter i syfte att ordna och tillhandahålla social- och hälsovårdstjänster, (Ny)

11) tjänstetillhandahållare myndigheter, offentligrättsliga samfund och enskilda näringsidkare som ordnar eller tillhandahåller socialservice eller hälso- och sjukvårdstjänster samt arbetsgivare som avses i 7 § 1 mom. 2 punkten i lagen om företagshälsovård (1383/2001),

11) serviceanordnare en tjänstetillhandahållare som

a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller

b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna,

12) tjänsteproducent en tjänstetillhandahållare som

a) i egenskap av serviceanordnare själv producerar social- eller hälsovårdstjänster, eller

b) för en serviceanordnares räkning producerar social- eller hälsovårdstjänster,

12) apotek ett sådant apotek som avses i 38 § 1 punkten i läkemedelslagen (395/1987),

13) apotekare den som avses i 38 § 6 punkten i läkemedelslagen och som har beviljats tillstånd att hålla apotek samt en föreståndare för ett universitetsapotek och för dess filialapotek,

14) riksomfattande informationsresursen för kunduppgifter en informationsresurs som hör till de riksomfattande informationssystemtjänsterna och där kundhandlingar, andra handlingar som innehåller kunduppgifter eller andra uppgifter som behövs för social- och hälsovården bevaras och utnyttjas,

15) informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken sammandrag av patientuppgifter produceras,

16) viljeyttringstjänst en riksomfattande informationssystemtjänst genom vilken handlingar som gäller information, tillstånd för, samtycke till och förbud mot utlämnande med anknytning till social- och hälsovårdstjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården förvaltas,

17) informationsresursen för egna uppgifter en inom de riksomfattande informationssystemtjänsterna upprättad centraliserad informationsresurs för bevarande och behandling av uppgifter om välbefinnande,

18) välbefinnandeapplikation en applikation i anslutning till informationsresursen för egna uppgifter med vilken uppgifter om välbefinnande behandlas, samt en applikation till vilken personen kan få sina kunduppgifter från den riksomfattande informationsresursen för kunduppgifter, receptcentret och informationshanteringstjänsten,

19) informationssystem en programvara eller ett system eller delsystem som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kundhandlingar, för registrering av handlingarna i de riksomfattande informationssystemtjänsterna eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- eller hälsovården kan använda uppgifter om välbefinnande,

20) producent av en informationssystemtjänst den som för en tjänstetillhandahållare tillhandahåller eller genomför ett i 20 punkten avsett informationssystem och som i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvarar för de krav som ställs på informationssystemet,

21) tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården,

22) mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster, genomförandet av informationssystemens tekniska eller fysiska miljö eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll i samband med underhåll eller annars har en möjlighet att se okrypterade kunduppgifter,

23) certifiering ett förfarande genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion,

24) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) och som Transport- och kommunikationsverket har godkänt.

2 kap.
Allmänna principer för behandlingen av kunduppgifter

4 §
Sekretess för kunduppgifter

Kunduppgifterna inom social- och hälsovården är permanent sekretessbelagda.

En sekretessbelagd handling som innehåller kunduppgifter eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. Med utomstående avses i denna lag personer inom hälso- och sjukvården som inte är anställda hos den aktuella tjänstetillhandahållaren eller det aktuella apoteket eller som för tjänstetillhandahållarens eller apotekets räkning eller på uppdrag av tjänstetillhandahållaren eller apoteket deltar i ordnandet eller tillhandahållandet av hälso- och sjukvårdstjänster för patienten eller i uppgifter i samband med dem och inom socialvården personer som inte är anställda hos den aktuella tjänstetillhandahållaren eller som för tjänstetillhandahållarens räkning eller på uppdrag av den deltar i ordnandet eller tillhandahållandet av socialservice för socialvårdsklienten eller i uppgifter i samband med den.

Vid verksamhetsenheter inom hälso- och sjukvården får trots sekretessbestämmelserna sådana patientuppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för vården av patienten behandlas. Vid verksamhetsenheter inom socialvården får trots sekretessbestämmelserna sådana kunduppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för att tillhandahålla socialvård behandlas.

5 §
Tystnadsplikt och förbud mot utnyttjande

En tjänstetillhandahållare och en apotekare samt den som är anställd eller praktikant hos denna eller någon annan som handlar på uppdrag av tjänstetillhandahållaren eller apotekaren eller för dennas räkning liksom den som sköter ett förtroendeuppdrag inom socialvården eller en aktör som har fått kunduppgifter av tjänstetillhandahållaren eller apoteket har tystnadsplikt i fråga om de kunduppgifter de har fått och andra personliga uppgifter om kunden. Bestämmelser om tystnadsplikt finns i 35 § i dataskyddslagen. En uppgift som omfattas av tystnadsplikt får inte heller röjas efter det att anställningsförhållandet eller uppdraget har upphört.

En person som avses i 1 mom. får inte obehörigen för utomstående röja uppgifter som han eller hon har fått eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. (Nytt)

En kund, kundens företrädare eller kundens biträde får inte för en utomstående röja en sekretessbelagd uppgift som fåtts på grundval av ställningen som kund och som gäller någon annan än kunden själv och inte heller använda uppgiften för sin egen eller någon annans vinning eller för att skada någon annan. En kund, kundens företrädare eller kundens biträde får dock använda uppgifter om andra än klienten själv när det är fråga om ett ärende som gäller den rätt, det intresse eller den skyldighet som klientens rätt att få information har grundat sig på.

En person som avses i 1 eller 2 mom. får inte använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.

6 §
Undantag från tystnadspliktenUtskottet föreslår en ändring och sekretessen Slut på ändringsförslaget

Undantag från tystnadsplikten och sekretessen får göras med kundens samtycke eller om det föreskrivs om det i denna eller någon annan lag.

7 §
Anvisningar för behandling av kunduppgifterUtskottet föreslår en strykning och informationshanteringsmodell Slut på strykningsförslaget

Den ansvariga föreståndaren hos en tjänstetillhandahållare och en apotekare ska meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter.

Bestämmelser om skyldighet för offentliga tjänstetillhandahållare att utarbeta en informationshanteringsmodell och bedöma konsekvenserna av förändringar finns i 5 § i informationshanteringslagen. En beskrivning av informationshanteringsmodellen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården samt till det behöriga regionförvaltningsverket.

8 §
Identifiering av dem som deltar i behandlingen av kunduppgifter

Vid behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, apoteket, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna och riksomfattande informationssystemtjänsterna identifieras på ett tillförlitligt sätt.

Tjänstetillhandahållaren, apoteket, Folkpensionsanstalten samt producenten av informationssystemtjänsten och tillverkaren av informationssystemet och mellanhanden ska kontrollera att identifieringsverktygen för personer som behandlar kunduppgifter och som används för identifiering av informationstekniska enheter är i kraft med iakttagande av 25 § 4—6 mom. i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), nedan autentiseringslagen.

9 §
Åtkomsträttigheter till kunduppgifter

Rätten att använda kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar kunduppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har rätt att använda endast de nödvändiga kunduppgifter som personen behöver i sina arbetsuppgifter. Behandlingen av kunduppgifter ska grunda sig på en datatekniskt säkerställd kund- eller vårdrelation eller någon annan uppgift som anknyter till ordnandet och tillhandahållandet av kundens social- och hälsovårdstjänster.

Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet.

Tjänstetillhandahållare och apotek ska specificera vilka nödvändiga kunduppgifter yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har rätt att använda. Tjänstetillhandahållare och apotek ska föra register över dem som vid behandlingen av kunduppgifter använder tjänstetillhandahållarens eller apotekets informationssystem och kundregister samt över deras rätt att använda kunduppgifter.

10 §
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande

En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje register samla in logguppgifter om all användning och allt utlämnande av kunduppgifter och uppgifter om välbefinnande. Apoteken ska samla in användningslogguppgifter om behandlingen av recept och andra anteckningar om läkemedelsbehandling som lagrats i det receptcenter som avses i 3 § 1 mom. 4 punkten i receptlagen.

I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, namnet och den unika identifikationskoden för den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen. I logguppgifterna för receptcentret ska det föras in uppgifter om vem som har läst, ändrat eller annars behandlat uppgifterna i ett recept eller någon annan anteckning om läkemedelsbehandling som lagrats i receptcentret samt tidpunkten för åtgärden.

I utlämningsloggregistret ska det föras in en beskrivning av utlämnade kunduppgifter samt uppgift om den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, mottagaren, tidpunkten för utlämnandet, det ändamål för vilket uppgifterna lämnades ut samt den bestämmelse som ligger till grund för utlämnandet eller tillstånd för utlämnandet eller uppgift om samtycke samt övriga uppgifter som behövs för tillsynen över och uppföljningen av utlämnandet.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll.

11 §
Kundens rätt att få information om behandlingen av sina egna uppgifter

En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter och uppgifter om välbefinnande rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet.

Kunden har dock inte rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter eller om utlämnandet av dem kan äventyra förhindrande, avslöjande eller utredning av brott eller skyddet av den allmänna säkerheten eller den nationella säkerheten. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått.

Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillgång till logguppgifter med hjälp av det i 74 § avsedda medborgargränssnittet får dock ingen avgift tas ut.

Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket anser att logguppgifterna inte får lämnas ut till kunden, ska det meddelas ett skriftligt avslagsbeslut. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen.

Om en kund anser att hans eller hennes kunduppgifter eller uppgifter om välbefinnande har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare, Folkpensionsanstalten eller det apotek som använt eller fått uppgifterna på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren eller apoteket på eget initiativ vidta nödvändiga åtgärder.

12 §
Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran

Tjänstetillhandahållaren får vägra att tillgodose en kunds begäran om att begränsa behandlingen av sina personuppgifter med stöd av artikel 18 i dataskyddsförordningen, om en begränsning av behandlingen av uppgifterna kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.

3 kap.
Personuppgiftsansvar för kunduppgifter inom social- och hälsovården

13 §
Personuppgiftsansvarig för kunduppgifter

Inom den offentliga och privata social- och hälsovården är den tjänstetillhandahållare som svarar för ordnandet av tjänsterna personuppgiftsansvarig för kunduppgifterna, om inte något annat föreskrivs någon annanstans i lag. Personuppgiftsansvarig för kunduppgifterna är inom den privata social- och hälsovården är den tjänstetillhandahållare med vilken kunden har ingått ett avtal om tillhandahållande av tjänsten.

Personuppgiftsansvarig inom företagshälsovården är den tjänstetillhandahållare med vilken arbetsgivaren har ingått avtal om tillhandahållande av företagshälsovårdstjänster eller en arbetsgivare som i enlighet med 7 § i lagen om företagshälsovård (1383/2001) själv ordnar företagshälsovården.

14 §
Tjänsteproducenters ansvar när de handlar för Utskottet föreslår en ändring en annan tjänstetillhandahållares Slut på ändringsförslaget räkning

När en tjänsteproducent tillhandahåller social- eller hälsovårdstjänster för en annan tjänstetillhandahållares räkning, ansvarar tjänsteproducenten

1) för införande och registrering av kunduppgifter i den tjänstetillhandahållares register för vars räkning tjänsteproducenten handlar,

2) för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen,

3) för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen,

4) för att kundhandlingarna i original utan dröjsmål lämnas till den tjänstetillhandahållare för vars räkning tjänsteproducenten handlar, och

5) tillsammans med den tjänstetillhandahållare för vars räkning tjänsteproducenten handlar för att kundens rättigheter enligt dataskyddsförordningen och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, tillgodoses.

Tjänstetillhandahållaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och om tillgodoseendet av kundens rättigheter enligt 1 mom. 5 punkten samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor.

15 §
Personuppgiftsansvarig vid ändring av tjänstetillhandahållare

Om social- eller hälsovårdstjänster som ordnas av en tjänstetillhandahållare överförs till en annan tjänstetillhandahållares ansvar, ska de kundhandlingar som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna. Inom den offentliga social- och hälsovården överförs kundhandlingarna till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna från de tjänsteenheter som överförs till tjänstetillhandahållarens ansvar.

Om en arbetsgivare byter tjänstetillhandahållare inom företagshälsovården, kvarstår personuppgiftsansvaret för journalhandlingarna hos den tidigare tjänstetillhandahållaren.

16 §
Personuppgiftsansvar när en privat Utskottet föreslår en ändring tjänstetillhandahållares Slut på ändringsförslaget verksamhet upphör

När en privat tjänstetillhandahållares verksamhet har upphört, ska de kundhandlingar, logguppgifter och biologiska provmaterial som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för det välfärdsområde eller Helsingfors stad inom vars område tjänstetillhandahållaren har haft sin hemort. När verksamheten upphör ska tjänstetillhandahållaren se till att handlingarna utan ogrundat dröjsmål lämnas till den plats som den personuppgiftsansvarige har anvisat för bevarandet. Om verksamheten har upphört på grund av tjänstetillhandahållarens död eller konkurs, svarar dödsboet eller konkursboet för att handlingarna överförs. De handlingar som gäller avslutad verksamhet ska hållas åtskilda från den personuppgiftsansvariges egna patientregister och klientregister inom socialvården.

Om flera tjänstetillhandahållare har avtalat om gemensamt personuppgiftsansvar i enlighet med dataskyddsförordningen, kan den tjänstetillhandahållare som fungerar som kontaktpunkt vara personuppgiftsansvarig för kunduppgifterna hos den tjänstetillhandahållare som har avslutat sin verksamhet.

Varje välfärdsområde och Helsingfors stad har var för sig gemensamt personuppgiftsansvar tillsammans med Folkpensionsanstalten. Folkpensionsanstalten ansvarar som gemensamt personuppgiftsansvarig för säkerställande av säkerhet i fråga om uppgifterna samt för bevarande och utplåning av uppgifter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Varje välfärdsområde och Helsingfors stad ansvarar för den personuppgiftsansvariges övriga skyldigheter enligt dataskyddsförordningen.

Elektroniska handlingar kan föras in i den riksomfattande informationsresurs för kunduppgifter som ingår i de riksomfattande informationssystemtjänster som avses i 65 §. (Nytt 4 mom.)

4 kap.
Principer för behandlingen av personuppgifter

17 §
Skyldighet att anteckna kunduppgifter

Yrkesutbildade personer inom social- och hälsovården och bistående personer som deltar i tillhandahållandet av tjänsterna ska i kundhandlingarna anteckna behövliga och tillräckliga uppgifter för att säkerställa ordnandet, planeringen, genomförandet, uppföljningen och övervakningen av servicen för en klient och vården av en patient.

18 §
Kundregister inom social- och hälsovården

Tjänstetillhandahållarens journalhandlingar, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i patientregistret och klienthandlingarna inom socialvården förs in i socialvårdens klientregister.

Journalhandlingarna inom företagshälsovården, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i företagshälsovårdens patientregister arbetsgivarspecifikt.

19 §
Språket i kundhandlingar

Det språk som används i kundhandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem.

Bestämmelser om de språkliga rättigheterna i social- och hälsovård som ordnas av myndigheter finns i språklagen (423/2003) och i samiska språklagen (1086/2003).

20 §
Kundhandlingarnas datastrukturer

Kundhandlingarnas datastrukturer ska göra det möjligt att rikta, använda, lämna ut, bevara, skydda och utnyttja åtkomsträttigheterna till elektroniska kundhandlingar och kunduppgifter. Datastrukturerna ska göra det möjligt att utnyttja kunduppgifter även för sekundära användningsändamål med hjälp av de riksomfattande informationssystemtjänster som avses i 65 § och tjänstetillhandahållarnas andra informationssystem.

Institutet för hälsa och välfärd meddelar föreskrifter om kundhandlingarnas datastrukturer och datainnehåll samt om de kodsystem som överallt i landet ska användas i datastrukturerna.

21 §
Tidsfrist för upprättande av handlingar

En kundhandling ska utan dröjsmål upprättas och föras in i de riksomfattande informationssystemtjänster som avses i 65 § när handlingen är klar.

Remisser ska utan dröjsmål upprättas och sändas till platser för fortsatt vård. Sammanfattningen av den vård som getts, inklusive anvisningar om fortsatt vård, ska i enlighet med patientens samtycke och utan dröjsmål sändas till patienten samt till platsen för fortsatt vård eller till en annan plats, om vilken det avtalats med patienten. Sammanfattningen ska även i icke-brådskande fall sändas utan dröjsmål.

22 §
Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet

Handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas när kunduppgifter behandlas, överförs och bevaras.

Underskrift av yrkesutbildade personer inom hälso- och sjukvården i intyg, utlåtanden och andra handlingar som kräver underskrift kan vara en egenhändig eller elektronisk underskrift. Handlingar som förs in i de riksomfattande informationssystemtjänsterna ska säkerställas med elektronisk underskrift eller elektronisk stämpel. Bestämmelser om signering av recept finns i 7 § i receptlagen.

Vid elektronisk signering som görs av en fysisk person ska det användas minst en sådan avancerad elektronisk underskrift, och organisationer och informationsteknisk utrustning ska använda en sådan elektronisk stämpel med motsvarande tillförlitlighet, som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

23 §
Bevarande av kundhandlingar

Kundhandlingar i original samt sådana prov och modeller av organ som uppkommer vid undersökning och vård av en patient och som innehåller biologiskt material ska bevaras den tid som anges i bilagan. Handlingar som är av medicinsk betydelse för medicinsk genetik och sällsynta sjukdomar ska bevaras varaktigt och prover och modeller av organ kan bevaras varaktigt, dock så att behovet att bevara dem ska bedömas vart femte år. Den personuppgiftsansvarige ansvarar för bevarandet. Folkpensionsanstalten svarar dock för bevarandet av de handlingar som förts in i de riksomfattande informationssystemtjänsterna.

Bestämmelser om arkivering finns i arkivlagen (831/1994). Folkpensionsanstalten svarar i enlighet med 14 § i arkivlagen för överföringen till Riksarkivet av kundhandlingar som har lagrats i de riksomfattande informationssystemtjänsterna. Till den del som kundhandlingarna inte överförs för bevarande i Riksarkivet svarar Folkpensionsanstalten för det permanenta bevarandet av kundhandlingar som förts in i de riksomfattande informationssystemtjänsterna.

24 §
Förstörande av kundhandlingar

När bevarandetiden för kundhandlingarna har gått ut och det inte har bestämts att en handling ska arkiveras, ska tjänstetillhandahållaren se till att de kundhandlingar och annat material som omfattas av dess personuppgiftsansvar förstörs omedelbart och på ett sådant sätt att utomstående inte får kännedom om dem.

Folkpensionsanstalten ska se till att kundhandlingar som har förts in i de riksomfattande informationssystemtjänsterna förstörs. När en tjänstetillhandahållares verksamhet har upphört ska den som ansvarar för förvaringen av handlingarna se till att de kundhandlingar som den förvarar förstörs.

5 kap.
Journalhandlingar

25 §
Rätt att göra anteckningar i journalhandlingar

Anteckningar i journalhandlingarna får göras av sådana yrkesutbildade personer inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsterna för patienten och i enlighet med de i 7 § avsedda anvisningarna av den ansvariga föreståndaren hos tjänstetillhandahållaren också av andra personer till den del de deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsten. Bestämmelser om uppgörande av recept finns i 5 § i receptlagen. Studerande inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av en hälso- och sjukvårdstjänst för patienten får göra anteckningar när de är verksamma i legitimerade yrkesutbildade personers uppgifter i enlighet med 2 § 3 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994). Anteckningar som i övrigt gjorts av en studerande inom hälso- och sjukvården ska godkännas av dennas förman eller handledare eller av någon annan person med fullmakt att godkänna anteckningarna.

En yrkesutbildad person inom hälso- och sjukvården som dikterat anteckningar i journalhandlingar ansvarar för anteckningarna.

Anteckningar i journalhandlingar kan dessutom bestå av utskrifter som har skrivits ut av medicintekniska produkter, programvara eller robotar för hälso- och sjukvård och som är behövliga i vården av en patient.

26 §
Principer för journalhandlingar

Till journalhandlingarna hör anteckningar som yrkesutbildade personer har gjort om servicehändelser, recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, upptagningar som hänför sig till diagnostik och utlåtanden i anslutning till dem och andra bild-, ljud- och videoupptagningar som hänför sig till tillhandahållandet av patientens hälsovårdstjänster, handlingar som hänför sig till ordnandet av hälso- och sjukvårdstjänster för patienten samt handlingar som kommit till hälso- och sjukvården någon annanstans ifrån.

Anteckningar i journalhandlingar i anslutning till medicinsk genetik och psykiatri och anteckningar i journalhandlingar i anslutning till motsvarande tjänster som kräver särskild konfidentialitet ska skyddas genom en separat begäran om bekräftelse eller ett motsvarande förfarande vid servicehändelser inom andra specialiteter eller tjänster än de nämnda. Kravet på skydd gäller dock inte medicineringsuppgifter eller riskinformation som eventuellt ingår i uppgifterna. Närmare bestämmelser om vilka anteckningar i journalhandlingarna som ska ges särskilt skydd utfärdas genom förordning av social- och hälsovårdsministeriet.

De journalhandlingar som förs in i de riksomfattande informationssystemtjänsterna ska bilda en sammanhängande dokumenthelhet med hjälp av specificerade koder för servicehändelserna.

27 §
Basuppgifter som ska antecknas i journalhandlingarna

Av journalhandlingarna ska alltid framgå

1) patientens namn och personbeteckning eller, om personbeteckningen inte är känd, identifikationskod eller födelsetid,

2) serviceanordnarens och tjänsteproducentens namn och identifikationskod,

3) namnet på den som gjort anteckningen, uppgift som identifierar den som gjort anteckningen, yrkesbeteckningen och tidpunkten för när anteckningen gjordes eller uppgifter om anteckningar som en medicinsk apparat, programvara eller robot producerat kompletterade med uppgift om den som eventuellt godkänner anteckningen, samt

4) i fråga om uppgifter som inkommit när och varifrån de kommit.

Av journalhandlingarna ska också framgå följande uppgifter, om uppgifterna behövs för att ordna eller tillhandahålla vård eller service för patienten eller med tanke på ställningen för ett minderårigt barn som patienten har vårdnaden om eller en person som patienten ger närståendevård:

1) i fråga om en minderårig patient vårdnadshavarnas eller en annan laglig företrädares namn och kontaktinformation samt namnet på den lagliga företrädare som utsetts för en patient som har uppnått myndighetsåldern och denna företrädares kontaktinformation,

2) namnet på en nära anhörig eller någon annan kontaktperson som patienten uppgett samt eventuellt släktskapsförhållande och kontaktinformation,

3) uppgift om ett minderårigt barn som patienten har vårdnaden om,

4) uppgift om närståendevård,

5) patientens modersmål eller kontaktspråk,

6) patientens yrke,

7) det försäkringsbolag som patientens arbetsgivare anlitar om det kan vara fråga om arbetsolycksfall eller yrkessjukdom,

8) det försäkringsbolag som anlitas om det är möjligt att vården betalas av försäkringsbolaget, och

9) patientens samtycke till att uppgifter lämnas ut.

Om den som gjort den tekniska registreringen av en anteckning som avses i 1 mom. 3 punkten är en annan person än den som svarar för anteckningens innehåll ska det av journalhandlingen också framgå uppgifter om den som gjort den tekniska registreringen av anteckningen. Av anteckningen ska framgå källan till uppgifterna, om en uppgift inte baserar sig på observationer som en yrkesutbildad person själv har gjort eller det i journalhandlingarna antecknas andra uppgifter än sådana som gäller patienten själv.

28 §
Anteckningar som ska göras om servicehändelser

I journalhandlingarna ska anteckningar göras för varje servicehändelse. Av anteckningarna ska i behövlig omfattning framgå uppgifter om patientens hälsotillstånd, de tjänster som tillhandahållits och sjukdomsförloppet och genomförandet av vården samt grunderna för diagnosen, för den vård som valts och för de vårdavgöranden som fattats. I fråga om recept ska de uppgifter som avses i 6 § i receptlagen antecknas samt motiveringen till den valda läkemedelsbehandlingen till den del som uppgiften inte ingår i receptet.

Det ska vara möjligt att få reda på vilka yrkesutbildade personer och andra personer som har deltagit i tillhandahållandet av vården och tjänsterna.

Läkarutlåtanden och intyg ska antecknas enligt den tidpunkt då de utfärdats.

Om det med tanke på vården av en patient är nödvändigt att föra in uppgifter som någon annan har berättat om sig själv eller andra detaljerade känsliga uppgifter om någon annan person, ska dessa uppgifter antecknas i en separat handling i anslutning till patientens servicehändelse.

29 §
Centrala uppgifter om vården som ska antecknas i journalhandlingarna

Av anteckningarna i journalhandlingarna ska i behövlig omfattning framgå orsaken, förhandsuppgifter (anamnes), status, observationer, undersökningsresultat, problem, diagnos eller hälsorisk, slutsatser samt planering, genomförande och uppföljning av vården, sjukdomsförloppet samt ett slututlåtande. Av anteckningarna ska framgå hur vården har genomförts, om någonting särskilt uppdagats under vården och vilka avgöranden som fattats om vården medan den pågått.

Om patienten genomgått en operation eller någon annan åtgärd vidtagits, ska över operationen eller åtgärden avfattas en berättelse som innehåller en tillräckligt detaljerad beskrivning av hur åtgärden utförts och de observationer som gjorts under åtgärden. Berättelsen ska innehålla motiveringar till de avgöranden som träffats under åtgärden.

Uppgifter om proteser, implantat, tandfyllningsmaterial och andra material som permanent opererats in i patienten, ska antecknas i journalhandlingarna med en sådan noggrannhet att de kan identifieras senare.

Om självbestämmanderätten för en patient begränsas med stöd av mentalvårdslagen (1116/1990), lagen om missbrukarvård (41/1986), lagen om smittsamma sjukdomar (1227/2016) eller någon annan lag, ska det göras en anteckning om detta, och av denna anteckning ska framgå orsaken till åtgärden, dess art och längd, en bedömning av hur åtgärden inverkar på vården av patienten samt namnet på den läkare som ordinerat åtgärden och de personer som vidtagit åtgärden.

30 §
Anteckningar om risker, skadliga verkningar av vård samt misstänkta skador

Hos patienten känd läkemedelsallergi, materialallergi och överkänslighet samt andra liknande omständigheter som ska beaktas i vården ska antecknas i journalhandlingarna.

Uppgifter om sådana hälsorisker som en arbetstagare på grund av arbetet är utsatt för ska antecknas i eller fogas till företagshälsovårdens journalhandlingar som gäller arbetstagaren.

I patientjournalen ska det antecknas uppgifter om konstaterade skadliga verkningar av undersöknings- och vårdåtgärder samt om vård som inte haft någon effekt.

Misstänkta patient-, apparat- eller läkemedelsskador ska antecknas detaljerat i patientjournalen så att det av anteckningarna framgår en beskrivning av skadan, en redogörelse för de yrkesutbildade personer inom hälso- och sjukvården som deltagit i vården samt i fråga om apparat- och läkemedelsskador en beskrivning av vad som misstänks ha orsakat skadan. Identifikationsuppgifter för läkemedel och apparater ska antecknas specificerat. Anteckningarna ska göras omedelbart efter att misstanken om skada har uppstått.

31 §
Anteckningar om konsultationer och vårdförhandlingar

Den yrkesutbildade person inom hälso- och sjukvården som bär ansvar för vården ska göra anteckningar i journalhandlingarna om sådana telefonförhandlingar som är av betydelse för patientens diagnos eller vård samt om andra liknande konsultationer och vårdförhandlingar. Av anteckningarna ska framgå tidpunkten för konsultationen eller förhandlingen, de personer som deltagit i behandlingen av ärendet samt de avgöranden som fattats och hur de verkställts.

Om en konsultation sker så att patienten kan identifieras, ska i de situationer som avses i 1 mom. även den som konsulterats göra anteckningar om sitt konsultationssvar i journalhandlingarna eller på annat sätt ha kvar uppgifter om svaret.

32 §
Anteckningar om avdelningsvård och långtidsvård

I fråga om en patient som omfattas av avdelningsvård eller långvarig vård ska det med tanke på vården av patienten tillräckligt ofta göras anteckningar om förändringar i patientens tillstånd, de undersökningar som gjorts och den vård som getts patienten. Det ska dagligen antecknas observationer, vårdåtgärder och motsvarande omständigheter som gäller patientens tillstånd.

I journalhandlingarna för en långtidssjuk patient i sjukhusvård ska läkaren med minst tre månaders mellanrum göra ett uppföljningssammandrag oberoende av om väsentliga förändringar har inträffat i patientens tillstånd.

33 §
Slututlåtande

Över varje vårdperiod ska det avfattas ett slututlåtande när vården upphör efter vårdperioden eller när ansvaret för vården av patienten överförs, om det inte finns särskilda skäl att avvika från detta.

Slututlåtandet ska utöver sammanfattningar av den vård som getts innehålla klara och detaljerade anvisningar för uppföljningen av patienten och för den fortsatta vården. I slututlåtandet ska dessutom beskrivas eventuella avvikelser i patientens återhämtning efter en åtgärd och patientens tillstånd när servicehändelsen avslutas.

34 §
Anteckningar om en minderårig kunds beslutsförmåga

När en minderårig person är kund inom hälso- och sjukvården, ska det för varje servicetillfälle antecknas om den minderårige själv har kunnat fatta beslut om sin vård på det sätt som avses i 7 § i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. Av anteckningarna ska även framgå om den minderårige patienten, som själv kan fatta beslut om sin vård, tillåter att uppgifter om hans eller hennes hälsotillstånd eller om vården ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifter eller om patienten med stöd av 51 § 1 mom. har förbjudit att uppgifter ges.

När ett barn under tolv år är kund kan informationssystemet som standard för handlingarna producera information om att barnet inte har kunnat fatta beslut om sin vård. En yrkesutbildad person inom social- och sjukvården ska vid behov ändra uppgiften, om barnet kan fatta beslut om sin vård.

35 §
Anteckningar om deltagande i vård i specialsituationer

Om en patient som uppnått myndighetsåldern i en situation som avses i 6 § 2 och 3 mom. i patientlagen i stället för i samförstånd med patienten själv vårdas i samförstånd med sin lagliga företrädare, en nära anhörig eller någon annan närstående, ska en anteckning om detta göras i journalhandlingarna.

36 §
Anteckningar om ordnande av vård för en patient

Om patienten i en situation som avses i 4 § 1 mom. i patientlagen blir tvungen att vänta på vård, ska det i journalhandlingarna göras anteckningar om orsaken till dröjsmålet, om den tidpunkt som patienten meddelats att han eller hon får vård och om att de nämnda uppgifterna har meddelats patienten. I journalhandlingarna antecknas också om patienten har hänvisats till en annan vårdplats. Om den tidpunkt för vård som meddelats patienten ändras, ska det i journalhandlingarna föras in uppgifter om den nya tidpunkten och orsaken till ändringen samt uppgifter om att patienten har underrättats om ändringen.

I journalhandlingarna ska det göras anteckningar om upplysningar som enligt 5 § 1 mom. i patientlagen getts patienten om omständigheter som hänför sig till vården. Om upplysningar inte har getts, ska orsaken till detta antecknas i journalhandlingarna.

Om patienten vägrar genomgå undersökning eller ta emot vård, ska en anteckning om vägran göras i journalhandlingarna.

Om patienten med tanke på framtiden önskar uttrycka sin bestämda vilja i fråga om vården, ska uppgift om detta föras in i viljeyttringstjänsten samt vid behov en motsvarande anteckning göras i journalhandlingarna och till journalhandlingarna fogas en separat av patienten bekräftad handling som uttrycker patientens vilja. I journalhandlingarna ska dessutom göras anteckningar om att patienten getts tillräckliga upplysningar om följderna av att hans eller hennes vilja följs.

6 kap.
Klienthandlingar inom socialvården

37 §
Principer för klienthandlingar inom socialvården

Skyldigheten att anteckna klientuppgifter inom socialvården börjar då tillhandahållaren av service har blivit informerad om att en person är i behov av service eller har börjat lämna socialservice.

Av varje klienthandling inom socialvården som förs in i socialvårdens klientregister ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter inom socialvården handlingen ansluter sig.

Av sådana klienthandlingar inom socialvården som har sparats i samband med socialvård eller socialservice som har producerats för någon annans räkning ska det framgå uppgifter om grunderna för behandlingen av dem samt vem som är serviceanordnare och tjänsteproducent. Om man har använt sig av underleverantörer ska hela leverantörskedjan framgå av klientuppgifterna inom socialvården.

38 §
Basuppgifter som ska antecknas i klienthandlingar inom socialvården

Av en klienthandling inom socialvården ska alltid framgå

1) handlingens namn,

2) klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet,

3) serviceanordnarens och tjänsteproducentens namn och identifikationskod,

4) namnet på den som upprättat handlingen eller gjort anteckningen samt dennas tjänsteställning eller uppgift, och

5) tidpunkten för när handlingen upprättats eller anteckningen gjorts.

I klienthandlingar inom socialvården ska följande uppgifter antecknas:

1) det välfärdsområde inom vars område klientens hemkommun enligt lagen om hemkommun (201/1994) finns,

2) tidpunkten för klientrelationens början,

3) uppgift om den arbetstagare som ansvarar för servicen till klienten,

4) eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare, och

5) tidpunkten för när klientrelationen avslutades och orsaken till avslutandet.

Vidare ska följande basuppgifter om berörda personer antecknas i en klienthandling inom socialvården om uppgifterna inverkar på de tjänster klienten får:

1) klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun,

2) namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten och uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, om handlingen gäller en minderårig klient,

3) namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en klient som uppnått myndighetsåldern, eller för en person som klienten har befullmäktigat, samt

4) vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten.

39 §
Anteckningar om att uppgifter har tagits emot

Om uppgifter om en socialvårdsklient fås av någon annan än klienten själv, ska mottagaren kunna verifiera

1) vilka uppgifter som har inhämtats eller tagits emot,

2) av vem uppgifterna har fåtts eller någon annan informationskälla, om uppgifterna har fåtts via en teknisk anslutning,

3) när uppgifterna togs emot,

4) vem som har begärt uppgifterna, om de har inhämtats på eget initiativ,

5) vilken bestämmelse som ligger till grund för inhämtandet eller mottagandet, eller uppgifter om samtycke, samt

6) det ändamål för vilket uppgifterna har inhämtats eller mottagits.

40 §
Anteckning av förbudsrätt för en minderårig klient

Om en minderårig socialvårdsklient med stöd av 51 § förbjuder att hans eller hennes klientuppgifter lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, ska förbudet och det vägande skäl som anges som grund för förbudet antecknas.

Om en minderårigs rätt att förbjuda utlämnande av sina klientuppgifter förvägras på grund av att den minderårige klienten inte har angett sådana vägande skäl för förbudet som avses i 1 mom., eller för att det anses att det klart skulle strida mot den minderårige klientens eget intresse om uppgifterna inte lämnades ut, ska också motiveringen för detta avgörande antecknas i klienthandlingen.

Uppgifter som ska antecknas enligt handlingstyp

41 §
Handlingar som gäller inledande av ett ärende

I klienthandlingar inom socialvården som gäller inledandet av ett ärende antecknas

1) personens behov av stöd, omsorg, vård eller annan service,

2) en eventuell motivering för behovet av service,

3) vem som har inlett ärendet, samt

4) tidpunkten för när ärendet inleddes.

42 §
Bedömning av servicebehovet

Förutom vad som föreskrivs i 37 § och 39 § 2 mom. 1–3 och 5 punkten i socialvårdslagen (1301/2014) antecknas i handlingar som gäller bedömningen av servicebehovet för en socialvårdsklient vid behov den uppfattning som klientens lagliga företrädare, en anhörig, närstående eller någon annan person har om klientens behov av stöd.

I utvärderingen av en plan antecknas dessutom den uppfattning som klienten samt övriga personer som har deltagit i genomförandet av planen har om hur målen i planen har uppnåtts, liksom arbetstagarens bedömning av saken.

43 §
Klientplan

Förutom vad som föreskrivs i 39 § 2 mom. 4 och 6–9 punkten i socialvårdslagen antecknas i en klientplan

1) klientens behov av stöd utifrån en bedömning av servicebehovet,

2) en beskrivning av den service som klienten behöver,

3) målen för servicen och klientrelationen samt metoder för att uppnå målen, samt

4) uppgifter om privatpersoner som deltar som stöd för klienten och deras uppgift.

44 §
Klientrapport

I klientrapporten antecknas både händelser i anslutning till klienten eller klientrelationen där klientens ärende har behandlats, tidpunkten för det stöd eller den service som klienten har fått samt vem som har deltagit i behandlingen av ärendet.

45 §
Beslut

Bestämmelser om de uppgifter som ska antecknas i en beslutshandling finns i 44 § 1 mom. och 45 § 1 mom. i förvaltningslagen (434/2003).

7 kap.
Anteckningar vid sektorsövergripande samarbete

46 §
Anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller tjänster tillsammans

Om social- och hälsovårdstjänster tillhandahålls gemensamt av socialvårdspersonal och hälso- och sjukvårdspersonal på ett verksamhetsställe för social- och hälsovård kan det för kunden göras en gemensam bedömning av servicebehovet, en gemensam kundplan och gemensamma anteckningar i kundrapporten för tjänsten i fråga samt utarbetas andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret. Kundrapporten förs in i klientregistret inom socialvården. Anteckningarna i journalhandlingarna förs in i patientregistret.

47 §
Anteckning av kunduppgifter vid samarbete mellan socialvården och hälso- och sjukvården

Om social- och hälsovårdspersonal i samarbete tillhandahåller social- och hälsovårdstjänster, kan det för kunden göras upp en gemensam bedömning av servicebehovet, en gemensam kundplan och andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret.

48 §
Anteckning av kunduppgifter vid samarbete mellan social- och hälsovården och andra sektorer

De som deltar i sektorsövergripande samarbete mellan social- och hälsovården och andra sektorer kan trots sekretessbestämmelserna

1) i de handlingar som innehas av den organisation som de företräder anteckna sådana kunduppgifter inom social- och hälsovården som de har fått tillgång till genom samarbetet och som är nödvändiga för skötseln av den gemensamma kundens ärende i organisationen, och

2) registrera en på basis av samarbetet upprättad kundplan i den organisationen, om det med tanke på kunden är nödvändigt i det ärende för vars skötsel handlingen har upprättats.

I fråga om skyldigheten att iaktta sekretess när det gäller sådana kunduppgifter som avses i 1 mom. tillämpas bestämmelserna i 4 § 1 mom. i denna lag och i 35 § i dataskyddslagen, oberoende av i vilken organisations handlingar uppgifterna ingår. Kunduppgifter får inte användas eller lämnas ut för andra ändamål än de för vilka uppgifterna har lagrats. Kunduppgifter får bevaras endast så länge det är nödvändigt med tanke på användningsändamålet.

8 kap.
Rätt att få information och utlämnande av information

Skötsel av ärenden för någon annans räkning och utlämnande av kunduppgifter till kundens lagliga företrädare, en nära anhörig eller någon annan närstående

49 §
Utlämnande av uppgifter till kundens lagliga företrädare eller en närstående i specialsituationer

En patients lagliga företrädare eller en nära anhörig eller någon annan närstående person har i de fall som avses i 6 § 2 och 3 mom. i patientlagen rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges.

En nära anhörig till patienten eller någon annan patienten närstående har rätt att få uppgifter om patientens person och hälsotillstånd då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta.

Den lagliga företrädaren eller en nära anhörig eller någon annan närstående person till en socialvårdsklient har i de fall som avses i 7 § 2 mom. i klientlagen och 30 § 2 mom. i barnskyddslagen (417/2007) rätt att få de uppgifter om klienten som behövs för att göra upp en klient-, service- eller vårdplan samt i de fall som avses i 9 § 1 mom. i klientlagen de uppgifter som behövs för att utreda klientens vilja.

50 §
Behandling av uppgifter för någon annans räkning

En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) behandla uppgifter om en annan person. En vårdnadshavare har rätt att behandla sparade uppgifter om en person som vårdnadshavaren har vårdnaden om, om inte något annat följer av 51 §, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983).

51 §
Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren

En minderårig patient inom hälso- och sjukvården som med beaktande av ålder och utvecklingsnivå kan fatta beslut om vården har rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna.

Inom socialvården kan en minderårig med beaktande av ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, om inte detta klart strider mot den minderåriges intresse. Om den minderårige eller den lagliga företrädaren är parter i ett socialvårdsärende, har den lagliga företrädaren dock rätt att få uppgifter. Bestämmelser om rätt att få uppgifter finns i 11 § i offentlighetslagen.

52 §
Utlämnande av kunduppgifter efter dödsfall

Uppgifter om den social- eller hälsovård som en avliden person fått under sin livstid får på en motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose sina viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål.

Rätt att få uppgifter och utlämnande av kunduppgifter inom social- och hälsovården samt till andra myndigheter

53 §
Rätt att få uppgifter mellan socialvården och hälso- och sjukvården

När socialvården och hälso- och sjukvården tillhandahåller en gemensam tjänst på ett verksamhetsställe för social- och hälsovård har de som deltar i tillhandahållandet av tjänsten rätt att få och använda sådana kunduppgifter som är nödvändiga för tillhandahållandet av tjänsten.

En tjänstetillhandahållare inom socialvården har rätt att få och använda patientuppgifter för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka patientuppgifter en tjänstetillhandahållare inom socialvården har rätt att få och använda för att ordna och tillhandahålla socialservicen.

En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka klientuppgifter inom socialvården en tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda för att ordna och tillhandahålla hälso- och sjukvårdstjänsterna.

Närmare bestämmelser om hur det tillstånd som avses i 2 och 3 mom. ska gälla patientuppgifter och klientuppgifter inom socialvården får utfärdas genom förordning av social- och hälsovårdsministeriet.

En tjänstetillhandahållare inom socialvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter för att ordna eller tillhandahålla socialservice för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare. Dessutom har en myndighet inom socialvården rätt att av tjänstetillhandahållare inom hälso- och sjukvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till myndigheten.

En tjänstetillhandahållare inom hälso- och sjukvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare.

54 §
Rätt för tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter och utlämnande av patientuppgifter för att trygga vården

En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna och tillhandahålla hälso- och sjukvårdstjänster för en patient. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Tillståndet för utlämnande gäller patientens alla patientuppgifter och tillståndets omfattning kan begränsas med hjälp av förbud. Bestämmelser om utlämnande av uppgifter om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.

Om en patient på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om tillståndet för utlämnade inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna eller tillhandahålla nödvändig hälso- och sjukvård för patienten utan patientens tillstånd för utlämnande av uppgifter.

Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose rätten att få uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.

Tjänstetillhandahållaren får på eget initiativ eller på begäran av en utländsk tjänstetillhandahållare inom hälso- och sjukvården lämna ut nödvändiga patientuppgifter för ordnande eller tillhandahållande av hälso- och sjukvårdstjänster för en patient, om patienten på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om ett tillstånd för utlämnande inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak.

55 §
Rätt för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården

En tjänstetillhandahållare inom socialvården har rätt att få och använda klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna, om det är fråga om något annat fall än ett sådant som avses i 56 § 1 mom. eller om det inte föreskrivs om rätten att få uppgifter någon annanstans i lag. Tillståndet gäller klientens alla klientuppgifter inom socialvården och tillståndets omfattning kan begränsas med hjälp av förbud.

Om en socialvårdsklient på grund av minnessjukdom, mental störning eller utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialvårdsklientens nödvändiga socialservice. Dessutom har en myndighet inom socialvården rätt att av andra tjänstetillhandahållare inom socialvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till tjänstetillhandahållaren.

Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose tillgången till uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.

56 §
Utlämnande av klientuppgifter inom socialvården för tryggande av vården av och omsorgen om en socialvårdsklient

Om tillstånd för utlämnande av klientuppgifter enligt 55 § inte kan fås på grund av klientens minnessjukdom, mentala störning, utvecklingsstörning eller av någon annan motsvarande orsak eller om klienten eller dennes lagliga företrädare förbjuder att en uppgift utlämnas, får en tjänstetillhandahållare inom socialvården trots skyldigheten att iaktta sekretess ur handlingen lämna ut sådana uppgifter som är nödvändiga för att behovet av vård av, omsorg om eller utbildning för klienten ska kunna utredas, för att vården, omsorgen eller utbildningen ska kunna ordnas eller genomföras eller för att förutsättningarna för försörjningen ska kunna tryggas. Uppgifter får dock lämnas ut endast om

1) den som handlingen gäller är i uppenbart behov av vård eller omsorg på grund av att hans eller hennes hälsa, utveckling eller säkerhet äventyras och det inte annars går att utreda behovet av vård eller omsorg eller att vidta vård- eller omsorgsåtgärder,

2) uppgifterna behövs på grund av ett barns intresse, eller

3) uppgifterna behövs för att trygga klientens oundgängliga intressen och rättigheter och klienten själv saknar förutsättningar att bedöma sakens betydelse.

I de fall som avses i 1 mom. får uppgifter lämnas ut till en annan offentlig tjänstetillhandahållare inom socialvården och till en tjänsteproducent som handlar för dennas räkning eller till en person eller sammanslutning som sköter uppgifter inom socialvården på uppdrag av den offentliga tjänstetillhandahållaren samt till andra finländska eller utländska myndigheter.

Till en privat tjänstetillhandahållare inom social- och hälsovården får dock i de fall som avses i 1 mom. lämnas endast nödvändiga uppgifter för att en klient ska kunna få omedelbar vård eller omsorg eller av någon annan jämförbar orsak. Till någon annan person eller sammanslutning får nödvändiga uppgifter lämnas ut om det är nödvändigt att lämna uppgifterna för att utreda klientens vilja eller behov av socialvård eller för att genomföra en socialvårdsåtgärd.

57 §
Tillgodoseende av rätten att få uppgifter med hjälp av ett Utskottet föreslår en ändring informationssystem Slut på ändringsförslaget

Den rätt att få uppgifter som avses i 53—55 och 64 § får tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som är gemensamt för tjänstetillhandahållarna efter det att existensen av en vårdrelation eller klientrelation mellan patienten eller socialvårdsklienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. När rätten att få uppgifter tillgodoses med hjälp av ett informationssystem ska utöver 53—55 § också det som föreskrivs om åtkomsträtt till nödvändiga kunduppgifter följas.

Bestämmelser om tillgodoseende av offentliga tjänstetillhandahållares rätt att få uppgifter med hjälp av ett tekniskt gränssnitt finns i 22 § i informationshanteringslagen.

58 §
Meddelande och återkallande av tillstånd för och förbud mot utlämnande

Ett tillstånd för eller förbud mot utlämnande av uppgifter ska vara frivilligt meddelat. Ett tillstånd för eller förbud mot utlämnande gäller tills vidare och kan återtas. En vårdnadshavare eller en annan laglig företrädare har inte rätt att förbjuda utlämnande av patientuppgifter för en minderårigs räkning i situationer som avses i 8 § i patientlagen.

Ett tillstånd för eller förbud mot utlämnande som gäller riksomfattande informationssystemtjänster ska grunda sig på tillräcklig information som ges i ett förfarande enligt 68 §. Meddelande av tillstånd för eller förbud mot utlämnande av uppgifter som gäller riksomfattande informationssystemtjänster lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssnitt. Tjänstetillhandahållaren ska utan dröjsmål föra in uppgift om det meddelade tillståndet för eller förbudet mot utlämnande som gäller riksomfattande informationssystemtjänster i viljeyttringstjänsten.

Den som tar emot ett tillstånd för eller ett förbud mot utlämnande ska på begäran ge kunden en utskrift av tillståndshandlingen eller förbudshandlingen eller så ska kunden ges handlingen i fråga på ett annat sätt som är tillgängligt.

Folkpensionsanstalten fastställer innehållet i en tillståndshandling och förbudshandling. Av tillståndshandlingen respektive förbudshandlingen ska tillståndets eller förbudets betydelse vid behandlingen av kunduppgifter framgå.

På återkallande av tillstånd för och förbud mot utlämnande tillämpas vad som i 1–3 mom. föreskrivs om meddelande av tillstånd och förbud.

59 §
Inriktning av förbuden

En socialvårdsklients förbud mot utlämnande av sina klientuppgifter inom socialvården kan gälla en personuppgiftsansvarig inom socialvården, ett serviceuppdrag eller en enskild klienthandling inom socialvården.

En patients förbud mot utlämnande av sina patientuppgifter kan gälla patientens alla patientuppgifter, en personuppgiftsansvarig inom offentlig hälso- och sjukvård och dess register samt ett register eller en servicehändelse inom privat företagshälsovård.

Bestämmelser om inriktningen av förbud i fråga om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.

60 §
Gränsöverskridande informationsutbyte

Patientuppgifter som ingår i den informationshanteringstjänst som avses i 71 § får med patientens samtycke lämnas ut till en utländsk producent av hälso- och sjukvårdstjänster via de riksomfattande informationssystemtjänsterna för ordnande och tillhandahållande av sådana hälso- och sjukvårdstjänster som avses i artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård. Bestämmelser om förutsättningarna för samtycke finns i artikel 7 i dataskyddsförordningen.

Folkpensionsanstalten är i Finland nationell teknisk och elektronisk kontaktpunkt mellan de riksomfattande informationssystemtjänsterna och den nationella kontaktpunkten i utlandet. Folkpensionsanstalten sammanställer ett patientsammandrag av patientuppgifterna i informationshanteringstjänsten.

61 §
Utskottet föreslår en ändring Utlämnande av patientuppgifter Slut på ändringsförslaget för klinisk prövning av läkemedel och medicinsk forskning

Bestämmelser om utlämnande av patientuppgifter för klinisk prövning av läkemedel finns i 34 § i lagen om klinisk prövning av läkemedel (983/2021) och bestämmelser om utlämnande av patientuppgifter för medicinsk forskning finns i 21 c § i lagen om medicinsk forskning (488/1999).

Trots sekretessbestämmelserna och trots bestämmelserna i lagen om sekundär användning har uppdragsgivaren, dennes företrädare, forskare och medlemmar i en forskningsgrupp samt företrädare för den myndighet som övervakar prövningen eller den myndighet som beviljar försäljningstillstånd på basis av prövningen rätt att av tjänstetillhandahållaren få och behandla patientuppgifter för genomförande av klinisk prövning av läkemedel som avses i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska läkemedelsprövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, nedan prövningsförordningen, och i lagen om klinisk prövning av läkemedel (983/2021), nedan prövningslagen, och den medicinska forskning som avses i lagen om medicinsk forskning (488/1999), nedan forskningslagen, och för fullgörande av en lagstadgad förpliktelse som hänför sig till prövningen eller forskningen, om tillgången till och behandlingen av uppgifterna är nödvändig för fullgörande av en uppgift eller förpliktelse som hänför sig till prövningen eller forskningen.

Tillgången till uppgifter förutsätter vid klinisk prövning av läkemedel ett positivt beslut om klinisk prövning av läkemedel av Säkerhets- och utvecklingscentret för läkemedelsområdet i enlighet med 11 § i prövningslagen och vid medicinsk forskning ett positivt skriftligt utlåtande av en kommitté för medicinsk forskningsetik i enlighet med 3 § i forskningslagen.

En förutsättning för att få patientuppgifter är att den som undersöks eller dennes lagliga företrädare har gett sitt samtycke till att delta i undersökningen i enlighet med prövningsförordningen, prövningslagen eller forskningslagen. Om forskningen är en sådan klinisk prövning i en nödsituation som avses i artikel 35 i prövningsförordningen eller i 10 a § i forskningslagen, föreligger rätt att få och behandla patientuppgifter, om de förutsättningar för forskningen som anges i de bestämmelserna uppfylls.

62 §
Anmälan av uppgifter om en kund till polisen för bedömning av ett hot eller förhindrande av en hotande gärning

En tjänstetillhandahållare eller en person som utför tjänstetillhandahållarens uppgifter får oberoende av skyldigheten att iaktta sekretess till polisen anmäla uppgifter som är nödvändiga för bedömningen av ett hot mot liv eller hälsa eller för förhindrande av en hotande gärning, om han eller hon vid fullgörandet av uppgifter enligt socialvårdslagen eller hälso- och sjukvårdslagen (1326/2010) har fått kännedom om omständigheter som ger skäl att misstänka att någon löper risk att bli utsatt för våld.

63 §
Utlämnande av klientuppgifter inom socialvården i vissa andra situationer

En tjänstetillhandahållare inom socialvården får, om det är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse, lämna ut sekretessbelagda kunduppgifter oberoende av klientens eller dennes lagliga företrädares samtycke till en domstol eller någon annan finländsk eller utländsk myndighet i ett ärende där tjänstetillhandahållaren har lagstadgad rätt eller skyldighet att anhängiggöra ett ärende eller att delta i behandlingen eller verkställandet av ett anhängigt ärende genom att avge ett utlåtande eller en utredning eller på något annat motsvarande sätt. Dessutom får sekretessbelagda kunduppgifter lämnas ut till en myndighet eller inrättning som behandlar sociala förmåner för utredande av oegentligheter som gäller en förmån, om det finns grundad anledning att misstänka oegentligheter.

En tjänstetillhandahållare inom socialvården ska på begäran oberoende av klientens eller den lagliga företrädarens samtycke lämna ut sekretessbelagda kunduppgifter till polisen, en åklagarmyndighet och en domstol, om det är nödvändigt för utredande av ett brott för vilket underlåtenhet att anmäla är straffbar enligt 15 kap. 10 § strafflagen (39/1889) eller för vilket det föreskrivna maximistraffet är fängelse i minst fyra år.

Sekretessbelagda kunduppgifter får lämnas ut av en tjänstetillhandahållare inom socialvården också på eget initiativ vid misstanke om ett brott som avses i 2 mom. eller om det föreligger misstanke om ett brott som är mindre grovt än vad som där nämns, om tjänstetillhandahållaren inom socialvården bedömer att utlämnandet är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse.

En offentlig tjänstetillhandahållare inom socialvården får utöver i de fall som avses i 1—3 mom. lämna ut sekretessbelagda kunduppgifter, om det är nödvändigt för kontroll av uppgifter som är av väsentlig betydelse för att tjänstetillhandahållaren inom socialvården ska kunna sköta sin lagstadgade uppgift i situationer där tjänstetillhandahållaren själv har rätt att få uppgifter.

Myndigheters rätt att få sekretessbelagda uppgifter

64 §
Utskottet föreslår en ändring Myndigheters Slut på ändringsförslaget rätt att få uppgifter

En myndighet inom socialvården har trots sekretessbestämmelserna rätt att av tjänstetillhandahållare inom social- och hälsovården samt av yrkesutbildade personer inom hälso- och sjukvården, statliga och kommunala myndigheter samt andra offentligrättsliga samfund, Folkpensionsanstalten, Pensionsskyddscentralen, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter och utbildningsanordnare på begäran avgiftsfritt få sådana uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för tjänstetillhandahållaren på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra åtgärder i anslutning till den samt för att kontrollera uppgifter som lämnats till myndigheten.

Vad som i 1 mom. föreskrivs om skyldighet att lämna uppgifter gäller också penninginstitut, om myndigheten inte får tillräckliga uppgifter och utredningar av dem som nämns i 1 mom. och om det finns grundad anledning att misstänka att de uppgifter som klienten eller dennes lagliga företrädare har lämnat är otillräckliga eller otillförlitliga. Begäran ska framställas skriftligen till penninginstitutet. En tjänsteinnehavare inom socialvården som tillförordnats av en behörig myndighet som ansvarar för ordnandet av socialservice är berättigad att fatta beslutet om att begäran ska framställas. Innan begäran framställs till penninginstitutet ska klienten underrättas om den.

En myndighet inom social- och hälsovården har rätt att på begäran avgiftsfritt av skattemyndigheten och Folkpensionsanstalten få sekretessbelagda personuppgifter oberoende av kundens samtycke för fastställande av avgift och kontroll av uppgifter. Myndigheten inom social- och hälsovården ska på förhand underrätta kunden om att uppgifter begärs.

AVDELNING II
INFORMATIONSSYSTEM INOM SOCIAL- OCH HÄLSOVÅRDEN

9 kap.
Riksomfattande informationssystemtjänster

65 §
De riksomfattande informationssystemtjänsterna inom social- och hälsovården

För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster:

1) en informationsresurs för kunduppgifter,

2) en förvaringstjänst för loggregister,

3) ett gränssnitt för professionellt bruk,

4) ett medborgargränssnitt,

5) en informationsresurs för egna uppgifter,

6) en informationshanteringstjänst,

7) en viljeyttringstjänst,

8) ett receptcenter,

9) en läkemedelsdatabas, och

10) en informationsförmedlings- och förfrågningsservice.

Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta en roll- och attributtjänst och anslutande kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ska förvalta en kodtjänst med vars hjälp de datastrukturer i kundhandlingarna som de riksomfattande informationssystemtjänsterna förutsätter underhålls och delas.

Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tjänstetillhandahållare inom social- och hälsovården samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat enligt 3 mom.

66 §
Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster

De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska alltid vara tillgängliga. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden.

Folkpensionsanstalten svarar

1) för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver,

2) för säkerställande av säkerheten för de uppgifter som förts in i de riksomfattande informationssystemtjänsterna i enlighet med 15 § i informationshanteringslagen samt för utplåning av uppgifterna efter att bevarandetiden har gått ut,

3) för genomförandet av de riksomfattande informationssystemtjänster som anstalten ansvarar för så att kunduppgifter, uppgifter om välbefinnande och andra uppgifter som har förts in i de riksomfattande informationssystemtjänsterna lämnas ut endast i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom hälso- och sjukvården (552/2019),

4) för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister,

5) för det datatekniska utförandet av kodtjänsten,

6) för information till befolkningen med avseende på de riksomfattande informationssystemtjänsterna, och

7) för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna.

Folkpensionsanstalten har rätt

1) att av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för skötseln av lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna,

2) att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt med tanke på uppgifter som hänför sig till förvaltningen av de riksomfattande informationssystemtjänsterna,

3) att besluta om frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den,

4) att lämna ut handlingar i anslutning till hanteringen av utlämnande av uppgifter i viljeyttringstjänsten, och logguppgifter över sådana handlingar, till tjänstetillhandahållare inom social- och hälsovården för uppföljning och tillsyn i fråga om användning och utlämnande av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom,

5) att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster samt över datakommunikationen och logguppgifterna över den, och

6) att i syfte att säkerställa att behandlingen av kunduppgifter är lagenlig i samarbete med de personuppgiftsansvariga utöva tillsyn över de uppgifter som förts in i förvaringstjänsten för loggregister,

6) att trots sekretessen av Myndigheten för digitalisering och befolkningsdata få nödvändig information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna.

8) att följa upp användningen av de riksomfattande informationssystemtjänsterna samt offentliggöra information om tjänstetillhandahållarnas användning av de riksomfattande informationssystemtjänsterna på offentliga webbsidor, och

9) att utföra teknisk kvalitetskontroll av datastrukturerna i de kunduppgifter som lagrats i de riksomfattande informationssystemtjänsterna i samarbete med Institutet för hälsa och välfärd för att säkerställa att datastrukturerna är korrekta och interoperabla.

För att säkerställa informationssäkerheten upprätthåller Folkpensionsanstalten en övervakningscentral, som med tanke på övervakningen följer upp behövliga uppgifter mellan de riksomfattande informationssystemtjänsterna och tjänstetillhandahållarna och vidtar behövliga åtgärder i samarbete med tjänstetillhandahållarna när den upptäcker avvikande verksamhet. Folkpensionsanstalten ska utan dröjsmål underrätta Transport- och kommunikationsverkets cybersäkerhetscenter om sådana kränkningar av informationssäkerheten och störningar i informationssäkerheten som den upptäcker och trots sekretessbestämmelserna lämna centret nödvändiga uppgifter.

Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Folkpensionsanstalten kan göra och till en tjänstetillhandahållare lämna ut sammanställningar som grundar sig på de kunduppgifter och logguppgifter i tjänstetillhandahållarens egna register som har sparats i de riksomfattande informationssystemtjänsterna och som är av betydelse för utvecklingen, uppföljningen, rapporteringen och övervakningen av tjänstetillhandahållarens verksamhet. Sammanställningarna får inte innehålla personuppgifter.

I skyddet av de riksomfattande informationssystemtjänsterna iakttas vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter. Folkpensionsanstalten får inte överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna eller av loggregister som hänför sig till sådana register till att utföras av utomstående.

67 §
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna

Tjänstetillhandahållare och apotek ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna och ta i bruk de i 65 § 1 mom. avsedda informationssystemtjänster i vilka tjänstetillhandahållaren är skyldig att föra in kunduppgifter eller med hjälp av vilka kunduppgifter kan lämnas ut till tjänstetillhandahållaren.

Privata tjänstetillhandahållare inom social- och hälsovården ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av patientuppgifter eller av klientuppgifter inom socialvården.

Andra aktörer än tjänstetillhandahållare inom social- och hälsovården, beträffande vilkas tjänster och behandling av personuppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 65 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten.

Tjänstetillhandahållare inom social- och hälsovården i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna.

68 §
Information till kunden om riksomfattande informationssystemtjänster

Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som hänför sig till hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten.

Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet.

69 §
Riksomfattande informationsresurs för kunduppgifter

Efter anslutningen till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original samt kopior av handlingar som förmedlas via informationsförfrågnings- och förmedlingsservicen i den riksomfattande informationsresursen för kunduppgifter, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret. Kundhandlingar som uppkommit före anslutningen kan sparas i den riksomfattande informationsresursen för kunduppgifter. I den riksomfattande informationsresursen för kunduppgifter får det utöver kundhandlingar även sparas andra handlingar som innehåller kunduppgifter samt handlingar som hänför sig till ordnandet av social- och hälsovården.

Av en elektronisk kundhandling får det i den riksomfattande informationsresursen för kunduppgifter finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning får det av kundhandlingen i original göras ett extra exemplar av vilket det ska framgå att det inte är originalet.

Varje i 13 § avsedd personuppgiftsansvarig för kunduppgifter är personuppgiftsansvarig för de handlingar som den fört in i den riksomfattande informationsresursen för kunduppgifter.

70 §
Förvaringstjänsten för loggregister

Tjänstetillhandahållaren ska i förvaringstjänsten för loggregister spara de logguppgifter om utlämnande av kunduppgifter som avses i 10 §. I förvaringstjänsten för loggregister får tjänstetillhandahållaren också spara logguppgifter om användningen av kunduppgifter.

Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 65 § avsedda riksomfattande informationssystemtjänsterna och som har lämnats ut via dem samla in och spara i förvaringstjänsten för loggregister dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk.

Varje tjänstetillhandahållare inom social- och hälsovården, varje apotek och Folkpensionsanstalten är personuppgiftsansvarig för de användningsloggar som uppkommer i dess verksamhet.

Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är en yrkesutbildad person inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av användningslogguppgifter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §.

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården. Tjänstetillhandahållarna, apoteken och Folkpensionsanstalten är gemensamt personuppgiftsansvariga för receptcentrets utlämningslogg. De tjänstetillhandahållare som för in uppgifter för förvaringstjänsten för loggregister ansvarar för riktigheten av de uppgifter som uppkommit i deras verksamhet och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen.

71 §
Informationshanteringstjänsten

Informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga och aktuella för genomförandet av hälso- och sjukvården och producerar sammandrag av dem för tjänstetillhandahållare och apotek för genomförande av patientens vård. Viktiga patientuppgifter är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, anteckningar om läkemedelsbehandling, fysiologiska mätningar och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt i 4 a § i patientlagen avsedda planer för undersökning, vård och rehabilitering eller andra motsvarande planer. Informationshanteringstjänsten får också sammanställa andra anteckningar i journalhandlingarna. Tjänstetillhandahållaren har rätt att få och använda uppgifter i informationshanteringstjänsten på det sätt som föreskrivs i 53 och 54 §. Uppgifter som fåtts från informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 9 §.

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för informationshanteringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av uppgifter som lagrats i informationshanteringstjänsten.

72 §
Viljeyttringstjänsten

I viljeyttringstjänsten ska det föras in uppgifter om information som en person har fått enligt denna lag och receptlagen samt om tillstånd för, samtycke till och förbud mot utlämnande som en person har meddelat i fråga om kunduppgifter.

I viljeyttringstjänsten kan det även föras in andra uppgifter än de som avses i 1 mom. om en persons

1) viljeyttringar i fråga om hälso- och sjukvård eller socialservice,

2) viljeyttringar i fråga om tjänster inom social- och hälsovården och behandling av kunduppgifter.

Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för de i 1 mom. och 2 mom. 1 punkten avsedda viljeyttringar om social- och hälsovården som har förts in i viljeyttringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen som svarar för utlämnandet av uppgifter som lagrats i viljeyttringstjänsten.

73 §
Informationsresursen för egna uppgifter

En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i informationsresursen för egna uppgifter och via den använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från informationsresursen.

Folkpensionsanstalten är personuppgiftsansvarig för informationsresursen för egna uppgifter. Folkpensionsanstalten har dock inte rätt att behandla uppgifter i informationsresursen för egna uppgifter i större omfattning än vad som är nödvändigt för att administrera informationsresursen eller rätt att lämna ut uppgifter ur den för andra ändamål än de som anges i 3 mom.

En person kan ge sitt samtycke till att de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsovårdstjänster.

De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller tills högst fem år har förflutit från personens död.

74 §
Medborgargränssnitt och välbefinnandeapplikationer samt kunduppgifter som visas via dem

En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt.

Personen får via medborgargränssnittet eller en välbefinnandeapplikation visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen, 34 § i dataskyddslagen eller enligt annan lagstiftning inte har rätt att få. För att få uppgifterna via välbefinnandeapplikationen ska kunden ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.

Trots det som föreskrivs i 2 mom. får en person visas namnet på en person som handlat för hans eller hennes räkning.

75 §
Gränssnittet för professionell behandling av elektroniska recept

Folkpensionsanstalten ska tillhandahålla ett gränssnitt för professionellt bruk som gör det möjligt att göra upp och behandla elektroniska recept via informationsnäten.

En läkare kan med hjälp av gränssnittet för professionellt bruk uppgöra elektroniska recept med stöd av rätten att utöva yrke när läkaren inte agerar för tjänstetillhandahållarens räkning.

Bestämmelser om personuppgiftsansvaret för recept som görs upp via gränssnittet för professionellt bruk finns i receptlagen.

76 §
Informationsförmedlings- och förfrågningsservicen

Med hjälp av de riksomfattande informationssystemtjänsterna får intyg, utlåtanden och andra handlingar som innehåller kunduppgifter förmedlas till en aktör utanför social- och hälsovården. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Handlingarna förmedlas med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna.

Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen.

10 kap.
Egenkontroll av informationssäkerhet och dataskydd

77 §
Informationssäkerhetsplan

Tjänstetillhandahållare, apotek, mellanhänder och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. I informationssäkerhetsplanen ska det redogöras för hur de krav som hänför sig till behandlingen av klient- och patientuppgifterna och informationssystemen säkerställs

1) de som använder informationssystemen har den utbildning som användningen kräver,

2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen,

3) informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten,

4) informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten,

5) informationssystemens driftmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet och det sörjs för riskhanteringen i fråga om driftmiljön och informationssystemen,

6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd,

7) informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs för det och vars tillförlitlighet har säkerställts på det sätt som avses i 12 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019), om personen i sina uppgifter kan behandla kunduppgifter eller annars i sina uppgifter kan äventyra funktionen hos informationssystem som är kritiska med tanke på kontinuiteten inom social- och hälsovården,

8) informationssystemen uppfyller i 84 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål, och

9) tjänstetillhandahållaren, apoteket, mellanhanden och Folkpensionsanstalten har en plan för hur egenkontrollen av informationssäkerheten och dataskyddet ska ordnas och genomföras inom dess verksamhet.

Innan en tjänstetillhandahållare eller ett apotek ansluter sig som användare av de riksomfattande informationssystemtjänsterna, ska det i tjänstetillhandahållarens eller apotekets informationssäkerhetsplan också ingå en redogörelse för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten.

78 §
Genomförande av och ansvar för egenkontroll av informationssäkerheten

Den ansvariga föreståndaren hos en tjänstetillhandahållare inom social- och hälsovården och en apotekare ska se till att en informationssäkerhetsplan enligt 77 § utarbetas och iakttas. Tjänstetillhandahållare, apotek och Folkpensionsanstalten ska på eget initiativ vidta nödvändiga åtgärder om någon har behandlat kunduppgifter i strid med lagen.

För uppföljning och tillsyn i fråga om dataskyddet och informationssäkerheten har tjänstetillhandahållaren och apoteket rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i informationshanteringstjänsten och viljeyttringstjänsten och logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens eller apotekets anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig.

Folkpensionsanstalten och en mellanhand ska följa genomförandet av informationssäkerhetsplanen.

Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artiklarna 37–39 i dataskyddsförordningen.

11 kap.
Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande

79 §
Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering

Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen.

Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör

1) de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten,

2) de informationssystem och välbefinnandeapplikationer som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna,

3) andra än i 1 och 2 punkten avsedda informationssystem som i fråga om sitt användningsändamål kräver certifiering, och

4) tjänster tillhandahållna av mellanhänder.

Andra informationssystem än de som avses i 2 mom. hör till klass B.

Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem. I oklara fall beslutar Institutet för hälsa och välfärd till vilken klass informationssystemet hör.

80 §
Registrering av informationssystem och välbefinnandeapplikationer

Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket för social- och hälsovården innan informationssystemen eller välbefinnandeapplikationerna tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål samt kontaktperson framgå. Anmälan ska vidare innehålla en utredning enligt 85 § över att kraven på funktionalitet uppfylls, ett i 86 § avsett intyg över interoperabilitetstestning och ett i 87 § avsett intyg över att de väsentliga kraven på informationssäkerhet uppfylls. Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om versionsstödet för ett informationssystem eller en välfärdsapplikation som är avsett att användas för produktion av tjänster upphör eller om en annan aktör övertagit ansvaret för informationssystemet eller välbefinnandeapplikationen.

Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket och som uppfyller kraven. Registret ska innehålla uppgifter om

1) informationssystem och välbefinnandeapplikationer som är avsedda att användas för produktion av tjänster, deras användningsändamål och de väsentliga krav som de uppfyller,

2) resultat av interoperabilitetstestningen av informationssystem och välbefinnandeapplikationer som hör till klass A och som har godkänts för användning i produktion av tjänster, och

3) giltighetstiden för det intyg över bedömning av informationssäkerhet som utfärdats enligt en bedömning av informationssäkerhet för informationssystem och välbefinnandeapplikationer som hör till klass A och har godkänts för användning i produktion av tjänster, och

4) en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion av tjänster, medan avvikelsen varar.

Tillstånds- och tillsynsverket för social- och hälsovården får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.

81 §
Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster

Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna efter det att systemet eller applikationen har certifierats i enlighet med 85 §.

Ett informationssystem eller en välbefinnandeapplikation får inte tas i användning för produktion av tjänster, om det inte finns uppdaterade uppgifter om systemet eller applikationen i det i 80 § 2 mom. avsedda registret, eller om intyget över bedömning av informationssäkerhet för ett informationssystem eller en välbefinnandeapplikation som hör till klass A har gått ut. En förutsättning för att ett informationssystem som hör till klass A ska få tas i användning för produktion av tjänster är också att interoperabilitetstestningen har godkänts i fråga om de gällande kraven på interoperabilitet som motsvarar systemets användningsändamål.

En välbefinnandeapplikation får inte tas i användning för produktion av tjänster om den inte motsvarar det användningsändamål för främjande av hälsa och välfärd som avses i 84 § och som är en förutsättning för att kraven på funktionalitet ska uppfyllas.

82 §
Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer

Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare och apotek som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.

Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Tillstånds- och tillsynsverket för social- och hälsovården ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer. Bedömningsorganet för informationssäkerhet ska dessutom underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som har anslutits till de riksomfattande informationssystemtjänsterna. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering.

Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska bevara uppgifter om interoperabilitet och informationssäkerhet samt övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras.

12 kap.
Väsentliga krav på informationssystem och välbefinnandeapplikationer

83 §
Allmänna skyldigheter för producenter av informationssystemtjänster och tillverkare av informationssystem samt tillverkare av välbefinnandeapplikationer

Tillverkaren av ett informationssystem för social- och hälsovården ansvarar för planeringen och tillverkningen av informationssystemet, oberoende av om dessa åtgärder utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen.

Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.

De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska.

Tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter.

84 §
Väsentliga krav på informationssystem och välbefinnandeapplikationer

Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. En välbefinnandeapplikation ska uppfylla tillgänglighetskraven. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.

De informationssystem som tjänstetillhandahållare och apotek använder ska till sitt användningsändamål svara mot tjänstetillhandahållarnas och apotekens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarnas och apotekens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem.

Ett informationssystem och en välbefinnandeapplikation uppfyller de väsentliga kraven, om systemet eller applikationen har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av kunduppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. En förutsättning för att kraven på funktionalitet hos en välbefinnandeapplikation ska vara uppfyllda är att applikationen främjar medborgarnas hälsa och välfärd.

Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven, tidsfristerna för genomförande och om de väsentliga krav de informationssystem och välbefinnandeapplikationer som används i de olika tjänsterna ska uppfylla. Innan föreskrifter meddelas ska ett utlåtande om kraven på informationssäkerhet och förfarandena för verifiering av kraven på informationssäkerhet begäras av Transport- och kommunikationsverkets cybersäkerhetscenter och ett utlåtande om kraven på dataskydd begäras av dataombudsmannens byrå.

85 §
Påvisande av överensstämmelse med kraven

Överensstämmelse med kraven ska för ett informationssystem och en välbefinnandeapplikation som hör till klass A ska visas med certifiering, det vill säga en utredning från producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen om att systemet eller applikationen uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål samt med en godkänd interoperabilitetstestning och ett sådant intyg över bedömning av informationssäkerhet av ett bedömningsorgan för informationssäkerhet som avses i 87 §. Producenten av en informationssystemtjänst ansvarar för att informationssystemet är certifierat och tillverkaren av en välbefinnandeapplikation ansvarar för att applikationen är certifierad.

Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, drivits och använts på behörigt sätt. Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet.

Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifiering av interoperabiliteten i fråga om informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i receptlagen.

86 §
Interoperabilitetstestning

Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets eller välbefinnandeapplikationens funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten.

Ett informationssystem som hör till klass A och har tagits i användning för produktion av tjänster ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför för dem. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett intyg över uppfyllelsen av kraven på interoperabilitet när kraven har verifierats.

Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar eller av informationssystem som hör till klass A och som inte ansluts till de riksomfattande informationssystemtjänsterna.

87 §
Bedömning av informationssäkerhet

Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för vare sig producenten av en informationssystemtjänst, tillverkaren av ett informationssystem eller användaren. Bedömningen av informationssäkerhet görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation.

Bedömningsorganet för informationssäkerhet ska utifrån sin bedömning av informationssäkerhet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport, om informationssystemet uppfyller de väsentliga kraven på informationssäkerhet. Bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets eller välbefinnandeapplikationens användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet.

Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Intyget är giltigt i högst tre år. Intygets giltighetstid får förlängas med högst tre år i sänder.

88 §
Anmälningsskyldighet för Folkpensionsanstalten och bedömningsorgan för informationssäkerhet

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla i 87 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Folkpensionsanstalten ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, bedömningsorganet för informationssäkerhet och Institutet för hälsa och välfärd om alla i 86 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats.

Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet.

13 kap.
Övervakning av informationssystem

89 §
Övervakning och inspektioner av informationssystem

Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens och välbefinnandeapplikationernas överensstämmelse med kraven.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. Inspektioner kan göras utan förhandsanmälan. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har Tillstånds- och tillsynsverket för social- och hälsovården rätt att få behövlig handräckning av polisen. Bestämmelser om handräckning av polisen finns i 9 kap. 1 § 1 mom. i polislagen (872/2011).

Vid inspektionen ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. En inspektion anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades.

90 §
Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i informationssäkerheten avseende informationsnät

Om en tjänstetillhandahållare eller ett apotek konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denna underrätta producenten av informationssystemtjänsten om saken. Om avvikelsen i informationssystemet eller välbefinnandeapplikationen kan innebära en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, tillverkaren av välbefinnandeapplikationen, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Bestämmelser om rapportering av personuppgiftsincidenter till dataombudsmannen finns i artikel 33 i dataskyddsförordningen.

En tjänstetillhandahållare, ett apotek, Folkpensionsanstalten och en producent av en informationssystemtjänst eller en tillverkare av ett informationssystem eller en mellanhand ska utan dröjsmål underrätta Tillstånds- och tillsynsverket för social- och hälsovården om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som aktören använder och till följd av vilka användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster kan äventyras avsevärt. Institutet för hälsa och välfärd får meddela närmare föreskrifter om när en sådan störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.

Om det ligger i allmänt intresse att det görs en anmälan om en sådan avvikelse eller störning i anslutning till informationssäkerheten som avses i 1 och 2 mom., får Tillstånds- och tillsynsverket för social- och hälsovården ålägga tjänstetillhandahållaren, apoteket, Folkpensionsanstalten, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet eller mellanhanden att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken.

Tillstånds- och tillsynsverket för social- och hälsovården ska bedöma om en sådan avvikelse eller störning i anslutning till informationssäkerheten inom den offentliga hälso- och sjukvården som avses i 1 och 2 mom. berör de övriga medlemsstaterna i Europeiska unionen och vid behov underrätta de berörda medlemsstaterna.

91 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information för tillsyn

För tillsynen över informationssystem och välbefinnandeapplikationer inom social- och hälsovården har Tillstånds- och tillsynsverket för social- och hälsovården rätt att avgiftsfritt och trots sekretessbestämmelserna få nödvändig information av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården.

92 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av informationssystems och välbefinnandeapplikationers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem och välbefinnandeapplikationer, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

93 §
Föreläggande att fullgöra skyldigheter

Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tillverkare av en välbefinnandeapplikation, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården genom sitt beslut meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid.

94 §
Skyldigheter avseende informationssystem och välbefinnandeapplikationer som är i bruk

När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem eller välbefinnandeapplikationer med stöd av 89 § får verket samtidigt genom sitt beslut ålägga producenten av en informationssystemtjänst eller tillverkaren av ett informationssystem att avhjälpa brister i informationssystem som används för produktion av tjänster och tillverkaren av en välbefinnandeapplikation att avhjälpa brister i en välbefinnandeapplikation som används för produktion av tjänster.

Om ett informationssystem eller en välbefinnandeapplikation kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet eller välbefinnandeapplikationen till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare eller en välbefinnandeapplikation eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst, tillverkaren av en välfärdsapplikation eller en av någon av dessa befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet eller välbefinnandeapplikationen för produktion av tjänster.

95 §
Ändringssökande

Omprövning får begäras av ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.

96 §
Vite

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).

AVDELNING III
SÄRSKILDA BESTÄMMELSER OCH IKRAFTTRÄDANDE

14 kap.
Särskilda bestämmelser

97 §
Styrning, övervakning och uppföljning

Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt beslutsfattandet om finansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter.

Institutet för hälsa och välfärd svarar för planeringen, samordnandet av de datastrukturer som används, styrningen och uppföljningen när det gäller den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt när det gäller utförandet och användningen av de riksomfattande informationssystemtjänster som avses i 65 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden.

Dataombudsmannen, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.

98 §
Samarbete som gäller elektronisk informationshantering inom social- och hälsovården

Social- och hälsovårdsministeriet ska se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag.

Statsrådet kan tillsätta delegationer och andra samarbetsorgan som behövs för det samarbete som avses i 1 mom.

Folkpensionsanstalten ska se till att det har ordnats samarbetsformer och samarbetsförfaranden kring den produktionsverksamhet som gäller informationssystemtjänster med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten.

99 §
Avgifter

Användningen av de riksomfattande informationssystemtjänster enligt 65 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tjänstetillhandahållarna och apoteken efter det att tjänstetillhandahållaren eller apoteket har ålagts att ansluta sig till de riksomfattande informationssystemtjänsterna som användare. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den.

Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för avgifterna för de följande fyra åren och av investeringsbehoven under de fyra följande åren och kostnaderna för dem.

Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Det är avgiftsbelagt för producenter av informationssystemtjänster att anmäla sig till Folkpensionsanstaltens i 86 § avsedda interoperabilitetstestning. Registrering och införande av en i 80 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

100 §
Straffbestämmelser

Den som uppsåtligen eller av grov oaktsamhet

bryter mot identifieringsskyldigheten i 8 § 1 mom.,

lämnar ut kunduppgifter i strid med 8 kap. utan kundens tillstånd för eller samtycke till utlämnande eller utan lagstadgad rätt, eller

försummar sin skyldighet att informera enligt 68 § 1 mom. och på så sätt äventyrar kundens integritetsskydd,

ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter.

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen.

15 kap.
Ikraftträdande- och övergångsbestämmelser

101 §
Ikraftträdande

Denna lag träder i kraft den 20 .

Genom denna lag upphävs lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (784/2021) och lagen om klienthandlingar inom socialvården (254/2015).

De bevarandetider som avses i bilagan till denna lag tillämpas också på handlingar som upprättats före lagens ikraftträdande. Dessutom tillämpas vad som statsarkivet, arkivverket och Riksarkivet särskilt bestämt om arkivering av handlingar.

Lagens 16 § tillämpas också på handlingar som innehas av tjänstetillhandahållare som upphört med sin verksamhet före lagens ikraftträdande, dock så att de handlingar som innehafts av en tjänstetillhandahållare vars verksamhet har upphört och som tidigare har överförts till välfärdsområdet inte överförs till Folkpensionanstalten för bevarande. (Nytt 4 mom.)

Lagens 18 § 1 mom. om lagring av journalhandlingar i patientregistret tillämpas också på journalhandlingar som upprättats inom socialvården före lagens ikraftträdande. (Nytt 5 mom.)

102 §
Övergångsbestämmelser

Den i 53 § avsedda rätten att få uppgifter mellan socialvården och hälso- och sjukvården ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026.

Det i 59 § 2 mom. avsedda förbudet som gäller alla patientuppgifter och företagshälsovården ska tas i bruk senast den 1 januari 2024.

Patientuppgifter som ska antecknas i samband med ordnandet och tillhandahållandet av socialservice ska föras in i patientregistret senast den 1 oktober 2026.

Det i 60 § avsedda utlämnandet av patientuppgifter till utlandet ska genomföras senast från och med den 1 januari 2025.

Tjänstetillhandahållare inom den offentliga socialvården ska ansluta sig till den i 65 § 1 mom. 1 punkten avsedda riksomfattande informationsresursen för kunduppgifter senast den 1 september 2024 och tjänstetillhandahållare inom den privata socialvården senast den 1 januari 2026. Om tidsfristen för skyldigheten enligt 7 mom. att spara handlingar som tjänstetillhandahållare för in infaller efter dessa tidpunkter, ska tjänstetillhandahållaren ansluta sig till den riksomfattande informationsresursen för kunduppgifter senast när skyldigheten att spara handlingar börjar.

Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom hälso- och sjukvården börja spara handlingarna enligt följande:

1) handlingar upprättade av skolpsykologer, senast den 1 mars 2025,

2) senast den 1 oktober 2026

a) journalhandlingar i anslutning till hälso- och sjukvårdstjänster som tillhandahålls i samband med socialservice,

b) handling över tidsbeställningar inom hälso- och sjukvården som kunden ska underrättas om,

c) laboratorieresultat från screeningundersökningar,

d) intyg och blanketter som anknyter till körhälsa,

e) intyg och blanketter som anknyter till olycksfall och anmälan av yrkessjukdom,

f) läkarutlåtande om hälsotillstånd (T-intyg),

g) läkarintyg C och TOD, samt

h) kopia av dödsattest,

3) senast den 1 oktober 2029

a) dagliga anteckningar om vårdarbetet,

b) handlingar som anknyter till radiologisk screening,

c) uppgifter om strålningsexponering vid undersökningar som producerats med medicintekniska produkter,

c) video- och ljudupptagningar samt bilder för synligt ljus,

d) bilder tagna av enheter för mun- och tandvård, och

e) andra bilder än sådana som avses i underpunkt c och d.

Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom socialvården börja spara klienthandlingar inom socialvården i den riksomfattande informationsresursen för kunduppgifter enligt följande:

1) handlingar som uppkommer i serviceuppgifter inom barnskyddet och skolkuratorstjänster, senast den 1 mars 2025,

2) kundhandlingar som uppkommer i serviceuppgifter inom funktionshinderservicen, senast den 1 september 2025,

3) kundhandlingar som uppkommer i serviceuppgifter inom missbrukarvården, senast den 1 mars 2026,

4) kundhandlingar som uppkommer i serviceuppgifter inom familjerättsliga tjänster, senast den 1 september 2026, och

5) video- och ljudupptagningar som uppkommer i alla serviceuppgifter, senast den 1 oktober 2029.

Den i 73 § 3 mom. avsedda möjligheten att lämna ut uppgifter om välbefinnande till en tjänstetillhandahållare ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026.

Utlämnande av patientuppgifter till välbefinnandeapplikationer i enlighet med 74 § 2 mom. ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 december 2024, i fråga om recept som lagras i receptcentret dock senast den 1 oktober 2027.

Bilaga

Bevarandetiderna för kundhandlingar

Utskottet föreslår en ändring Journalhandlingar Slut på ändringsförslaget	Bevarandetid
Handlingar som är viktiga med tanke på medicinsk genetik och sällsynta sjukdomar	Bevaras permanentUtskottet föreslår en ändring , behovet av bevarande ska bedömas vart femte år Slut på ändringsförslaget
Anteckningar och sammandrag i anslutning tillUtskottet föreslår en ändring diagnostik samt Slut på ändringsförslaget planering, genomförande, uppföljning och utvärdering av vården, halvtids- och slutbedömningar, vårdplaner, remisser och Utskottet föreslår en ändring utlåtanden, Slut på ändringsförslagetbegäranden om konsultationerUtskottet föreslår en ändring , beslut om vård oberoende av patientens vilja, resultatkurvor (EEG, EKG, ENMG, KTG, hörselkurvor och andra motsvarande resultatkurvor), bilder på strålbehandling samt kartotek, cytostatikakort Slut på ändringsförslaget samt recept	12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder
Utskottet föreslår en strykning Utlåtanden och remisser i anslutning till diagnostik Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder Slut på strykningsförslaget
Utskottet föreslår en strykning Beslut om inledande av vård oberoende av patientens vilja/beslut om vården Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder Slut på strykningsförslaget
Utskottet föreslår en strykning Bilder på planeringen av strålbehandlingen och kvalitetssäkringen samt kartotek och cytostatikakort Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder Slut på strykningsförslaget
Utskottet föreslår en strykning Laboratorieresultat Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder Slut på strykningsförslaget
Odontologiska röntgenbilder	12 år efter dödsfallet eller 120 år efter födelsen
Andra än odontologiska röntgenbilder som används vid identifiering, magnet-, isotop- och ultraljudsbilder samt motsvarande upptagningar från bilddiagnostiska undersökningar	20 år efter undersökningen, dock högst 12 år efter dödsfallet
Bilder för synligt ljus, diabilder och andra bild-, video- och ljudupptagningar	Sådana som bedöms vara behövliga för vården 12 år efter undersökningen
Receptexpedieringar, anteckningar om genomförandet av läkemedelsbehandling och andra anteckningar som hänför sig till recept	12 år efter att giltighetstiden för receptet gåttut eller vårdperioden avslutats
Material från undersökning och beräkning, blanketter för insamling av uppgifter	12 år efter insamlingen av information eller liknande
Utskottet föreslår en strykning EEG, EKG, ENMG, KTG, hörselkurvor och andra motsvarande resultatkurvor Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter undersökningen Slut på strykningsförslaget
Av patienten upprättade uppföljningsuppgifter och andra handlingar som hänför sig till vården	12 år efter det att handlingen anlände
Handlingar över tidsbeställningar	12 år efter att handlingen upprättades
Separata remisshandlingar för patienter som inte infunnit sig (beträffande vilka vårdansvar inte uppkommit)	1 år efter det att handlingen upprättades
Kopior av andra tjänstetillhandahållares journalhandlingar inom hälso- och sjukvården	Får förstöras så snart de behövliga anteckningarna har förts in i patientdatasystemet
Tidsbeställnings- och vårdreserveringsböcker, utskrivning, poliklinik-, avdelningsvårds- och åtgärdsdagböcker och motsvarande	1 år efter det senaste besöket
Donationsvilja, vårddirektiv, donationstestamente och patientens andra viljeyttringar	De nyaste versionerna 12 år efter dödsfallet eller 120 år efter födseln, tidigare versioner 12 år
Patientspecifik korrespondens/kontakt i anslutning till vården	3 år efter dateringen av ett meddelande eller motsvarande
Videor som beskriver operationer	Får förstöras så snart användningsbehovet har upphört
Kopior av läkarutlåtanden och läkarintyg som upprättats för andra instanser (även sådana intyg som förutsätts i lagstiftningen om företagshälsovård)	5 år efter det att intyget eller utlåtandet upprättades
Den kopia av dödsattesten som fogas till journalhandlingarnaUtskottet föreslår en ändring samt obduktionsprotokoll och obduktionsutlåtanden i anslutning till medicinsk utredning av dödsorsak Slut på ändringsförslaget	12 år efter att handlingen producerades
Utskottet föreslår en strykning Obduktionsprotokoll och obduktionsutlåtanden i anslutning till medicinsk utredning av dödsorsak Slut på strykningsförslaget	Utskottet föreslår en strykning 12 år efter att handlingen producerades Slut på strykningsförslaget

Utskottet föreslår en ändring Prover och organmodeller Slut på ändringsförslaget	Bevarandetid
Vävnadsblock och provglas som är betydelsefulla för medicinsk genetik och sällsynta sjukdomar	Får bevaras permanent
Vävnadsblock	Högst 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten är okänd eller det är fråga om ett barn som har dött före 18 års ålder
Histologiska, patologiska, hematologiska och cytologiska provglas	12 år
Prover inom klinisk kemi	Får förstöras så snart analysen har utförts
Gipsavtryck av tänder	Kan ges till patienten eller förstöras efter avslutad vård

Utskottet föreslår en ändring Klienthandling inom socialvården Slut på ändringsförslaget eller serviceuppgift där Utskottet föreslår en ändring klienthandlingarna Slut på ändringsförslaget upprättas	Bevarandetid
Utskottet föreslår en ändring Klientrelationshandling Slut på ändringsförslaget och basuppgifter om Utskottet föreslår en ändring klienten Slut på ändringsförslaget	2 år efter Utskottet föreslår en ändring klientens Slut på ändringsförslaget död
Serviceuppgift för barnfamiljer	30 år efter att ärendet stängdes
Serviceuppgift för personer i arbetsför ålder	10 år efter att ärendet stängdes
Serviceuppgift för äldre	10 år efter att ärendet stängdes
Serviceuppgift inom missbrukarvården	10 år efter att ärendet stängdes
Serviceuppgift inom funktionshinderservicen	10 år efter att det sista ärendet stängdes, när behovet av funktionshinderservice har upphört
Serviceuppgift inom barnskyddet	2 år efter Utskottet föreslår en ändring klientens Slut på ändringsförslaget död
Serviceuppgift inom tillhandahållandet av familjerättsliga tjänster	I ärenden som gäller barn 120 år efter barnets födelse, i andra ärenden 10 år efter att ärendet stängdes
Verifikat	3 år
Beslut om klientavgifter och handlingar som gäller inkomstutredningar	12 år efter att beslutet upphörde att gälla
Kontakt eller korrespondens i anslutning till den klientspecifika servicen	3 år efter dateringen av ett meddelande eller motsvarande
Kopior av utlåtanden och intyg som upprättats för andra aktörer	5 år efter det att intyget eller utlåtandet upprättades
Video- och ljudupptagningar som spelas in inom socialservicen	Får förstöras när användningsbehovet har upphört och de behövliga anteckningarna har gjorts i klienthandlingarna

Utskottet föreslår en ändring Handlingar i anknytning till hanteringen av utlämnande av uppgifter Slut på ändringsförslaget	Bevarandetid
Utlämnings- och användningslogguppgifter samt anmälningar om utlämnande	12 efter logghändelsen
Tillstånd för utlämnande, samtycken, förbudshandlingar	Den nyaste versionen 12 år efter dödsfallet,de föregående 12 år efter att en ny version har upprättats

2. Lag om ändring av lagen om klientens ställning och rättigheter inom socialvården

I enlighet med riksdagens beslut

upphävs i l lagen om klientens ställning och rättigheter inom socialvården (812/2000) 3 § 3 punkten, 11 §, 13 § 2 mom., 3 kap., 20, 21 och 26 §, 27 § 2 och 3 mom., 28 § samt 29 § 1 mom.,

av dem 13 § 2 mom. och 20, 21 och 28 § sådana de lyder i lag 603/2022, och

ändras 3 § 2 punkten, rubriken för 13 § och 13 § 1 mom., 27 § 1 mom. och 29 § 2 mom.,

av dem 3 § 2 punkten sådan den lyder i lag 1313/2014 och rubriken för 13 § och 13 § 1 mom. samt 27 § 1 mom. sådana de lyder i lag 603/2022, som följer:

3 §

Definitioner

I denna lag avses med

2) socialvård socialservice som nämns i 14 § i socialvårdslagen (1301/2014) samt med nämnda tjänster sammanhängande åtgärder som är avsedda att främja och upprätthålla enskilda personers eller familjers sociala trygghet och funktionsförmåga.

13 §
Bestämmelser om behandlingen av personuppgifter

Bestämmelser om sekretess för klientuppgifter inom socialvården och behandling av klientuppgifter samt upprättande och bevarande av klienthandlingar finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

27 §
Tillämpningsområdet för bestämmelserna om datasekretess och handräckning

Vad som i 52, 53, 55, 56 och 62—64 § i lagen om behandling av kunduppgifter inom social- och hälsovården föreskrivs om välfärdsområdets rätt att få och lämna ut sekretessbelagda uppgifter samt vad som föreskrivs i 22 § i denna lag om handräckning gäller också de myndigheter som svarar för ledningen och övervakningen av socialvården när dessa sköter sina uppgifter i anknytning till enskilda personer och övervakningen.

29 §
Straffansvar

Den som bryter mot den skyldighet att lämna uppgifter som avses i 22 § 2 mom. ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för brott mot den skyldighet att lämna uppgifter som föreskrivs i lagen om klientens ställning och rättigheter inom socialvården dömas till böter eller till fängelse i högst ett år.

Denna lag träder i kraft den 20 .

3. Lag om ändring av lagen om patientens ställning och rättigheter

I enlighet med riksdagens beslut

upphävs i lagen om patientens ställning och rättigheter (785/1992) 2 § 5 punkten, 5 § 3 mom., 9 § 1 och 2 mom. samt 12, 13, 13 a och 14 §,

av dem 5 § 3 mom., 12 och 14 § sådana de lyder i lag 653/2000, 9 § 1 mom. sådant det lyder i lag 489/1999, 13 § sådan den lyder delvis ändrad i lagarna 653/2000, 271/2015 och 556/2019 samt 13 a § sådan den lyder i lag 789/2021,

ändras 2 § 4 punkten, sådan den lyder i lag 602/2022, samt

fogas till 13 b §, sådan den lyder i lag 690/2012, ett nytt 2 mom. som följer:

2 §
Definitioner

I denna lag avses med

4) verksamhetsenhet för hälso- och sjukvård verksamhetsenheter för hälso- och sjukvård inom ett välfärdsområde som sköter uppgifter inom hälso- och sjukvården enligt lagen om ordnade av social- och hälsovård (612/2021), enheter som tillhandahåller hälso- och sjukvårdstjänster enligt lagen om privat hälso- och sjukvård (152/1990), arbetshälsoinstitutet till den del det tillhandahåller hälso- och sjukvårdstjänster enligt lagen om arbetshälsoinstitutets verksamhet och finansiering (159/1978), statens sinnessjukhus enligt lagen om statens sinnessjukhus (1292/1987), enheter inom försvarsmakten som svarar för att ordna hälso- och sjukvård enligt lagen om hälsovården inom försvarsmakten (322/1987) till den del de producerar hälso- och sjukvårdstjänster samt Enheten för hälso- och sjukvård för fångar enligt lagen om Enheten för hälso- och sjukvård för fångar (1635/2015).

13 b §
Hänvisning till annan lagstiftning

Bestämmelser om sekretess för och behandling av patientuppgifter samt upprättande och bevarande av journalhandlingar finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

Denna lag träder i kraft den 20 .

4. Lag om ändring av lagen om elektroniska recept

I enlighet med riksdagens beslut

upphävs i lagen om elektroniska recept (61/2007) 3 § 7 punkten, 4 § 2 och 3 mom., 9 § 2 mom., 14 § 2 mom., 16, 16 a, 17, 19, 20, 22 a och 22 b §, 23 § 2 mom., 24 § 5 mom. samt 25 och 28 §,

sådana de lyder, 3 § 7 punkten, 4 § 3 mom., 9 § 2 mom. och 23 § 2 mom. i lag 251/2014, 4 § 2 mom., 14 § 2 mom., 16 a, 19, 22 a och 22 b § samt 24 § 5 mom. i lag 786/2021, 16 § sådan den lyder delvis ändrad i lag 786/2021, 17 § sådan den lyder i lagarna 251/2014 och 786/2021, 20 § sådan den lyder delvis ändrad i lag 251/2014, 25 § sådan den lyder i lagarna 1196/2019 och 786/2021 samt 28 § sådan den lyder i lagarna 251/2014, 1196/2019, 786/2021 och 1232/2022,

ändras 1 § och 2 § 1 och 2 mom., 3 § 4 punkten och 8 punkten underpunkt b, 4 § 1 mom., 5 §, 6 § 1 mom. 6 punkten och 3 mom., 7 §, 9 § 1 mom., rubriken för 10 § och 10 § 2–5 mom., 11 § 1 och 3 mom., 12 § 2 och 3 mom., 13 §, 14 § 1 mom., 24 § 1 mom. och rubriken för 26 §,

av dem 1 §, 3 § 4 punkten, 4 § 1 mom., rubriken för 10 § samt 10 § 4 och 5 mom., 11 § 3 mom., 12 § 2 mom., 14 § 1 mom. och 24 § 1 mom. sådana de lyder i lag 786/2021, 2 §, 3 § 8 punkten underpunkt b, 9 § 1 mom. samt 10 § 2 och 3 mom. sådana de lyder i lag 251/2014, 5 § sådan den lyder i lagarna 251/2014 och 786/2021, 7 § och 11 § 1 mom. sådana de lyder delvis ändrade i lag 786/2021 och 13 § sådan den lyder delvis ändrad i lagarna 251/2014, 786/2021 och 1232/2022, samt

fogas till 3 § en ny 5 punkt i stället för den 5 punkt som upphävts genom lag 786/2021 och till den paragrafen en ny 5 a-punkt samt till lagen en ny 5 c § som följer:

1 §
Lagens syfte

Syftet med denna lag är att förbättra patient- och medicineringssäkerheten samt underlätta och effektivisera förskrivningen och expedieringen av läkemedel genom ett system där patientens läkemedelsordinationer och anteckningar som hänför sig till dem kan lagras elektroniskt i ett receptcenter på riksnivå och där läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. Syftet med lagen är dessutom att möjliggöra klarläggandet av patientens samlade medicinering och beakta den vid läkemedelsbehandling samt att nyttiggöra de samlade uppgifterna i receptcentret i myndigheternas verksamhet inom hälso- och sjukvården.

2 §
Lagens tillämpningsområde

Denna lag innehåller bestämmelser om elektroniska recept och anteckningar som hänför sig till dem.

Till den del det inte föreskrivs om behandlingen av recept och anteckningar som hänför sig till dem i denna lag, föreskrivs det om behandlingen i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen. Om inte något annat följer av denna lag eller av kunduppgiftslagen, ska vid uppgörandet, expedieringen och behandlingen av elektroniska recept iakttas vad som någon annanstans bestäms om patientens ställning och rättigheter, patientens språkliga rättigheter, förskrivning och expediering av läkemedel, behandling av personuppgifter, offentlighet i myndigheternas verksamhet, elektronisk kommunikation och elektroniska signaturer.

3 §
Definitioner

I denna lag avses med

receptcenter en informationsresurs som består av elektroniska recept som lagrats av läkemedelsförskrivarna, av recept som apoteken har lagrat på de grunder som föreskrivs i 12 §, av sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som föreskrivs i 23 §, av expedieringsuppgifter som fogats till recepten och av anteckningar som hänför sig till genomförandet och bedömningen av läkemedelsbehandlingen,

nationell läkemedelslista en patientspecifik sammanställning av recept som lagrats i receptcentret och av anteckningar som hänför sig till dem,

a) läkemedel som används ett läkemedel som förskrivits till patienten genom recept och vars användning inte har avslutats genom en anteckning om avslutad användning av läkemedlet,

8) HCI-läkemedel läkemedelspreparat

b) som nämns i den förteckning över HCI-läkemedel som Säkerhets- och utvecklingscentret för läkemedelsområdet har fastställt, eller

4 §
Information till patienten

Innan ett elektroniskt recept görs upp ska patienten informeras om elektroniska recept och patientens rättigheter i anslutning till sådana. Bestämmelser om information om riksomfattande informationssystemtjänster finns i 68 § i kunduppgiftslagen.

5 §
Uppgörande av recept

Läkemedelsförskrivaren ska vid förskrivning av läkemedel kontrollera de läkemedel som tidigare förskrivits till patienten i den nationella läkemedelslistan, om det inte är omöjligt på grund av en tillfällig teknisk störningssituation.

Recept ska göras upp elektroniskt med undantag för pro auctore-recept och recept som gäller läkemedelsgaser, vilka får göras upp skriftligt, och recept som gäller patientspecifika specialtillståndspreparat, vilka får göras upp skriftligt eller elektroniskt. Om det på grund av en teknisk störning inte är möjligt att göra en elektronisk förskrivning, får ett recept också göras upp skriftligt eller förskrivas per telefon. Ett recept får likaså göras upp skriftligt eller förskrivas per telefon på begäran av ett apotek, om apoteket inte kan expediera ett elektroniskt recept på grund av en teknisk störning. Dessutom får ett recept göras upp skriftligt eller förskrivas per telefon, om läkemedelsbehandlingen brådskar och det på grund av exceptionella förhållanden eller av någon annan särskild orsak inte går att göra upp ett elektroniskt recept.

En undertecknad, skriftlig kopia av det elektroniska receptet kan lämnas ut för köp av läkemedel som sker utomlands. Om en kopia av receptet lämnas ut för köp av läkemedel utomlands ska elektronisk expediering av receptet samtidigt förhindras tekniskt. En patient som behöver ett elektroniskt recept för en utlandsresa får ges en kopia av det expedierade receptet styrkt med läkemedelsförskrivarens eller apotekets signatur.

På ett skriftligt recept och ett telefonrecept ska orsaken till att receptet inte gjorts upp elektroniskt anges. Närmare bestämmelser om grunderna för skriftliga recept eller telefonrecept och deras innehåll, om läkemedel som får förskrivas på detta sätt och om receptkopior som lämnas ut för köp av läkemedel utomlands eller för utlandsresor får utfärdas genom förordning av social- och hälsovårdsministeriet. Ett telefonrecept får inte förnyas och det kan gälla i högst tre månader.

5 Utskottet föreslår en ändring c Slut på ändringsförslaget §
Sjukskötares, farmaceuters och provisorers rätt att anteckna dosjusteringar

En av tjänstetillhandahållaren utsedd sjukskötare, farmaceut eller provisor har rätt att i enlighet med den plan för patientens läkemedelsbehandling som läkemedelsförskrivaren gjort upp ändra doseringsanvisningen för ett recept, om läkemedelsförskrivaren har tillåtit att ändringar görs. Närmare bestämmelser om under vilka förutsättningar sjukskötare, farmaceuter och provisorer kan ges rätt att anteckna dosjusteringar utfärdas genom förordning av social- och hälsovårdsministeriet.

6 §
Informationen i recept

Av ett elektroniskt recept skall framgå

koderna för det läkemedel som används och för receptet.

Bestämmelser om det närmare innehållet i elektroniska recept får vid behov utfärdas genom förordning av social- och hälsovårdsministeriet. Bestämmelser om bemyndigandet för Institutet för hälsa och välfärd att meddela föreskrifter om datainnehåll och datastrukturer i fråga om de uppgifter som ska lagras i de riksomfattande informationssystemtjänsterna finns i 20 § i kunduppgiftslagen.

7 §
Signering av recept och kontroll av rätten att utöva yrke

Bestämmelser om elektronisk underskrift av handlingar som förs in i de riksomfattande informationssystemtjänsterna finns i 22 § i kunduppgiftslagen. Ett elektroniskt recept ska innehålla en avancerad elektronisk signatur som verifierar den som gjort upp receptet. Också en rättelse, makulering och anteckning om avslutande av ett läkemedel som används ska signeras elektroniskt. Alla recept och andra anteckningar som hänför sig till dem i anslutning till ett och samma besök av patienten kan signeras med en enda signeringsfunktion.

Läkemedelsförskrivarens rätt att förskriva läkemedel ska verifieras före signeringen. Det informationssystem som används för att göra upp elektroniska recept ska genomföras så att information om giltigheten för rätten att utöva yrke samt huruvida rätten att utöva yrke är begränsad kontrolleras i den roll- och attributtjänst som Tillstånds- och tillsynsverket för social- och hälsovården förvaltar i enlighet med 65 § 2 mom. i kunduppgiftslagen.

9 §
Patientanvisning

Patienten ska ges en separat anvisning (patientanvisning) om det elektroniska receptet. En patientanvisning behöver emellertid inte ges om patienten inte befinner sig på läkemedelsförskrivarens mottagning när receptet görs upp. En patientanvisning behöver inte heller ges om det är omöjligt av tekniska skäl eller om ett elektroniskt recept har gjorts upp med mobil utrustning. Av patientanvisningen ska åtminstone patientens namn och födelsetid, läkemedelspreparatets namn och läkemedelssubstans samt dess styrka och läkemedelsform, användningsändamål och dosering, uppgift om mängden läkemedel som expedieras mot receptet, koderna för det läkemedel som förskrivs till patienten och för receptet, kontaktuppgifterna för läkemedelsförskrivaren eller verksamhetsenheten för hälso- och sjukvård samt datumet då receptet gjorts upp. I patientanvisningen kan uppgifter om alla läkemedel som förskrivits samtidigt antecknas. Dessutom kan patienten ges en sammanställning av den nationella läkemedelslistan eller motsvarande uppgifter om recept.

10 §
Rättelse, makulering och förnyelse av recept samt anteckning om avslutad användning av läkemedel

Den som gjort upp ett recept och den provisor eller farmaceut som lagrat ett recept som avses i 12 § 4 mom. får utan patientens samtycke makulera ett oexpedierat eller delvis expedierat recept som finns i receptcentret, om receptet har gjorts upp på basis av avsiktligt felaktiga uppgifter som lämnats av patienten eller under tvång. Efter makuleringen träder den föregående ordinationen för samma läkemedel i kraft i den lydelse den hade vid tidpunkten för makuleringen. Dessutom makuleras patientens alla recept när patienten har dött.

Ett elektroniskt recept förnyas genom att ett nytt recept görs upp utifrån det recept som lagrats i receptcentret, varvid det nya receptet avslutar giltighetstiden för det tidigare receptet. Patienten, eller på patientens begäran apoteket, får be läkemedelsförskrivaren eller en tillhandahållare av hälso- och sjukvård förnya receptet. Den som har rätt till förskrivning av läkemedlet får emellertid på medicinska grunder, eller när ett recept har gjorts upp på basis av avsiktligt felaktiga uppgifter som lämnats av patienten eller under tvång, förhindra att ett recept som har lagrats i receptcentret förnyas.

Om läkemedelsförskrivaren beslutar att en patient ska sluta använda ett läkemedel som patienten har använt, ska läkemedelsförskrivaren föra in en anteckning om avslutandet i receptcentret. Anteckningen om avslutande avslutar den registrerade giltighetstiden för receptet. Om receptet har gjorts upp före den 1 oktober 2027 och receptet är uppenbart onödigt, får anteckningen om avslutande göras i samförstånd med patienten också av en sjukskötare som utsetts av tjänstetillhandahållaren, en farmaceut eller en provisor eller av en person som har rätt att expediera läkemedlet på apoteket.

Sådan rättelse, makulering, förhindrande av förnyelse av recept eller avslutande av användning av ett läkemedel som avses i 1–4 mom. ska motiveras.

11 §
Apotekets rätt att få uppgifter

På begäran av patienten eller den som handlar för patientens räkning (den som köper läkemedlet) har apoteket rätt att från receptcentret få uppgifterna i den nationella läkemedelslistan eller om läkemedel som förskrivits till patienten och om anteckningar som hänför sig till dem.

Apoteket har rätt att få uppgifter i den nationella läkemedelslistan eller om läkemedel som förskrivits till patienten och receptexpedieringar som har lagrats i receptcentret för så lång tid som de är nödvändiga för skötseln av apotekets uppgifter, dock för högst 42 månader från det att receptet gjordes upp.

12 §
Expediering av recept

När läkemedlet överlåts ska den som köper läkemedlet få en skriftlig utredning om det expedierade läkemedlet och uppgift om den oexpedierade delen av receptet, om inte köparen uppger att han eller hon inte vill ha någon utredning. Dessutom får den som köper läkemedlet ges en sammanställning som med patientens samtycke får innehålla informationen i patientens nationella läkemedelslista eller motsvarande information om recept. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, får en sammanställning med alla receptuppgifter dock ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta. Bestämmelser om fullmakt finns i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också inom den behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016).

Expedieringsuppgifterna för ett recept fogas till receptet i receptcentret. Det apotek som expedierat läkemedlet kan rätta felaktiga expedieringsuppgifter. Expedieringsuppgifterna och rättelserna av dem ska signeras med en avancerad elektronisk signatur. Den elektroniska signaturen ska genomföras så att det före signeringen certifieras att läkemedelsexpedieraren har rätt att expediera läkemedlet. Bestämmelser om kontroll av rätten att utöva yrke och anslutande begränsningar finns i 7 § 2 mom. Expedieringsuppgifterna för alla recept som expedieras samtidigt kan undertecknas med en enda signeringsfunktion.

13 §
Patientens rätt att bestämma om utlämnande av uppgifter

Uppgifter i den nationella läkemedelslistan i receptcentret om läkemedel som förskrivits till en patient och anteckningar som hänför sig till dem, får trots sekretessbestämmelserna lämnas ut till tillhandahållare av hälso- och sjukvårdstjänster och socialvårdstjänster och till läkemedelsförskrivare i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. Patienten har dock rätt att förbjuda att uppgifter i anslutning till läkemedel som patienten ordinerats lämnas ut till de ovan avsedda aktörerna och till apoteken. Bestämmelser om meddelande och återkallande av förbud finns i 58 § i kunduppgiftslagen.

Om en minderårig patient på det sätt som avses i 7 § 1 mom. i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, med beaktande av ålder och utvecklingsnivå själv kan fatta beslut om sin vård, kan han eller hon också besluta om förbud som avses i 1 mom. i denna paragraf samt om återtagande av ett sådant beslut. En minderårigs vårdnadshavare eller lagliga företrädare har inte rätt att förbjuda utlämnande. En minderårig som avses i 51 § 1 mom. i kunduppgiftslagen har dessutom rätt att förbjuda att uppgifter i fråga om ett visst läkemedel lämnas ut till den minderåriges vårdnadshavare eller någon annan laglig företrädare.

Oberoende av 1 mom. får

1) uppgifter som avses i 1 mom. lämnas ut, om det i lag uttryckligen föreskrivs om utlämnande av eller rätt att få sådana uppgifter,

2) till förskrivare av HCI-läkemedel och narkotiska läkemedel lämnas ut uppgifter om alla HCI-läkemedel och narkotiska läkemedel som förskrivits till en viss patient samt anteckningar som hänför sig till dem,

3) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster eller till en läkemedelsförskrivare vilka svarar för förnyelse av recept lämnas ut uppgifter om det recept som en patient bett att få förnyat,

4) till en läkemedelsförskrivare under den tid en vårdrelation pågår, lämnas ut uppgifter om de recept som han eller hon lagrat i receptcentret och anteckningar som hänför sig till dem samt, oberoende av vårdrelationen, uppgifter om de recept som lagrats i receptcentret av apotek med stöd av 12 § 3 mom. och de ändringar i doseringsanvisningen för ett recept som lagrats i receptcentret av en sjukskötare, farmaceut eller provisor med stöd av 5 a §, för vilka han eller hon antecknats som läkemedelsförskrivare och om de anteckningar som hänför sig till dessa recept,

5) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om anteckningar som hänför sig till dem,

6) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster och till en yrkesutbildad person inom hälso- och sjukvården, i sådana situationer med brådskande vård som avses i 8 § i patientlagen, lämnas ut uppgifter om recept som har lagrats i receptcentret och om anteckningar som hänför sig till dem; om utlämnande av uppgifter är förbjudet enligt 1 mom., får uppgifterna lämnas ut endast om patienten särskilt har meddelat att de får lämnas ut i de situationer som avses ovan,

7) till sådan teknisk personal hos en tillhandahållare av hälso- och sjukvårdstjänster, hos Folkpensionsanstalten och hos informationssystemets leverantör lämnas ut uppgifter i den omfattning som krävs för att åtgärda störningar och problemsituationer, och

8) till en läkemedelsförskrivare och till det verksamhetsställe inom hälso- och sjukvården som är läkemedelsförskrivarens arbetsgivare eller uppdragsgivare lämnas ut sådana uppgifter och utredningar om recept på biologiska läkemedel som har lagrats i receptcentret och om expediering av biologiska läkemedel som är nödvändiga för den egenkontroll som avses i 24 a § och för den myndighetstillsyn som avses i 24 b §, och (Ny)

9) för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tjänstetillhandahållaren har lagrat i receptcentret och om anteckningar som hänför sig till dem.

14 §
Förbudshandling

Bestämmelser om förbudshandlingar finns i 58 § 3 mom. i kunduppgiftslagen. En utskrift av ett förbud som gäller uppgifter om läkemedel som förskrivits till en patient ska innehålla i 13 § avsedda uppgifter om de recept och läkemedel som förskrivits till patienten och som förbudet gäller samt information om förbudets betydelse.

24 §
Styrning, uppföljning och övervakning

Ordnandet och genomförandet av den allmänna planeringen, styrningen och övervakningen av elektroniska recept och i denna lag avsedda riksomfattande informationssystemtjänster hör till social- och hälsovårdsministeriets uppgifter.

26 §
Straffbestämmelser

Denna lag träder i kraft den 20 . Lagens 5 § 1 mom. träder dock i kraft först den 1 oktober 2027.

Lagens 10 § 4 mom. tillämpas senast från och med den 1 oktober 2027. En läkemedelsförskrivare eller läkemedelsexpedierare som också behandlar patienten kan dock i samförstånd med patienten makulera ett oexpedierat eller delvis expedierat recept som finns i receptcentret fram till dess att det är möjligt att i receptcentret lagra den anteckning om avslutande som avses i 10 § 4 mom. (Nytt)

5. Lag om ändring av 11 och 55 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården

I enlighet med riksdagens beslut

ändras i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) 11 § 1 mom. och 55 § 5 mom., sådana de lyder, 11 § 1 mom. delvis ändrat i lag 739/2021 och 55 § 5 mom. sådant det lyder i lag 793/2021, som följer:

11 §
Organisationernas ansvar för tjänsterna

Tillståndsmyndigheten svarar alltid för de tjänster som avses i 10 § 3–7 punkten när det är fråga om en begäran om information enligt 45 § eller när en ansökan om dataanvändningstillstånd gäller

1) personregister som förs av flera personuppgiftsansvariga enligt 6 §,

2) uppgifter som registrerats i de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, eller

3) registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.

55 §
Rättigheter, skyldigheter och åtgärder på grund av betydande kliniska fynd

Patienten har rätt att förbjuda kontakt som tas på basis av ett kliniskt betydande fynd. Förbudet antecknas i den viljeyttringstjänst som avses i 72 § i kunduppgiftslagen. Patienten kan meddela förbudet skriftligt hos en valfri verksamhetsenhet som producerar offentlig hälso- och sjukvård eller elektroniskt via det medborgargränssnitt som avses i 74 § i kunduppgiftslagen.

Denna lag träder i kraft den 20 .

6. Lag om ändring av 2 och 34 § i lagen om klinisk prövning av läkemedel

I enlighet med riksdagens beslut

ändras i lagen om klinisk prövning av läkemedel (983/2021) 2 § 2 mom. och 34 § och

fogas till 34 § nya 4 och 5 mom. som följer:

2 §
Förhållande till övrig lagstiftning

Kompletterande bestämmelser till prövningsförordningen när det gäller prövningsläkemedel och tilläggsläkemedel och kontroll av dem finns i läkemedelslagen (395/1987). Bestämmelser om anteckningar i journalhandlingar och bevarande av journalhandlingar finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen.

34 §
Användning av uppgifter som gäller patienter vid prövningar

Bestämmelser om rätt att få patientuppgifter inom hälso- och sjukvården för genomförande av klinisk prövning av läkemedel finns i 61 § i kunduppgiftslagen.

Trots sekretessbestämmelserna och trots bestämmelserna i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) har uppdragsgivaren, dennes företrädare, forskare och medlemmar i forskningsgrupper samt företrädare för den myndighet som utövar tillsyn över prövningen eller den myndighet som beviljar försäljningstillstånd på basis av prövningen rätt att av Institutet för hälsa och välfärd få de uppgifter om patienter som med stöd av 5 § 1 mom. 1 punkten i lagen om Institutet för hälsa och välfärd (668/2008) har samlats in i vårdanmälningsregistret och primärvårdens vårdanmälningsregister inom den öppna vården samt de uppgifter om mikrobfynd som ingår i det register över smittsamma sjukdomar som avses i 32 § i lagen om smittsamma sjukdomar (1227/2016), om uppgifterna är nödvändiga för genomförandet av prövningen. (Nytt 4 mom.)

De informationssystem som avses i 1—4 mom. och som används vid behandlingen av patientuppgifter ska uppfylla kraven på informationssäkerhet. Bestämmelser om kraven på informationssäkerhet finns i prövningsförordningen och i dataskyddsförordningen. Säkerhets- och utvecklingscentret för läkemedelsområdet kan meddela närmare föreskrifter om kraven på informationssäkerhet. (Nytt 5 mom.)

Denna lag träder i kraft den 20 .

7. Lag om ändring av 21 c § i lagen om medicinsk forskning

I enlighet med riksdagens beslut

ändras i lagen om medicinsk forskning (488/1999) rubriken för 21 c § och 21 c § 1 mom., sådana de lyder i lag 984/2021, och

fogas till 21 c §, sådan den lyder i lag 984/2021, ett nytt 6 mom. som följer:

21 c §
Användning av uppgifter som gäller patienter vid forskning

Bestämmelser om de anteckningar som ska göras i journalhandlingar och om förvaringen av journalhandlingar finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

De informationssystem som används vid behandlingen av patientuppgifter ska uppfylla kraven på informationssäkerhet enligt dataskyddsförordningen.

Denna lag träder i kraft den 20 .

8. Lag om ändring av lagen om Institutet för hälsa och välfärd

I enlighet med riksdagens beslut

ändras i lagen om Institutet för hälsa och välfärd (668/2008) 2 § 1 mom. 4 b-punkten, det inledande stycket i 5 § 1 mom., det inledande stycket i 5 § 1 mom. 1 punkten, 5 § 1 mom. 1 punkten underpunkt k, 5 § 1 mom. 2 punkten underpunkt b, 5 § 1 mom. 4 och 5 punkten, 5 a § samt 5 c § 1 mom., sådana de lyder, 2 § 1 mom. 4 b-punkten i lag 1231/2010 och det inledande stycket i 5 § 1 mom., det inledande stycket i 5 § 1 mom. 1 punkten, 5 § 1 mom. 1 punkten underpunkt k, 5 § 1 mom. 2 punkten underpunkt b, 5 § 1 mom. 4 och 5 punkten, 5 a § och 5 c § 1 mom. i lag 553/2019, samt

fogas till 5 § 1 mom. 1 punkten en ny underpunkt o och till 5 § 1 mom. en ny 6 punkt samt till lagen en ny 5 j § som följer:

2 §
Uppgifter

Institutet ska

4 b) svara för planeringen, samordningen av datastrukturerna, styrningen och uppföljningen när det gäller den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill och av användningen och realiseringen av riksomfattande informationssystemtjänster samt i samarbete med Folkpensionsanstalten svara för uppföljningen av att de uppgifter och datastrukturer som ska lagras i de riksomfattande informationssystemtjänsterna är korrekta,

5 §
Rätt att få och att behandla uppgifter

För skötseln av de uppgifter som Institutet för hälsa och välfärd har enligt 2 § 1 mom. 1–3, 4, 4 b och 4 d-punkten har institutet rätt att avgiftsfritt och trots sekretessplikten och andra begränsningar i fråga om användningen av uppgifter få nödvändiga uppgifter om befolkningen tillsammans med identifieringsuppgifter enligt följande:

1) av myndigheter som ordnar social- och hälsovård enligt 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt privata aktörer som ordnar och producerar social- och hälsovårdstjänster uppgifter som gäller institutionsvård och öppenvård, lägesbild och prehospital akutsjukvård inom social- och hälsovården i fråga om

k) produkter och utrustning för hälso- och sjukvård samt produktsäkerheten för dem,

o) de resurser som använts för beredskap,

2) av Folkpensionsanstalten

c) uppgifter ur de riksomfattande informationssystemtjänster (Kanta-tjänster) som avses i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ),

4) av Myndigheten för digitalisering och befolkningsdata grundläggande personuppgifter, uppgifter om personers familjeförhållanden och bostadsort samt byggnadsuppgifter ur befolkningsdatasystemet som avses i 3 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009),

5) av Statistikcentralen uppgifter som avses i lagen om utredande av dödsorsak (459/1973),

6) i 17 § 1 mom. i lagen om nödcentralsverksamhet (692/2010) i momentets 1 punkt avsedd information som gäller enheter som utför uppdrag, i 2 punkten avsedd information om när och hur anmälan har gjorts, i 4 punkten avsedd information om enheter som tagit emot uppdrag eller åtgärder och när detta har skett, i 5 punkten avsedda uppgifter om personer som har samband med uppdrag eller åtgärder, sambandet med ärendet och identifieringsuppgifter om objektet inklusive lokaliseringsuppgift eller geografisk information och i 6 punkten avsedd information om uppdrag och åtgärder samt information om riskbedömning i anslutning till behandlingen av uppdraget.

5 a §
Utlämnande av uppgifter

Uppgifter som samlats in med stöd av 5 § 1 mom. 1 punkten i denna lag får lämnas ut med iakttagande av vad som föreskrivs i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019).

Trots bestämmelserna i den lag som anges i 1 mom. får uppgifter som ingår i vårdanmälningsregistret och primärvårdens vårdanmälningsregister inom den öppna vården och som har samlats in med stöd av 5 § 1 mom. 1 punkten i denna lag samt uppgifter om mikrobfynd som ingår i det register över smittsamma sjukdomar som avses i 32 § i lagen om smittsamma sjukdomar (1227/2016) lämnas ut för genomförande av klinisk prövning av läkemedel i enlighet med 34 § 2 mom. i lagen om klinisk prövning av läkemedel (983/2021). Utlämnande av uppgifter för klinisk prövning av läkemedel förutsätter ett positivt beslut om klinisk prövning av läkemedel i enlighet med 11 § i den lagen. En förutsättning för utlämnande av patientuppgifter är att den som undersöks eller dennes lagliga företrädare har gett sitt samtycke till att delta i prövningen på det sätt som föreskrivs i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG och i lagen om smittsamma sjukdomar. Om prövningen är en sådan klinisk prövning i en nödsituation som avses i artikel 35 i den förordningen föreligger rätt att få och behandla patientuppgifter, om de förutsättningar för prövningen som anges i den artikeln uppfylls.

Trots vad som någon annanstans i lag föreskrivs om rätten eller skyldigheten att lämna ut sekretessbelagda uppgifter, får uppgifter som samlats in med stöd av denna lag inte lämnas ut för att användas vid administrativt beslutsfattande som gäller enskilda personer eller familjer eller vid annan motsvarande behandling av ärenden.

Vad som föreskrivs i 2 mom. eller i någon annan lag utgör inget hinder för att uppgifterna lämnas tillbaka till den myndighet eller den tjänstetillhandahållare som har lämnat datamaterialet till institutet eller är ursprunglig personuppgiftsansvarig för materialet.

5 c §
Uppgiftsskyldighet och beslut om uppgiftsinsamling

En personuppgiftsansvarig vars registeruppgifter omfattas av den rätt att få information som Institutet för hälsa och välfärd har enligt 5 § 1 mom., är skyldig att lämna institutet de uppgifter som avses i 5 § i enlighet med institutets beslut. Den personuppgiftsansvarige har dock inte skyldighet att separat lämna sådana uppgifter som Institutet för hälsa och välfärd kan få ur de riksomfattande informationssystemtjänsterna.

5 j §
Insamling av uppgifter med hjälp av riksomfattande informationssystemtjänster

Institutet för hälsa och välfärd ska med hjälp av de riksomfattande informationssystemtjänster som avses i 65 § i lagen om behandling av kunduppgifter inom social- och hälsovården samla in de uppgifter som behövs för skötseln av de uppgifter som avses i 2 § 1 mom. 1–3, 4 och 4 d-punkten. Om det inte är möjligt att få uppgifter ur de riksomfattande informationssystemtjänsterna kan uppgifterna samlas in på något annat sätt.

Institutet för hälsa och välfärd ska samordna datastrukturerna för de uppgifter som institutet behandlar i statistikförings- och registreringsverksamheten med datastrukturerna för klient- och patientuppgifter som lagras i de riksomfattande informationssystemtjänsterna så att de regelbundna uppgiftsinsamlingar som institutet behöver och som innehåller klient- och patientuppgifter kan genomföras med hjälp av de riksomfattande informationssystemtjänsterna.

Denna lag träder i kraft den 20 .

Insamling av uppgifter med hjälp av de riksomfattande informationssystemtjänsterna enligt 5 j § 1 mom. ska genomföras senast den 31 december 2029.

9. Lag om ändring av 12 e § i lagen om Folkpensionsanstalten

I enlighet med riksdagens beslut

ändras i lagen om Folkpensionsanstalten (731/2001) 12 e § 1 och 2 mom., av dem 12 e § 1 mom. sådant det lyder i lag 1193/2019, som följer:

12 e §
Servicefonden

Ur servicefonden betalas de kostnader som Folkpensionsanstalten orsakas av skötseln av uppgifter enligt lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) och lagen om elektroniska recept (61/2007). Ur servicefonden kan dessutom betalas också andra kostnader som Folkpensionsanstalten orsakas av skötseln av de uppgifter som anknyter till de riksomfattande informationssystemtjänsterna och som avses i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019) eller 5 § i lagen om Institutet för hälsa och välfärd (668/2008) eller någon annan lag. Ur servicefonden kan dessutom betalas de kostnader Myndigheten för digitalisering och befolkningsdata orsakas av de certifikattjänster den producerar i enlighet med de lagarna.

Finansieringen av servicefonden baserar sig på de avgifter som enligt de lagar som nämns i 1 mom. tas ut hos användarna av de riksomfattande informationssystemtjänsterna inom social- och hälsovården samt producenter av informationssystemtjänster som deltar i interoperabilitetstestning. Staten kan dessutom i syfte att täcka kostnaderna för upprätthållande samt planering och realisering av informationssystemtjänsterna betala in medel till servicefonden enligt vad som särskilt föreskrivs eller besluts om dessa.

Denna lag träder i kraft den 20 .

Anläggningstillgångar vid Folkpensionsanstalten i anslutning till de riksomfattande informationssystemtjänsterna inom social- och hälsovården överförs till servicefonden när denna lag träder i kraft.

10. Lag om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården

I enlighet med riksdagens beslut

ändras i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) 2 § 1 mom. 1 punkten, sådan den lyder i lag 593/2022, som följer:

2 §
Uppgifter

Verket ska sköta följande:

den tillståndsförvaltning, styrning och tillsyn som hör till verkets uppgifter enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994), lagen om yrkesutbildade personer inom socialvården (817/2015), lagen om välfärdsområden (611/2021), lagen om ordnade av social- och hälsovård (612/2021), lagen om företagshälsovård (1383/2001), hälso- och sjukvårdslagen (1326/2010), mentalvårdslagen (1116/1990), lagen om privat hälso- och sjukvård (152/1990), lagen om smittsamma sjukdomar (1227/2016), lagen om hälsovården inom försvarsmakten (322/1987), lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), lagen om elektroniska recept (61/2007), socialvårdslagen (1301/2014), lagen om privat socialservice (922/2011), lagen angående specialomsorger om utvecklingsstörda (519/1977), hälsoskyddslagen (763/1994), alkohollagen (1102/2017), tobakslagen (549/2016) och lagen om Enheten för hälso- och sjukvård för fångar (1635/2015),

Denna lag träder i kraft den 20 .

11. Lag om ändring av 69 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata

I enlighet med riksdagens beslut

ändras i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) 69 § 1 mom., sådant det lyder i lag 1175/2019, som följer:

69 §
Myndigheten för digitalisering och befolkningsdatas rätt att få information och utöva tillsyn

Trots sekretessbestämmelserna har Myndigheten för digitalisering och befolkningsdata rätt att av de myndigheter, företag och organisationer som avses i 67 § samt av de myndigheter och tillhandahållare av tjänster som avses i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) och lagen om elektroniska recept (61/2007) få sådana uppgifter som behövs för att följa och övervaka tillförlitligheten hos det operativa och tekniska förfarandet vid utfärdande och återkallande av sådana certifikat som produceras av Myndigheten för digitalisering och befolkningsdata och som avses i denna lag.

Denna lag träder i kraft den 20 .

12. Lag om ändring av 58 § i lagen om ordnande av social- och hälsovård

I enlighet med riksdagens beslut

upphävs i lagen om ordnande av social- och hälsovård (612/2021) 58 § 2 mom. och

ändras 58 § 1 mom. som följer:

58 §
Registerföring av klient- och patientuppgifter

De behöriga myndigheter i välfärdsområdena som ansvarar för att ordna social- och hälsovårdstjänsterna är personuppgiftsansvariga enligt Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) i fråga om de klient- och patientuppgifter som uppkommer i social- och hälsovård som omfattas av deras organiseringsansvar eller som överförs till dem från kommuner och samkommuner. Bestämmelser om dessa klient- och patientuppgifter och behandlingen av dem finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), offentlighetslagen och dataskyddslagen (1050/2018).

Denna lag träder i kraft den 20 .

13. Lag om ändring av 25 § i lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland

I enlighet med riksdagens beslut

ändras i lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland (615/2021) 25 § 3 mom., sådant det lyder i lag 653/2022, som följer:

25 §
Registerföring av klient- och patientuppgifter

Bestämmelser om klient- och patientuppgifter och behandlingen av dem finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), lagen om offentlighet i myndigheternas verksamhet (621/1999) och dataskyddslagen (1050/2018).

Denna lag träder i kraft den 20 .

14. Lag om ändring av 18 och 21 § i lagen om företagshälsovård

I enlighet med riksdagens beslut

ändras i lagen om företagshälsovård (1383/2001) det inledande stycket i 18 § samt 21 § som följer:

18 §
Utlämnande av sekretessbelagda uppgifter

Bestämmelser om utlämnande av sekretessbelagda patientuppgifter finns i 8 kap. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ). Utöver vad som föreskrivs i den lagen får en företagshälsovårdsläkare anställd hos den som producerar företagshälsovårdstjänster trots sekretessbestämmelserna lämna ut

21 §
Upprättande och bevarande av handlingar inom företagshälsovården

Bestämmelser om upprättande och bevarande av journalhandlingar inom företagshälsovården finns i 4 och 5 kap. i lagen om behandling av kunduppgifter inom social- och hälsovården.

Denna lag träder i kraft den 20 .

15. Lag om ändring av 41 § i lagen om olycksfall i arbetet och om yrkessjukdomar

I enlighet med riksdagens beslut

ändras i lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015) 41 § 1 mom. som följer:

41 §
Anmälningsplikt för en verksamhetsenhet inom den offentliga hälso- och sjukvården

För att få en fullkostnadsavgift ska en verksamhetsenhet inom den offentliga hälso- och sjukvården, trots sekretessbestämmelserna och andra begränsningar i rätten att få information, till en försäkringsanstalt lämna ut de patientuppgifter som avses i 5 kap. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) för att försäkringsanstalten ska kunna utreda ersättningsansvaret enligt denna lag och betala fullkostnadsavgiften, till den del uppgifterna är nödvändiga för att ärendet ska kunna avgöras. Uppgifterna ska lämnas ut utan dröjsmål efter det att den skadade har sökt vård för skadefallet. Samtidigt ska försäkringsanstalten underrättas om hos vilken arbetsgivare skadefallet uppges ha inträffat. Uppgifterna kan också ingå i en anmälan enligt 2 mom.

Denna lag träder i kraft den 20 .

16. Lag om ändring av 56 § i trafikförsäkringslagen

I enlighet med riksdagens beslut

ändras i trafikförsäkringslagen (460/2016) 56 § 1 punkten som följer:

56 §
Anmälningsplikt hos verksamhetsenheter för den offentliga hälso- och sjukvården

En verksamhetsenhet för den offentliga hälso- och sjukvården ska för att få en fullkostnadsavgift, trots sekretessbestämmelser och andra begränsningar som gäller rätten att få uppgifter, till försäkringsbolaget för utredning av ersättningsansvaret och betalning av fullkostnadsavgiften lämna ut de patientuppgifter som avses i 5 kap. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) för att försäkringsbolaget ska kunna utreda ersättningsansvaret enligt denna lag och betala fullkostnadsavgiften, till den del uppgifterna är nödvändiga för att ärendet ska kunna avgöras. Uppgifterna ska lämnas utan dröjsmål efter det att den skadelidande har sökt sig till vård på grund av ett skadefall. Till försäkringsbolaget ska samtidigt anmälas identifieringsuppgifterna om de fordon som varit delaktiga i trafikskadan eller som orsakat den och som en verksamhetsenhet för den offentliga hälso- och sjukvården får reda på av den skadelidande. Uppgifterna kan också inkluderas i den anmälan som avses i 2 mom.

Denna lag träder i kraft den 20 .

17. Lag om ändring av 40 och 41 § i socialvårdslagen

I enlighet med riksdagens beslut

ändras i socialvårdslagen (1301/2014) 40 § 3 mom. och 41 § 3 mom. som följer:

40 §
Anmälan till andra myndigheter om klientens stödbehov

I lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, föreskrivs om utlämnande av uppgifter utan klientens tillstånd eller samtycke. I förvaltningslagen föreskrivs om hänvisning av en klient till den behöriga myndigheten.

41 §
Sektorsövergripande samarbete

Bestämmelser om antecknande av klientinformation i sektorsövergripande samarbete samt i socialvårdens och hälso- och sjukvårdens gemensamma service finns i 7 kap. i kunduppgiftslagen. Bestämmelser om utlämnande av uppgifter utan kundens tillstånd inom socialvårdens och hälso- och sjukvårdens gemensamma service samt för ordnande och tillhandahållande av hälso- och sjukvårdstjänster som är nödvändiga för andra hälsovårdstjänster finns i 53 § i kunduppgiftslagen. Bestämmelser om en socialvårdsmyndighets rätt att av andra myndigheter få den handräckning som den behöver för att sköta sina lagstadgade uppgifter finns i lagen om klientens ställning och rättigheter inom socialvården.

Denna lag träder i kraft den 20 .

18. Lag om ändring av 16 § i lagen om yrkesutbildade personer inom hälso- och sjukvården

I enlighet med riksdagens beslut

ändras i lagen om yrkesutbildade personer inom socialvården (559/1994) 16 § som följer:

16 §
Förande och bevarande av journalhandlingar samt sekretessbelagda uppgifter i dem

Bestämmelser om skyldigheten för yrkesutbildade personer inom hälso- och sjukvården att föra och bevara journalhandlingar samt om tystnadsplikten i fråga om uppgifterna i dem finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

Denna lag träder i kraft den 20 .

19. Lag om ändring av 5 och 6 § i lagen om Enheten för hälso- och sjukvård för fångar

I enlighet med riksdagens beslut

upphävs i lagen om Enheten för hälso- och sjukvård för fångar (1635/2015) 5 § 3 mom. och

ändras 5 § 1 mom. och det inledande stycket i 6 § 1 mom., av dem det inledande stycket i 6 § 1 mom. sådant det lyder i lag 229/2022, som följer:

5 §
Patientregister

Enheten för hälso- och sjukvård för fångar ska föra ett patientregister i vilket de journalhandlingar som avses i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, ska lagras. På behandlingen av patientuppgifter tillämpas bestämmelserna i kunduppgiftslagen.

6 §
Utlämnande av uppgifter ur patientregistret

Utöver vad som föreskrivs om utlämnande av patientuppgifter i 8 kap. i kunduppgiftslagen eller i någon annan lag får en läkare som svarar för hälso- och sjukvården för fångar eller häktade, eller enligt läkarens instruktion någon annan yrkesutbildad person inom hälso- och sjukvården, lämna ut uppgifter som förts in i patientregistret enligt följande:

Denna lag träder i kraft den 20 .

20. Lag om ändring av lagen om assisterad befruktning

I enlighet med riksdagens beslut

ändras i lagen om assisterad befruktning (1237/2006) 29 § som följer:

29 §
Sekretessbestämmelser

De handlingar som avses i denna lag är journalhandlingar enligt lagen om behandling av kunduppgifter inom social- och hälsovården ( / ). Uppgifter om den donatorskod som antecknats i behandlingssamtycket och, på basis av koden, uppgifter ur donationsregistret får inte lämnas ut till någon annan än den som har rätt till information enligt 23 §.

Denna lag träder i kraft den 20 .

21. Lag om ändring av 122 § i strålsäkerhetslagen

I enlighet med riksdagens beslut

ändras i strålsäkerhetslagen (859/2018) 122 § 1 mom., sådant det lyder i lag 723/2021, som följer:

122 §
Avbildning med en medicinteknisk produkt

På avbildning som utförs med en medicinteknisk produkt tillämpas bestämmelserna i 30 § om kvalitetssäkring, 66 § om strålsäkerhet medan drift pågår och 13 kap. om medicinsk exponering. På dokumentering och bevarande av avbildningsuppgifter tillämpas vad som i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) föreskrivs om upprättande och bevarande av journalhandlingar.

Denna lag träder i kraft den 20 .

22. Lag om ändring av 9 § i lagen om fartygsapotek

I enlighet med riksdagens beslut

ändras i lagen om fartygsapotek (584/2015) 9 § 3 mom. som följer:

9 §
Läkemedelsjournal

På sekretessen för uppgifterna i läkemedelsjournalen tillämpas vad som i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) föreskrivs om sekretessbelagda uppgifter i journalhandlingar.

Denna lag träder i kraft den 20 .

23. Lag om ändring av 9 a § i lagen om hälsovården inom försvarsmakten

I enlighet med riksdagens beslut

ändras i lagen om hälsovården inom försvarsmakten (322/1987) 9 a § 1 mom., sådant det lyder i lag 513/2013, som följer:

9 a §

Bestämmelser om skyldigheten att hemlighålla uppgifter i journalhandlingar som avses i denna lag finns i lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) och lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994).

Denna lag träder i kraft den 20 .

24. Lag om ändring av 35 § i lagen om behandling av personuppgifter inom Försvarsmakten

I enlighet med riksdagens beslut

ändras i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019) 35 § 1 mom. 2 punkten som följer:

35 §
Rätt att få hälsouppgifter

Utöver vad som föreskrivs någon annanstans i lag, har den personuppgiftsansvarige samt en sådan yrkesutbildad person inom hälso- och sjukvården som vid en hälsokontroll som föregår uppbådet, vid uppbådet eller under tjänstgöringen granskar hälsotillståndet hos en värnpliktig eller den som har sökt till frivillig militärtjänst för kvinnor, fullgör tjänstgöring eller har fullgjort tjänstgöring, rätt att trots sekretessbestämmelserna få nödvändiga uppgifter enligt följande för fastställande av tjänsteduglighet, upprätthållande av säkerheten under tjänstgöringen samt ordnande av undersökning och vård av patienten:

2) av Folkpensionsanstalten från det riksomfattande informationssystem som avses i 65 § i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) uppgifter om hälsotillståndet hos en värnpliktig och den som har sökt till frivillig militärtjänst för kvinnor.

Denna lag träder i kraft den 20 .

25. Lag om ändring av 32 § i lagen om gränsbevakningsväsendets förvaltning

I enlighet med riksdagens beslut

ändras i lagen om gränsbevakningsväsendets förvaltning (577/2005) 32 § 1 mom. som följer:

32 §
Lämnande av sådana uppgifter om nedsatt hälsa som ingår i journalhandlingarna för en person som tjänstgör i en militär tjänst eller som skall anställas i en militär tjänst

Om en läkare vid en granskning som gäller tjänsteduglighet, en hälsokontroll för anställning eller någon annan hälsokontroll konstaterar att en person som tjänstgör i en militär tjänst vid Gränsbevakningsväsendet eller som ska anställas i en sådan tjänst har nedsatt hälsa i något avseende och att detta inverkar på personens tjänsteduglighetsklass, säkerheten i samband med tjänstgöringen eller förmågan att sköta tjänsteuppgifterna ska läkaren, trots det som i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) och i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) föreskrivs om skyldigheten att hemlighålla uppgifter i journalhandlingar, utan dröjsmål ge ett utlåtande om slutsatserna av hälsokontrollen till chefen för den förvaltningsenhet vid vilken den tjänsteman som utlåtandet gäller tjänstgör eller ska anställas. Ett utlåtande om chefen för en förvaltningsenhet ges till chefen för Gränsbevakningsväsendet. Ett utlåtande om chefen för Gränsbevakningsväsendet ges till inrikesministern.

Denna lag träder i kraft den 20 .

26. Lag om ändring av 11 § i passlagen

I enlighet med riksdagens beslut

ändras i passlagen (671/2006) 11 § 3 mom., sådant det lyder i lag 695/2021, som följer:

11 §
Utfärdande av pass för minderåriga

Det organ som avses i 45 § 1 mom. i barnskyddslagen är skyldigt att på begäran av den myndighet som utfärdar pass ge ett utlåtande om huruvida förvägrande av pass klart strider mot barnets bästa. Myndigheten ska ge sitt utlåtande i sådana fall då den sedan tidigare har uppgifter om den minderårige eller dennes vårdnadshavare. Utlåtandet kan även innehålla sådana uppgifter som enligt lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) ska hållas hemliga, om detta är nödvändigt med tanke på barnets bästa.

Denna lag träder i kraft den 20 .

27. Lag om ändring av 13 § i lagen om inkomstdatasystemet

I enlighet med riksdagens beslut

ändras i lagen om inkomstdatasystemet (53/2018) 13 § 1 mom. 18 och 19punkten, sådan den lyder i lag 940/2022, som följer:

13 §
Uppgiftsanvändares rätt att få uppgifter ur inkomstdatasystemet

Inkomstregisterenheten förmedlar och lämnar ut sådana uppgifter ur inkomstregistret som en uppgiftsanvändare trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter, med stöd av någon annan lag har rätt att få av prestationsbetalaren eller av andra uppgiftsanvändare, som följer:

18) till kommuner för bestämmande av de klientavgifter som avses i lagen om klientavgifter inom social- och hälsovården (734/1992) och i lagen om klientavgifter inom småbarnspedagogiken (1503/2016), för bestämmande av värdet på de servicesedlar som avses i lagen om servicesedlar inom social- och hälsovården (569/2009) och i lagen om småbarnspedagogik (540/2018) samt för att tillgodose rätten att få uppgifter enligt lagen om behandling av kunduppgifter inom social- och hälsovården ( / ),

19) till samkommuner för bestämmande av de klientavgifter som avses i lagen om klientavgifter inom social- och hälsovården och i lagen om klientavgifter inom småbarnspedagogiken, för bestämmande av värdet på de servicesedlar som avses i lagen om servicesedlar inom social- och hälsovården och i lagen om småbarnspedagogik samt för att tillgodose rätten att få uppgifter enligt lagen om behandling av kunduppgifter inom social- och hälsovården,

Denna lag träder i kraft den 20 .

28. Lag om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

I enlighet med riksdagens beslut

ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1301/2021) 9 § 1 mom., 9 § 2 mom. 1 punkten och 9 § 3 mom., 14 § 3 mom., det inledande stycket i 16 § 2 mom. och 31 § 5 mom. som följer:

9 §
Behandling av uppgifter om socialvård

Brottspåföljdsmyndigheten får behandla sådana uppgifter om socialvård som anknyter till de uppgifter som avses i 7 och 8 § och som är nödvändiga vid utarbetande av en påföljdsutredning samt vid utarbetande, precisering, ändring och genomförande av planen för strafftiden och som gäller behovet av socialvård enligt socialvårdslagen (1301/2014) hos den brottsmisstänkte, den dömde, fången, den häktade och den som avtjänar samhällspåföljd samt socialservice, stödåtgärder och andra sociala förmåner som personen i fråga får (uppgifter om socialvård). Bestämmelser om sekretessplikten när det gäller uppgifter om socialvård och om övrig behandling av uppgifter finns i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

Uppgifter om socialvård kan ingå i följande handlingar som erhållits från socialmyndigheten med stöd av 16 § 2 mom. i denna lag:

1) en bedömning av servicebehovet enligt 42 §, en klientplan enligt 43 § och en klientrapport enligt 44 § i lagen om behandling av kundhandlingar inom social- och hälsovården,

De i 1 mom. avsedda uppgifterna kan Brottspåföljdsmyndigheten få med stöd av 16 § 2 mom. förutom från socialmyndigheten från andra uppgiftsskyldiga enligt 64 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården.

14 §
Behörighet att behandla uppgifter

Vid behandling av de uppgifter som avses i 2 mom. 1 och 2 punkten iakttas dessutom vad som i lagen om behandling av kunduppgifter inom social- och hälsovården föreskrivs om övervakning av behandlingen.

16 §
Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga

Brottspåföljdsmyndigheten har trots sekretessbestämmelserna rätt att för skötseln av sina uppgifter, efter specificering och motivering av sin begäran, få nödvändiga uppgifter av kommunala social- och hälsovårdsmyndigheter samt av övriga instanser med skyldighet att lämna uppgifter enligt 64 § i lagen om behandling av kunduppgifter inom social- och hälsovården enligt följande:

31 §
Granskning av uppgifter i och gallring av uppgifter ur register

På granskning och gallring av sådana uppgifter om socialvård som avses i 9 § tillämpas lagen om behandling av kunduppgifter inom social- och hälsovården.

Denna lag träder i kraft den 20 .

29. Lag om ändring av 17 kap. 12 § i rättegångsbalken

I enlighet med riksdagens beslut

ändras i rättegångsbalken 17 kap. 12 § 1 mom., sådant det lyder i lag 194/2019, som följer:

12 §

Tjänstemän och offentligt anställda arbetstagare samt de som utövar offentlig makt eller sköter ett offentligt förtroendeuppdrag och andra personer som har tystnadsplikt enligt 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) får inte vittna om innehållet i en handling eller rättegångshandling som ska hemlighållas för en part med stöd av 11 § 2 mom. i den lagen eller 12 § 2 mom. i lagen om offentlighet vid rättegång i allmänna domstolar (370/2007). De får inte heller vittna om något som med stöd av någondera av dessa bestämmelser vore sekretessbelagt om det ingick i en handling, om inte den till vars förmån tystnadsplikten har föreskrivits ger sitt samtycke till det. Bestämmelserna i 16 § 5 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983), 63 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) eller någon annan motsvarande paragraf enligt vilken det är tillåtet att röja sekretessbelagda uppgifter vid en rättegång ska dock tillämpas i stället för det som föreskrivs ovan i detta moment.

Denna lag träder i kraft den 20 .

30. Lag om ändring av 23 a § i äktenskapslagen

I enlighet med riksdagens beslut

ändras i äktenskapslagen (234/1929) 23 a §, sådan den lyder i lag 196/2019, som följer:

23 a §

På en medlares tystnadsplikt tillämpas 5 § och 100 § i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ). På medlaren tillämpas inte vad som i 64 § i den lagen föreskrivs om skyldighet att lämna uppgifter. Medlaren har inte rätt att på eget initiativ inhämta uppgifter om familjen av andra myndigheter.

Denna lag träder i kraft den 20 .

31. Lag om ändring av 11 a och 16 § i lagen angående vårdnad om barn och umgängesrätt

I enlighet med riksdagens beslut

ändras i lagen angående vårdnad om barn och umgängesrätt (361/1983) 11 a § 3 mom. och 16 § 5 mom., sådana de lyder i lag 190/2019, som följer:

11 a §
Beslut om vårdnaden om barn och umgängesrätt medan barnet är omhändertaget

Bestämmelser om domstolens rätt att få uppgifter om barnet av offentliga och privata tjänstetillhandahållare inom socialvården finns i 63 § i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

16 §
Inhämtande av utredning av välfärdsområdet

I utredningen och vid den rättegång som gäller ärendet får även sekretessbelagda uppgifter röjas med tillämpning av bestämmelserna i 63 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården och 27 § 4 mom. i lagen om klientens ställning och rättigheter inom socialvården (812/2000).

Denna lag träder i kraft den 20 .

32. Lag om ändring av 8 § i lagen om verkställighet av beslut beträffande vårdnad om barn och umgängesrätt

I enlighet med riksdagens beslut

ändras i lagen om verkställighet av beslut beträffande vårdnad om barn och umgängesrätt (619/1996) 8 § 4 mom., sådant det lyder i lag 819/2000, som följer:

8 §
Medlingstid, medlingsrapport och uppgifter som skall hemlighållas

Medlaren har rätt att få uppgifter enligt 64 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) samt uppgifter enligt 12 § i lagen om klientens ställning och rättigheter inom socialvården (812/2000) och handräckning enligt 22 § i den lagen. På skyldigheten att iaktta sekretess för medlaren och de andra som fått sekretessbelagda uppgifter i samband med ärendet tillämpas bestämmelserna i 5 § i lagen om behandling av kunduppgifter inom social- och hälsovården. Medlaren ska i sin rapport ta in sådana sekretessbelagda uppgifter som han eller hon bedömer vara nödvändiga med hänsyn till barnets bästa när domstolen avgör ett ärende som avses i denna lag.

Denna lag träder i kraft den 20 .

33. Lag om ändring av 9 § i lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn samt om tillämpning av konventionen

I enlighet med riksdagens beslut

ändras i lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn samt om tillämpning av konventionen (435/2009) 9 § 1 mom., sådant det lyder i lag 629/2022, som följer:

9 §
Utlämnande av sekretessbelagda uppgifter

På de villkor som avses i artikel 34 i konventionen får den som ordnar eller lämnar socialvård till den finska centralmyndigheten eller till utländska myndigheter som begär uppgifter med stöd av konventionen lämna ut sekretessbelagda uppgifter som den som ordnar eller lämnar socialvård har rätt att lämna ut till finska domstolar och andra finska myndigheter enligt 63 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

Denna lag träder i kraft den 20 .

34. Lag om ändring av 9 § i lagen om utredning av unga brottsmisstänktas situation

I enlighet med riksdagens beslut

ändras i lagen om utredning av unga brottsmisstänktas situation (633/2010) 9 § 2 mom. som följer:

9 §
Rätt till information

Socialmyndigheten och Brottspåföljdsmyndigheten har trots sekretessbestämmelserna rätt att för sina uppgifter enligt denna lag få de upplysningar de behöver för utredning av en ung brottsmisstänkts situation av de instanser som anges i 64 § 1 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ).

Denna lag träder i kraft den 20 .

35. Lag om ändring av 11 § i föräldraskapslagen

I enlighet med riksdagens beslut

ändras i föräldraskapslagen (775/2022) 11 § som följer:

11 §
Barnatillsyningsmannens rätt att få uppgifter

På barnatillsyningsmannens rätt att få uppgifter för föräldraskapsutredningen tillämpas vad som i lagen om behandling av kunduppgifter inom social- och hälsovården ( / ) föreskrivs om rätten för tjänstetillhandahållare inom socialvård att få uppgifter. Barnatillsyningsmannen har trots sekretessbestämmelserna rätt att också av arbetsgivaren till den eventuella far som modern uppgett och av en sådan utövare av inkvarteringsverksamhet som avses i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) få nödvändiga uppgifter för att utreda personens identitet och bosättningsort.

Denna lag träder i kraft den 20 .

Utskottets nya lagförslag

Utskottet föreslår en ändring 36. Slut på ändringsförslaget Utskottet föreslår en ändring Lag Slut på ändringsförslaget Utskottet föreslår en ändring om ändring av 3 a kap. i lagen om utkomststöd Slut på ändringsförslaget

I enlighet med riksdagens beslut

ändras i lagen om utkomststöd (1412/1997) 18 a § 2 och 3 mom., 18 f § 2 mom. och 18 g §, sådana de lyder i lag 1023/2022, som följer:

3 a kap.
Utlämnande av uppgifter mellan myndigheter

18 a §
Folkpensionsanstaltens rätt till information och skyldighet att lämna ut uppgifter

Vad som i 64 § i lagen om kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, föreskrivs om en myndighets rätt att trots sekretessbestämmelserna få information gäller också Folkpensionsanstaltens rätt att få sekretessbelagda uppgifter som är nödvändiga för skötseln av dess utkomststödsuppgifter enligt denna lag.

Vad som i 63 § i kunduppgiftslagen föreskrivs om utlämnande av sekretessbelagda uppgifter oberoende av klientens samtycke gäller också de nödvändiga uppgifter som Folkpensionsanstalten får i samband med skötseln av sina utkomststödsuppgifter.

18 f §
Antecknande av klientuppgifter som gäller grundläggande utkomststöd

Bestämmelser om anteckning av klientuppgifter vid sektorsövergripande samarbete mellan Folkpensionsanstalten och välfärdsområdet finns i 48 § i kunduppgiftslagen.

18 g §
Välfärdsområdets rätt till information

Bestämmelser om välfärdsområdets socialvårdsmyndighets rätt att av Folkpensionsanstalten på begäran få de uppgifter som är nödvändiga för skötseln av socialvårdsmyndighetens uppgifter enligt denna lag finns i 64 § i kunduppgiftslagen.

Denna lag träder i kraft den 20 .

Utskottets förslag till uttalande

Riksdagen förutsätter att statsrådet vidtar behövliga lagstiftningsåtgärder för att under giltighetstiden för den temporära regleringen lösa behandlingen av patientuppgifter inom Nyland så att yrkesutbildade personer inom hälso- och sjukvården med stöd av de bestämmelser som gäller tills vidare och med iakttagande av patientens dataskydd har smidig åtkomst till uppgifter som är väsentliga för patientsäkerheten.

Helsingfors 15.2.2023

I den avgörande behandlingen deltog

ordförande

Markus Lohi cent

vice ordförande

Mia Laiho saml

medlem

Kim Berg sd

medlem

Kaisa Juuso saf

medlem

Arja Juvonen saf

medlem

Pia Kauma saml

medlem

Noora Koponen gröna

medlem

Terhi Koulumies saml

medlem

Merja Kyllönen vänst

medlem

Aki Lindén sd

medlem

Hanna-Leena Mattila cent

medlem

Ilmari Nurminen sd

medlem

Veronica Rehn-Kivi sv

medlem

Minna Reijonen saf

medlem

Heidi Viljanen sd

medlem

Sofia Virta gröna.

Sekreterare var

utskottsråd

Päivi Salo.

Kakinställningar

ShUB 48/2022 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Betänkande ShUB 48/2022 rd RP 246/2022 rd Social- och hälsovårdsutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den

INLEDNING

Remiss

Utlåtande

Sakkunniga

PROPOSITIONEN

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Rätt att få information

Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren

Tekniskt gränssnitt

Förvaringstider

Behandling av patientuppgifter i Nyland

Avslutningsvis

DETALJMOTIVERING

1. Lagen om behandling av kunduppgifter inom social- och hälsovården

Bilaga

2. Lagen om ändring av lagen om klientens ställning och rättigheter inom socialvården

3. Lagen om ändring av lagen om patientens ställning och rättigheter

4. Lagen om ändring av lagen om elektroniska recept

6. Lagen om ändring av 2 och 34 § i lagen om klinisk prövning av läkemedel

7. Lagen om ändring av 21 c § i lagen om medicinsk forskning

8. Lagen om ändring av lagen om Institutet för hälsa och välfärd

10. Lagen om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården

13. Lagen om ändring av 25 § i lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland

27. Lagen om ändring av 13 § i lagen om inkomstdatasystemet

36. Lagen om ändring av 3 a kap. i lagen om utkomststöd

FÖRSLAG TILL BESLUT

Utskottets ändringsförslag

1. Lag om behandling av kunduppgifter inom social- och hälsovården

AVDELNING I LAGENS TILLÄMPNINGSOMRÅDE OCH BEHANDLINGEN AV KUNDUPPGIFTER

1 kap. Allmänna bestämmelser

1 § Lagens syfte

2 § Tillämpningsområde och förhållande till annan lagstiftning

3 § Definitioner

2 kap. Allmänna principer för behandlingen av kunduppgifter

4 § Sekretess för kunduppgifter

5 § Tystnadsplikt och förbud mot utnyttjande

6 § Undantag från tystnadspliktenUtskottet föreslår en ändring och sekretessen Slut på ändringsförslaget

7 § Anvisningar för behandling av kunduppgifterUtskottet föreslår en strykning och informationshanteringsmodell Slut på strykningsförslaget

8 § Identifiering av dem som deltar i behandlingen av kunduppgifter

9 § Åtkomsträttigheter till kunduppgifter

10 § Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande

11 § Kundens rätt att få information om behandlingen av sina egna uppgifter

12 § Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran

3 kap. Personuppgiftsansvar för kunduppgifter inom social- och hälsovården

13 § Personuppgiftsansvarig för kunduppgifter

14 § Tjänsteproducenters ansvar när de handlar för Utskottet föreslår en ändring en annan tjänstetillhandahållares Slut på ändringsförslaget räkning

15 § Personuppgiftsansvarig vid ändring av tjänstetillhandahållare

16 § Personuppgiftsansvar när en privat Utskottet föreslår en ändring tjänstetillhandahållares Slut på ändringsförslaget verksamhet upphör

4 kap. Principer för behandlingen av personuppgifter

17 § Skyldighet att anteckna kunduppgifter

18 § Kundregister inom social- och hälsovården

19 § Språket i kundhandlingar

20 § Kundhandlingarnas datastrukturer

21 § Tidsfrist för upprättande av handlingar

22 § Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet

23 § Bevarande av kundhandlingar

24 § Förstörande av kundhandlingar

5 kap. Journalhandlingar

25 § Rätt att göra anteckningar i journalhandlingar

26 § Principer för journalhandlingar

27 § Basuppgifter som ska antecknas i journalhandlingarna

28 § Anteckningar som ska göras om servicehändelser

29 § Centrala uppgifter om vården som ska antecknas i journalhandlingarna

30 § Anteckningar om risker, skadliga verkningar av vård samt misstänkta skador

31 § Anteckningar om konsultationer och vårdförhandlingar

32 § Anteckningar om avdelningsvård och långtidsvård

33 § Slututlåtande

34 § Anteckningar om en minderårig kunds beslutsförmåga

35 § Anteckningar om deltagande i vård i specialsituationer

36 § Anteckningar om ordnande av vård för en patient

6 kap. Klienthandlingar inom socialvården

37 § Principer för klienthandlingar inom socialvården

38 § Basuppgifter som ska antecknas i klienthandlingar inom socialvården

39 § Anteckningar om att uppgifter har tagits emot

40 § Anteckning av förbudsrätt för en minderårig klient

41 § Handlingar som gäller inledande av ett ärende

ShUB 48/2022 rd

AVDELNING I
LAGENS TILLÄMPNINGSOMRÅDE OCH BEHANDLINGEN AV KUNDUPPGIFTER

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

2 §
Tillämpningsområde och förhållande till annan lagstiftning

3 §
Definitioner

2 kap.
Allmänna principer för behandlingen av kunduppgifter

4 §
Sekretess för kunduppgifter

5 §
Tystnadsplikt och förbud mot utnyttjande

6 §
Undantag från tystnadspliktenUtskottet föreslår en ändring och sekretessen Slut på ändringsförslaget

7 §
Anvisningar för behandling av kunduppgifterUtskottet föreslår en strykning och informationshanteringsmodell Slut på strykningsförslaget

8 §
Identifiering av dem som deltar i behandlingen av kunduppgifter

9 §
Åtkomsträttigheter till kunduppgifter

10 §
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande

11 §
Kundens rätt att få information om behandlingen av sina egna uppgifter

12 §
Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran

3 kap.
Personuppgiftsansvar för kunduppgifter inom social- och hälsovården

13 §
Personuppgiftsansvarig för kunduppgifter

14 §
Tjänsteproducenters ansvar när de handlar för Utskottet föreslår en ändring en annan tjänstetillhandahållares Slut på ändringsförslaget räkning

15 §
Personuppgiftsansvarig vid ändring av tjänstetillhandahållare

16 §
Personuppgiftsansvar när en privat Utskottet föreslår en ändring tjänstetillhandahållares Slut på ändringsförslaget verksamhet upphör

4 kap.
Principer för behandlingen av personuppgifter

17 §
Skyldighet att anteckna kunduppgifter

18 §
Kundregister inom social- och hälsovården

19 §
Språket i kundhandlingar

20 §
Kundhandlingarnas datastrukturer

21 §
Tidsfrist för upprättande av handlingar

22 §
Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet

23 §
Bevarande av kundhandlingar

24 §
Förstörande av kundhandlingar

5 kap.
Journalhandlingar

25 §
Rätt att göra anteckningar i journalhandlingar

26 §
Principer för journalhandlingar

27 §
Basuppgifter som ska antecknas i journalhandlingarna

28 §
Anteckningar som ska göras om servicehändelser

29 §
Centrala uppgifter om vården som ska antecknas i journalhandlingarna

30 §
Anteckningar om risker, skadliga verkningar av vård samt misstänkta skador

31 §
Anteckningar om konsultationer och vårdförhandlingar

32 §
Anteckningar om avdelningsvård och långtidsvård

33 §
Slututlåtande

34 §
Anteckningar om en minderårig kunds beslutsförmåga

35 §
Anteckningar om deltagande i vård i specialsituationer

36 §
Anteckningar om ordnande av vård för en patient

6 kap.
Klienthandlingar inom socialvården

37 §
Principer för klienthandlingar inom socialvården

38 §
Basuppgifter som ska antecknas i klienthandlingar inom socialvården

39 §
Anteckningar om att uppgifter har tagits emot

40 §
Anteckning av förbudsrätt för en minderårig klient

41 §
Handlingar som gäller inledande av ett ärende

42 §
Bedömning av servicebehovet

43 §
Klientplan

44 §
Klientrapport

45 §
Beslut

7 kap.
Anteckningar vid sektorsövergripande samarbete

46 §
Anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller tjänster tillsammans

47 §
Anteckning av kunduppgifter vid samarbete mellan socialvården och hälso- och sjukvården

48 §
Anteckning av kunduppgifter vid samarbete mellan social- och hälsovården och andra sektorer

8 kap.
Rätt att få information och utlämnande av information

49 §
Utlämnande av uppgifter till kundens lagliga företrädare eller en närstående i specialsituationer

50 §
Behandling av uppgifter för någon annans räkning

51 §
Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren

52 §
Utlämnande av kunduppgifter efter dödsfall

53 §
Rätt att få uppgifter mellan socialvården och hälso- och sjukvården

54 §
Rätt för tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter och utlämnande av patientuppgifter för att trygga vården

55 §
Rätt för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården

56 §
Utlämnande av klientuppgifter inom socialvården för tryggande av vården av och omsorgen om en socialvårdsklient

57 §
Tillgodoseende av rätten att få uppgifter med hjälp av ett Utskottet föreslår en ändring informationssystem Slut på ändringsförslaget

58 §
Meddelande och återkallande av tillstånd för och förbud mot utlämnande

59 §
Inriktning av förbuden

60 §
Gränsöverskridande informationsutbyte

61 §
Utskottet föreslår en ändring Utlämnande av patientuppgifter Slut på ändringsförslaget för klinisk prövning av läkemedel och medicinsk forskning

62 §
Anmälan av uppgifter om en kund till polisen för bedömning av ett hot eller förhindrande av en hotande gärning

63 §
Utlämnande av klientuppgifter inom socialvården i vissa andra situationer

64 §
Utskottet föreslår en ändring Myndigheters Slut på ändringsförslaget rätt att få uppgifter

AVDELNING II
INFORMATIONSSYSTEM INOM SOCIAL- OCH HÄLSOVÅRDEN

9 kap.
Riksomfattande informationssystemtjänster

65 §
De riksomfattande informationssystemtjänsterna inom social- och hälsovården

66 §
Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster

67 §
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna

68 §
Information till kunden om riksomfattande informationssystemtjänster