Senast publicerat 05-11-2020 14:31

Regeringens proposition RP 212/2020 rd Regeringens proposition till riksdagen med förslag till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården och till vissa lagar som har samband med den

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att det stiftas en ny lag om elektronisk behandling av kund- uppgifter inom social- och hälsovården samt att det företas behövliga ändringar i vissa andra lagar. Genom den nya lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården. Den föreslagna lagen baserar sig till största delen på den gällande lagen. 

Propositionen har utarbetats utifrån regeringens proposition RP 300/2018 rd, som förföll till följd av riksmötets avslutande och förrättandet av riksdagsval. 

Inom hälso- och sjukvården har man från och med 2010 stegvis infört riksomfattande elektroniska informationssystemtjänster. De föreslagna ändringarna gör det möjligt att införa riksomfattande informationssystemtjänster i socialvården genom att ålägga tillhandahållare av socialvårdstjänster att ansluta sig till de riksomfattande informationssystemtjänsterna samt genom att göra det möjligt att lämna ut uppgifter ur klientdataarkivet för socialvården. 

Lagförslaget innehåller för social- och hälsovården behövliga bestämmelser om informationshantering samt de nödvändiga ändringar som EU:s allmänna dataskyddsförordning förutsätter. Det föreslås att det vidsträckta samtycke som begärts av patienten inom hälso- och sjukvården slopas. En kund ska fortfarande ha möjlighet att förbjuda att personuppgiftsansvariga inom hälso- och sjukvården lämnar ut hans eller hennes uppgifter till varandra och motsvarande förbud mot utlämnande införs även inom socialvården. För att kunduppgifter ska få behandlas inom hälso- och sjukvården ska det också i fortsättningen förutsättas en vårdrelation som säkerställts datatekniskt eller någon annan lagstadgad rätt. För att kunduppgifter ska få behandlas inom socialvården ska det på motsvarande sätt förutsättas en kundrelation som säkerställts datatekniskt eller någon annan lagstadgad rätt. 

Det föreslås i propositionen att innehållet i de riksomfattande informationssystemtjänsterna utvidgas så att kunden själv i informationsresursen för egna uppgifter kan föra in uppgifter om sitt eget välbefinnande eller information som olika välbefinnandeapplikationer producerat. Uppgifterna om välbefinnande ska vara tillgängliga för yrkesutbildade personer, som kan använda uppgifterna på ett datatekniskt tillförlitligt sätt utifrån kundens samtycke. En kund ska kunna bemyndiga en annan person att använda elektroniska tjänster för sin räkning. 

Det föreslås att lagen om elektroniska recept ändras så att receptarkivet slopas. I fortsättningen ska uppgifterna föras in endast i receptcentret, där de också förvaras. Grunden för behandling av uppgifter förenhetligas i enlighet med den föreslagna nya lagen. 

Propositionen hänför sig till den kompletterande budgetpropositionen för 2021 och avses bli behandlad i samband med den. 

Lagarna avses träda i kraft den 1 april 2021. 

ALLMÄN MOTIVERING

Nuläge

1.1  Allmänt

Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen), trädde i kraft den 9 februari 2007. Syftet med den är att vid elektronisk behandling av klientuppgifter inom social- och hälsovården främja genomförandet och användningen av de riksomfattande informationssystemtjänsterna, dataskydd och informationssäkerhet samt informationssystemens interoperabilitet och funktionalitet genom bestämmelser om principer för och tillsyn över dessa frågor. 

Klientuppgiftslagen och annan lagstiftning om elektroniska tjänster inom social- och hälsovården i anslutning till den, särskilt lagen om elektroniska recept (61/2007), har varit ytterst visionär vid främjandet av den finländska kundorienterade digitaliseringen, informationshanteringen, dataintegrationen och enhetliga verksamhetsmodeller, men samtidigt målinriktad när det gäller konkreta åtgärder. I klientuppgiftslagen anges aktörernas ansvar vad gäller såväl behandlingen av känsliga personuppgifter som produktionen av informationssystemtjänster. Efter ikraftträdandet har lagen ändrats 13 gånger på grund av förändringar i verksamhetsmiljön, informationsteknikens utveckling och ändringar i annan lagstiftning. De största ändringarna företogs 2010, 2013 och 2015. 

Verkställigheten av klientuppgiftslagen har krävt investeringar. Investeringar har gjorts både på ett riksomfattande och ett regionalt plan för utvecklande och införande av informationssystem samt för ett kontinuerligt upprätthållande av de funktionskritiska operativa system som krävs för verksamhet dygnet runt inom social- och hälsovården. I Finland har det upprättats en nationell helhet bestående av informationssystem och verksamheter som enligt internationella bedömningar är exceptionellt progressiv, dvs. riksomfattande informationssystemtjänster, som även kallas hälsoarkivstjänster eller Kanta-tjänster. Folkpensionsanstalten har i enlighet med klientuppgiftslagen tekniskt genomfört riksomfattande tjänster i samverkan med andra aktörer. De viktigaste av dessa är Tillstånds- och tillsynsverket för social- och hälsovårdens register över yrkesutbildade personer inom social- och hälsovården, Institutet för hälsa och välfärds kodtjänst och Myndigheten för digitalisering och befolkningsdatas certifikattjänster och elektroniska tjänster för medborgarna, särskilt när det gäller fullmakter och ärenden som sköts för annans räkning. Utvecklandet av tjänster inom ramen för de riksomfattande informationssystemtjänsterna har dessutom förutsatt samverkan mellan regionala och riksomfattande aktörer när det gäller att trygga kontinuiteten i datakommunikationslösningarna, dataskyddet, informationssäkerheten och den störningsfria verksamheten. 

Författningsrättsligt förutsätter behandlingen av känsliga och sekretessbelagda uppgifter i informationssystemen att alla parter kan lita på att de tekniskt komplicerade, integrerade informationssystem som används följer lagstiftningen och uppfyller alla informationssäkerhetskrav när det gäller principer, tekniska lösningar och utförande. Grundlagsutskottet har bland annat i samband med bedömningen av patientregister enligt hälso- och sjukvårdslagen betonat att när det är fråga om ett patientregister som innehåller känsliga uppgifter är det extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas. Med tanke på användarna behöver de integrerade informationssystemen dessutom vara interoperabla och uppfylla kraven på praktisk funktionalitet. 

Klientuppgiftslagen har bestämmelser om väsentliga krav och förfaranden när det gäller dataskydd, informationssäkerhet, interoperabilitet och funktionalitet i fråga om informationssystemen inom social- och hälsovården. Likaså har verksamhetsenheterna inom hälso- och sjukvården en föreskriven skyldighet att utarbeta en plan för egenkontroll. Med hjälp av en plan för egenkontroll är det möjligt att sörja för dataskydd och informationssäkerhet när elektroniska informationssystem används. Leverantörerna av informationssystem och de organisationer som använder systemen måste se till att dessa kriterier uppfylls. När det gäller informationssäkerheten måste dessutom ett utomstående, objektivt bedömningsorgan godkänna informationssystem som ansluts till de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar. 

Inom hälso- och sjukvården har man redan länge genomfört riksomfattande informationssystemtjänster (Kanta-tjänster), som omfattar elektroniska recept och riksomfattande elektroniskt arkiv över journalhandlingar (arkiveringstjänst) och i anslutning till dessa en läkemedelsdatabas, ett medborgargränssnitt (tjänsten Mina Kanta-sidor) och patientens informationshanteringstjänst. Dessa utgör tillsammans Kanta-tjänsterna. Inom socialvården har ibruktagandet av ett riksomfattande arkiv för klientuppgifter startat. 

Tjänstetillhandahållare inom hälso- och sjukvården för in journalhandlingar i arkiveringstjänsten för riksomfattande informationssystemtjänster. Varje tjänstetillhandahållare är personuppgiftsansvarig för de handlingar som uppkommer i verksamhet som tjänstetillhandahållaren ansvarar för att ordna. Numera kan en patient ge sitt samtycke till att patientuppgifter som rör honom eller henne lämnas ut till andra personuppgiftsansvariga (tjänstetillhandahållare), och om han eller hon så vill begränsa samtyckets omfattning genom förbud. När en patient anlitar en annan tjänstetillhandahållares hälso- och sjukvårdstjänster kan denne hämta tidigare patientuppgifter i de riksomfattande informationssystemtjänsterna. Journalhandlingar i de riksomfattande informationssystemtjänsterna lämnas ut inom de gränser som samtycket och förbuden bestämmer efter det att vårdrelationen har säkerställts datatekniskt. Yrkesutbildade personer får behandla uppgifter som hämtats i arkiveringstjänsten endast inom ramen för sina åtkomsträttigheter och i den utsträckning som är nödvändigt för att genomföra vården. Via tjänsten Mina Kanta-sidor kan patienten själv se de patientuppgifter som förts in i arkiveringstjänsten. Tjänstetillhandahållare inom socialvården kan redan nu föra in kunduppgifter i arkiveringstjänsten, men de lämnas ännu inte ut till andra tjänstetillhandahållare. 

Kunder och användare i de Kanta-tjänster som genomförts utifrån klientuppgiftslagen är för närvarande Finlands hela offentliga hälso- och sjukvård och apoteksverksamhet och en omfattande del av den privata hälso- och sjukvården. I patientuppgiftsarkivet har fram till den 31 mars 2020 1,89 miljarder handlingar sparats. Elektroniska recept har varit obligatoriska sedan 2017 och i och med detta är behandlingen av recept inom hälso- och sjukvården och på apoteken digital. År 2019 sparades i receptcentret över 29 miljoner elektroniska recept och över 67 miljoner expedieringar. I projekt som delvis finansieras av EU genomförs för närvarande gränsöverskridande elektroniska recept i EU-området. Finland tog som första land i Europa tjänsten i produktionsanvändning tillsammans med Estland i början av 2019. Utvecklingen av tjänsten bygger också på ett intentionsavtal som Estland och Finland undertecknat. Gränsöverskridande recept fungerar nu också tillsammans med Kroatien, och de kommer att utvidgas till andra EU-länder senare. Varje månad görs 1,5-2 miljoner inloggningar på medborgargränssnittet, dvs. på tjänsten Mina Kanta-sidor. 

1.1.1  Statsminister Marins regeringsprogram

Enligt statsminister Sanna Marins regeringsprogram är de centrala målen för reformen av social- och hälsotjänsterna att minska skillnaderna i välfärd och hälsa, trygga likvärdiga och högklassiga social- och hälsotjänster för alla finländare, främja tillgången till tjänster och förbättra deras tillgänglighet, trygga tillgången till yrkeskunnig arbetskraft, reagera på de utmaningar som samhälleliga förändringar för med sig och dämpa kostnadsökningen. 

Reformen behöver stöd av fungerande informationssystem och informationshanteringssystem samt ett heltäckande faktaunderlag och ett enhetligt rapporteringssätt, Samordningen av informationssystemen, IKT-beredningen och finansieringen av annat utvecklingsarbete inom social- och hälsovården ska tryggas under övergångsperioden. 

Utvecklandet av tjänsterna inom och ledningen av social- och hälsovården förutsätter forskningsrön och ledning genom information. Den yrkesutbildade personalen inom social- och hälsovården ska aktivt delta i beredningen av reformen och i utvecklandet av tjänsterna. 

Samordningen, det vill säga integrationen, av social service och hälso- och sjukvård samt tjänster på basnivå och specialiserad nivå och samarbetet mellan olika yrkesgrupper ska förlöpa smidigt för att servicen inte ska splittras och för att regionerna ska ha alla förutsättningar och incitament att planera servicen som en helhet. Syftet med samordningen av tjänsterna är enhetliga servicekedjor och utveckling av vården av och omsorgen om särskilt sådana personer som har ett omfattande behov av service. 

Social- och hälsotjänster på basnivå ska tillhandahållas nära användarna. Den service som tillhandahålls i hemmet ökas genom fortsatt utveckling av de digitala tjänsterna och distanstjänsterna med målet att förbättra servicens tillgänglighet. Social- och hälsovårdens faktaunderlag kommer att förenhetligas med syftet att förbättra och utveckla kvaliteten på servicen. 

En central del av verkställandet av regeringsprogrammet, förutom strukturreformen inom social- och hälsovården, är utvecklingsprogrammet för tjänster på basnivå, det vill säga projektet framtidens social- och hälsocentral. Till projektets tyngdpunkter hör bl.a. samordning av tjänster så att kunden får den vård och hjälp han eller hon behöver på ett ställe, smidig arbetsfördelning mellan yrkesutbildade personer inom social- och hälsovården och multiprofessionella team samt samordning av tjänster på specialiserad nivå och basnivå. Digitaliseringen ska stödja reformen av verksamheten och digitala och mobila tjänster för uträttandet av ärenden och egenvården ses också som ett sätt att förbättra kundorienteringen. 

1.1.2  Utnyttja social- och hälsovårdsinformationen - strategi fram till 2020

Social- och hälsovårdsministeriet har utarbetat en strategi för elektronisk informationshantering inom social- och hälsovården. Strategin stöder ett socialt hållbart samhälle i enlighet med den social- och hälsopolitiska strategin. Strategin har utarbetats i brett samarbete med allmänheten, social- och hälsovårdsorganisationer, olika ministerier och Finlands Kommunförbund. Dessutom har man vid utarbetandet av strategin bl.a. beaktat strategin Ett socialt hållbart Finland, den offentliga förvaltningens ICT-strategi, tillväxtstrategin för forskning och innovation inom hälsobranschen, strategin för intelligent teknik, genomstrategin och big data-strategin. 

Målet för strategin är att genom förbättrad informationshantering och fler elektroniska tjänster stödja en reform av social- och hälsovården och medborgarnas egen aktivitet när det gäller att upprätthålla det egna välbefinnandet. För att målen ska nås är det viktigt att kunna utnyttja social- och hälsovårdsinformationen som stöd för välbefinnandet och den reformerade servicen och förädla den till kunskap som gynnar såväl servicesystemet som den enskilda medborgaren. 

I strategin sägs det att social- och hälsovården i framtiden ska producera nationellt sett överensstämmande information och att informationssystemen ska vara regionalt enhetliga och nationellt interoperabla. Nya elektroniska tjänster utvecklas och anskaffas genom samarbete så att den nationella servicearkitekturen utnyttjas och principen om modularitet iakttas. Med elektroniska lösningar kan man garantera att tjänsterna är tillgängliga på lika villkor i glesbygdsområden och för grupper med särskilda behov. Den yrkesutbildade personalen inom social- och hälsovården har också informationssystem och elektroniska tillämpningar som stöd för sitt arbete och dess verksamhetsprocesser. Personalen vet hur man använder dessa och är motiverad att göra det. Servicesystemets genomslagskraft och effektivitet förbättras med hjälp av lösningar inom elektronisk informationshantering. 

I fråga om lagstiftningen har det i strategin slagits fast att det ska utarbetas ett enhetligt lagstiftningspaket som styr behandlingen av uppgifter inom social- och hälsovården. När det gäller informationsresurser för socialvården är riktlinjen att frågan ska lösas som en del av de riksomfattande informationssystemtjänsterna, dvs. Kanta-tjänsterna. På så sätt vill man försäkra sig om informationsgången när det gäller kunder som är gemensamma för social- och hälsovården. Tack vare de riksomfattande informationsresursen för klient- och patientuppgifter inom social- och hälsovården löper informationen över organisations- och sektorsgränserna med beaktande av dataskyddet, och uppgifterna kan användas också för nationell och regional statistik. 

1.1.3  Det riksomfattande utvecklandet av informationshanteringen inom socialvården

Informationshanteringen inom socialvården började utvecklas nationellt som ett led i utvecklingsprojektet för det sociala området 2005, där användningen av teknik inom socialtjänsterna ingick som en del. Teknikprojektet inom det sociala området (Tikesos) utgjorde en egen projekthelhet under åren 2008–2011 och lade grunden för användning av informationsteknik inom socialtjänsterna. När projektet Tikesos var avslutat fortsatte man på det nationella planet att utveckla informationshanteringen inom socialvården vid Institutet för hälsa och välfärd. 

Målbilden för det riksomfattande utvecklandet av informationshanteringen inom socialvården har beskrivits i dokumentet Sosiaalihuollon valtakunnallinen kokonaisarkkitehtuuri (Laakso- nen m.fl. 2015) samt i dokumentet Sosiaali- ja terveydenhuollon asiakas- ja potilasitietojen kansallinen kokonaisarkitehtuuri (Pentikäinen m.fl. 2019), vilka grundar sig på dokumentet Sosiaali- ja terveydenhuollon valtakunnallinen kokonaisarkkitehtuuri (Huovila m.fl. 2015) och på målen i strategin Utnyttja social- och hälsovårdsinformationen. För att nå den målbild som beskrivs i den övergripande arkitekturen har Kansa-projektet (Rötsä m.fl. 2016) inletts. Målen för den riksomfattande informationshanteringen inom socialvården beskrivs i projektplanen som följer: 

I målbilden gäller följande: 

• serviceprocessen för klienter inom socialvården har blivit smidigare och arbetsprocesserna effektivare 

• de system som behandlar klientuppgifter hos tjänstetillhandahållare inom socialvården är interoperabla och använder öppna gränssnitt, enhetlig teknik, gemensamma informationssystemtjänster och riksomfattande informationsresurser 

• semantiskt enhetliga klienthandlingar som bestämts på ett riksomfattande plan förs in i det riksomfattande arkivet för klientuppgifter inom socialvården, och de används och lämnas ut därifrån i enlighet med dataskyddsbestämmelserna beroende på kontexten 

• arkivet för klientuppgifter inom socialvården sköter den bestående förvaringen av klienthandlingar. 

De strategiska målen är följande: 

• den tekniska och semantiska interoperabiliteten mellan klientdatasystemen har förbättrats 

• tillgången till klientuppgifter har förbättrats 

• överlappande inskrivning av klientuppgifter har minskat 

• kvaliteten på klientuppgifterna har förbättrats 

• jämförbarheten mellan klientuppgifterna har ökat 

• klientuppgifternas användbarhet har ökat 

• serviceproduktionen inom socialvården har effektiviserats. 

Verksamhetens mål omfattar följande: 

• enhetliga definitioner av handlingarna har tagits i bruk och de styr registreringen 

• enhetliga verksamhetsprocesser har tagits i bruk och de styr serviceverksamheten 

• registreringen av klientuppgifter styrs på det riksomfattande planet 

• klientuppgifterna förs in i Kanta-tjänsterna 

• klientuppgifterna finns tillgängliga i Kanta-tjänsterna 

• tidigare klientuppgifter används allt mer i klientarbetet 

• informationsförvaltningen och dokumenthanteringen stöder serviceproduktionens behov. 

En förstudie om elektronisk arkivering av klientuppgifter inom socialvården gjordes 2008. Behoven inom socialvården samt arkiveringslösningens funktionalitet och gränssnitt granskades särskilt i förhållande till hälso- och sjukvårdens riksomfattande informationssystemtjänster. Som resultat av förstudien slog ledningsgruppen för projektet Tikesos fast de huvudsakliga kraven i fråga om socialvårdens arkivlösning, som är avsedd att vara en centraliserad informationsresurs som realiseras i anslutning till Kanta-tjänsterna och som förvaltas av myndigheterna. En modell som baserar sig på Kanta-tjänsterna innebär att man stöder sig på hälso- och sjukvårdens riksomfattande informationssystemtjänster samt på verksamhetsmodellerna för dem och på det arbete som gjorts för att definiera och genomföra dem. Valet motiverades med liknande behov inom social- och hälsovården, undvikande av överlappande arbete med att definiera och genomföra, kostnadseffektivitet och nationellt och lokalt samarbete inom ordnandet av social- och hälsovården och inom informationshanteringen. 

Riksomfattande informationssystemtjänster och formbunden dokumentation inom socialvården genomförs inom det s.k. Kansa-projektet, som startade 2016. Det centrala målet med projektet är att genomföra en ändring som syftar till att förenhetliga klientuppgifterna inom socialvården och att med hjälp av informationssystem få uppgifterna dit där klienterna betjänas. Ändringen stöder effektivisering av verksamheten och utveckling av socialservicen. De centrala aktörer som genomför projektet är Institutet för hälsa och välfärd, social- och hälsovårdsministeriet, Folkpensionsanstalten, organisationer som tillhandahåller socialservice, kompetenscentrum inom det sociala området och de som genomför de informationssystem som behandlar klientuppgifter inom socialvården. 

1.1.4  Den riksomfattande övergripande arkitekturen för social- och hälsovården

Social- och hälsovårdsministeriet och Institutet för hälsa och välfärd svarar för den riksomfattande övergripande arkitekturen för social- och hälsovården. Den riksomfattande övergripande arkitekturen för social- och hälsovården finns beskriven i Institutet för hälsa och välfärds pub- likation Sosiaalihuollon asiakastietojen käsittely ja valtakunnalliset tietojärjestelmäpalvelut, Sosiaali- ja terveydenhuollon valtakunnallinen kokonaisarkkitehtuuri, Tavoitetila 2020 (Laak- sonen m.fl. 2015) samt i publikationen Sosiaali- ja terveydenhuollon asiakas- ja potilastietojen kansallinen kokonaisarkitehtuuri (Pentikäinen m.fl. 2019). 

Syftet med den övergripande arkitekturen är att beskriva en sådan samlad informationshantering som beskriver sambanden mellan verksamheten, de uppgifter som behövs och som upp- kommer i verksamheten, de system och olika tekniker som utnyttjas i verksamheten och för behandlingen av uppgifter sett ur de riksomfattande informationssystemens synvinkel. 

Den arkitektur som presenteras i publikationen är en arkitektur för målbilden, och realiseringen av den förutsätter ändringar i den gällande lagstiftningen. Centrala lagar är klientuppgiftslagen och lagen om klienthandlingar inom socialvården. Det största behovet av att utveckla lagstiftningen hänför sig till genomförandet av de riksomfattande informationssystemtjänsterna och till utfärdandet av bestämmelser om olika myndigheters uppgifter i syfte att genomföra dessa tjänster. De bestämmelser i klientuppgiftslagen som gäller hälso- och sjukvård bör således fås att gälla också socialvården. 

Arkitekturvisionen för den riksomfattande övergripande arkitekturen för social- och hälsovården beskrivs i publikationen Sosiaali- ja terveydenhuollon asiakas- ja potilastietojen kansallinen kokonaisarkitehtuuri (Pentikäinen m.fl. 2019). Visionen innefattar följande: 

Social- och hälsotjänster är lättillgängliga, medborgarens delaktighet och påverkningsmöjligheter stöds, tjänsterna integreras och de digitala tjänsterna utökas. Medborgarens kunduppgifter finns alltid tillgängliga där medborgaren tillhandahålls social- och hälsotjäsnter. Uppgifterna är uppdaterade och enhetliga och de behandlas på ett informationssäkert sätt och i tekniskt standardiserad form. Strukturerade kunduppgifter gör det möjligt att få smarta sammandrag av uppgifterna. De riksomfattande informationssystemtjänsterna utgör en sådan gemensam plattform för informationsförmedling och lagring som social- och hälsovårdsorganisationernas kunduppgiftssystem använder. Informationssystemtjänsterna skapar också möjligheter till sekundär användning av uppgifterna.” 

1.2  Nationell lagstiftning

1.2.1  Finlands grundlag

Enligt 10 § 1 mom. i grundlagen (731/1999) är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Bestämmelsen om särskilt skydd för personuppgifter togs in i 8 § i regeringsformen i samband med 1995 års reform av de grundläggande fri- och rättigheterna. Bestämmelsen hänvisar till behovet att genom lagstiftning garantera individens rättsskydd och integritet vid behandling, registrering och användning av personuppgifter. Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 35 och 36/1992) lägger en bestämd skyddsnivå för personuppgifter i lagstiftningen. 

Grundlagens övriga bestämmelser om de grundläggande fri- och rättigheterna påverkar också sättet att behandla kunduppgifter. Betydelsefulla särskilt när det gäller behandlingen av kunduppgifter är bestämmelserna om jämlikhet och förbud mot diskriminering (6 §), principen om myndighetshandlingars offentlighet och rätten att ta del av offentliga handlingar (12 §), rätten att delta i beslutsfattande som gäller en själv (14 § 4 mom.), språkliga rättigheter (17 §) och rätten till social trygghet, inbegripet tillräckliga social-, hälsovårds- och sjukvårdstjänster (19 §). 

1.2.2  Folkhälsolagen

Folkhälsolagen (66/1972) trädde i kraft den 1 april 1972. Lagen innehåller bestämmelser om folkhälsoarbetet och om förvaltningen av och tillsynen över det. Enligt lagens 2 § ankommer den allmänna styrningen och övervakningen av folkhälsoarbetet på social- och hälsovårdsministeriet. Regionförvaltningsverket styr och övervakar folkhälsoarbetet inom sitt verksamhetsområde. Dessutom styr och övervakar Tillstånds- och tillsynsverket för social- och hälsovården folkhälsoarbetet på det nationella planet och i vissa särskilda fall. Detta föreskrivs i en ändring av lagen som gjordes 2009 (1537/2009). 

Kommunerna är ansvariga för att primärvård ordnas för kommunens invånare. Kommunerna kan producera de i lagen nämnda tjänsterna ensamma eller grunda samkommuner som helt eller delvis producerar tjänsterna tillsammans. De kan också köpa tjänster av staten, andra kommuner eller den privata sektorn. 

Med folkhälsoarbete avses enligt lagen främjande av hälsan, inbegripet förebyggande av sjukdomar och olycksfall, som är inriktat på individen, befolkningen och livsmiljön, samt sjukvård till individen. För tjänster som anges i folkhälsolagen eller uppgifter som kommunen separat beslutar om och som hänför sig till folkhälsoarbetet ska kommunen eller samkommunen ha en hälsovårdscentral, som i regel har flera verksamhetsställen, dvs. hälsostationer, samt sjukhus. Vissa kommuner köper så gott som samtliga hälsocentralstjänster av privata tjänstetillhandahållare. 

1.2.3  Lagen om specialiserad sjukvård

Lagen om specialiserad sjukvård (1062/1989) trädde i kraft den 1 januari 1991. Lagen innehåller bestämmelser om sjukvårdsdistrikt och deras upptagningsområden och uppgifter, sjukhus och andra verksamhetsenheter inom sjukvårdsdistrikten, förvaltning, universitetssjukhus, beredande av sjukvård, ersättningar samt ordnande av undervisning och forskning. 

Den allmänna planeringen, styrningen och övervakningen av den specialiserade sjukvården ankommer på social- och hälsovårdsministeriet. Tillstånds- och tillsynsverket för social- och hälsovården styr och övervakar den specialiserade sjukvården på det nationella planet och i vissa särskilda fall. Regionförvaltningsverket ansvarar för planeringen, styrningen och övervakningen av den specialiserade sjukvården inom sitt verksamhetsområde. 

1.2.4  Hälso- och sjukvårdslagen

Hälso- och sjukvårdslagen (1326/2010) trädde i kraft den 1 maj 2011. Lagen tillämpas på tillhandahållandet av den hälso- och sjukvård som kommunerna enligt folkhälsolagen och lagen om specialiserad sjukvård är skyldiga att ordna och på innehållet i denna hälso- och sjukvård. Lagen innehåller bestämmelser om främjande av hälsa och välfärd i kommunerna, ordnande av kommunal sjukvård, internt samarbete inom hälso- och sjukvården och samarbete mellan social- och hälsovården, specialupptagningsområden, att få vård och ordnande av undervisning och forskning. 

Med primärvård avses enligt definitionen i 3 § uppföljning av befolkningens hälsotillstånd, hälsofrämjande verksamhet inklusive hälsorådgivning och hälsoundersökningar, mun- och tandvård, medicinsk rehabilitering, företagshälsovård och miljö- och hälsoskydd som kommunen ordnar samt jourverksamhet, öppen sjukvård, hemsjukvård, hemsjukhusvård och sjukhusvård, mentalvårdsarbete och alkohol- och drogarbete som kommunen ordnar, till den del de inte ordnas inom socialvården eller den specialiserade sjukvården. Med specialiserad sjukvård avses hälso- och sjukvårdstjänster inom medicinska och odontologiska verksamhetsområden som hänför sig till förebyggande, undersökning, vård och behandling av sjukdomar, prehospital akutsjukvård, jour och medicinsk rehabilitering. 

Journalhandlingarna inom den kommunala primärvården och specialiserade sjukvården för dem som bor inom området för en samkommun för ett sjukvårdsdistrikt bildar enligt 9 § ett gemensamt register inom hälso- och sjukvården. Alla verksamhetsenheter inom hälso- och sjukvården som har anslutit sig till det gemensamma registret är registeransvariga till den del som gäller deras egna journalhandlingar. Samkommunen för ett sjukvårdsdistrikt ska ansvara för den samordning som registret kräver. Varje verksamhetsenhet inom hälso- och sjukvården ansvarar för att de journalhandlingar som görs upp i den egna verksamheten registerförs. 

Den verksamhetsenhet inom hälso- och sjukvården som vårdar patienten får använda uppgifter i det gemensamma registret som har registrerats av en annan verksamhetsenhet i den omfattning som vården och behandlingen kräver. Patientens uttryckliga samtycke krävs inte för att patientuppgifter ska få användas av sådana verksamhetsenheter inom hälso- och sjukvården som har anslutit sig till det gemensamma registret. Patienten har emellertid rätt att förbjuda att uppgifter som har registrerats av en annan verksamhetsenhet används. Patienten får förbjuda användningen av uppgifter och återta ett sådant förbud när som helst. För att tillgodose förbudsrätten ska patienten informeras om det gemensamma registret för patientuppgifter, om behandlingen av uppgifterna och om möjligheten att förbjuda utlämnande av uppgifter mellan verksamhetsenheter. Informationen ska lämnas innan ett första utbyte av uppgifter mellan verksamhetsenheterna sker. Uppgift om att patienten informerats och om att patienten förbjudit utlämnande av uppgifter ska antecknas i journalhandlingarna. 

Den som med hjälp av informationssystem använder uppgifter som har registrerats av en annan verksamhetsenhet inom hälso- och sjukvården ska följa upp användningen av patientuppgifterna på det sätt som anges i klientuppgiftslagen. Det ska datatekniskt säkerställas att en vårdrelation existerar mellan patienten och den som begärt uppgifter. 

Inom social- och hälsovården ska man enligt 32 § bedriva det samarbete som förutsätts för att uppgifterna ska kunna fullgöras på behörigt sätt och så som patientens behov av vård och social- och hälsovårdstjänster kräver. 

1.2.5  Lagen om privat hälso- och sjukvård

Lagen om privat hälso- och sjukvård (152/1990) trädde i kraft den 1 januari 1991. Lagen är avsedd att garantera tjänsternas kvalitet inom den privata hälso- och sjukvården genom att den möjliggör tillsyn över tjänsternas standard i medicinskt avseende. Tjänster som produceras inom den kommunala hälso- och sjukvården får komplettering och stöd i en omfattande privat verksamhet som producerar hälso- och sjukvårdstjänster. Lagen innehåller bestämmelser om ordnande av privat hälso- och sjukvård, om myndigheternas styrning och tillsyn och om föreskrifter, tvångsmedel och påföljder som Tillstånds- och tillsynsverket för social- och hälsovården kan besluta om. 

En serviceproducent ska ha tillstånd av regionförvaltningsverket för att få tillhandahålla hälso- och sjukvårdstjänster. En självständig yrkesutövare ska lämna in en skriftlig anmälan om verksamheten till regionförvaltningsverket innan yrkesutövaren börjar tillhandahålla hälso- och sjukvårdstjänster som avses i lagen. Anmälan om att verksamheten upphört ska göras till regionförvaltningsverket inom 30 dagar efter det att tillhandahållandet av tjänsterna upphörde. Enligt lagens 2 § avses med hälso- och sjukvårdstjänster 1) laboratorieverksamhet, 2) radiologisk verksamhet och andra därmed jämförbara bildåtergivnings- och undersökningsmetoder, 3) andra undersökningar och åtgärder som vidtas för att konstatera någons hälsotillstånd eller sjukdom eller för att bestämma vården, 4) fysioterapeutisk verksamhet samt andra åtgärder och annan terapi som förbättrar och upprätthåller prestationsförmågan, 5) företagshälsovård, 6) läkar- och tandläkartjänster och annan hälso- och sjukvård samt tjänster som kan jämställas med dem, 7) massage samt 8) sjuktransporttjänster. 

Med en privat producent av hälso- och sjukvårdstjänster avses en sådan enskild eller ett bolag, ett andelslag, en förening eller någon annan sammanslutning eller stiftelse som har en enhet som tillhandahåller hälso- och sjukvårdstjänster. Som serviceproducent räknas inte en självständig yrkesutövare eller en arbetsgivare som själv ordnar företagshälsovårdstjänster. Med självständig yrkesutövare avses en sådan yrkesutbildad person inom hälso- och sjukvården som avses i 2 § 1 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) och som självständigt utövar sitt yrke. 

1.2.6  Lagen om elektroniska recept

Lagen om elektroniska recept (61/2007) trädde i kraft den 1 april 2007. Syftet med lagen är att förbättra patient- och läkemedelssäkerheten samt att underlätta och effektivisera förskrivningen och expedieringen av läkemedel. För att detta ska förverkligas inrättas ett riksomfattande centraliserat datatekniskt system, som alla verksamhetsenheter inom hälso- och sjukvården samt apotek ska ansluta sig till. Tack vare ett centraliserat system kan ett recept uppgöras på samma sätt vid alla verksamhetsenheter inom hälso- och sjukvården, och alla elektroniska recept kan expedieras från varje apotek. 

Med avseende på genomförandet av läkemedelsbehandlingar är ett elektroniskt recept i samma klass som ett pappersrecept. Om läkemedelsbehandling anses vara nödvändig, ska den läkare eller tandläkare som behandlar patienten uppgöra receptet i samförstånd med patienten. Skillnaden jämfört med ett recept på papper är att receptet förs in i receptcentret och att det inte ges till patienten. Ur patientens synvinkel medför detta vissa betydande fördelar jämfört med ett traditionellt recept som har uppgjorts på papper. Innehållet i recept som uppgjorts elektroniskt är alltid entydigt och eftersom de är införda i receptcentret kan patienten alltid på apoteket kontrollera giltigheten för alla sina recept och mängden icke-expedierade mediciner utan att han eller hon behöver förvara det ursprungliga receptet. 

När ett läkemedel förskrivs elektroniskt får patienten på läkarmottagningen en patientanvisning med de viktigaste uppgifterna om det förskrivna läkemedlet. 

Att den som förskriver läkemedlet har rätt att förskriva läkemedel och läsa de recept- och expedieringsuppgifter som finns i receptcentret säkerställs genom identifiering med hjälp av ett elektroniskt certifikat, och receptets riktighet bekräftas genom en elektronisk underskrift som baserar sig på certifikatet. Den riksomfattande certifikattjänsten för hälso- och sjukvården förvaltas av Myndigheten för digitalisering och befolkningsdata. Elektroniska certifikat försvårar i betydande utsträckning förfalskning av recept, eftersom det för användningen av certifikat behövs både ett personligt aktivt kort eller någon annan motsvarande plattform för förvaring av certifikat och en personlig beteckning i anslutning till dem. 

För förvaltningen av receptcentret och för det tekniska genomförandet av ett elektroniskt recept svarar Folkpensionsanstalten, som också är personuppgiftsansvarig för receptcentret. 

1.2.7  Lagen om patientens ställning och rättigheter

Lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) trädde i kraft den 1 mars 1993 och har ändrats bland annat i december 2015 (1635/2015) och januari 2020 (1492/2019). Lagen innehåller de centrala principerna för vården och bemötandet av patienten, och den gäller såväl offentlig som privat hälso- och sjukvård. I lagen ingår bestämmelser om bl.a. innehållet i journalhandlingarna, sekretessbelagda uppgifter i journalhandlingarna och utlämnande av sådana uppgifter. 

Enligt definitionerna i 2 § avses med patient den som anlitar hälso- och sjukvårdstjänster eller som annars är föremål för sådana tjänster. Med hälso- och sjukvård avses sådana åtgärder för fastställande av patientens hälsotillstånd eller för återställande eller upprätthållande av hälsan som vidtas av yrkesutbildade personer inom hälso- och sjukvården eller som vidtas vid en verksamhetsenhet för hälso- och sjukvård. Journalhandlingar avser handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. 

Med verksamhetsenhet för hälso- och sjukvård avses en hälsovårdscentral enligt folkhälsola- gen, sjukhus och separata verksamhetsenheter för sjukvård samt andra helheter med ansvar för vården som samkommunen för sjukvårdsdistriktet bestämmer enligt lagen om specialiserad sjukvård, enheter som tillhandahåller hälso- och sjukvårdstjänster enligt lagen om privat hälso- och sjukvård, arbetshälsoinstitutet till den del det tillhandahåller hälso- och sjukvårds- tjänster enligt lagen om arbetshälsoinstitutets verksamhet och finansiering (159/1978), statliga mentalsjukhus samt Enheten för hälso- och sjukvård för fångar samt den enhet inom för- svarsmakten som ansvarar för ordnandet av hälso- och sjukvård. 

Enligt 13 § i patientlagen är uppgifter i journalhandlingarna sekretessbelagda och sådana uppgifter får inte lämnas ut utan skriftligt samtycke av patienten eller dennes lagliga företrädare. En yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den får inte utan patientens skriftliga samtycke till utomstående lämna ut uppgifter som ingår i journalhandlingarna. Om patienten saknar förutsättningar att bedöma betydelsen av ett sådant samtycke, får uppgifterna lämnas med skriftligt samtycke av patientens lagliga företrädare. Med utomstående avses i denna lag personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. Tystnadsplikten kvarstår efter det att anställningsförhållandet eller uppdraget har upphört. 

I 3 mom. anges förutsättningarna för undantag från tystnadsplikten. Uppgifter i journalhandlingarna får lämnas ut utan patientens samtycke, om det uttryckligen särskilt föreskrivs i lag om utlämnande av uppgifter eller rätt att få del av uppgifter. Uppgifter som behövs för ordnande av undersökning och vård av patienten får lämnas till någon annan verksamhetsenhet för hälso- och sjukvård eller en yrkesutbildad person inom hälso- och sjukvården samt en sammanfattning av den vård som getts patienten till den verksamhetsenhet för hälso- och sjukvård eller den yrkesutbildade person inom hälso- och sjukvården som har remitterat patienten till vården, och till den läkare som eventuellt har utsetts till ansvarig läkare för patienten, i enlighet med patientens eller dennes lagliga företrädares muntliga samtycke eller sådant samtycke som annars framgår av sammanhanget. 

Uppgifter som är nödvändiga för ordnande av undersökning och vård av patienten får lämnas till någon annan finländsk eller utländsk verksamhetsenhet för hälso- och sjukvård eller yrkes- utbildad person inom hälso- och sjukvården utan att patientens samtycke krävs, om patienten på grund av mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av sitt samtycke och inte heller har någon laglig företrädare, eller om patienten inte kan ge sitt samtycke på grund av att han eller hon är med- vetslös eller av någon annan därmed jämförbar orsak. 

Dessutom får uppgifter om patientens person och hälsotillstånd lämnas till en nära anhörig till patienten eller någon annan patienten närstående då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta. Uppgifter om den hälso- och sjukvård som en avliden person fått under sin livstid får på motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål. 

Enligt 13 a § i patientlagen finns bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten upprätthåller finns i lagen om elektroniska recept (61/2007). 

Enligt 13 b § i patientlagen finns bestämmelser om användningen av biologiska prov som uppkommer vid undersökning och behandling av en patient för vetenskaplig forskning dessutom i lagen om medicinsk forskning (488/1999), i lagen om användning av mänskliga organ, vävnader och celler för medicinska ändamål (101/2001) och i biobankslagen (688/2012). 

1.2.8  Lagen om yrkesutbildade personer inom hälso- och sjukvården

Lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994, nedan lagen om yrkesutbildade personer) trädde i kraft den 1 juli 1994. Genom lagen moderniserades och förenhetligades lagstiftningen om yrkesutövning inom hälso- och sjukvården genom att de tidigare spridda och delvis oenhetliga bestämmelser om utövande av olika yrken inom hälso- och sjukvården som fanns i ett flertal lagar samlades i en och samma lag. Lagen innehåller bestämmelser om rätt att vara verksam som yrkesutbildad person inom hälso- och sjukvården, allmänna skyldigheter för yrkesutbildade personer inom hälso- och sjukvården, läkares och tandläkares särskilda rättigheter och skyldigheter samt styrning av och tillsyn över yrkesutbildade personer inom hälso- och sjukvården. 

Med yrkesutbildad person inom hälso- och sjukvården avses den som med stöd av lagen om yrkesutbildade personer har erhållit rätt att utöva yrke (legitimerad yrkesutbildad person) eller tillstånd att utöva yrke (yrkesutbildad person som beviljats tillstånd) samt den som med stöd av lagen om yrkesutbildade personer har rätt att använda i förordning av statsrådet avsedd yrkesbeteckning för en yrkesutbildad person inom hälso- och sjukvården (yrkesutbildad person med skyddad yrkesbeteckning). 

Skyldigheten för yrkesutbildade personer inom hälso- och sjukvården att föra och förvara journalhandlingar bestäms i enlighet med patientlagen. Bestämmelser om tystnadsplikt för yrkesutbildade personer inom hälso- och sjukvården finns i 17 §. Rättsskyddscentralen för hälsovården förvaltar ett centralregister över yrkesutbildade personer inom hälso- och sjukvården, där de uppgifter som anges i 24 a § ska föras in. 

1.2.9  Social- och hälsovårdsministeriets förordning om journalhandlingar

Social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009) trädde i kraft den 1 augusti 2009. Förordningen har utfärdats med stöd av patientlagen och den gällande klientuppgiftslagen. Förordningen innehåller bestämmelser om allmänna principer för upprättande och förvaring av journalhandlingar och om förvaring av annat material som gäller vården. 

Enligt förordningens 3 § ska journalhandlingarna upprättas och förvaras med medel och metoder som säkerställer att integriteten och användbarheten hos de uppgifter som finns i handlingarna kan tryggas under förvaringstiden. 

Uppgifter i journalhandlingarna får enligt 4 § hanteras av dem som deltar i vården av en patient eller i anslutande uppgifter endast i den omfattning som deras arbetsuppgifter och ansvar förutsätter. Ett elektroniskt patientdatasystem ska inbegripa ett system för kontroll av åtkomsträttigheterna. Med hjälp av kontrollsystemet kan varje användare tilldelas sådana åtkomsträttigheter till journalhandlingarna och de olika funktionerna i patientdatasystemet som motsvarar användarens arbetsuppgifter. När tjänster anskaffas från någon annan tjänsteproducent ska man enligt 5 § försäkra sig om att bestämmelserna om sekretess och tystnadsplikt iakttas i fråga om uppgifterna i journalhandlingarna. 

I 6–21 § föreskrivs det om de anteckningar som ska göras i patientjournalerna och om rättelse av dem. För förvaringen av journalhandlingar och annat material som gäller vården ansvarar enligt 22 § den verksamhetsenhet för hälso- och sjukvård eller den självständiga yrkesutövare inom hälso- och sjukvården inom vars verksamhet handlingarna och materialet har uppkommit. Om en journalhandling är av sådan art att det skulle orsaka olägenhet för patientens hälso- eller sjukvård om anteckningarna gjordes separat vid varje verksamhetsenhet för hälso- och sjukvård, kan dock journalhandlingen, när ansvaret för vården av patienten överförs på en annan verksamhetsenhet, med samtycke av patienten eller dennes lagliga företrädare överföras i original till nämnda verksamhetsenhet. 

Enligt 23 § ska journalhandlingar samt sådana prov och modeller av organ som uppkommer vid undersökning och vård och som innehåller biologiskt material förvaras åtminstone den tid som anges i bilagan till förordningen. När förvaringstiden har löpt ut eller när de nämnda handlingarna och det biologiska materialet inte längre är nödvändiga för att ordna eller genomföra patientens vård, ska de omedelbart förstöras på ett sådant sätt att utomstående inte får kännedom om dem. Folkpensionsanstalten ska se till att de handlingar som förts in i arkive- ringstjänsten förstörs tekniskt efter att den förvaringstid som verksamhetsenheten för hälso- och sjukvård eller den yrkesutbildade person som självständigt utövar sitt yrke fastställt för journalhandlingarna löpt ut. 

1.2.10  Socialvårdslagen

Socialvårdslagen (1301/2014) trädde i kraft den 1 april 2015. Genom lagen upphävdes den gamla socialvårdslagen (710/1982) så att den upphävda lagens 2 kap., 27 d, 27 e, 40 och 41 § samt 5 och 8 kap. dock förblev i kraft. Syftet med den nya lagen är att stärka jämlikheten mellan klienterna, flytta tyngdpunkten från specialtjänster till allmänna tjänster och intensifiera myndigheternas samarbete. Lagen innehåller bestämmelser om främjande av välfärd i kommunerna, kommunal socialservice och tillhandahållande av socialvård, åtgärder för att säkerställa kvaliteten på tjänsterna och sökande av ändring i beslut om socialservice. 

Enligt definitionerna i 3 § avses med socialservice kommunal socialservice och stödtjänster som ingår i den samt andra åtgärder genom vilka yrkesutbildad personal inom socialvården främjar och upprätthåller individens, familjens och gemenskapens funktionsförmåga, sociala välfärd, trygghet och delaktighet. Med klient avses en person som ansöker om eller anlitar socialvård eller som oberoende av sin vilja är föremål för socialvård. 

Socialservice som ordnas av kommunen är enligt 14 § socialt arbete, social handledning, social rehabilitering, familjearbete, hemservice, hemvård, boendeservice, service på en institution, service som stöder rörlighet, alkohol- och drogarbete, mentalvårdsarbete, rådgivning i upp- fostrings- och familjefrågor, övervakning av umgänge mellan barn och förälder samt annan socialservice som är nödvändig för klienternas välfärd. Kommunen ska även sörja för special- omsorger om utvecklingsstörda, service och stöd på grund av funktionsnedsättning, tillhanda- hållande av utkomststöd till en person som vistas i kommunen, beviljande av social kredit till kommuninvånare, arbetsverksamhet i rehabiliteringssyfte, service i anslutning till missbrukar- vård, ordnande av stöd för närståendevård, vårdnad om barn och unga personer, barnskydd, adoptionsrådgivning, medling i familjefrågor, uppgifter i samband med att beslut om vårdnad av barn och umgängesrätt fastställs och avgörs och ordnande av åtgärder i samband med medling vid verkställighet av besluten, ordnande av de sakkunnigtjänster som hör till medling i domstol i ett ärende som gäller vårdnad om barn och umgängesrätt, uppgifter i samband med utredande och fastställande av faderskap och ordnande av elevvård, enligt vad som dessutom föreskrivs särskilt om dessa serviceformer. 

Enligt 34 § inleds ett socialvårdsärende på ansökan eller när en arbetstagare inom kommunens socialvård annars i sitt arbete har fått kännedom om en person som eventuellt behöver socialservice. En klientrelation inleds på ansökan eller när handläggningen av ett ärende som inletts på ett annat sätt påbörjas eller när en person ges socialservice. Klientrelationen avslutas när det för kännedom antecknas i socialvårdens klienthandling att det inte finns någon grund för att ordna socialvård. 

I 41 § anges det att socialvården tillhandahålls i samarbete med olika aktörer så att socialvården och vid behov de övriga förvaltningssektorernas service bildar en helhet som tillgodoser klientens intresse. Lagen om klientens ställning och rättigheter inom socialvården innehåller bestämmelser om utlämnande av uppgifter utan klientens samtycke och antecknande av klientinformation i sektorsövergripande samarbete samt i socialvårdens och hälso- och sjukvårdens gemensamma service, samt om en socialvårdsmyndighets rätt att av andra myndigheter få den handräckning som den behöver för att sköta sina lagstadgade uppgifter. 

1.2.11  Lagen om klientens ställning och rättigheter inom socialvården

Lagen om klientens ställning och rättigheter inom socialvården (812/2000, nedan klientlagen) trädde i kraft den 1 januari 2001, och den innehåller de viktigaste rättsliga principerna för klientens medbestämmande, bemötande och rättsskydd inom socialvården. Lagen gäller klientens ställning och rättigheter både inom socialvård som ordnas av myndigheter och inom socialvård som ordnas av privata. Den innehåller bestämmelser om socialvårdsklienters rättigheter och skyldigheter, sekretess, tystnadsplikt och utlämnande av sekretessbelagda uppgifter, socialvårdsmyndighetens rätt att få sekretessbelagda uppgifter och handräckning samt anmärkning och socialombudsman. 

I 11 § föreskrivs det om utlämnande av uppgifter till klienten eller dennes företrädare. Bestämmelser om klientens och företrädarens skyldighet att lämna uppgifter som behövs vid ordnandet och lämnandet av socialvård finns i 12 §. Klienten ska upplysas om vilka upplysningar om honom eller henne som kan inhämtas oberoende av samtycke. Klienten ska också ges tillfälle att ta del av dessa uppgifter. Enligt 13 § har klienten eller dennes företrädare rätt att innan uppgifter lämnas till den som ordnar eller lämnar socialvård få veta för vilket ändamål de uppgifter som han eller hon lämnar behövs, vilket användningsändamålet är, för vilka ändamål uppgifterna normalt lämnas ut samt i vilken i personuppgiftslagen avsedd registeransvarigs personregister uppgifterna kommer att registreras. Dessutom ska klienten eller dennes lagliga företrädare upplysas om hur de i personuppgiftslagen avsedda rättigheterna kan utövas, om klienten inte redan har fått denna information. 

I 14 § föreskrivs det om sekretess för socialvårdshandlingar. En sekretessbelagd handling eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. I fråga om sekretessens upphörande hänvisas det till 31 § i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Klientlagens 15 § innehåller ett förbud bl.a. för den som ordnar eller producerar socialvård och den som är anställd hos denne att röja eller använda en sekretessbelagd uppgift, om inte klienten eller klientens lagliga företrädare har gett sitt samtycke till detta i enlighet med 16 §. Dessutom innehåller 17 och 18 § bestämmelser om förutsättningarna för att sekretessbelagda uppgifter också utan klientens samtycke ska få lämnas ut för att trygga vården av och omsorgen om klienten. I 19 § föreskrivs det om undantag i fråga om och upphörande av tystnadsplikt. Bestämmelser om myndigheternas rätt att få sekretessbelagda uppgifter finns i 20 §. Enligt 22 § kan en socialvårdsmyndighet få den handräckning som den behöver för att sköta sina lagstadgade uppgifter. 

1.2.12  Lagen om yrkesutbildade personer inom socialvården

Lagen om yrkesutbildade personer inom socialvården (817/2015) trädde i kraft den 1 mars 2016. I lagen föreskrivs det om beviljande av rätt att utöva yrke för de centrala yrkesgrupperna inom socialvården, registrering av rätten att utöva yrke, styrningen av och tillsynen över yrkesutbildade personer samt tillsynsmyndigheternas uppgifter och arbetsfördelning. 

Tillstånds- och tillsynsverket för social- och hälsovården beviljar på ansökan rätt att utöva socialarbetaryrket, socionomyrket eller geronomyrket och för med tanke på tillsynen ett centralregister över yrkesutbildade personer inom socialvården. Lagen innehåller bestämmelser om de uppgifter som ska föras in i registret. Lagen innehåller också bestämmelser om rätten att använda en yrkesbeteckning för en yrkesutbildad person inom socialvården. Bestämmelser om yrkesbeteckningar för yrkesutbildade personer med skyddad yrkesbeteckning och om den utbildning som yrkesbeteckningen förutsätter utfärdas genom förordning av statsrådet. Nämnden för tillsyn över yrkesutbildade personer inom social- och hälsovården ska utöva tillsyn över de yrkesutbildade personerna inom socialvården. Syftet med lagen är att främja socialvårdsklienters rätt till socialvård av god kvalitet och till gott bemötande genom att kräva att yrkesutbildade personer inom socialvården har sådan utbildning som yrkesutövningen förutsätter, tillräcklig yrkeskompetens och sådana färdigheter som yrkesutövningen förutsätter. 

Lagen ska också främja en översyn av uppgiftsstrukturerna och arbetsfördelningen för den yrkesutbildade personalen inom socialvården. Lagen stöder integrationen av social- och hälsovården i och med att de bestämmelser som gäller yrkesutbildade personer inom socialvården och hälso- och sjukvården förenhetligas. 

1.2.13  Lagen om klienthandlingar inom socialvården

Lagen om klienthandlingar inom socialvården (254/2015) trädde i kraft den 1 april 2015. Syftet med lagen är att förenhetliga innehållet i klienthandlingarna inom socialvården samt upprättandet, bevarandet och den övriga behandlingen av dessa handlingar för produktionen av socialvårdstjänster samt att främja den elektroniska behandlingen av klientuppgifter inom socialvården och även upprättandet av ett nationellt dokumentarkiv inom socialvården. Lagen tillämpas på såväl offentliga som privata tillhandahållare av socialservice när de ordnar socialvård eller tillhandahåller socialservice. 

I lagen om klienthandlingar inom socialvården föreskrivs det om skyldigheten för anställda inom socialvården att anteckna och förvara klientuppgifter inom socialvården i formbundna klienthandlingar. Lagen gäller klienthandlingar i pappersform och elektronisk form. I lagen anges i fråga om socialvårdsklienter basuppgifterna och de uppgifter som för olika typer av handlingar ska antecknas enligt serviceuppgift samt vid sektorsövergripande samarbete mellan olika myndigheter och tillhandahållare av socialservice. I lagen anges de handlingstyper som ska användas inom socialvården. Dessa är inledande av ett ärende, bedömning av servicebehovet, klientplan, klientrapport och beslut. Dessutom görs det anteckningar i anslutning till verkställandet av beslut och anteckningar av uppgifter om utomstående. Också klienthandlingarnas förvaringstider anges i lagen. 

Klienthandlingar inom socialvården ska föras in i socialvårdens anmälningsregister eller socialvårdens klientregister. Inom socialvården registreras uppgifterna enligt serviceuppgift. Serviceuppgifter inom socialvården är basservice för barnfamiljer, basservice för personer i arbetsför ålder, basservice för äldre, familjerättsliga tjänster, barnskydd, handikappservice och missbrukarvård. 

Lagen innehåller bestämmelser om de anteckningar som ska göras i klienthandlingarna när uppgifter om klienter lämnas till utomstående eller erhålls av utomstående. Lagen har inga bestämmelser om sekretess i fråga om klientuppgifter eller om grunderna för undantag från sek retessen och inte heller bestämmelser om rätten för en socialvårdsmyndighet att få sekretessbelagda uppgifter. Bestämmelser om detta finns i klientlagen. Motsvarande bestämmelser om journalhandlingar finns i patientlagen. 

Lagen har en bestämmelse om åtkomsträttigheter för anställda inom socialvården till klientuppgifter som registrerats i elektronisk form. Institutet för hälsa och välfärd meddelar närmare föreskrifter om de grunder enligt vilka en tillhandahållare av service ska administrera åtkomstsrättigheterna. Dessutom har lagen bestämmelser om ansvar och ansvarsfördelning i anslutning till serviceanordnares, serviceproducenters och servicegivares behandling av klientuppgifter när någon agerar för en annans räkning. 

1.2.14  Lagen om privat socialservice

Lagen om privat socialservice (922/2011) trädde i kraft den 1 oktober 2011. Lagen innehåller bestämmelser om lagens syfte, serviceproducentens ansvar för den samlade servicens kvalitet, plan för egenkontroll och riksomfattande tillstånd för en serviceproducent med verksamhet på flera regionförvaltningsverks områden. Lagen har bestämmelser som hänför sig till regionförvaltningsverkens och kommunernas behörighet och gäller styrningen av och tillsynen över privat socialservice. 

Lagen har bestämmelser om registrering av anmälningspliktig service. Dessutom ska tillståndsmyndigheten fatta överklagbara förvaltningsbeslut i ärenden som gäller registrering av anmälningar. 

1.2.15  Lagen om sekundär användning av personuppgifter inom social- och hälsovården

Lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019, nedan lagen om sekundär användning) trädde i kraft den 1 maj 2019. Samtidigt ändrades lagen om Institutet för hälsa och välfärd, patientlagen, klientlagen, lagen om elektroniska recept, läkemedelslagen, klientuppgiftslagen, lagen om smittsamma sjukdomar och lagen om utredande av dödsorsak samt upphävdes lagen om riksomfattande personregister för hälsovården och lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården. Genom lagreformen började bestämmelserna inom det aktuella lagstiftningsområdet motsvara kraven enligt EU:s allmänna dataskyddsförordning. 

Med primär användning av kunduppgifter avses det användningsändamål för vilket uppgifterna ursprungligen har förts in i kund- eller patientregistret. Det primära användningsändamålet kan vara till exempel undersökning och vård av patienten, ordnande av service som en socialvårdsklient behöver eller beviljande av en socialtrygghetsförmån. Med sekundär användning av kunduppgifter avses användning av samma uppgifter för andra ändamål än de primära användningsändamålen. 

Syftet med lagen om sekundär användning är att skapa tidsenliga och enhetliga förutsättningar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverksamheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas för statistikföring, forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsuppgifter. Lagen möjliggör i större utsträckning än nu utnyttjande av kund- och patientuppgifter inom social- och hälsovården för andra användningsändamål än det ursprungliga ändamålet inom servicesystemet inom social- och hälsovården. Enligt social- och hälsovårdsutskottets utlåtande (ShUB 37/2018 rd) innebär lagen till vissa delar att användningsändamålet för känsliga uppgifter ändras i mycket väsentlig grad. Ändringen gäller en ytterst omfattande datamängd. Å andra sidan går lagen till vissa delar ut på att samordna gällande lagstiftning och att förbättra skyddet för personuppgifter när det gäller både dataskydd och informationssäkerhet vid behandlingen av personuppgifter. 

I lagen om sekundär användning har hänsyn tagits till integrationen inom social- och hälsovården, den kraftfulla inverkan som digitaliseringen har på den elektroniska behandlingen av kunduppgifter samt de dataskydds- och informationssäkerhetskrav som behandlingen ska uppfylla. Samtidigt har den tekniska utvecklingen skapat nya möjligheter att behandla känsliga kunduppgifter och att för tillåtna användningsändamål samköra dem med andra personuppgifter på ett sätt som bättre än tidigare tryggar skyddet av kundernas personuppgifter och deras tillitsskydd. 

Ett av de primära målen för lagen är att i all sekundär behandling av social- och hälsovårdsuppgifter skydda personuppgifter för att allmänheten ska ha stort förtroende för sekundär användning av deras personuppgifter. Lagen möjliggör betydligt bättre dataskydd vid sekundär behandling av känsliga personuppgifter inom social- och hälsovården. 

Ett syfte med lagen om sekundär användning är att möjliggöra en smidig och informationssäker behandling av uppgifter. För detta ändamål inrättas en centraliserad elektronisk tillståndstjänst samt Tillståndsmyndigheten för användning av social- och hälsovårdsdata, som avgör tillståndsansökningar. Tillståndsmyndigheten ska centralt ha hand om en rad tjänster vid sekundär användning av kunduppgifter inom social- och hälsovård på andra myndigheters och organisationers vägnar. 

Enligt 5 § fattar tillståndsmyndigheten beslut om dataanvändningstillstånd som gäller andra personuppgiftsansvarigas material samt svarar för insamling, samkörning och utlämnande av uppgifter med stöd av dess beslut för sekundär användning. Tillståndsmyndigheten har rätt att på begäran om information samla in personuppgifter från olika personuppgiftsansvariga och genom att samköra dem producera anonym information åt den som framställt begäran. Syftet med den centraliserade tillståndsbehandlingen är att göra tillhandsbehandlingen smidigare samt förbättra informationssäkerheten samt samordna de personuppgiftsansvarigas tillståndsrutiner. 

Tillståndsmyndigheten driver ett hanteringssystem för begäranden om information för förmedling och behandling av begäranden om information och tillståndsansökningar samt en informationssäker drifttjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten förvaltar även en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett dataanvändningstillstånd. Tillståndsmyndigheten övervakar dessutom att villkoren för det beviljade tillståndet iakttas. Den får återkalla ett dataanvändningstillstånd, om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet. 

Enligt 4 § 1 mom. inrättas tillståndsmyndigheten i anslutning till Institutet för hälsa och välfärd. Tillståndsmyndigheten är en självständig enhet vid Institutet för hälsa och välfärd. Enligt 2 mom. leds tillståndsmyndigheten också separat från ledningen av institutets andra uppgifter så att den omfattas av social- och hälsovårdsministeriets resultatstyrning. 

De personuppgiftsansvariga som behandlar kunduppgifter inom social- och hälsovården ingår i tillståndsmyndighetens styrstruktur. Enligt 4 och 8 § ska tillståndsmyndigheten ha en styrgrupp, som består av företrädare för de personuppgiftsansvariga vars uppgifter tillståndsmyndigheten med stöd av propositionen får lämna ut. Genom styrgruppen kan de personuppgiftsansvariga bland annat inverka på vilka avgifter som ska tas ut för tjänsterna samt hur resurserna ska riktas till utvecklandet av informationssystemen. Social- och hälsovårdsministeriet ställer upp resultatmål för tillståndsmyndigheten och dess verksamhet utifrån de förslag som tillståndsmyndighetens styrgrupp utarbetat. 

Lagens 9 § tillåter att det bildas ett aktiebolag som är underställt tillståndsmyndigheten och som inte är vinstdrivande. Social- och hälsovårdsministeriet får bilda ett aktiebolag ensamt eller tillsammans med en eller flera organisationer som avses i 6 §, undervisnings- och kulturministeriet, arbets- och näringsministeriet eller finansministeriet. Bolaget ska ägas och förvaltas av staten, medan social- och hälsovårdsministeriet ansvarar för ägarstyrningen. Bolaget kan ges uppgifter i anknytning till de tjänster som avses i 10 § 3–7 punkten och som inte innefattar några beslutsbefogenheter. 

På social- och hälsovårdsutskottets förslag fogades till 8 § i lagen om sekundär användning bestämmelser om en expertgrupp som tillsätts som stöd för tillståndsmyndigheten och som har i uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för Tillståndsmyndigheten för användning av social- och hälsovårdsdatas verksamhet. Expertgruppen ska enligt bestämmelsen ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. 

1.2.16  Lagen om offentlighet i myndigheternas verksamhet

Lage om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen) trädde i kraft den 1 december 1999. Genom lagen reformerades hela lagstiftningen om offentlighet och sekretess för myndighetshandlingar. Lagen hade som mål att garantera att offentlighetsprincipen beaktas i all utövning av offentlig makt. Lagens tillämpningsområde omfattar alla som sköter offentliga uppgifter, oberoende av om de är organiserade som myndigheter eller inte. Lagen innehåller bestämmelser om handlingars offentlighet, god förvaltningssed, skyldighet att iaktta sekretess samt undantag från och upphörande av sekretess. 

Enligt 1 § är myndighetshandlingar offentliga, om inte något annat föreskrivs särskilt. Med handling avses enligt 5 § utom en framställning i skrift eller bild även ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel. Med myndighetshandling avses en handling som innehas av en myndighet och som har upprättats av myndigheten eller av en anställd hos en myndighet eller som har inkommit till en myndighet för behandling av ett visst ärende eller i övrigt inkommit i samband med ett ärende som hör till myndighetens verksamhetsområde eller uppgifter. En handling anses ha blivit upprättad av en myndighet även när den har upprättats på uppdrag av myndigheten. En handling anses ha inkommit till en myndighet även när den har inkommit till den som är verksam på uppdrag av myndigheten eller i övrigt för myndighetens räkning, för att denne ska kunna utföra sitt uppdrag. 

I 6 § anges när en handling som upprättats av en myndighet blir offentlig. En handling som har inkommit till en myndighet blir enligt 7 § offentlig när myndigheten har fått den, om det inte i denna lag eller i någon annan lag föreskrivs något om dess offentlighet eller sekretess eller om någon annan begränsning av rätten att ta del av den. En handling som kan uppfattas endast med hjälpmedel blir offentlig tidigast när myndigheten eller den som är verksam för dess räkning har tillgång till den, om inte något annat följer av sekretessbestämmelser eller andra begränsningar av rätten att ta del av en handling. Var och en har enligt 9 § rätt att ta del av en offentlig myndighetshandling. Enligt 10 § får uppgifter om en sekretessbelagd myndighetshandling eller om dess innehåll lämnas ut endast om så särskilt bestäms i denna lag. 

Bestämmelser om en parts rätt att ta del av en handling finns i 11 §. Enligt 12 § är utgångspunkten att var och en har rätt att ta del av de uppgifter som ingår i en myndighetshandling och som gäller honom eller henne själv. Av de offentliga uppgifterna i ett beslutsregister som förs av en myndighet med hjälp av automatisk databehandling har man med stöd av 16 § rätt att få en kopia i form av en teknisk upptagning eller annars i elektronisk form, om inte särskilda skäl talar för något annat. Utlämnande av uppgifter i motsvarande form ur en annan offentlig handling beror på myndighetens prövning, om inte något annat föreskrivs. Dessutom får personuppgifter ur ett register, om inte något annat särskilt bestäms i lag, lämnas ut i form av en kopia eller en utskrift eller i elektronisk form om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. Lagen innehåller dessutom bestämmelser om myndigheternas skyldighet att främja möjligheterna att ta del av en handling samt en god informationshantering. 

Enligt 24 § 1 mom. 25 punkten är handlingar som innehåller uppgifter om en klient hos socialvården och om de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit eller uppgifter om en persons hälsotillstånd eller handikapp, den hälso- och sjukvård eller rehabilitering som denne har erhållit eller uppgifter om någons sexuella beteende eller inriktning sekretessbelagda myndighetshandlingar, om inte något annat föreskrivs särskilt. En myndighet kan enligt 26 § 1 mom. lämna ut uppgifter ur en sekretessbelagd myndighetshandling, om det i lag särskilt har tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter, eller när sekretess har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. 

1.2.17  Informationshanteringslagen

Lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen) är en allmän lag om informationshantering som trädde i kraft den 1 januari 2020. 

Genom informationshanteringslagen upphävs bestämmelserna om god informationshantering i offentlighetslagen samt förordningen om informationssäkerheten, som utfärdats med stöd av offentlighetslagen. Som ett led i reformen slopas skyddsklassificeringen av handlingar och de krav på hanteringen av handlingar som är kopplade till klassificeringen. Sekretessbelagda handlingar och uppgifter som ingår i dem har enligt gällande lagstiftning kunnat klassificeras beroende på vilka krav på informationssäkerhet som måste iakttas vid behandlingen av dem. Skyddsklassificeringen av handlingar och bestämmelserna om saken upphävs i sin helhet genom informationshanteringslagen. I fortsättningen baseras kraven gällande behandling av information på de minimikrav som gäller i fråga om informationssäkerheten samt på riskbaserad bedömning och genomförande på basis därav. 

Informationshanteringslagen innehåller för första gången enhetliga grundläggande informationssäkerhetskrav för myndigheternas verksamhet. Syftet med regleringen är att säkerställa att samtliga informationshanteringsenheter uppfyller åtminstone samma grundläggande krav. På detta sätt främjas samhällets övergripande informationssäkerhet och möjliggörs en förstärkning av det inbördes förtroendet mellan myndigheterna så att bland annat onödiga säkerhetsutredningar mellan myndigheterna kan slopas. 

Genom informationshanteringslagen skapas också en grund för genomförande av medborgarnas rättigheter i informationshänseende, eftersom myndigheterna i enlighet med de noggrannare bestämmelserna ska beskriva för allmänheten hur information kan hämtas ur myndigheternas informationssystem. Dessa rättigheter är direkt beroende också av EU:s allmänna dataskyddsförordning samt av de informationsrättigheter som föreskrivs i offentlighetslagen. Informationshanteringslagen inverkar inte på innehållet i dessa rättigheter utan en effektiv och enhetlig informationshantering med tillhörande beskrivningar främjar genomförandet av registrerade aktörers, förvaltningskunders och parters rättigheter i informationshänseende. De informationshanteringsenheter som avses i informationshanteringslagen ska när de genomför och planerar sin informationshantering beakta också medborgarnas rättigheter till information. 

Centrala regleringsobjekt i informationshanteringslagen är de krav som ställs på de i lagen avsedda informationshanteringsenheternas verksamhet i fråga om organisering av informationshanteringen, planeringen och beskrivningen av informationshanteringen samt informationssäkerheten. En central reglering som förnyas utgörs av bestämmelserna om informationshantering av ärenden och tjänster samt bestämmelserna om skapande och elektronisk överföring av informationsmaterial. Med dessa bestämmelser införs i den allmänna regleringen för första gången allmänna förpliktelser i fråga om användning av tekniska gränssnitt. 

Genom informationshanteringslagen genomförs nationellt artikel 5.1 i Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn, sådant det lyder genom ändrat Europaparlamentets och rådets direktiv 2013/37/EU av den 26 juni 2013 om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (nedan PSI-direktivet). PSI-direktivet har till övriga delar beaktats i offentlighetslagen. 

I 4 kap. i informationshanteringslagen finns bestämmelser om informationssäkerhet. I 12 § föreskrivs om grunderna för genomförande av personalsäkerheten i anslutning till hantering av informationsmaterial. Enligt paragrafens första mening åläggs informationshanteringsenheter att identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. Syftet med bestämmelsen är att säkerställa att informationshanteringsenheterna och de myndigheter som är verksamma inom dem bedömer de i informationshanteringen deltagande personernas arbetsuppgifter samt den tillförlitlighet som uppgifterna förutsätter. 

I 13 § finns bestämmelser om informationssäkerhet i fråga om informationsmaterial och informationssystem. Enligt 13 § 1 mom. ska en informationshanteringsenhet följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel, genom att identifiera relevanta risker som är förenade med databehandlingen av informationsmaterial och informationssystem för hantering av materialet. Informationshanteringsenheten ska dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Bestämmelsen utgör en helhet till vilken hör riskbedömning, planering av informationssäkerhetsåtgärder på basis av identifierade risker samt genomförande av informationssäkerhetsåtgärder. Riskbedömningen är inte en åtgärd av engångskaraktär utan den är en kontinuerlig verksamhet som bland annat innebär utvärdering av planer samt effekten av genomförda informationssäkerhetsåtgärder. Enligt 2 mom. ska de med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans testas regelbundet, i syfte att säkerställa verksamhetens kontinuitet och upp- datera informationssäkerhetsåtgärderna. Med relevanta informationssystem avses kritiska system med tanke på genomförandet av en myndighets lagstadgade uppgifter, i synnerhet i samband med produktion av tjänster för förvaltningskunder. 

Syftet med paragrafens 3 mom. är att främja tillgången på information från myndigheternas informationssystem och informationsmaterial. Kraven avser de myndigheter som i praktiken svarar för informationsmaterialens tillgänglighet. Genom bestämmelsen främjas genomförandet av en god offentlighets- och sekretesstruktur i myndigheternas informationssystem och i de databaser som bildas av informationsmaterialen. Enligt bestämmelsen ska myndigheterna planera informationssystemen, strukturerna för informationslager och databehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten mödolöst kan tillgodoses. Genom bestämmelsen understryks det att informationen i en myndighets system med hjälp av informationssystemets sökfunktioner ska kunna omvandlas till myndighetsdokument. Syftet med bestämmelsen är att säkerställa tillgången på information i syfte att förverkliga offentlighetsprincipen, sköta myndigheternas uppgifter samt trygga sekretessintresset i fråga om sekretessbelagd information. Denna skyldighet är inte ny utan den har ingått i offentlighetslagens 18 § 1 mom. 4 punkten. 

Enligt paragrafens 4 mom. ska myndigheterna i samband med sina upphandlingar säkerställa att det informationssystem som upphandlas innefattar lämpliga informationssäkerhetsåtgärder. Offentliga upphandlingar ska enligt upphandlingslagstiftningen genomföras av upphandlingsenheter, dvs. i praktiken av myndigheter som ingår i informationshanteringsenheter. Syftet med bestämmelsen är att understryka att man i samband med upphandling av informationssystem ska planera och säkerställa ändamålsenliga informationssäkerhetsåtgärder. Då myndigheternas informationsbehandling koncentreras till informationssystem är det skäl att i samband med anskaffningar säkerställa att de informationssystem som anskaffas uppfyller informationssäkerhetskraven i enlighet med de informationsmaterial som ska behandlas och att informationssystemen kan användas för att på ett resultatgivande och effektivt sätt sköta myndighetsuppgifter. 

Paragrafens 5 mom. är en informativ hänvisning till lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011, bedömningslagen) och i samband med den till lagen om bedömningsorgan för informationssäkerhet (1405/2011). I de författningarna föreskrivs hur informationssäkerheten när det gäller myndigheternas informationssystem och datakommunikationssystem ska bedömas i vissa situationer. 

I 14 § i informationshanteringslagen föreskrivs om informationsöverföring i datanät. I paragrafen föreskrivs om de grunder på vilka en myndighet kan överföra sekretessbelagd information i ett datanät. Överföringen kan ske elektroniskt i ett krypterat eller annat skyddat format, om informationen är sekretessbelagd. Enligt bestämmelsen har en myndighet prövningsrätt i fråga om överföringsmetoden för sekretessbelagd information i datanät. 

I 15 § föreskrivs om tryggande av säkerheten i fråga om informationsmaterial. Säkerhetskraven ställs på myndigheter eftersom det är de som hanterar och utövar beslutanderätten i fråga om sina informationsmaterial. I paragrafen föreskrivs också om grunderna för säkerheten i fråga om verksamhetslokalerna. Enligt bestämmelsen ska informationsmaterial hanteras och förvaras i verksamhetslokaler som är tillräckligt säkra med tanke på de krav som ställs på materialets konfidentialitet, integritet och tillgänglighet. 

I 16 § regleras grunderna för rätten att utnyttja informationssystem så att bestämmelsen säkerställer tillträde till ett informationssystem endast för personer som har rätt att hantera systemets informationsmaterial och endast i den mån som respektive användares behov förutsätter detta. Paragrafens bestämmelser avser myndigheter men i praktiken är det informationshanteringsenheterna som på organisationsnivå utfärdar anvisningar om användarrättigheter samt utövandet av dem. Enligt paragrafen ska en enligt informationssystemet ansvarig myndighet definiera informationssystemens användarrättigheter, som ska fastställas utifrån användarnas uppgiftsrelaterade behov. Användarrättigheterna ska bestämmas utifrån varje systemanvändares uppgiftsrelaterade behov och de ska hållas uppdaterade. Bestämmelserna förutsätter att användarrättigheterna fastställs på förhand för varje systemanvändare. 

I 17 § föreskrivs om insamling av logginformation. Logginformation ska samlas in, om användningen av ett informationssystem förutsätter identifiering eller annan registrering. Med stöd av informationshanteringslagen behöver logginformation samlas in om vilket som helst informationssystem. Logginformation ska samlas in om användningen av och utlämnandet av information från informationssystem, men insamlingen ska vara behovsrelaterad. Om sekretessbelagd information eller personuppgifter lämnas ut från ett informationssystem via gränssnitt eller elektronisk förbindelse ska logginformation samlas från det utlämnande systemet i syfte att säkerställa att det finns en laglig grund för utlämnandet. Dessutom ska logginformation om användningen samlas in åtminstone i datasystem där sekretessbelagd information behandlas. 

I 18 § föreskrivs om handlingar som ska säkerhetsklassificeras inom statsförvaltningen. En handling eller informationen i den ska säkerhetsklassificeras och förses med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid be- handlingen av den, om handlingen eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet. 

1.2.18  Lagen om bedömningsorgan för informationssäkerhet

I lagen om bedömningsorgan för informationssäkerhet (1405/2011) finns bestämmelser om ett förfarande genom vilket företag tillförlitligt kan visa en utomstående att de i sin verksamhet har sörjt för en viss informationssäkerhetsnivå (1 §). Lagen tillämpas på näringsidkare och på enheter som tillhandahåller serviceuppgifter för den offentliga förvaltningen och som på uppdrag bedömer informationssäkerhetens nivå (bedömningsorgan för informationssäkerhet) och vill att Kommunikationsverket ska godkänna deras verksamhet (2 §). 

I 3 kap. finns bestämmelser om bedömning av informationssäkerheten. Till bedömningsorganens uppgifter hör med stöd av 9 § 1 mom. att granska lokalerna hos den som bedömningen gäller samt klarlägga om den som bedömningen gäller i sin verksamhet på behörigt sätt har uppfyllt de krav angående informationssäkerheten som ligger till grund för utredningen. Det godkända bedömningsorganet för informationssäkerhet utfärdar med stöd av 2 mom. på basis av utredningarna och granskningen ett intyg, om lokalerna och verksamheten hos den som bedömningen gäller är förenliga med de bedömningsgrunder som legat till grund för utredningen. 

I 10 § föreskrivs om bedömningsgrunder för informationssäkerhet. Vid bedömning kan, enligt vad som den som bedömningen gäller, väljer användas 1) i lag eller förordning föreskrivna krav på informationssäkerheten i myndigheternas verksamhet samt finansministeriets anvisningar om informationssäkerhet, 2) anvisningar om uppfyllande av internationella informationssäkerhetsförpliktelser som meddelats av den nationella säkerhetsmyndighet som avses i lagen om internationella förpliktelser som gäller informationssäkerhet, 3) Europeiska unionens eller något annat internationellt organs bestämmelser eller anvisningar om informationssäkerhet, 4) publicerade allmänt eller regionalt tillämpade bestämmelser, föreskrifter eller anvisningar om informationssäkerhet, 5) informationssäkerhetskrav som ingår i en fastställd standard. 

I 13 a § föreskrivs om registrering av uppgifter i registret över säkerhetsutredningar. Enligt 1 mom. ska Kommunikationsverket i det register över säkerhetsutredningar som avses i säkerhetsutredningslagen anteckna uppgifter om godkända bedömningsorgan samt uppgifter som ingår i intyg som getts till bedömningsorgan. Återkallelsen av ett godkännande ska omedelbart antecknas i registret. Enligt 2 mom. kan ett godkänt bedömningsorgan för anteckning i registret över säkerhetsutredningar och för vidarebefordran ur registret lämna Kommunikationsverket uppgifter om dem som det har bedömt och om innehållet i det intyg som det har utfärdat, om inte den som bedömningen gäller har förbjudit detta. Före underrättelsen ska den som bedömningen gäller informeras om syftet med databehandlingen och den reglering som gäller den. 

1.2.19  Lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation

Bestämmelser om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation ingår i en lag som utfärdades den 22 december 2011 (1406/2011, nedan bedömningslagen). 

Med stöd av 3 § får statsförvaltningsmyndigheterna för bedömning av informationssäkerheten i sina informationssystem och sin datakommunikation bara använda sig av det förfarande som avses i denna lag eller av ett sådant bedömningsorgan som har godkänts av Kommunikationsverket enligt lagen om bedömningsorgan för informationssäkerhet. 

Kommunikationsverket ska enligt 4 § i bedömningslagen 1) på en myndighets begäran göra en bedömning av överensstämmelse med kraven på informationssäkerhet i fråga om informationssystem eller datakommunikation som myndigheten bestämmer över eller planerar att skaffa, 2) på det sätt som föreskrivs i 8 § utfärda ett intyg som visar att informationssystemet eller datakommunikationen har godkänts, 3) på finansministeriets begäran göra utredningar om den allmänna nivån på informationssäkerheten i informationssystem eller datakommunikation som en statsförvaltningsmyndighet bestämmer över. Kommunikationsverket har med stöd av 6 § i bedömningslagen rätt att få uppgifter och rätt att få tillträde till lokaler och informationssystem. 

Som bedömningsgrunder för informationssäkerheten i myndigheternas informationssystem och datakommunikation kan Kommunikationsverket med stöd av 7 § i bedömningslagen använda 1) i lag eller förordning föreskrivna krav på informationssäkerheten i myndigheternas verksamhet samt finansministeriets anvisningar om informationssäkerhet, 2) anvisningar om uppfyllande av internationella informationssäkerhetsförpliktelser som meddelats av den nationella säkerhets- myndighet som avses i lagen om internationella förpliktelser som gäller informationssäkerhet, 3) Europeiska unionens eller något annat internationellt organs bestämmelser och anvisningar om informationssäkerhet, 4) publicerade allmänt eller regionalt tillämpade bestämmelser, föreskrifter eller anvisningar om informationssäkerhet, 5) informationssäkerhetskrav som ingår i en fastställd standard. Kommunikationsverket utreder om informationssystemet eller datakommunikationen uppfyller de krav angående informationssäkerheten som utgör bedömningsgrunder. Bedömningen kan även vara partiell. 

Kommunikationsverket kan på begäran utfärda intyg enligt 8 § i bedömningslagen över informationssystem eller datakommunikation som uppfyller kraven på informationssäkerhet. Intyg kan utfärdas för viss tid, om det finns särskilda skäl till det. Med stöd av 8 a § får det genom förordning av statsrådet föreskrivas att ett intyg ska skaffas i fråga om informationssystem eller datakommunikation som en statsförvaltningsmyndighet bestämmer över och där handlingar som hör till säkerhetsklass I eller II behandlas. 

I 9 § i bedömningslagen föreskrivs om upprätthållande och uppföljning av informationssäkerhetsnivån. Enligt den ska den som önskar få ett intyg som avses i lagens 8 § förbinda sig att upprätthålla informationssäkerhetsnivån. Den som fått ett intyg ska underrätta Kommunikationsverket om sådana ändringar som inverkar på informationssäkerhetsnivån och ge Kommunikationsverket tillträde till informationssystemen och datakommunikationen för utredande av om dessa alltjämt uppfyller de krav som anges i intyget. 

Med stöd av 10 § kan Kommunikationsverket återkalla ett intyg som utfärdats med stöd av denna lag, om det informationssystem eller den datakommunikation som bedömningen har gällt inte längre uppfyller de krav som har utgjort en förutsättning för utfärdande av intyget. 

Numera svarar Transport- och kommunikationsverket, Traficom, för Kommunikationsverkets uppgifter. 

1.2.20  Lagen om elektronisk kommunikation i myndigheternas verksamhet

Lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) trädde i kraft den 1 februari 2003. Syftet med lagen är att genom främjande av elektroniska dataöverföringsmetoder göra uträttandet och behandlingen av ärenden smidigare och snabbare i förvaltningen, vid domstolar och andra rättskipningsorgan samt i utsökningsförfarandet, samt att öka datasäkerheten i anslutning till dessa. 

Lagen tillämpas inom förvaltningsmyndigheter, domstolar och övriga rättskipningsorgan, utsökningsmyndigheter samt andra än myndigheter som sköter uppgifter inom den offentliga förvaltningen. 

Med en elektronisk dataöverföringsmetod avses enligt 4 § telefax och teletjänster, såsom elektroniska blanketter, elektronisk post och rätten att använda elektroniska datasystem, samt andra på elektronisk teknik baserade metoder där data förmedlas via en trådlös överföringskanal eller kabel. Med en elektronisk dataöverföringsmetod avses dock inte telefonsamtal. Ett elektroniskt meddelande är information som har sänts med en elektronisk dataöverföringsmetod och som vid behov kan sparas i skriftlig form. Med elektroniskt dokument avses ett elektroniskt meddelande som hänför sig till anhängiggörandet eller behandlingen av ett ärende eller till delgivningen av ett beslut. 

Enligt lagen ska en myndighet som har behövlig teknisk, ekonomisk och övrig beredskap inom ramen för den erbjuda var och en möjlighet att i syfte att anhängiggöra ärenden eller för behandlingen av dem sända meddelanden till en elektronisk adress eller specificerad anordning som angetts av myndigheten. 

Elektroniska meddelanden sänds till myndigheterna på avsändarens ansvar. Vid anhängiggörande och behandling av ärenden uppfyller också elektroniska dokument som sänts till en myndighet kravet på skriftlig form. Lagen har även bestämmelser om när ett elektroniskt meddelande anses ha kommit in och bestämmelser om teknisk bearbetning och överföring av elektroniska dokument. 

Dessutom gäller lagen elektronisk signering av beslutshandlingar och elektronisk delgivning. En handling som enligt lag ska sändas med post mot mottagningsbevis eller delges bevisligen på annat sätt får med partens samtycke delges också som ett elektroniskt meddelande. En beslutshandling delges bevisligen från en av myndigheten anvisad server, databas eller någon annan fil. När beslutshandlingen hämtas ska parten eller dennes företrädare identifiera sig ett med ett certifikat som uppfyller kravet på underskrift eller med någon annan identifieringsteknik som är datatekniskt tillförlitlig och bevislig. Om delgivningen inte har skett bevisligen inom sju dagar från myndighetens meddelande, iakttas vid delgivningen vad som särskilt föreskrivs om delgivning. Andra handlingar får med samtycke av den som saken gäller delges som ett elektroniskt meddelande. Om det krävs för att tillgodose skyddet för den personliga integriteten eller på grund av ett särskilt behov av skydd eller säkerhet hos den som saken gäller, eller för att trygga dennes rättigheter, ska vid delgivning av handlingar samma förfarande iakttas som vid bevislig elektronisk delgivning. 

Lagen ålägger certifikatutfärdare som tillhandahåller kvalificerade certifikat vissa skyldigheter, som stärker de elektroniska signaturernas tillförlitlighet. Skyldigheterna innebär bl.a. att den som ansöker om kvalificerat certifikat ska identifieras på ett tillförlitligt sätt, att säkra system används och att det finns tillräckliga tekniska och ekonomiska resurser samt kompetent personal. Lagen anger också minimikraven för kvalificerade certifikat. En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat är med de begränsningar som föreskrivs i lag ansvarig för skada som orsakats den som förlitat sig på en elektronisk signatur som verifierats med ett kvalificerat certifikat. Certifikatutfärdaren ska göra en anmälan om sin verksamhet till Kommunikationsverket, som utövar tillsyn över utfärdandet av kvalificerade certifikat. 

Avancerade elektroniska signaturer skapade med hjälp av en i lagen angiven säker anordning för signaturframställning och kvalificerade certifikat garanteras samma ställning som en traditionell handskriven underteckning. En certifikatutfärdare som tillhandahåller allmänheten certifikat får i princip inhämta de personuppgifter som är nödvändiga för att utfärda och upprätthålla ett certifikat endast hos undertecknaren själv eller med dennes uttryckliga samtycke. 

Den allmänna styrningen av och tillsynen över certifikatverksamheten hör till kommunikationsministeriets uppgifter. Kommunikationsverket ska övervaka att lagen om elektroniska signaturer iakttas. I anknytning till denna uppgift har Kommunikationsverket rätt till upplysningar och inspektionsrätt. 

1.2.21  Lagen om förvaltningens gemensamma stödtjänster för e-tjänster

Lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) trädde i kraft den 15 juli 2016. Syftet med lagen är att förbättra tillgången och kvaliteten på offentliga tjänster, att förbättra tjänsternas informationssäkerhet och interoperabilitet samt styrningen av tjänsterna och att främja effektiviteten och produktiviteten inom den offentliga förvaltningen. Lagen innehåller bestämmelser om den offentliga förvaltningens gemensamma stödtjänster för e- tjänster, om kraven på stödtjänsterna, om åligganden som hänför sig till produktionen av stödtjänster samt om behandlingen av personuppgifter och andra uppgifter i samband med produktionen. I lagen finns dessutom bestämmelser om rätten och skyldigheten att använda gemensamma stödtjänster för e-tjänster och om förutsättningarna för att använda tjänsterna. 

Bakgrunden till lagen är de stödtjänster som främjar de digitala tjänsternas infrastruktur och som utvecklas inom ramen för programmet för genomförande av en nationell servicearkitektur (KaPA) samt en precisering av produktionsansvaret för de nuvarande stödtjänsterna för elektronisk kommunikation så att de överensstämmer med servicearkitekturen. 

1.2.22  Lagen om tillhandahållande av digitala tjänster

Lagen om tillhandahållanade av digitala tjänster (306/2019) trädde i kraft den 15 mars 2019. Genom lagen genomfördes Europaparlamentets och rådets direktiv om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer nationellt. I lagen bestäms om skyldigheten för myndigheter och andra som sköter offentliga förvaltningsuppgifter att tillhandahålla digitala tjänster för kunderna inom förvaltningen och om skyldigheterna i anslutning till detta. 

Ett mål med lagen är att främja tillhandahållandet av högklassiga och informationssäkra digitala tjänster inom den offentliga sektorn och att ge sådana grupper i samhället som har särskilda behov bättre förutsättningar att använda den offentliga sektorns digitala tjänster på egen hand. I lagen bestäms om metoder för att göra de digitala tjänsterna tillgängligare och säkerställa att tillgänglighetskraven blir effektivt genomförda. 

Lagens tillgänglighetskrav tillämpas också i vissa fall där myndigheterna finansierar utvecklandet och förvaltningen av digitala tjänster. Lagen innehåller bestämmelser om de allmänna grunderna för tillgänglighetskraven, om tillgänglighetsutlåtanden, om tillsynsmyndigheten och dess uppgifter samt om skyldigheten att tillgodose rättigheterna för dem som använder webbplatser och mobilapplikationer. Europeiska kommissionen kommer att separat anta närmare genomförandeakter om tillgänglighetskraven och tillgänglighetsutlåtandena. 

1.2.23  Lagen om stark autentisering och betrodda elektroniska tjänster

Lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) trädde i kraft den 1 september 2009. I lagen har det gjorts ändringar som trädde i kraft den 1 april 2019 (412/2019). I samband med ändringen ändrades lagens namn till lagen om stark autentisering och betrodda elektroniska tjänster. Syftet med lagen har varit att åstadkomma grundläggande bestämmelser om tillhandahållande av tjänster för stark autentisering i Finland och att skapa en ram för en marknad för sådana tjänster. 

Vid sidan av lagen om stark autentisering och betrodda elektroniska tjänster finns det också andra lagar som påverkar stark autentisering och elektroniska signaturer. Sådana lagar är i synnerhet lagen om elektronisk kommunikation i myndigheternas verksamhet, lagen om befolkningsdatasystemet och Myndigheten för digitalisering och befolkningsdatas certifikattjänster (661/2009) och offentlighetslagen. 

Lagen om stark autentisering och betrodda elektroniska tjänster tillämpas på stark autentisering, elektroniska signaturer och tillhandahållande av anknytande tjänster för tjänsteleverantörer och allmänheten. Den innehåller bestämmelser bl.a. om funktionernas rättsverkan, behandling av personuppgifter, stark autentisering, elektroniska signaturer och tillsynsmyndigheter. 

Tjänster inom elektronisk identifiering och elektroniska signaturer ger allmänheten en möjlighet att använda elektroniska tjänster. Offentliga och kommersiella elektroniska tjänster som kräver stark autentisering av personer blir allt fler. I Finland regleras tillhandahållandet av och kvaliteten på stark autentisering och certifikattjänster för elektroniska signaturer genom lag. 

Europaparlamentet och rådet har antagit förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan EU:s förordning om elektronisk identifiering eller eIDAS-förordningen). Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i offentliga eller privata tjänster som kräver elektronisk identifiering. Ett sådant system för interoperabilitet i elektronisk identifiering som omfattar hela EU har krävt att gemensamma tillitsnivåer för elektronisk identifiering fastställs på EU-nivå. 

Med system för elektronisk identifiering avses i eIDAS-förordningen ett system för elektronisk identifiering genom vilket medel för elektronisk identifiering utfärdas till en fysisk eller juridisk person eller en fysisk person som företräder en juridisk person. 

Enligt definitionen i 2 § i lagen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. 

Med elektronisk underskrift avses i eIDAS-förordningen uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat. 

Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. 

Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat. 

Ansvaret för lagstiftningen om stark autentisering är fördelat mellan kommunikationsministeriet och finansministeriet. Kommunikationsministeriet ansvarar för den allmänna lagstiftningen om stark autentisering och finansministeriet för den lagstiftning som gäller Myndigheten för digitalisering och befolkningsdata och för styrningen inom den offentliga förvaltningen av användningen av elektronisk identifiering. Tillsynen över aktörernas verksamhet inom stark autentisering sköts av Kommunikationsverket. 

Kommunikationsverket ska övervaka att Europeiska unionens lagstiftning om elektronisk identifiering och betrodda tjänster följs. I fråga om de system för stark autentisering som används i Finland ska minst samma krav på tillförlitlighet och informationssäkerhet ställas som de krav som i Europeiska unionens lagstiftning ställs på de system för elektronisk identifiering på tillitsnivån väsentlig som överskrider unionens gränser. 

Kommunikationsverket och Myndigheten för digitalisering och befolkningsdata ska i Finland genomföra de åtgärder som Europeiska unionens system för interoperabilitet i elektronisk identifiering kräver. 

1.2.24  Arkivlagen

Arkivlagen (831/1994) trädde i kraft den 1 oktober 1994. Genom den minskade den detaljerade regleringen av myndigheternas arkivfunktion och arkivverkets tillsynsuppgifter betydligt. I lagen beaktades också den utveckling som hade skett inom datateknik och informationsanvändning och som hade konsekvenser för arkivfunktionen. Lagen innehåller bestämmelser om arkivverket, arkivfunktionen och organiseringen av den, framställning, förvaring och användning av handlingar samt privata arkiv. 

Enligt 6 § omfattar ett arkiv de handlingar som inkommit till arkivbildaren på grund av dess uppgifter eller som tillkommit genom dess verksamhet. Med handling avses i arkivlagen en framställning i skrift eller bild eller en på elektronisk väg eller på annat sätt åstadkommen framställning som kan läsas, avlyssnas eller annars uppfattas med tekniska hjälpmedel. Enligt 7 § har arkivfunktionen till uppgift att säkerställa att handlingar hålls tillgängliga och bevaras, att sköta den informationstjänst som hänför sig till dem, att bestämma handlingars förvaringsvärde och att gallra ut onödigt material. 

Arkivfunktionen ska skötas så att den stöder arkivbildaren i dess uppgifter samt tillgodoser enskilda personers och sammanslutningars rätt att få uppgifter ur offentliga handlingar och att enskilda personers och sammanslutningars rättsskydd samt datasekretess har beaktats på behörigt sätt och att tillgången på handlingar som ansluter sig till enskilda personers och sammanslutningars rättsskydd säkerställs och att handlingarna betjänar forskningen som informationskällor. Arkivfunktionens krav ska beaktas i arkivbildarens informations- och dokumentförvaltning. Arkivbildaren ska bestämma hur planeringen av, ansvaret för och den praktiska skötseln av arkivfunktionen ordnas. Arkivbildaren ska enligt 8 § bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppstår till följd av skötseln av uppgifterna och ha en arkivbildningsplan över dem. När förvaringstiderna för handlingarna bestäms ska det beaktas vad som särskilt bestäms eller föreskrivs om dem. Arkivverket bestämmer vilka handlingar och uppgifter i handlingar som ska bevaras varaktigt. 

Arkivfunktionen i en kommun ska enligt 9 § organiseras av kommunstyrelsen. Kommunstyrelsen ska utse den tjänsteinnehavare eller funktionär som leder kommunens arkivfunktion och arkivbildning och svarar för de handlingar som ska bevaras varaktigt. Detta gäller också samkommuner och andra motsvarande samarbetsformer. Arkivverket har enligt 10 § rätt att trots sekretessbestämmelserna få uppgifter om arkivbildarnas arkivfunktion och att inspektera bl.a. statliga ämbetsverks och inrättningars samt kommunala myndigheters och organs arkivfunktion. Lagens 11–16 § innehåller bestämmelser om förvaring och bevarande av handlingar. 

1.2.25  EU:s allmänna dataskyddsförordning

Allmänt 

Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ((EU) 2016/679, allmänna dataskyddsförordningen) trädde i kraft den 24 maj 2016. Den började tillämpas två år efter ikraftträdandet, dvs. den 25 maj 2018. Förordningen påverkar den gällande nationella lagstiftningen direkt. Förordningen ersätter Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (95/46/EG, personuppgiftsdirektivet). Syftet med förordningen är att uppdatera och modernisera principerna i personuppgiftsdirektivet. 

Syftet med den allmänna dataskyddsförordningen är att harmonisera olika praxis i fråga om dataskydd i medlemsländerna och att stärka självbestämmanderätten för de registrerade. Fastän förordningen syftar till att göra tillämpningen av dataskyddslagstiftningen mer konsekvent i hela EU lämnar den nationellt spelrum för lagstiftaren. Medlemsstaterna kan utfärda lagstiftning inom den offentliga sektorn som preciserar förordningen och som gäller t.ex. villkoren för att behandlingen av personuppgifter ska vara lagenlig. 

Förordningen har sitt ursprung i internationella människorättskonventioner och EU:s stadga om de grundläggande rättigheterna. Enligt artikel 7 i stadgan om de grundläggande rättigheterna som gäller respekt för privatlivet och familjelivet har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8 har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål. Behandlingen ska ske på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 

De grundläggande rättigheter som erkänns i stadgan om de grundläggande rättigheterna får enligt artikel 52 begränsas endast genom lag. Det väsentliga innehållet i dessa rättigheter och friheter ska även i detta fall iakttas. Begränsningarna ska vara förenliga med proportionalitetsprincipen. Proportionalitetsprincipen förutsätter att begränsningarna ska vara godtagbara och nödvändiga med hänsyn till det mål som eftersträvas. Begränsningarna ska respektera den registrerades, dvs. den person som behandlingen av personuppgifter gäller, och utomståendes rättigheter och friheter samt svara mot de mål som EU erkänner. 

Den allmänna dataskyddsförordningen tillämpas delvis eller helt och hållet på automatisk behandling av personuppgifter när ett register upprättas eller när avsikten är att upprätta ett register. Med personuppgifter avses i förordningen upplysningar som avser en identifierad eller identifierbar registrerad. Identifierare kan vara t.ex. namn, identifikationsnummer eller lokaliseringsuppgift. 

I bestämmelserna om personuppgifter har man gått in för ett riskbaserat förhållningssätt. Målet är å ena sidan att undvika överreglering av åtgärder med låg risk och å andra sidan att garantera skydd för den registrerade i verksamhet med hög risk. I skäl 75 i ingressen till förordningen nämns bl.a. följande risker: behandling av genetiska uppgifter eller uppgifter om hälsa, behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, och behandling av ett stort antal personuppgifter, om behandlingen gäller ett stort antal registrerade. 

I artikel 25 i förordningen skiljs planering av dataskyddet i förskott, inbyggt dataskydd och dataskydd som standard åt. Vid planering i förskott måste dataskyddet beaktas redan i planeringsstadiet och de tekniska och organisatoriska åtgärder som hänför sig till behandlingen av personuppgifter ska genomföras så att de registrerades rättigheter fullgörs och förordningen iakttas. Dataskydd som standard och inbyggt dataskydd innebär i standardfallet att endast uppgifter som är nödvändiga för varje specifikt ändamål behandlas och den personuppgiftsansvarige ska bygga upp en tjänst som är informationssäker och skyddad. 

Bestämmelser om den registrerades rättigheter finns i artiklarna 15–22. Den registrerade har rätt att bekanta sig med de uppgifter som samlats in om honom eller henne. Den registrerade har rätt att kräva att felaktiga uppgifter som rör honom eller henne rättas samt rätt att se till att uppgifter som rör honom eller henne raderas i registret. Den registrerade har, om han eller hon vill, rätt att överföra uppgifter från en personuppgiftsansvarig till en annan samt rätt att motsätta sig att uppgifterna används för t.ex. profilering. 

I artikel 4 i förordningen skiljs personuppgiftsansvarig och personuppgiftsbiträde åt. Med personuppgiftsansvarig avses en aktör som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning. Bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdets uppgifter finns i artiklarna 28–34. Till bådas ansvar hör att garantera en lämplig säkerhetsnivå för behandlingen och de personuppgifter som ska skyddas. Den personuppgiftsansvarige ska föra ett register över all uppgiftsbehandling som han eller hon ansvarar för. Den personuppgiftsansvarige är skyldig att underrätta tillsynsmyndigheten och den registrerade om personuppgiftsincidenter. Personuppgiftsbiträdet är på motsvarande sätt skyldigt att underrätta den personuppgiftsansvarige om personuppgiftsincidenter. Den personuppgiftsansvarige är dessutom enligt artiklarna 12–14 skyldig att gratis tillhandahålla den registrerade viss information om behandlingen av hans eller hennes personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska utse ett dataskyddsombud, om uppgiftsbehandlingen genomförs av en myndighet eller ett offentligt organ. Ett dataskyddsombud ska utses även om den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av sådan behandling som kräver övervakning av de registrerade i stor omfattning. Till dataskyddsombudets uppgifter hör t.ex. rådgivning för de anställda samt tillsyn över att den personuppgiftsansvarige och personuppgiftsbiträdet följer förordningen. Bestämmelser om den personuppgiftsansvarige finns i artiklarna 37–39 i förordningen. 

I artikel 24 om den personuppgiftsansvariges ansvar bestäms på allmän nivå om den personuppgiftsansvariges ansvar. Artikeln om den personuppgiftsansvariges ansvar ska tolkas tillsammans med andra bestämmelser om den personuppgiftsansvariges skyldigheter. Artikel 24 i dataskyddsförordningen kan inte tillämpas självständigt som en skyldighet som är fristående från den personuppgiftsansvariges andra skyldigheter. 

Enligt artikel 26 i den allmänna dataskyddsförordningen är det fråga om gemensamt personuppgiftsansvariga, om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt den allmänna dataskyddsförordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldighet- er fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgifts- ansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. 

Enligt artikel 26.2 i förordningen ska det arrangemang som avses i punkt 1 på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Enligt punkt 3 får dessutom, oavsett formerna för det arrangemang som avses i punkt 1, den registrerade utöva sina rättigheter enligt förordningen med avseende på och emot var och en av de personuppgiftsansvariga. 

När det gäller behandling av personuppgifter är huvudregeln enligt artikel 5 att uppgifter får användas endast för det ändamål som de ursprungligen har samlats in för, dvs. principen för ändamålsbegränsning. De kan användas för andra ändamål endast om det nya användningsändamålet är förenligt med det ursprungliga användningsändamålet. Enligt dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. 

1.2.26  Nationellt handlingsutrymme

En förordning är direkt nationellt tillämplig lagstiftning i motsats till ett direktiv, som ska genomföras nationellt. Dataskyddsförordningen innehåller emellertid ett omfattande direktivliknande nationellt handlingsutrymme särskilt för den offentliga sektorn. Det nationella handlingsutrymmet grundar sig på artikel 6 c och 6 e i dataskyddsförordningen. I förordningen finns dessutom flera artikelspecifika preciseringar angående det nationella handlingsutrymmet. 

Enligt artikel 4.7 i förordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 

Enligt artikel 4.9 i förordningen avses med mottagare en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. Offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare. Offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte. 

I artikel 5 b och 5 e finns bestämmelser om principer för behandling av personuppgifter. Enligt dessa punkter ska uppgifter ”samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). I och för sig kan det redan i detta sammanhang konstateras att den elektroniska arkiveringstjänst som föreslås i kunduppgiftslagen är en tjänst där uppgifter förvaras för att producera social- och hälsotjänster, inte för arkivändamål av allmänt intresse. 

I artikel 6.1 i förordningen finns det bestämmelser om laglig behandling av personuppgifter. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling, när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c) eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e). I detta fall kan medlemsstaterna noggrannare bestämma vilka särskilda krav på behandlingen av uppgifter och andra åtgärder som tryggar en laglig och ändamålsenlig behandling av uppgifter. 

Det ska föreskrivas om grunden för den behandling som avses i artikel 6.1 c och 6.1 e anting en i EU-rätten eller i en medlemsstats nationella rätt som tillämpas på den personuppgiftsan svarige. 

Syftet med behandlingen bestäms i den rättsliga grunden för behandlingen i fråga eller i den behandling som avses i artikel 6.1 e., och den ska vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bland annat: de allmänna villkor som ska gälla för den person- uppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ända- målsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, in begripet åtgärder för att tillförsäkra en laglig och rättvis behandling. 

1.2.27  Allmänna grunder för behandling av personuppgifter samt skyddsåtgärder

Även allmänt taget kräver behandling av personuppgifter en sådan grund för behandlingen som anges i förordningen. Allmänna grunder för behandling anges i artikel 6 i förordningen och grunderna för behandling av känsliga uppgifter i artikel 9. Behandlingen kan bl.a. grunda sig på personens samtycke, på skyddet av intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, på fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller på utförandet av en uppgift av allmänt intresse eller på den personuppgiftsansvariges myndighetsutövning. Känsliga personuppgifter är bl.a. genetiska eller biometriska uppgifter för entydig identifiering av en fysisk person samt uppgifter om hälsa. Dessa uppgifter åtnjuter särskilt skydd i förordningen och behandlingen av dem är mera begränsad än behandlingen av andra personuppgifter. 

Enligt artikel 6.1 är behandlingen laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt: 

a) den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, 

b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, 

c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, 

d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, 

e) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, 

f) behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. 

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. 

Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser, om be- handlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgifts- ansvarige eller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX. 

I artikel 9 i förordningen finns bestämmelser om grunderna för behandling av känsliga uppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. 

Det ovannämnda förbudet mot att behandla uppgifter tillämpas dock inte, om bl.a. 

• den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade, 

• behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrera- des grundläggande rättigheter och intressen fastställs, 

• behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, 

• behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda, 

Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i det sista ledet, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnads- plikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fast- ställs av nationella behöriga organ eller av en annan person som också omfattas av tystnads- plikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fast- ställs av nationella behöriga organ. 

1.2.28  Begreppet skyddsåtgärd (safeguard)

I den föreslagna kunduppgiftslagen föreskrivs det om behandling av känsliga personuppgifter. När känsliga personuppgifter behandlas ska dessa åtnjuta särskilt skydd enligt EU:s dataskyddsförordning. Nedan analyseras begreppet skyddsåtgärd både i dataskyddsförordningen och med avseende på denna proposition. 

Begreppet skyddsåtgärd i den allmänna dataskyddsförordningen 

I artikel 9 i dataskyddsförordningen finns bestämmelser om förbudet mot behandling av känsliga uppgifter. Känsliga uppgifter är uppgifter om bl.a. hälsan. Det är möjligt att göra undantag från förbudet att behandla känsliga uppgifter bl.a. på följande grunder: 

1. Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrät ten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. 

2. Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 

3. Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att skyddsåtgärderna är uppfyllda. 

4. Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. 

Alla ovan nämnda grunder förutsätter enligt dataskyddsförordningen utöver lagbestämmelser dessutom någon form av skyddsåtgärder eller särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. Behandling av andra än känsliga personuppgifter kräver däremot inte några skyddsåtgärder, med undantag för vissa situationer där uppgifter behandlas för annat än ursprungligt ändamål. 

I artikel 9 som gäller känsliga uppgifter definieras inte begreppet skyddsåtgärd. Begreppet har emellertid använts i stor utsträckning i andra artiklar i förordningen och särskilt i skälen. Det är möjligt att få stöd för en definition av skyddsåtgärd från andra delar av förordningen. Enligt exempelvis artikel 6 är kryptering och pseudonymisering (material som kan identifiera en fysisk person ersätts med artificiella identifierare) lämpliga skyddsåtgärder, om uppgifterna behandlas för något annat än ursprungligt syfte. 

Vägledning för begreppet skyddsåtgärd kan sökas särskilt i artikel 25 om inbyggt dataskydd och dataskydd som standard. Detta hänvisas det till på många ställen i förordningen där det talas om skyddsåtgärder. Enligt artikeln ska man beakta både den nyaste tekniken och genomförandekostnaderna. Dessutom måste hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål, samt de risker för fysiska personers rättigheter och friheter som behandlingen föranleder. Utifrån dessa omständigheter ska den personuppgiftsansvariga vid fastställandet av behandlingssätten och vid behandlingen av uppgifter iaktta dataskyddsprinciperna. Som dataskyddsprinciper nämns i förordningen som exempel uppgiftsminimering samt lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering. Genom dessa tekniska och organisatoriska åtgärder säkerställs det att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Antalet personuppgifter, behandlingens omfattning, förvaringstiden och tillgängligheten ska bedömas i förhållande till personuppgifternas nödvändighet. Ett obegränsat antal personer ska inte heller få tillgång till uppgifter som standard. Till sist nämns det att en godkänd certifieringsmekanism kan användas som ett element för att visa att de krav som nämns i detta stycke iakttas. 

Med skyddsåtgärder är det enligt artikel 24 möjligt att förhindra missbruk eller lagstridig åtkomst till uppgifterna eller flyttning av dem. Vid överföring av uppgifter till tredjeland ska enligt artikel 46 den personuppgiftsansvariga eller det personuppgiftsbiträde som tar emot uppgifterna genomföra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder kan vara bl.a. ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organisationer, bindande företagsbestämmelser, standardiserade dataskyddsbestämmelser eller en godkänd uppförandekod. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation (skäl 108). 

Enbart genom automatisk databehandling får en registrerads personliga egenskaper bedömas endast i specialsituationer. Även i detta fall måste man alltid tillämpa lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. 

Fysiska personer ska informeras om skyddsåtgärderna, och i synnerhet barns personuppgifter ska skyddas, eftersom barn kan vara mindre medvetna om sina rättigheter eller om skyddsåtgärder (skälen 38 och 39). 

Begreppet skyddsåtgärd har inte definierats uttömmande i förordningen, utan definitionen omfattas delvis av det nationella handlingsutrymmet. Fastän det i förordningen har räknats upp många olika möjliga skyddsåtgärder kan uppgifterna skyddas även på andra sätt. En uttömmande uppräkning av skyddsåtgärder i förordningen är ingen bra lösning, eftersom särskilt de tekniska skyddsåtgärderna utvecklas kontinuerligt och det kan i olika medlemsstater finnas olika sätt att skydda uppgifterna. 

1.2.29  Personuppgifter och skyddsåtgärder inom social- och hälsovården

Enligt förordningen är uppgifterna inom hälso- och sjukvården känsliga personuppgifter, och behandlingen av dem grundar sig på artikel 9 och kräver skyddsåtgärder. Behandlingen av uppgifter inom socialvården grundar sig däremot på artikel 6, och kräver inga skyddsåtgärder. Här analyseras således skyddsåtgärder endast vad beträffar uppgifter inom hälso- och sjukvården. 

Enligt 6 § 1 mom. i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte bland annat 

4) när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård, 

5) när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade, 

6) på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka. 

Enligt 6 § 2 mom. i dataskyddslagen ska en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är 

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter, 

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, 

3) utnämning av ett dataskyddsombud, 

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter, 

5) pseudonymisering av personuppgifter, 

6) kryptering av personuppgifter, 

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident, 

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, 

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål, 

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen, 

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder. 

Inbyggt dataskydd och dataskydd som standard har en central roll när det gäller att skydda uppgifter inom hälso- och sjukvården. Behandlingen av hälsouppgifter gäller i regel hela Finlands befolkning och målet för behandlingen är känsliga uppgifter, vars skydd är särskilt viktigt. Det primära användningsändamålet för hälsouppgifter är ordnande, produktion och genomförande av hälso- och sjukvård samt det allmänna intresset sett ur ett mer omfattande perspektiv. Risken vid behandling av hälsouppgifter är missbruk av uppgifterna och t.ex. läckta uppgifter, och möjligheten att så sker bör minimeras. Uppgifterna ska vara uppdaterade och vid behov finnas tillgängliga och kunna användas. Detta inverkar också på den tid uppgifterna förvaras. Administrering av åtkomsträttigheterna, utbildning av personalen samt andra tekniska och organisatoriska åtgärder förhindrar missbruk och lagstridig åtkomst till uppgifterna. Åtkomsträttigheterna definieras i den nya kunduppgiftslagen med beaktande av varje persons arbetsuppgifter. Fysiska personer, organisationer och datatekniska enheter ska kunna identifieras på ett tillförlitligt sätt. Samtidigt förhindras det att ett obegränsat antal personer kommer åt uppgifterna och det säkerställs att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas. 

För att den registrerades rättigheter ska tryggas ska kunden enligt kunduppgiftslagen informeras om att uppgifterna behandlas i riksomfattande informationssystemtjänster. Kunden har rätt att förbjuda att de uppgifter som han eller hon särskilt har specificerat lämnas ut. Insamling av användnings- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk. På det sättet säkerställs att den registrerades rättigheter respekteras. 

Utlämnandet av kunduppgifter med hjälp av riksomfattande informationssystemtjänster grundar sig i regel på lag i den föreslagna modellen. Personuppgifter som används i kundarbete kan inte krypteras, anonymiseras eller pseudonymiseras, eftersom tillförlitlig identifiering av en person och behandling av hans eller hennes identifierbara uppgifter är nödvändigt i arbetet. 

För att minimera riskerna måste man följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för att genomföra den nyaste tekniken. Enligt klientuppgiftslagen måste informationssystemens och kundhandlingarnas datastrukturer möjliggöra skydd av uppgifterna. Inom hälso- och sjukvården används en certifieringsmekanism för datasystem som kommer att bevaras även vid reformen av klientuppgiftslagen. Systemen ska följas och utvärderas och de ska uppfylla vissa väsentliga och övriga krav, som det föreskrivs om i propositionen. 

1.2.30  Förvaringstider

Allmänna bestämmelser om förvaring av personuppgifter finns i Europeiska unionens allmänna dataskyddsförordning, enligt vilken den personuppgiftsansvarige bör införa tidsfrister för radering eller för regelbunden kontroll av personuppgifter för att säkerställa att personuppgifter inte sparas längre än nödvändigt. I den mån dataskyddsförordningen inte är tillämplig, bestämmer enligt arkivlagen arkivbildaren förvaringstiderna och förvaringssätten för handlingar och har en arkivbildningsplan över dem. Enligt 13 § 3 mom. i informationshanteringslagen ska myndigheten planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras. Det är inte fråga om någon ny skyldighet, utan den har ingått i 18 § 1 mom. 4 punkten i offentlighetslagen. 

Det föreskrivs om handlingars förvaringstider på såväl lag- som förordningsnivå. Exempelvis med stöd av 12 § i patientlagen ska journalhandlingarna samt vid forskning och vård uppkommande prov innehållande biologiskt material och modeller av organ förvaras den tid som behövs för att ordna och tillhandahålla vård och behandling för patienten, behandla eventuella ersättningsanspråk i anknytning till vården och behandlingen och bedriva vetenskaplig forskning. I förordningen om journalhandlingar föreskrivs om förvaringstiderna för journalhandlingar. Journalhandlingarna bildar ett personregister. 

Grundlagsutskottet har i sin tolkningspraxis ansett att förvaringstiderna för uppgifter som tas in i personregister är faktorer som det enligt 10 § 1 mom. i grundlagen måste lagstiftas om (bl.a. GrUU 14/1998 rd, s. 2, GrUU 25/1998 rd, s. 2., GrUU 35/2004 rd, s. 2 och GrUU 30/2005 rd, s. 4). Grundlagsutskottet har dessutom hänvisat till behovet av att beakta EU- domstolens rättspraxis vid bedömningen av förvaringstiderna (se GrUU 9/2017 rd s. 5). 

I EU-domstolens avgörande (C-293/12 och C-594/12 Digital Rights Ireland) påpekade domstolen att det utgör ett problem att det föreskrivs om uppgifternas lagringstid utan att det görs någon åtskillnad mellan olika kategorier av uppgifter utifrån deras nytta för det mål som eftersträvas eller utifrån de personer som berörs (punkt 63 i avgörandet). 

Enligt grundlagsutskottets ställningstaganden ska regleringen av förvaringstiden på lagnivå vara omfattande och detaljerad. Bestämmelser om förvaringstid bör därför innehålla en tidsangivelse. I flera utlåtanden har grundlagsutskottets ståndpunkt varit att varaktig lagring av uppgifter inte är förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 22/2014 rd, s. 6, GrUU 54/2010 rd, s. 2–3, GrUU 3/2009 rd, s. 3/I och GrUU 51/2002 rd, s. 3/II). 

Exempelvis i fallet S. Och Marper mot Förenade kungariket (2008) konstaterade Europeiska människorättsdomstolen att obegränsad förvaringstid strider mot proportionalitetsprincipen och att förvaringen av uppgifter bör sättas i relation till insamlingsgrunden. 

Grundlagsutskottet har i sin praxis ansett att det i praktiken mycket sällan är motiverat att bevara uppgifter varaktigt. Detta kan vara fallet när det är fråga om uppgifter som delvis är oförändrade eller ändras långsamt och de behöver förvaras varaktigt för någon ska kunna göra sitt arbete. 

1.2.31  Dataskyddslagen

Dataskyddslagen (1050/2018) trädde i kraft den 5 december 2018. Trots att dataskyddsförordningen är en nationellt direkt tillämplig rättsakt, harmoniserar den inte i alla avseenden EU-ländernas lagstiftning om skydd av personuppgifter, utan den ger medlemsländerna ett visst nationellt handlingsutrymme för att precisera och komplettera bestämmelserna. I Finland kompletteras och preciseras dataskyddsförordningen i första hand genom dataskyddslagen. Dataskyddslagen, som kompletterar och preciserar den allmänna dataskyddsförordningen, utgör inte en självständig och heltäckande regleringshelhet, utan den tillämpas parallellt med dataskyddsförordningen. Man kan avvika från dataskyddslagens bestämmelser genom speciallagstiftning, av avvikelser är möjliga inom ramen för den prövningsmarginal som getts den nationella lagstiftaren. 

Grundlagsutskottet har i samband med bedömningen av utgångspunkterna för dataskyddslagen hänvisat till sin nyare praxis enligt vilken det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag. Grundlagsutskottet ansåg att dataskyddslagen som kompletterar dataskyddsförordningen i grunden är godtagbar (GrUU 14/2018 rd). I dataskyddslagen föreskrivs om den rättsliga grunden för behandling av personuppgifter och behandlingen av särskilda kategorier av personuppgifter i vissa fall, den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, tillsynsmyndighet, rättssäkerhet samt vissa särskilda behandlingssituationer. 

Dataskyddslagens struktur följder den allmänna dataskyddsförordningens struktur. Enligt lagens 2 § tillämpas lagen i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Som en allmän lag som kompletterar dataskyddsförordningen tillämpas dataskyddslagen i stor utsträckning inom olika samhällssektorer. I enlighet med dataskyddsförordningen tillämpas dataskyddslagen ändå inte på sådan behandling av personuppgifter en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, och inte på sådan behandling av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet för brottmål. Dataskyddslagen är enligt 3 § tillämplig lag, om den personuppgiftsansvariges verksamhetsställe finns i Finland och behandlingen av personuppgifter sker inom ramen för verksamhet vid ett verksamhetsställe i Europeiska unionen. 

Dataskyddsförordningen och dataskyddslagen är en del av den rättsordning som ska övervakas av de högsta laglighetsövervakarna (FvUB 13/2018). I laglighetsövervakarnas konstitutionella uppgifter ingår också att övervaka att de grundläggande och mänskliga rättigheterna fullföljs i fråga om skyddet för privatliv och personuppgifter. 

1.3  Lagstiftning och andra handlingsmodeller i utlandet

Digitaliseringen har på ett betydande sätt förändrat sätten att behandla information om hälsa och välbefinnande och skapat nya möjligheter att utnyttja informationen. Fenomenet har inte bara i Finland utan också internationellt lett till ett behov av att utveckla bestämmelser, förfaringssätt och en organisering som motsvarar nuläget inom informationshanteringen. Som ett tecken på detta kan betraktas EU:s allmänna dataskyddsförordning, som trädde i kraft 2016 och som från och med den 25 maj 2018 har tillämpats som sådan i hela EU, även om förordningen tillåter ett visst nationellt spelrum i regleringen. 

Av de nordiska länderna har man i synnerhet i Estland, Danmark och Norge genomfört och håller på att genomföra betydande ändringar i synnerhet i bestämmelser och datasystem som rör hälso- och sjukvårdens register och administrationen av dem. 

I det följande granskas situationen beträffande införandet av patientdatasystem i vissa betydande OECD-länder. En mer heltäckande internationell jämförelse gjordes i samband med att lagen om sekundär användning stiftades. 

I OECD-länderna finns det endast få riksomfattande patientdatasystem. Införandet av patientdatasystem är ofta förenat med problem, och ju mer omfattande införande det är fråga om desto större är problemen. 

Israel 

Israel var det första landet i världen som började använda ett informationssystem för informationsutbyte inom hälso- och sjukvården. Efter 2010 har det inträffar flera stora förändringar i hälso- och sjukvårdens informationssystem i Israel. Informationssystemet finansieras med skattemedel, men också staten deltar i finansieringen. År 2014 lanserade Israels hälsoministerium ett nationellt system för förmedling av hälso- och sjukvårdsuppgifter (HIE), som kan fördela patientuppgifter mellan sjukhus och producenter av hälsotjänster. Medborgarna kan besluta att stanna utanför systemet, och då är deras uppgifter inte tillgängliga i systemet. Patienterna har tillgång till personliga hälso- och sjukvårdskonton, via vilka de kan stå i kontakt med hälso- och sjukvården och hälso- och sjukvårdsförvaltningen. 

Estland 

I Estland svarar social- och hälsoministeriet jämste underlydande myndigheter, såsom Center of Health and Welfare Information Systems (CeHWIS), för hälso- och sjukvårdssystemet. CeHWIS opererar hälso- och sjukvårdens elektroniska system, med vars hjälp uppgifter kan förmedlas och som kopplar ihop tjänstetillhandahållare med varandra. Patienterna ser också sina egna hälsouppgifter via systemet. Patienterna kan tillåta eller förbjuda att tillhandahållare av hälso- och sjukvårdstjänster har tillträde till deras uppgifter när tjänstetillhandahållarna planerar eller ger vård. 

Ryggraden i Estlands digitala system är X-road, som togs i bruk 2008, och med vars hjälp de olika systemen kopplas till varandra och som möjliggör olika offentliga och privata elektroniska tjänsters funktion. Över 900 organisationer använder X-road eller producerar tjänster via X-road. X-road förvaltas och hanteras av en myndighet kallad Information System Authority och det föreskrivs om det i lag. Enligt lagstiftningen borde alla tjänstetillhandahållare förmedla hälsouppgifter till det elektroniska systemet och tjänstetillhandahållarna har rätt att använda uppgifter när de vårdar en patient. Receptuppgifter finns i ett Receptcenter. Medborgare och tjänstetillhandahållare ser uppgifterna via webbplatsen digilugu.ee. Medborgare och patienter kan logga in i systemet med ID-kort eller mobilcertifikat och läsa sina egna hälsouppgifter och testresultat och till exempel om sina sjukhusbesök. Estlands differentierade system, där olika tjänstetillhandahållare har egna system, från vilka uppgifterna går till det centraliserade systemet, har visat sig vara utmanande med tanke på interoperabiliteten. I Estland håller man också på och utvecklar en nationell lösning, där hälso- och sjukvårdens informationssystem ska integreras med hjälp av lösningen X-road Middleware. Planen är att det ska vara tillåtet att använda uppgifterna, om inte patienten förbjuder det separat. Uppgifterna får läsas endast av yrkesutbildade personer som har en vårdrelation till patienten. 

Estlands revisionsverk (The National Audit Office of Estonia) har konstaterat att målen för den elektroniska hälso- och sjukvården inte har nåtts trots planerna, eftersom hälsouppgifter inte kan användas för vård, statistik, register eller övervakning. Målen har inte nåtts, eftersom det estniska socialministeriet inte har lyckats med sin strategiska styrning av utvecklandet och införandet av det elektroniska hälso- och sjukvårdssystemet. Som exempel nämns att trots att tjänstetillhandahållarna borde förmedla hälsouppgifter till systemet, görs detta inte systematiskt. Av denna orsak använder läkarna inte systemet i sitt dagliga arbete. Detta beror på att tjänstetillhandahållarna tills vidare inte är förpliktade att använda systemet. 

Danmark 

I Danmark är den elektroniska hälso- och sjukvårdstjänsten sundhed.dk det huvudsakliga verktyget för informationsutbyte mellan tillhandahållare av hälso- och sjukvårdstjänster. Sättet att stegvis genomföra tjänsten med hjälp av den nationella IT-strategin och lagstiftning har gjort det möjligt att sprida teknikerna och göra dem obligatoriska. Patienterna tillgång till nästan alla uppgifter som tjänstetillhandahållarna producerar via webbplatsen sundhed.dk, som sammanställer de patientuppgifter som olika tjänstetillhandahållare producerar. Patienterna har också tillgång till patientuppgifter som produceras av sjukhusen i tjänsten E-journal, som är ett elektroniskt patientuppgiftsregister. Patientuppgifter visas med två veckors fördröjning och tjänstetillhandahållarna får behandla bara uppgifter som rör patienter som de själva vårdat. 

Norge 

Det norska hälso- och sjukvårdssystemet kan beskrivas som delvis decentraliserat. Staten svarar för de stora infrastrukturåtgärderna, såsom Norwegian Health Network, som infördes 2009, och med vars hjälp patientuppgifter kan förmedlas inom hälso- och socialvårdssektorerna. I Norge har man också lanserat flera nationella strategier för att digitalisera hälso- och sjukvården och införandet av dessa strategier håller på att ta fart. Användningen av datateknik inom hälso- och sjukvården i Norge varierar och har kommit längst inom primärvården. Det är allmän praxis att lagra patientuppgifter och elektroniskt utbyte av patient- och administrativa uppgifter är också vanligt. Ett pilotförsök med elektroniska recept genomfördes 2010 och de infördes i hela landet 2011. Alla offentliga sjukhus och apotek anslöt sig till Norwegian Health Network 2013. 

Frankrike 

I Frankrike har hälso- och sjukvårdssektorns datateknik och informationssystem utvecklats sedan slutet av 1980-talet. I hälso- och sjukvårdsstrategin har särskild vikt lagts vid informationssystemens interoperabilitet. I Frankrike används ett elektroniskt patientregister, vars syfte är att gruppera medicinsk information som har samlats in från till exempel sjukhus. För att främja detta arbete inrättades 2009 en myndighet med uppgift att främja systemens interoperabilitet. Målet för det elektroniska patientregistret är att förbättra vårdens kvalitet och minska behovet av vård. Patienten beslutar om patientregistret ska tas i bruk. Användningen av patientregistret har inte avancerat helt smidigt, bland annat av dataskyddsorsaker och det har inte införts i särskilt stor utsträckning. År 2016 övertog det nationella försäkringsverket ansvaret för utvecklande av systemet och därefter att användningen av systemet ökat något. 

Sverige 

I Sverige har regionerna och kommunerna jämförelsevis stor frihet att organisera hälso- och sjukvårdstjänsterna. Socialdepartementet svarar för hälso- och sjukvården som helhet. Den regionala självstyrelsen har också lett till att informationssystemen är regionala och inte alltid interoperabala. De olika regionernas patientdatasystem är viktiga kunskapskällor. I Sverige kan sjukhusen själva välja och skaffa sina informationssystem. I början av 2010 inleddes strävanden på nationell nivå efter bättre interoperabilitet mellan systemen. 

Spanien 

I Spanien har man förhållandevis effektivt infört elektroniska hälso- och sjukvårdstjänster. Tjänsterna omfattar ett elektroniskt försäkringssignum, ett elektroniskt patientuppgiftsregister och elektroniska recept. Syftet med försäkringssignum och det elektroniska patientdatasystemet är att utbyta patientuppgifter mellan olika kommuner samt att patienten ska ha tillträde till sina egna uppgifter. 

Schweiz 

I Schweiz har man utarbetat en nationell hälsostrategi, där ett av de viktigaste målen är att förbättra hälsoinformationens användbarhet. I Schweiz infördes obligatorisk elektronisk identifiering inom hälsoförsäkringen 2010. Avsikten var att möjliggöra tillförlitlig lagring av person- och hälsouppgifter. På grund av Schweiz decentraliserade hälso- och sjukvårdssystem samt av dataskydds- och informationssäkerhetsorsaker har det visat sig svårt att åstadkomma ett interoperabelt patientuppgiftsregister. Patientuppgiftsregistret används inte lika allmänt som i andra länder. År 2017 trädde en lag i kraft som förutsätter att sjukhus och äldreboenden inför patientdatasystem som är interoperabla med de nationella standarderna. Patienten samtycker till användning av patientdatasystemet skriftligt och kan återta samtycket när som helst. Patienten kan läsa sina hälsouppgifter via systemet och kan själv bestämma vilka uppgifter tjänstetillhandahållarna får läsa. 

Kanada 

Kanada lanserade 2018 en strategi i syfte att främja införandet av elektroniska verktyg inom hälso- och sjukvården. I samband med genomförandet av denna strategi har man i Kanada öppnat en elektronisk recepttjänst och dessutom har man utvecklat digitala hälso- och sjukvårdstjänster, som har införts i en del av Kanada. 

Målsättning och de viktigaste förslagen

2.1  Målsättning

De centrala målen för reformen av social- och hälsotjänsterna är att minska skillnaderna i välfärd och hälsa, trygga likvärdiga och högklassiga social- och hälsotjänster för alla finländare, främja tillgången till tjänster och förbättra deras tillgänglighet, trygga tillgången till yrkeskunnig arbetskraft, reagera på de utmaningar som samhälleliga förändringar för med sig och dämpa kostnadsökningen. Digitaliseringen är ett viktigt verktyg i förändringen. I fortsättningen utgör informationssystem och nya elektroniska tjänster stöd för kunder och yrkesutbildade personer inom social- och hälsovården på ett så bra sätt som möjligt. Med hjälp av digitalisering kan tjänsterna även produceras på helt nya sätt och processerna effektiviseras. 

Informations- och kommunikationstekniska lösningar (IKT-lösningar; eng. information and communications technology, ICT) och digitalisering är verktyg för bättre tjänster för kunderna inom social- och hälsovården samt för att upprätthålla och utveckla välbefinnandet och funktionsförmågan. Med elektroniska tjänster kan man även stödja medborgarnas möjligheter att själva upprätthålla sin funktionsförmåga och hälsa. 

Ett fungerande system för tjänsterna inom social- och hälsovården förutsätter sådana IKT- lösningar som innebär att kunduppgifterna kan användas oberoende av organisations- och områdesgränser. 

De föreslagna lagändringarna främjar för sin del strukturreformen av social- och hälsotjänsterna. Målet för propositionen är att på ett riksomfattande plan förbättra tillgången till och användbarheten av kund- och läkemedelsuppgifter samt kundens möjligheter till delaktighet. Effektiva och integrerade tjänster förutsätter att uppgifter om en kund finns tillgängliga över organisationsgränserna. Målen förutsätter ändringar i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården, lagen om elektroniska recept och andra nödvändiga lagar. 

De riksomfattande informationssystemtjänsternas, dvs. Kanta-tjänsternas, roll som en central plats för förvaring och delning av kunduppgifter inom social- och hälsovården, uppgifter om välbefinnande samt läkemedelsuppgifter blir viktigare särskilt när det gäller klientuppgifter inom socialvården och sådana uppgifter om välbefinnande som kunderna själva producerar. Enligt förslaget fungerar Kanta-tjänsterna som en riksomfattande kundinformationsresurs inom social- och hälsovården. I informationsresursen för tillhandahållare av social- och hälsovårdstjänster in de journal- och klienthandlingar som uppkommer i kundarbetet direkt efter det att handlingarna har färdigställts. De som utför kundarbete kan utnyttja den information som finns i kundhandlingarna oberoende av organisation. Centraliserade riksomfattande informationssystemtjänster innebär att vården av och omsorgen om samt servicen för kunden grundar sig på uppdaterad och heltäckande information samt på god praxis. Centraliserade tjänster gör det även möjligt att använda kunduppgifterna inom social- och hälsovården på ett jämlikt sätt på olika områden och så att medborgarnas jämlikhet främjas. 

Syftet med propositionen är att förbättra den aktuella informationsgången i kundarbetet inom social- och hälsovården. Detta blir bättre med hjälp av en centraliserad informationsresurs. Dessutom blir den uppgift som gäller slutligt förvar av uppgifterna, dvs. arkivering och utplåning, en lättare och tydligare helhet. 

Syftet med propositionen är att öka människornas intresse att måna om sin hälsa och sitt välbefinnande. Ett ökat intresse för detta förbättrar förståelsen för vården och tjänsterna, och tillgången till information ökar även chanserna för att få tjänster på den plats som passar en själv bäst samt människornas självbemyndigande. Dessutom ska människorna med hjälp av ett skyddat medborgargränssnitt kunna kontrollera sina egna kunduppgifter som förts in i hälsoarkivet. 

Syftet med propositionen är att möjliggöra de ändringar i de riksomfattande informations- systemtjänsterna och den elektroniska behandling av kunduppgifter som EU:s dataskyddsför- ordning förutsätter. Dessutom har kraven i dataskyddslagen och i tillämpliga delar även informationshanteringslagen beaktats. 

2.2  Alternativa handlingsvägar

Jämförelse av grunderna för att lämna ut kunduppgifter 

Förslagets centrala innehåll har att göra med utlämnandet av kunduppgifter till andra tjänstetillhandahållare inom social- och hälsovården med hjälp av riksomfattande informationssystemtjänster. 

För närvarande kan patientuppgifter lämnas ut med hjälp av ett vidsträckt samtycke som gäller tills vidare och som omfattar alla patientuppgifter. Eftersom ett såhär vidsträckt samtycke inte uppfyller EU:s dataskyddsförordnings krav på att samtycket ska vara exakt och noga avgränsat och uttryckligt i fråga om särskilda kategorier av personuppgifter, har det varit nödvändigt att utreda andra alternativa grunder för utlämnande. Dessutom måste det beaktas att personuppgifter som används i social- och hälsovårdens kundarbete inte kan krypteras, anonymiseras eller pseudonymiseras, eftersom det är nödvändigt i arbetet att kunna identifiera en person tillförlitligt och behandla identifierbara uppgifter som gäller honom eller henne. Dessutom kan bara en yrkesutbildad person som vårdar en patient eller en yrkesutbildad person inom socialvården som sköter en socialvårdsklients ärenden bedöma om uppgifterna är nödvändiga. 

Följande alternativa handlingsvägar har identifierats: 1) utlämnande som baserar sig på lagstiftning 2) utlämnandes som baserar sig på exakta och noga avgränsat och uttryckligt samtycke enligt EU:s dataskyddsförordning 3) Folkpensionsanstalten och tjänstetillhandahållarna inom social- och hälsovården är gemensamt personuppgiftsansvariga 4) nationell registeransvarighet för klient- och patientuppgifter samt 5) olika grunder för utlämnande inom den offentliga och den privata social- och hälsovården så att inom den offentliga social- och hälsovården kan utlämnande basera sig på lagstiftning och inom den privata på samtycke enligt EU:s dataskyddsförordning eller särskild lagstadgad rätt att få uppgifter. 

I det följande bedöms ovannämnda alternativ. 

1. Utlämnande som baserar sig på lagstiftning skulle förutsätta att det i den föreslagna kunduppgiftslagen föreskrivs om rätt att lämna ut kunduppgifter till tjänstetillhandahållare inom social- och hälsovården med hjälp av riksomfattande informationssystemtjänster. 

Utlämnande skulle inte förutsätta kundens samtycke i fortsättningen, utan innan uppgifter lämnas ut borde det i stället säkerställas att kunden har informerats om möjligheten att lämna ut uppgifter, och att kunden, om han eller hon så vill, har möjlighet att förbjuda utlämnande i önskad utsträckning. 

Utlämnande skulle i praktiken gå till så att varje tjänstetillhandahållare lagrar kundhandlingarna i de riksomfattande informationssystemtjänsterna, och när kunden söker sig till en annan tjänstetillhandahållares tjänster kan denna söka efter handlingarna i de riksomfattande informationssystemtjänsterna. 

Utlämnande skulle förutom information förutsätta att vård- eller kundrelationen verifieras, och varje yrkesutbildad person skulle få behandla endast nödvändiga uppgifter inom ramen för sina åtkomsträttigheter. Om flera tjänstetillhandahållare har fört in handlingar som rör kunden i de riksomfattande informationssystemtjänsterna, ska samtliga vara sökbara. 

Utlämnande skulle ske i de riksomfattande informationssystemtjänsterna med hänsyn till såväl kraven på information och verifiering av vård- eller kundrelationen som kundens förbud mot utlämnande. 

Den tjänstetillhandahållare som lämnar ut uppgifter skulle inte ha möjlighet att påverka till vilken tjänstetillhandahållare eller i vilken omfattning uppgifter lämnas ut. Kunden skulle emellertid själv genom förbud kunna påverka i vilken omfattning uppgifter lämnas ut eller huruvida uppgifter över huvud kan lämnas ut. 

2. Utlämnande som baserar sig på samtycke enligt EU:s dataskyddsförordning skulle förutsätta att kunden meddelar ett noga avgränsat, specificerat och uttryckligt samtycke till att uppgifter som rör honom eller henne kan lämnas ut med hjälp av riksomfattande informationssystemtjänster. 

Ett tillräckligt specificerat och uttryckligt samtycke skulle innebära möjlighet att meddela samtycke som gäller till exempel vissa tjänstetillhandahållare eller rentav vissa uppgiftstyper, men då kunde förfarandet bli svårbegripligt och tungt för kunden. 

Samtycket borde uppdateras när nya handlingar förs in i de riksomfattande informationssystemtjänsterna. 

Det kunde vara problematiskt att meddela samtycke för personer vilkas förmåga att besluta om sina egna högst personliga social- och hälsovårdsärenden har försvagats, men som ändå inte har förordnats någon intressebevakare i bland annat hälsoärenden. I dessa situationer skulle handlingar inte alls vara tillgängliga med hjälp av de riksomfattande informationssystemtjänsterna. 

Samtycke som grund för utlämnande vore inte heller oproblematisk i en situation där den andra parten är en myndighet, dvs. det rådet klar diskrepans mellan parterna. 

Dessutom kan social- och hälsovårdsmyndigheterna ha lagstadgad rätt att få uppgifter, och då skulle samtycket sakna praktisk betydelse och helheten skulle vara svårförståelig för såväl kunder som yrkesutbildade. 

Man kan anta att det kräver mycket tid att genomföra samtyckesförfarandet, eftersom det skulle kräva betydande tekniska ändringar i de riksomfattande informationssystemtjänsterna och dessutom i alla klient- och patientdatasystem som är anslutna till dem. 

3. Folkpensionsanstalten och tjänstetillhandahållarna inom social- och hälsovården är gemensamt personuppgiftsansvariga

I artikel 26 i EU:s dataskyddsförordning sägs att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. 

Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Oavsett formerna för arrangemanget får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga. 

Samregisteransvarighet för Folkpensionsanstalten och tjänstetillhandahållarna inom social- och hälsovården skulle innebära att den personuppgiftsansvarigas ansvar fördelas mellan aktörerna med stöd av den föreslagna kunduppgiftslagen samt att tjänstetillhandahållarna som gemensamt personuppgiftsansvariga kan behandla uppgifter som finns i de riksomfattande informationssystemtjänsterna när de villkor som ställts i lagen är uppfyllda. 

Samregisteransvarighet skulle ändå inte i sig i någon väsentlig mån precisera ansvarsfrågorna i anslutning till utlämnandet av uppgifter och inte heller den praktiska verksamhetsmodellen jämfört med lagbaserat utlämnande. 

Med beaktande av bland annat det sätt på vilket grundlagsutskottet bedömde migrationsförvaltningens föreslagna samregisteransvarighet i sitt utlåtande (GrUU 7/2019 rd) torde ett arrangemang med gemensamt personregisteransvariga inte vara möjligt, om man inte beaktar de anmärkningar beträffande lagstiftningsordningen som grundlagsutskottet framförde i sitt utlåtande. 

Man kan anta att det kräver mycket tid att genomföra samregisteransvarighet, eftersom det skulle kräva betydande tekniska ändringar i de riksomfattande informationssystemtjänsterna och dessutom i alla klient- och patientdatasystem som är anslutna till dem. 

Dessutom skulle det vara utmanande att dela uppgifterna med alla olika tjänstetillhandahållare inom social- och hälsovården och Folkpensionsanstalten. Systemet kunde lätt bli svårbegripligt med tanke på kundernas och tjänstetillhandahållarnas rättigheter och ansvar. 

4. Nationell registeransvarighet

Enligt EU:s dataskyddsförordning bestämmer personuppgiftsansvariga ändamålen och medlen för behandlingen av personuppgifter. 

Nationell registeransvarighet skulle betyda att den personuppgiftsansvarigas ansvar skulle vila på en nationell aktör som det föreskrivs om i lag i stället för på respektive tjänstetillhandahållare, och att tjänstetillhandahållarna skulle ha rollen som personuppgiftsbiträde. I de riksomfattande informationssystemtjänsterna skulle det sålunda bildas nationella klient- och patientuppgiftsregister och tjänstetillhandahållarna skulle kunna behandla de handlingar som hör till dem när de lagstadgade villkoren är uppfyllda. 

I en sådan modell skulle inga uppgifter utlämnas, eftersom det juridiskt skulle vara fråga om behandling av personuppgifter för den nationellt personuppgiftsansvarigas räkning och inte om utlämnande. 

Utseende av en nationellt personuppgiftsansvarig skulle ändå förutsätta att den aktör som utses har tillräckliga resurser för att sköta den personuppgiftsansvarigas ansvar. Eftersom ett stort antal offentliga och privata tjänstetillhandahållare för närvarande ansvarar för ordnandet av social- och hälsovård, finns det ingen klar nationell aktör, som det skulle vara motiverat att ålägga registerföringen av klient- och patientuppgifter med avseende på övrigt ansvar. 

Inte heller annan lagstiftning om ansvaret för att ordna social- och hälsovård stödjer en sådan modell med nationell registeransvarighet. 

5. Olika grunder för utlämnande av kunduppgifter till offentliga och privata tjänster så att inom offentliga social- och hälsotjänster skulle utlämningsgrunden vara lagstiftning och inom privata tjänster samtycke enligt EU:s dataskyddsförordning. 

Ansvaret för att ordna offentliga social- och hälsotjänster baserar sig på lagstiftning och tjänsterna finansieras med offentliga medel. 

Genomförandet av privata social- och hälsotjänster baserar sig på lagstiftning, men ingen privat aktör är skyldig att ordna tjänster och kundrelationerna baserar sig på avtal. 

Mellan offentliga tjänstetillhandahållare kunde uppgifter lämnas ut med stöd av lagstiftning, och kunden skulle ha möjlighet att förbjuda att uppgifter lämnas ut. På så sätt skulle det säkerställas att uppgifter är tillgängliga inom offentliga tjänster, om kunden inte har förbjudit utlämnande. 

Utlämnande av uppgifter mellan offentliga och privata, eller mellan olika privata tjänstetillhandahållare skulle förutsätta samtycke, så uppgifterna skulle inte var tillgängliga om kunden inte särskilt har meddelat samtycke till utlämnande av vissa uppgifter. Detta skulle göra det möjligt för kunden att överväga vilka uppgifter han eller hon vill att ska användas inom olika privata tjänster och på motsvarande sätt vilka uppgifter inom privata tjänster som kan lämnas ut till offentliga tjänster. 

Något problem med diskrepans mellan myndigheten och kunden skulle i sig inte föreligga, eftersom samtycke skulle ligga till grund för utlämnande av uppgifter endast inom privata tjänster. 

Möjligheten att behandla kunduppgifter skulle emellertid fortfarande vara beroende av den yrkesutbildade personens åtkomsträttigheter samt en verifierad vård- eller kundrelation. 

De olika grunderna för att lämna ut uppgifter skulle bilda en helhet, med vars hjälp kunden å ena sidan kunde reglera utlämnande av sina uppgifter med olika mekanismer, men som å andra sidan kan vara svåra att förstå. Dessutom kan privata tjänsteproducenter också agera för offentliga personuppgiftsansvarigas räkning, då de med stöd av 26 § i offentlighetslagen ska behandlas på samma sätt som tjänstetillhandhållare inom den offentliga sektorn, vilket ytterligare skulle komplicera denna alternativmodell. 

Det skulle vara tidskrävande att genomföra samtyckesförfarandet enligt EU:s dataskyddsförordning i de riksomfattande informationssystemtjänsterna (och motsvarande implementeringar i de klient- och patientdatasystem som är anslutna till dem), trots att genomförandet skulle vara snävare än i en modell som baserar sig på enbart samtycke. 

Utlämnande av kunduppgifter till välbefinnandeapplikationer 

För utlämnande av uppgifter som finns i de riksomfattande informationssystemtjänsterna till välbefinnandeapplikationer identifierades två alternativ: 1) införande av uppgifter i informationsresursen för egna uppgifter och utlämnande av uppgifter via den samt 2) utlämnande av uppgifter direkt från arkiveringstjänsterna och receptcentret. 

1. Utlämnande via informationsresursen för egna uppgifter skulle betyda att medborgaren kan lagra kopior av sina kunduppgifter som finns i arkiveringstjänsterna och av uppgifter om recept som finns i receptcentret i önskad utsträckning i informationsresursen för egna uppgifter, och därefter lämna ut uppgifter ur informationsresursen för egna uppgifter till de välbefinnandeapplikationer som han eller hon använder. Enligt förfarandet skulle de uppgifter som är kopierade till informationsresursen för egna uppgifter bli medborgarens egna välbefinnandeuppgifter, och medborgaren skulle självständigt kunna besluta om till exempel avförande av uppgifter vid sidan av utlämnande av uppgifter. 

Införande av uppgifter i informationsresursern för egna uppgifter skulle i praktiken betyda att uppgifter som finns i arkiveringstjänsterna och receptcentret kopieras till informationsresursen för egna uppgifter. I modellen skulle medborgaren kunna hantera sina uppgifter mera detaljerat, till exempel genom att avföra en del av uppgifterna, men å andra sidan, om en del av de uppgifter som välbefinnandeapplikationerna använder är avförda eller har ändrats, fungerar de inte nödvändigtvis längre på ändamålsenligt sätt. I remissvaren ansågs modellen vara förknippad med betydande risker för informationens integritet, patientsäkerheten samt patientens och yrkesutbildade personers rättsskydd. Man såg inga fördelar med att uppgifterna skulle gå via informationsresursen för egna uppgifter, och dessutom ansåg man att det kan vara svårt för medborgarna att förstå modellen. 

Utlämnande av uppgifter till välbefinnandeapplikationer skulle förutsätta att medborgaren tar informationsresursen för egna uppgifter i bruk för att kunna utnyttja olika välbefinnandeapplikationer, trots att det skulle finnas enbart behov av att behandla uppgifter i arkiveringstjänsterna och receptcentret och inte välbefinnandeuppgifter som kunden producerat själv eller som producerats av olika enheter. 

2. Utlämnande direkt från arkiveringstjänster och receptcentret skulle innebära att kunduppgifter och receptuppgifter skulle kunna lämnas ut direkt från arkiveringstjänsten och receptcentret till välbefinnandeapplikationer med medborgarens nogra avgränsade samtycke enligt EU:s dataskyddsförordning. Medborgaren skulle besluta själv vilka välbefinnandeapplikationer som han eller hon tar i bruk och med hjälp av samtycket ange vilka uppgifter som får lämnas ut till välbefinnandeapplikationerna.  

2.3  De viktigaste förslagen

De viktigaste förslagen i propositionen är att arkiveringstjänsten för klientuppgifter inom socialvården ska införlivas med den helhet som de riksomfattande informationssystemtjänsterna utgör och att klientuppgifter inom socialvården ska utlämnas via Kanta-tjänsterna, att det s.k. allmänna samtycket slopas inom hälso- och sjukvården när journalhandlingar behandlas samt att en informationsresurs där uppgifter om välbefinnande som människorna producerat själva ska kunna föras in. I propositionen föreslås dessutom att receptarkivet slopas. I propositionen föreskrivs också om det ansvar som Folkpensionsanstalten och Institutet för hälsa och välfärd har i anknytning till de riksomfattande informationssystemtjänsterna. 

I propositionen föreslås det att utlämnandet av klientuppgifter inom socialvården och patientuppgifter med hjälp av Kanta-tjänsterna i regel ska grunda sig på information, den föreslagna lagstiftningen och ett existerande kund- och vårdförhållande, och inte på ett samtycke som begärs av kunden. Inom hälso- och sjukvården har man tillfrågat patienten om ett vidsträckt samtycke, varefter patienten har haft möjlighet att förbjuda att vissa uppgifter om honom eller henne utlämnas. Slopandet av detta vidsträckta samtycke grundar sig på kravet på samtyckets form i EU:s dataskyddsförordning. Ett vidsträckt samtycke som riktar sig på framtiden uppfyller inte det krav i dataskyddsförordningen på att samtycket ska vara frivilligt, specifikt, informerat, otvetydigt och i fråga om särskilda kategorier av personuppgifter, till exempel hälsouppgifter också uttryckligt. På basis av det vidträcktasamtycket kan kunden inte veta hur hans eller hennes samtycke kommer att användas. Samtycket ska dock fortfarande kunna användas som grund för behandling av kunduppgifter när samtycket uppfyller de villkor som ställs i EU:s dataskyddsförordning. 

Klientuppgifter inom socialvården kan lämnas ut från Kanta-tjänsterna till hälso- och sjukvården på grund av kundens samtycke, liksom hälso- och sjukvårdens patientuppgifter till socialvården. Rätten att behandla kunduppgifter ska basera sig på de arbetsuppgifter som en yrkesutbildad person inom social- och hälsovården och en annan person som behandlar klient- och patientuppgifter sköter och de tjänster som denna tillhandahåller, så att personen har åtkomsträtt endast till de nödvändiga kunduppgufter som han eller hon behöver i sina arbetsuppgifter och beträffande vilka han eller hon har rätt att få uppgifter. Behandlingen av kunduppgifter ska grunda sig på en kund- eller vårdrelation eller någon annan saklig relation eller någon annan lagstadgad rätt som har säkerställts datatekniskt. 

Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller får utfärdas genom förordning av social- och hälsovårdsministeriet. 

Tjänstetillhandahållaren ska med stöd av ovannämnda förordning av social- och hälsovårdsministeriet bestämma vilka rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Tjänstetillhandahållaren ska föra register över dem som använder tjänstetillhandahållarens kundinformationssystem och kundregister och över deras åtkomsträttigheter. 

Som en del av fastställandet av datastrukturerna definierar Institutet för hälsa och välfärd också de handlingar som åtnjuter särskilt skydd, och social- och hälsovårdsministeriets bemyndigande att utfärda förordning om särskilt skydd stryks i lagen. 

Uppgifterna får behandlas i den omfattning som användningsändamålet förutsätter. Administrering av åtkomsträttigheterna, utbildning av personalen samt tekniska och organisatoriska åtgärder förhindrar missbruk och lagstridig åtkomst till uppgifterna. Yrkesutbildade personer, organisationer och datatekniska enheter ska kunna identifieras på ett tillförlitligt sätt. Samtidigt förhindras det att ett obegränsat antal personer kommer åt uppgifterna och det säkerställs att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas. 

Kunden ska ha rätt att förbjuda att hans eller hennes kunduppgifter utlämnas från en personuppgiftsansvarig till en annan. Insamling av användnings- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk. 

För att minimera riskerna måste man följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för att genomföra den nyaste tekniken. Inom hälso- och sjukvården används en certifieringsmekanism för datasystem som kommer att bevaras även i reformen av klientuppgiftslagen när den utvidgas till socialvården. Systemen ska följas och utvärderas och de ska uppfylla vissa väsentliga krav. För att förbättra informationssäkerheten ges Folkpensionsanstalten rätt att genomföra tillsynen över sina informationssystem och användningen av uppgifterna i dem så att Folkpensionsanstalten har bättre möjlighet än nu att till exempel identifiera avvikande verksamhet. 

I propositionen föreslås att en informationsresurs för egna uppgifter inrättas i samband med de riksomfattande informationssystemtjänsterna där människorna kan föra in egna uppgifter om sitt välbefinnande. En person kan besluta om användningen av de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter eller om användningen av information som produceras av välbefinnandeapplikationer. Detta innebär att människorna kan föra in eller avlägsna sina egna uppgifter om välbefinnande i informationsresursen för egna uppgifter. Dessutom kan en person ge sitt uttryckliga samtycke till att en tjänstetillhandahållare får använda de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter. Genom samtycket skapas i dessa sammanhang inte en rättslig grund för behandling av personuppgifter, utan endast en grund för utlämnande. Genom formuleringarna i lagen binds samtycket likaså till nödvändighetskraven så att samtycket inte kan vara obegränsat. Detta betyder att en yrkesutbildad person får behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen. 

Dessutom föreslås det att klient- och patientuppgifter som finns införda i Kanta-tjänsterna får utlämnas så att de kan användas i välbefinnandeapplikationer. 

I propositionen föreslås det att även viljeyttringar som hänför sig till förvaltningsområdet för social- och hälsotjänster i samband med social- och hälsotjänster får föras in i viljeyttringstjänsten. En sådan viljeyttring vore till exempel en uppgift med anknytning till biobankverksamhet om att personen motsätter sig behandling av personuppgifter. Införande i viljeyttringstjänsten gör det möjligt att i hela landet använda en informationsresurs där viljeyttringar med anknytning till social- och hälsovården kan föras in. För att andra viljeyttringar än sådana som hänför sig till social- och hälsovården ska kunna föras in förutsätts att de organisationer som utnyttjar dessa viljeyttringar kan ansluta sig till Kanta-tjänsterna som användare i den utsträckning som databehandlingen i anslutning till viljeyttringarna förutsätter. 

I propositionen föreslås det bestämmelser om elektronisk ärendehantering och behandling av uppgifter på andras vägnar. En person ska ha rätt att behandla uppgifter om personen som finns införda i riksomfattande informationssystemtjänster med stöd av fullmakt eller 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). Vårdnadshavare ska ha rätt att behandla sina minderåriga barns uppgifter, om inte något annat följer av 11 § 3 mom. i klientlagen eller 9 § 2 mom. i patientlagen. I fråga om fullmakter utnyttjas den förmedlingstjänst för behörighetstjänster enligt 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e- tjänster (571/2016) som Myndigheten för digitalisering och befolkningsdata ansvarar för. Propositionen utvidgar till exempel anhörigas och andra närståendes möjligheter att sköta ärenden på äldre personers vägnar i tjänsten Mina Kanta-sidor. Införandet av fullmakter förutsätter dock att andra nationella register, som i huvudsak Myndigheten för digitalisering och befolkningsdata ansvarar för, utvecklas målmedvetet och att även de börjar använda strukturerade uppgifter. 

I propositionen föreslås att förmedlingen av kunduppgifter utanför social- och hälsovården ändas så att intyg, utlåtanden och andra handlingar som innehåller kunduppgifter kan förmedlas till aktörer utanför social- och hälsovården med hjälp av riksomfattande informationssystemtjänster. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Kundhandlingarna förmedlas med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna. Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen. Enligt propositionen ska det inte längre krävas kundens uttryckliga samtycke för att elektroniskt förmedla en handling, och elektronisk förmedling ska alltid komma i fråga när en tredje part har rätt att ta del av en handling. Med stöd av kundens begäran ska en handling fortfarande få förmedlas till den aktör för vilken handlingen har upprättats. 

I propositionen föreslås att begreppet tjänstetillhandahållare utvidgas så att också statliga äm- betsverk som ordnar och producerar social- och hälsotjänster, såsom Institutet för hälsa och välfärd jämte underlydande ämbetsverk, kan ansluta sig till de riksomfattande informations- systemtjänsterna som användare utöver de tjänstetillhandahållare som definierats i den gällande lagen (verksamhetsenheter för hälso- och sjukvård, företagshälsovård och självständiga yrkesutövare, aktörer enligt 3 § 2 punkten i klientlagen för socialvården som tillhandahåller kommunala tjänster). 

I propositionen föreslås att grunderna för de avgifter som tas ut för användningen av riksomfattande informationssystemtjänster ändras så att Folkpensionsanstalten ska göra en uppskattning av kostnaderna under de följande fyra åren i stället för under ett år. Strävan med ändringen är att kostnaderna för betydande investeringar som skötseln av de riksomfattande informationssystemtjänsterna förutsätter ska kunna beaktas över flera år, så att kostnaderna inte hopas till ett enda år. Ändringen gör det möjligt att ta ut avgifter för framtida investeringar på förhand eller så att investeringen i anskaffningsskedet kan finansieras ur statsbudgeten och kostnaden i efterhand tas ut i form av avgifter genom avskrivningsförfarande. Ändringen möjliggör också mer förutsägbara avgifter så att avgiftsförordningen kan utfärdas för flera år åt gången i stället för den nuvarande årliga förordningen. 

Ändring av lagen om elektroniska recept 

I verksamhet i enlighet med lagen om elektroniska recept är det nödvändigt att behandla personuppgifter och särskilda kategorier av personuppgifter enligt artikel 9 i EU:s dataskyddsförordning som uppgifter om hälsa. Behandlingen av personuppgifter grundar sig på artikel 6.1 c i dataskyddsförordningen, dvs. på en lagstadgad skyldighet. I och med att behandlingen av personuppgifter grundar sig på artikel 6.1 c i dataskyddsförordningen har den registrerade inte rätt att göra invändningar mot att hans eller hennes personuppgifter behandlas. Bestämmelser om rätten att göra invändningar mot behandling av uppgifter finns i artikel 21 i dataskyddsförordningen. Behandlingen av uppgifter om hälsa grundar sig på artikel 9 h i fråga om elektroniska recept. Denna behandlingsgrund förutsätter enligt dataskyddsförordningen tystnadsplikt för den som behandlar personuppgifter. 

Det föreslås att de nödvändiga ändringar som EU:s dataskyddsförordning förutsätter görs i lagen om elektroniska recept. De ändringar som föreslås i lagen om elektroniska recept i fråga om samtycke och förbud ska vara enhetliga med de ändringar som görs i klientuppgiftslagen. 

I lagen om elektroniska recept föreslås dessutom att receptarkivet slopas och samtidigt föreslås att förvaringstiden i receptcentret i stället förlängs så att den motsvarar den gällande förvaringstiden i receptarkivet. Receptarkivet har inte använts en enda gång hittills. 

Recept ska enligt huvudregeln uppgöras elektroniskt. I propositionen räknas dock upp de recept som för närvarande inte kan uppgöras elektroniskt. 

Propositionens konsekvenser

Propositionen har såväl ekonomiska som samhälleliga konsekvenser. Konsekvenserna kan delas in i direkta och indirekta. De samhälleliga konsekvenserna kan undersökas ur medborgarnas, företagens, tjänstetillhandahållarnas samt myndigheternas perspektiv. 

Propositionen har konsekvenser för olika målgrupper, t.ex. för tjänstetillhandahållare och yrkesutbildade personer inom social- och hälsovården samt för hela befolkningen i egenskap av såväl kunder som anlitar social- och hälsovårdstjänster som potentiella användare av tjänsten Mina Kanta-sidor och välbefinnandeapplikationer. Konsekvenserna blir påtagliga även för dem som levererar klient- och patientdatasystem och för dem som utvecklar välbefinnandeapplikationer. 

Social- och hälsotjänster produceras av såväl kommuner, samkommuner och staten som privata serviceproducenter. Antalet privata producenter av socialtjänster var exempelvis ca 4 400 vid utgången av 2015. Det fanns ca 21 000 serviceproducenter inom hälso- och sjukvården inklusive de självständiga yrkesutövarna. Inom hälsovårdstjänster arbetade ca 180 000 personer och inom socialtjänster 205 000 personer. 

3.1  Ekonomiska konsekvenser

Förslaget har direkta ekonomiska konsekvenser för såväl statsfinanserna som tjänstetillhandahållarna inom social- och hälsovården och apoteken. Den anslagsökning för 2021 som genomförandet av förslaget förutsätter har beaktats i budgetpropositionen för 2021. Anslagsbehoven för de följande åren behandlas i samband med planen för de offentliga finanserna för 2022-2025. Folkpensionsanstalten genomför de ändringar som behövs i de riksomfattande informationssystemtjänsterna, och kostnaderna täcks ur statsbudgeten. 

Kostnaderna för de ändringar som Folkpensionsanstaltens ansvarar för uppskattas till 15,6 miljoner euro under åren 2021-2023, varav 2021 års andel är 3,8 miljoner euro, 2022 års andel är 5,5 miljoner euro och 2023 års andel 6,3 miljoner euro. De viktigaste utvecklingsobjekten där det finns finansieringsbehov är 

- klientdataarkivet för socialvården och utlämnande av kunduppgifter mellan tillhandahållare av socialvårdstjänster 

- utlämnande av klient- och patientuppgifter mellan socialvården och hälso- och sjukvården 

- informationsresursen för egna uppgifter för lagring av människors egna välbefinnandeupp-gifter och förmedling av dem till yrkesutbildade personer inom social- och hälsovården samt utlämnande av klient-, patient- och receptuppgifter till välbefinnandeapplikationer 

- förmedling av intyg och andra dokument till aktörer utanför social- och hälsovården 

- utvidgning av viljeyttringstjänsten till olika viljeyttringar i anslutning till förvaltningsområdet för social- och hälsotjänster (till exempel samtycken som behövs i biobanksverksamheten) 

- utökad tillsyn över Kanta-tjänsterna 

Genomförandet förutsätter bland annat planerings- och specifikationsarbete, realisering av in-formationssystemtjänster, samtestningar med klient- och patientdatasystem som är anslutna till Kanta-tjänsterna, stöd för ibruktagande, såsom utbildning och kommunikation. 

Dessutom är möjligt att realisera en del av genomförandet först efter 2023, så dessa saker har ännu inte beaktats i budgetpropositionen, utan de anslag som behövs anges i samband med planen för de offentliga finanserna. Sådana saker är användningsloggtjänsten, där genomförandetidtabellen måste samordnas med tillhandahållarna av social- och hälsovårdstjänster, samt utvidgningen av viljeyttringstjänsten, vars tidtabell påverkas av till exempel hur lagstiftningen om biobanker utvecklas och andra författningar som bestämmer tidtabellerna för viljeyttringar som förs in i viljeyttringstjänsten. Kostnaderna uppskattas till 7 miljoner euro. 

Ändringar enligt förslaget måste dessutom göras i de klient- och patientdatasystem och apo-tekssystem som tillhandahållarna av social- och hälsovårdstjänster använder. Kostnader orsa-kas också av den utbildning och det stöd som genomförandet förutsätter, och även driftskost-naderna för de riksomfattande informationssystemtjänsterna tas ut av tjänstetillhandahållarna och apoteken i form av användaravgifter. 

De förslag som föranleder de mest betydande kostnaderna är införandet av arkivet för klientuppgifter inom socialvården samt informationsresursen för egna välbefinnandeuppgifter, beträffande vilka separata kostnads-nyttoanalyser presenteras nedan. Dessutom innehåller förslaget flera andra mindre ändringar som medför kostnader för tjänstetillhandahållarna och apoteken när de genomförs i klient- och patientdatasystemen samt apotekssystemen. 

Kostnader orsakas också av att kunderna måste informeras om att grunden för utlämnande av uppgifter inom hälso- och sjukvården ändras. Informationen kan lämnas via Mina Kanta-sidor. De kunder som inte har fått informationen via Mina Kanta-sidor före den första servicehändelsen måste emellertid informeras av tjänstetillhandahållaren inom hälso- och sjukvården. FPA utarbetar behövligt materiel som stöd för informationen, men informationen kräver hur som helst tjänstetillhandahållarnas arbetsinsats. 

Slopande av det vidsträckta samtycke som används inom hälso- och sjukvården minskar det arbete som behövs för behandling av de samtycken som kunder gett inom hälso- och sjukvården. Det har föranlett arbete att registrera samtyckena och att spara de undertecknade samtyckesblanketterna på papper. 

Klient- och patientuppgifter som förs in i Kanta-tjänsterna ska i fortsättningen kunna användas för olika ändamål enligt lagen om sekundär användning och lagen om Institutet för hälsa och välfärd, såsom för Institutet för hälsa och välfärds register i stället för separat uppgiftsinsamling. Detta effektiviserar de yrkesutbildade personernas arbete genom att det förbättrar möjligheterna till engångsdokumentering och minskar separat dokumentering och uppgiftsinsamling, och minskar därigenom också kostnaderna för uppgiftsinsamling. 

Den största nyttopotentialen inom social- och hälsovården finns i anslutning till ändringar av verksamhetsprocesserna och i synnerhet i anslutning till införandet av elektroniska tjänster. Utveckling av egenvården genom utnyttjande av den föreslagna informationsresursen för egna uppgifter och välbefinnandeapplikationer samt övriga elektroniska tjänster för kunderna möjliggör effektivisering av verksamheten och rimlig fördelning av resurserna, liksom även effektivare användning av riksomfattande informationssystemtjänster i verksamhetsprocesserna. Den eftersträvade nyttan och besparingen realiseras först som resultat av ett långsiktigt utvecklande av verksamheten och införandet av nya verksamhetsmodeller. 

Nyttopotential i fråga om sådana tjänster för egenvård som genomförs med hjälp av informationsresursen för egna uppgifter och välbefinnandeapplikationer 

Syftet med informationsresursen för egna uppgifter är att möjliggöra en nationell informationsresurs för människors egna uppgifter om sitt välbefinnande så att de kan utnyttja uppgifterna i olika välbefinnandeapplikationer som lämna ut dem till tjänstetillhandahållare så att de kan utnyttjas när social- och hälsotjänster lämnas. Informationsresursen för egna uppgifter kan utnyttjas genom att utveckla välbefinnandeapplikationer för olika ändamål, till exempel kontroll över en kronisk sjukdom eller viktkontroll. Den egentliga nyttan av egenvård fås via olika egenvårdstjänster och välbefinnandeapplikationer. Den nationella informationsresursen möjliggör att uppgifterna om välbefinnande finns centralt tillgängliga för kunden via olika applikationer och på Mina Kanta-sidor, och uppgifterna om välbefinnande kan också hanteras centralt på Mina Kanta-sidor, till exempel tjänstetillhandahållare inom social- och hälsovården kan ges tillstånd att använda uppgifterna. 

Kostnadsnyttan av informationsresursen för egna uppgifter har bedömts genom att jämföra genomförandet av en nationell gemensam informationsresurs med motsvarande regionala eller lokala informationsresurser. Man kan anta att en nationell gemensam informationsresurs sparar på kostnaderna jämfört med lokala lösningar. Konstrukationen av en nationell centraliserad lösning kostar ca 3,5 miljoner euro, medan ett regionalt eller lokalt genomförande av flera motsvarande lösningar kan antas kosta betydligt mera. På marknaden finns det å andra sidan olika kommersiella tekniska lösningar liknande informationsresursen för egna uppgifter, där uppgifter kan föras in från välbefinnandeapplikationer, och då kan utvecklingskostnaden för applikationsspecifika informationsresurser bli lägre än för informationsresursen för egna uppgifter. 

Utvecklandet av välbefinnandeapplikationer vilar i huvudsak på social- och hälsovårdsaktörernas och programföretagens ansvar. Egenvårdstjänster har byggts till exempel i ett omfattande kommunkonsortiums gemensamma ODA-projekt, och efter projektskedet har ansvaret för de utvecklade tjänsterna överförts på utvecklingsbolaget SoteDigi Oy, som staten grundade 2017. Den uppskattade riksomfattande kostnadsnyttan av tjänsterna är 17 €/invånare/år, vilket innebär över 90 miljoner euro på årsnivå när tjänsterna används i stor utsträckning. När det gäller specialiserad sjukvård utvecklas egenvårdstjänsterna inom ramen för universitetssjukhusens gemensamma projekt Virtuaalisairaala 2.0. Detaljerade beräkningar av kostnadsnyttan har gjorts över genomförandet av tjänsterna, och beräkningarna förutspår en årlig besparing på ca 316 miljoner euro 2021. Besparingen utgörs av exempelvis minskat antal besök och minskad postning. 

Nyttopotentialen för arkivet för klientuppgifter inom socialvården 

Ibruktagandet, användningen och förvaltningen av arkivet för klientuppgifter inom socialvården och andra riksomfattande informationssystemtjänster medför ekonomiska kostnader för både staten och organisationer inom socialvården. En del av dessa kostnader är rörliga och bundna till verksamhetens volym. Kostnader av detta slag kan vara kostnaderna för registrering och förvaring av kunduppgifter. En del av driftskostnaderna, t.ex. förvaltningskostnaderna, är till sin karaktär fasta. Andra fasta kostnader utöver detta är sådana investeringskostnader som inte är bundna till arkivverksamheten. Investeringskostnaderna uppkommer i huvudsak under de första åren då arkivet för klientuppgifter utvecklas och tas i bruk. Investeringskostnader kan uppkomma bl.a. av anskaffning av utrustning och programvara, köp av tjänster samt användning av egen och utomstående arbetskraft. Även utbildningskostnaderna för ibruktagandet av den nya tjänsten beaktas som investeringskostnader. Driftskostnader uppkommer av användning av arbetskraft och material samt av köp av tjänster. Utöver kostnaderna för utvecklande av den riksomfattande tjänsten föranleds organisationer inom socialvården kostnader på grund av förändringar i de klientdatasystem som dessa organisationer använder. Organisationerna ska få tekniska anslutningar till Kanta-tjänsterna, och även utvecklandet av datastrukturerna kräver systemändringar. Även den utbildning som gäller den nya dokumentationspraxisen och de nya verksamhetsmodellerna samt stödet för ibruktagandet av arkivet för klientuppgifter medför kostnader. 

Genomförandet av arkivet för klientuppgifter och utvecklandet av socialvårdens datastrukturer samt införandet av dokumentationsrutiner har startat med stöd av den gällande lagstiftningen. Enligt projektplanen uppgår de uppskattade utvecklingskostnaderna till sammanlagt ca 33,6 miljoner euro. Utvecklingskostnaderna har uppgått till ca 10 miljoner euro åren 2015–2019 och dessutom har socialvårdsaktörer betalats ca 2,6 miljoner euro i statsunderstöd för utvecklande av dokumentationsrutiner samt pilotförsök med arkivet för klientuppgifter. Dessutom uppgår kostnaderna för socialvårdens certifikattjänster till ca 3 miljoner euro. 

Den ekonomiska nytta som genereras med hjälp av socialvårdens arkiv bedömdes i det skede då projektet Kansa, som verkställer arkivet, bereddes. I bedömningen har deltagit kommunala aktörer (en kommunenkät till en utvald grupp), enheten för styrning av den operativa verksamheten (OPER) vid Institutet för hälsa och välfärd samt Folkpensionsanstalten. För genomförandet av bedömningen svarade Enheten för hälsoekonomi och social ekonomi (CHESS) vid Institutet för hälsa och välfärd. Trots att kostnads-nyttoanalysen har gjorts fler år innan detta förslag överlämnas, beskriver den som helhet hur kostnaderna och nyttan realiseras när utvecklingen och införandet framskrider. 

Vid kostnads-nyttoanalysen bedömdes den ekonomiska nyttan av arkivet för klientuppgifter som följer: 

1. Effektiviserad framtagning och delning av information 

Elektronisk arkivering försnabbar registreringen, framtagningen och delningen av information bland olika användare. Den mest betydande nyttan av effektiviseringen hänför sig till behandlingen av information. De som arkiverar klientuppgifter och de som använder de arkiverade uppgifterna drar nytta av den elektroniska arkiveringen av klientuppgifter. Elektronisk arkivering minskar i betydande utsträckning arkivskötarens uppgifter inom socialväsendet vad gäller exempelvis sållningar och gallringar i anslutning till datamaterialen. Arbetet för de yrkesutbildade personerna inom socialvården effektiveras särskilt vid bedömning av servicebehovet och vid planering av socialtjänsterna i början av kundprocessen då alla uppgifter om kunden finns tillgängliga utan sådan information som söks via särskilda begäranden om information. Också arbetsmängden för den som lämnar ut uppgifter minskar, eftersom kundhandlingar på papper inte behöver lämnas ut till den som begär dem. Medborgarna får sina uppgifter via tjänsten Mina Kanta-sidor. 

2. Effektiviserad registrering 

Elektronisk arkivering försnabbar registreringen och överlappande registreringar minskar. Nyttan riktar sig särskilt till dem som utformar handlingar som ska arkiveras i det elektroniska arkivet t.ex. i kommunerna, eftersom det går mindre tid åt till att producera handlingen. Upp- skattningsvis ca 117 000 yrkesutbildade personer drar nytta av detta. 

3. Effektiviserad arkivering 

Elektronisk arkivering minskar behovet av fysiska arkiv. Nyttan riktar sig särskilt till förvaltningen av de nuvarande fysiska arkiven. I det nuvarande systemet orsakar arkiveringen både lokalkostnader och arkiveringskostnader, som bland annat beror på lönekostnaderna för arkivpersonalen. 

4. Minskad postning 

Så gott som all postning mellan tjänstetillhandahållare kan i fortsättningen skötas elektroniskt. Största delen av de handlingar som finns i elektronisk form kan skickas till kunden även elektroniskt, och det betyder att den tid som använts för postningen och de kostnader som hänför sig till postningen minskar. 

Den nytta som nämns ovan har utvärderats av experter på socialvård vid Helsingfors socialväsende. Dessutom har statistik som framställts om organisationerna vid affärsverket Oiva och vårdcentralen Aava i Päijänne-Tavastland använts. 

Indirekta kostnadseffekter 

De reformer som anges i förslaget har också indirekta kostnadseffekterutöver de indirekta kostnadseffekterna. Kostnadsnytta uppkommer av att vårdpersonalen i service- och vårdsituationer i betydande utsträckning har tillgång till kundens tidigare klient- och patientuppgifter, och då får vårdpersonalen lättare en helhetsbild av kundens situation vilket i sin tur gör det möjligt att planera tjänsterna på ett mer övergripande sätt och kostnadseffektivare tjänster. 

Man kan utveckla välbefinnandeapplikationer som ska hänföras till de riksomfattande informationssystemtjänsterna och med hjälp av vilka man kan underlätta kundernas kommunikation med vårdpersonalen, vilket kan vara ett stöd vid främjande av hälsa och vård av sjukdomar och på det sättet generera nytta för hälsan och välbefinnandet. Reformerna möjliggör även utvecklande av nya former av verksamhets- och servicemodeller, vilket effektiviserar verksamheten. Applikationerna kan utvecklas till stöd för välbefinnandet även utan att yrkesutbildade personer inom social- och hälsovården deltar. Realiseringen av nyttan och nyttans omfattning är beroende av hurdana verksamhetsmodeller och applikationer som utvecklas med utnyttjande av riksomfattande informationssystemtjänster. 

Konsekvenser för hushållen. Hushållen kan uppnå kostnadsnytta genom den tidsbesparing som både de riksomfattande informationssystemtjänsterna och de därtill hörande välbefinnandeapplikationerna medför och genom revideringen av verksamhetsmodellerna inom social- och hälsovården. Även en förbättrad tillgång till klient- och patientuppgifter kan medföra kostnadsnytta för hushållen, t.ex. ett minskat antal överlappande åtgärder och förbättrad patientsäkerhet. Om fysiska besök kan ersättas med informationsutbyte via välbefinnandeapplikationer innebär det att hushållen sparar tid och även kostnader som orsakas av besök. 

Konsekvenser för företag. Förslaget har konsekvenser för både företag som producerar social- och hälsotjänster och företag som utvecklar välbefinnandeapplikationer. Hälsovårdsföretagen kan utveckla välbefinnandeapplikationer som kan införlivas med de riksomfattande informationssystemtjänsterna samt nya former av servicemodeller i anslutning till dessa. Uppgifternas tillgänglighet gör det lättare för kunderna att byta serviceproducent, eftersom den tidigare vård- och servicehistorien finns tillgänglig via den riksomfattande informationssystemtjänsten. Detta kan i viss mån göra en etablering på marknaden lättare, öka konkurrensen mellan företag och genom konkurrens även förbättra kvaliteten på servicen och främja utvecklandet av nya verksamhets- och tjänsteformer. 

När ett företag är verksamt för en annan serviceanordnares räkning inom social- och hälsovården kan företaget använda sitt eget klient- och patientdatasystem och skicka uppgifterna till anordnaren via en riksomfattande informationssystemtjänst. Behovet att göra separata integrationer eller använda anordnarens informationssystem minskar, vilket kan antas effektivisera verksamheten. 

För programföretag som utvecklar välbefinnandeapplikationer innebär informationsresursen för egna uppgifter en möjlighet att koppla en applikation som man utvecklat till den riksomfattande informationsresursen så att de kunder inom social- och hälsovården som använder applikation kan vidareförmedla sina uppgifter som att tjänstetillhandahållare inom social- och hälsovården kan utnyttja dem i samband med att de tillhandahåller tjänster. Informationsresursen ger en ny plattform där också välbefinnandeuppgifter som producerats med andra applikationer kan utnyttjas. Till välbefinnandeapplikationerna kan dessutom hämtas även kunduppgifter som finns i de riksomfattande informationssystemtjänsterna och uppgifter om elektroniska recept, vilket gör det möjligt att utveckla nya slags applikationer som kombinerar kunduppgifter och välbefinnandeuppgifter och som kan innebära nya affärsmöjligheter för applikationsutvecklarna. 

Applikationsutvecklare som tillhandahåller välbefinnandeapplikationer borde emellertid hitta fungerande affärsmodeller runt sina applikationer så att även informationsresursen för egna uppgifter tillför affärsverksamheten ett klart mervärde. För välbefinnandeapplikationer föreslås certifieringsförfaranden som villkor för att de ska få anslutas till de riksomfattande informationssystemtjänsterna, vilket å ena sidan säkerställer applikationernas informationssäkerhet, interoperabilitet och funktionalitet, men å andra sidan kan certifieringen vara en tung process särskilt för företag som är på väg ut på marknaden. 

Konsekvenser för myndigheterna. Reformerna enligt propositionen har konsekvenser även för myndigheterna, särskilt Tillsyns- och tillståndsverket för social- och hälsovården Valvira samt Instituet för hälsa och välfärd. Ur tillsynsperspektiv utvidgar propositionen tillsansvaret till även socialvårdens klientdatasystem och välbefinnandeapplikationer, som bägge i och med propositionen ska anmälas till Valviras register. Välbefinnandeapplikationer kan också vara medicintekniska produkter, och för deras del delar Fimea och Valvira på tillsynsansvaret. 

Konsekvenser för den offentliga ekonomin. Reformerna enligt förslaget har konsekvenser för den offentliga ekonomin genom både utvecklings- och underhållskostnaderna för informationssystemen och en eventuell effektivisering av verksamheten inom social- och hälsovården på det sätt som beskrivs ovan. I begynnelseskedet kräver utvecklandet och införandet av ny service betydande investeringar både av staten i genomförandet av de nationella informationssystemtjänsterna och av tjänstetillhandahållarna inom social- och hälsovården i genomförandet av behövliga ändringar i klient- och patientdatasystemen. Den nytta som uppnås med serviceutvecklingen och de ändringar i verksamhetsmodellerna som den möjliggör börjar synas efter det att servicen införts. 

3.2  Samhälleliga konsekvenser

3.2.1  3.2.1 Konsekvenser för medborgarna

Sett ur medborgarnas perspektiv kommer propositionen att ha konsekvenser, särskilt de bestämmelser i propositionen som främjar överföringen av kunduppgifter mellan olika tjänstetillhandahållare och gör överföringen smidigare. I propositionen finns dessutom en ny bestämmelse om informationsresursen för egna uppgifter, som en person, om han eller hon så vill, kan föra in sina egna uppgifter om välbefinnande i. De reformer som avses i propositionen ökar förmodligen människornas möjlighet att delta och påverka särskilt genom tjänsten Mina Kanta-sidor och de välbefinnandeapplikationer som informationsresursen för egna uppgifter möjliggör. 

När kundens social- och hälsovårdsuppgifter finns införda i riksomfattande informationssystemtjänster på ett nationellt enhetligt sätt kan man anta att även den service som kunderna får blir effektivare. Kundens social- och hälsovårdsuppgifter ska vara tillgängliga oberoende av var eller hos vilken tjänstetillhandahållare kunden uträttar sina ärenden. Det opartiska bemötandet av kunderna förbättras när alla uppgifter om kunden är uppdaterade och tillgängliga. Uppgifternas tillgänglighet främjar också medborgarnas möjlighet att välja tjänstetillhandahållare, när alla tjänstetillhandahållare har tillgång till uppgifterna med hjälp av de riksomfattande informationssystemtjänsterna. 

Konsekvenserna av ändringar måste också bedömas med avseende på skyddet för privatlivet. Inom hälso- och sjukvården har patienten tillfrågats om vidsträckt samtycke, och utifrån samtycket har uppgifterna om hälsa med hjälp av riksomfattande informationssystemtjänster kunnat utlämnas till andra verksamhetsenheter inom hälso- och sjukvården. Efter det att patienten har gett sitt samtycke har han eller hon haft rätt att förbjuda att uppgifterna lämnas ut. Vidsträckt samtycke infördes genom en ändring av klientuppgiftslagen (1227/2010) efter att det hade konstaterats att särskilt samtycke till utlämnandet av uppgifter i anslutning till varje servicehändelse eller servicehelhet hade uppfattats som besvärligt och även ansetts begränsa patientens självbestämmanderätt. Enligt regeringens proposition (RP 176/2010) hade det visat sig att de flesta människor önskar att deras patientuppgifter ska kunna användas i alla situationer, oberoende av vårdplatsen. 

I denna regeringsproposition slopas det ovannämnda vidsträckta samtycket. Utlämnande av uppgifter mellan personuppgiftsansvariga ska enligt propositionen inte i fortsättningen kräva samtycke av kunden, men kunden kan dock förbjuda att hans eller hennes uppgifter lämnas ut, dock så att förbudet inte kan begränsade de lagstadgade rättigheterna att få uppgifter. Med hjälp av förbud kan kunden utöva sin självbestämmanderätt när det gäller utlämnande av uppgifter. Förbudet kan gälla ett enskilt register eller en enskild tjänstetillhandahållare. Inom hälso- och sjukvården kan förbudet även i fortsättningen gälla en enskild servicehändelse och inom socialvården en enskild handling eller servicehändelse. Dessutom ska det vara möjligt att förbjuda utlämnande av alla uppgifter. 

Bestämmelser om samtycke finns i EU:s dataskyddsförordning, och artikel 29-arbetsgruppen, som består av de till Europeiska unionen hörande ländernas dataskyddsmyndigheter (Art. 29 WP 29), och Europeiska dataskyddsstyrelsen (EDPB) har meddelat anvisningar (guideline) om samtycket. Slopandet av samtycket innebär en betydande förändring i den praxis som gäller i hälso- och sjukvårdens nuvarande riksomfattande informationssystemtjänster. I fortsättningen ska patientuppgifterna i regel kunna utlämnas till andra personuppgiftsansvariga, om det föreligger en från dataskyddsförordningen härledd laglig grund för utlämnande och kunden inte har förbjudit att hans eller hennes uppgifter lämnas ut. Före utgången av mars 2020 hade ca 3 miljoner personer gett sitt samtycke till utlämnande av uppgifter. Antalet personer som gett samtycke är betydande, och för de personer som gett samtycke medför ändringen enligt denna proposition i praktiken inga förändringar i utlämnande av uppgifter mellan tjänstetillhandahållarna. Dessutom kvarstår möjligheten att förbjuda att uppgifter lämnas ut. I och med propositionen kan man samtidigt meddela förbud i fråga om alla sina klient- och patientuppgifter, vilket underlättar kundens rätt att besluta om förbud mot utlämnande av hans eller hennes uppgifter. 

I den nationella informationsresursen kan personer föra in sina egna personliga uppgifter om välbefinnande och hälsa med hjälp av informationsresursen för egna uppgifter, dvs. tjänsten Personal Health Record (PHR). I målbilden kan en person spara sina uppgifter på internet eller med olika elektroniska tjänster eller mobilapplikationer. Personen kan i allt större utsträckning använda de uppgifter om hälsa och välbefinnande som han eller hon själv har samlat in för att förbättra sin livsföring och sitt välbefinnande. De uppgifter som personen har sparat kan en yrkesutbildad person som tillhandahåller social- eller hälsotjänster vid behov använda med kundens samtycke. Med hjälp av informationsresursen för egna uppgifter främjas aktiv användning av nya innovationer och applikationer när det gäller att sörja för det egna välbefinnandet. 

Via kundens elektroniska förbindelse (tjänsten Mina Kanta-sidor) kan en kund utöver sina patientuppgifter se sina egna uppdaterade klientuppgifter inom socialvården oberoende av tid, plats eller tjänsteproducent via sin egen terminalförbindelse. Det ska vara möjligt att se alla klient- och patientuppgifter som förts in i de riksomfattande informationssystemtjänsterna med undantag av sådan information som kunden med stöd av 11 § 2 och 3 mom. i offentlighetslagen eller annan lagstiftning inte har rätt att få. Kunden kan via den elektroniska förbindelsen följa med hur den egna servicen och vården förlöper och kontrollera bl.a. registreringar som gäller service-, diagnos- och läkemedelsuppgifter samt vårdanvisningar. Via den elektroniska förbindelsen kan kunden dessutom smidigare följa med de logguppgifter som gäller utlämnande av hans eller hennes kunduppgifter, eftersom kunden inte separat behöver begära uppgifter av en verksamhetsenhet. En nationellt centraliserad elektronisk förbindelse innebär att olika verksamhetsenheter kan producera kunduppgifter till patienten via ett enda gränssnitt. Elektroniska förbindelser behöver således inte upprättas från varje vårdenhet där patienten har vårdats. 

Lagförslaget gör det också möjligt att utvidga behandlingen av uppgifter för någon annans räkning till fullvuxna med stöd av fullmakter eller intressebevakning. Ändringen gör det till exempel möjligt för en anhörig att med stöd av fullmakt sköta ärenden på Mina Kanta-sidor för en äldre persons räkning, vilket kan antas underlätta skötseln av social- och hälsovårdsärenden och informationen så att de anhöiga kan hjälpa äldre med social- och hälsovårdsärenden. 

Om en person vill så kan han eller hon också använda sina egna klient- och patientuppgifter samt receptuppgifter i välbefinnandeapplikationer. 

3.2.2  3.2.2 Tjänstetillhandahållarnas perspektiv inom social- och hälsovården

Tjänstetillhandahållare och yrkesutbildade personer inom socialvården drar nytta av riksomfattande informationssystemtjänster, eftersom informationssökningen blir effektivare efter det att socialvården har anslutit sig till de riksomfattande informationssystemtjänsterna. Det skulle vara lättare och smidigare att ordna och genomföra vård av och omsorg om kunden, om nödvändiga och uppdaterade uppgifter fanns tillgängliga i social- och hälsovårdens register på ett enkelt sätt och vid rätt tidpunkt. När yrkesutbildade personer inom social- och hälsovården på basis av sina åtkomsträttigheter får den information de behöver i sitt arbete från klient- eller patientregistret har den snabba tillgången till uppgifterna betydelse även för klientsäkerheten. Med hjälp av de riksomfattande informationssystemtjänsterna och på basis av kundens samtycke får en yrkesutbildad person inom hälso- och sjukvården den information han eller hon behöver om patientens socialtjänster och den yrkesutbildade personen inom socialvården får information om kundens hälso- och sjukvård. 

Det att utlämnandet av klient- och patientuppgifter grundar sig på lagstiftningen i stället för på samtycke kan förbättra tillgången till uppgifter inom social- och hälsovården. Det bör dock beaktas att patientuppgifterna har varit tillgängliga utifrån ett samtycke och att före utgången av mars 2020 har ca 3,8 miljoner personer gett sitt samtycke, och detta innebär att en övergång från samtycke till en lagstadgad grund för utlämnande av uppgifter inte ändrar nuläget i någon betydande utsträckning. Utlämnandet av uppgifter förutsätter i vilket fall som helst en kund- eller vårdrelation eller någon annan saklig orsak. Kunder ska ha rätt att förbjuda att deras uppgifter lämnas ut, och då kan det vara möjligt att yrkesutbildade personer inom hälso- och sjukvården inte har alla de uppgifter som är nödvändiga för att vården ska genomföras. Insamlingen av uppgifter om kunden effektiviseras och försnabbas när uppgifterna om kunden hittas centraliserat och i en enhetlig form. Tjänstetillhandahållarna hittar de väsentliga kunduppgifterna i arkiveringstjänsten och behöver inte begära att få samma uppgifter till exempel med post. 

Dessutom ska välbefinnandeuppgifter som en person har sparat själv kunna användas av en yrkesutbildad person hos tjänstetillhandahållaren med kundens samtycke när hälsotjänster tillhandahålls. Uppgifter som personen själv för in i informationsresursen för egna uppgifter kan yrkesfolk använda t.ex. vid insamling av förhandsuppgifter eller bedömning av vårdbehovet och vid uppföljning mellan vård- eller kundbesöken. 

3.2.3  3.2.3 Andra samhälleliga konsekvenser

Nyttan med riksomfattande informationssystemtjänster hänför sig till en effektivisering av social- och hälsovården, till förbättrad kvalitet samt till en ökning av bättre uppgifter som är lättare tillgängliga. Uppgifter som på ett enhetligt sätt förts in i det riksomfattande arkivet stärker informationsunderlaget och den enhetliga informationen för social- och hälsovården samt främjar i fortsättningen informationsutbytet och samarbetet mellan socialvården och hälso- och sjukvården. Dessutom kan uppgifter som förts in i Kanta-tjänsterna utnyttjas i enlighet med lagen om sekundär användning till exempel med dataanvändningstillstånd för forskningsändamål och med begäran om information för alla andra ändamål enligt lagen om sekundär användning, och även uppgifter som samlats in för Institutet för hälsa och välfärds register ska i fortsättningen vara tillgängliga via Kanta-tjänsterna efter ändringarna i lagen om Institutet för hälsa och välfärd (668/2008) i stället för separata uppgiftsinsamlingar och registreringar. I synnerhet införandet av klientuppgifter inom socialvården i Kanta-tjänsterna och klienthandlingarnas datastrukturer gör det möjligt att utveckla registeruppgiftsinsamlingen som gäller socialvården. 

Genom införandet av de föreslagna riksomfattande informationssystemtjänsterna och de applikationer som kan anslutas till dem kan verksamhetsprocesserna inom social- och hälsovården effektiviseras och utvecklas. I samband med utvecklandet av verksamhetsprocesserna är det viktigt att även beakta de grupper som inte är vana vid e-tjänster eller inte klarar av att använda dem. Vid behov kan en sådan person få hjälp med e-tjänsterna på en funktionell nivå. 

Med hjälp av den tjänst som föreslås i propositionen och som avser informationsresursen för egna uppgifter kan personerna själva föra in sina egna personliga uppgifter om välbefinnande. I målbilden kan personen föra in dessa uppgifter i informationsresursen för egna uppgifter t.ex. med hjälp av olika mobilapplikationer. Om en person vill så kan han eller hon också kopiera sina egna klient- och patientuppgifter samt receptuppgifter till informationsresursen för egna uppgifter och använda dem i välbefinnandeapplikationer anslutna till informationsresursen för egna uppgifter. Detta främjar nya innovationer och utvecklandet av nya produkter. 

De föreslagna ändringarna har inga betydande regionala konsekvenser. De föreslagna ändringarna möjliggör tillgängliga klient- och patientuppgifter på ett riksomfattande plan och på ett jämlikt sätt inom olika områden. Informationsresursen för egna uppgifter gör det möjligt att använda kunders egna uppgifter om välbefinnande och välbefinnandeapplikationer på ett riksomfattande plan, och delvis underlättar informationsresursen tillgången till vissa tjänster i glesbygden. 

3.2.4  3.2.4 Konsekvenser för jämställdheten mellan könen

Bestämmelserna om elektronisk behandling av kunduppgifter i propositionen är könsneutrala. 

3.2.5  3.2.5 Konsekvenser för barn

Bestämmelser om barnets rättigheter finns i FN:s konvention om barnets rättigheter (FördS 59 och 60/1991), som är en människorättskonvention som satts i kraft genom lag. Enligt artikel 4 i konventionen ska konventionsstaterna vidta alla lämpliga lagstiftningsåtgärder, administrativa åtgärder och andra åtgärder för att genomföra de rättigheter som erkänns i konventionen. Bestämmelser om minderåriga patienters ställning finns dessutom i lagen om patientens ställning och rättigheter, medan bestämmelser om en minderårig kunds ställning finns i lagen om klientens ställning och rättigheter inom socialvården. I socialvårdslagen finns bestämmelser om barnets intresse samt om beaktande av barns och unga personers åsikter och önskemål. När det gäller barnens rättigheter är det viktigt att se till balansen i å ena sidan barnets delaktighet och å andra sidan skyddet av barnet. 

Vid elektronisk behandling av kunduppgifter som gäller barn ska barnets intresse alltid komma i första hand, vilket i praktiken betyder att barns alla rättigheter ska beaktas fullt ut. Enligt FN:s konvention om barnets rättigheter (barnkonventionen) ska konventionensstaterna i sin nationella lagstiftning säkerställa bland annat barnets rätt att höras (artikel 12 i barnkonventionen), rätt till information (artikel 13 i barnkonventionen), rätt till privatliv (artikel 16 i barnkonventionen) samt rätt till särskilt skydd och omvårdnad (bl.a. artikel 3.2 och artikel 19 i barnkonventionen). Barn har också rätt till bästa möjliga hälsa (artikel 24 i barnkonventionen). 

I EU:s allmänna dataskyddsförordning finns bestämmelser om de villkor som gäller barns samtycke avseende informationssamhällets tjänster. I artikel 8.1 i dataskyddsförordningen föreskrivs det om den åldersgräns enligt vilken informationssamhällets tjänster kan erbjudas direkt till ett barn utan samtycke eller godkännande av den person som har föräldraansvar för barnet. Medlemsstaterna får i sin nationella rätt föreskriva om åldersgränser för barn, förutsatt att den lägre åldern inte är under 13 år och den övre åldern inte över 16 år. 

Elektronisk behandling av social- och hälsouppgifter kan i bästa fall bidra till att främja barns och ungas rätt till bästa möjliga hälsa, självbestämmanderätt och rätt till privatliv ännu mera, samt förbättra tillgången till tjänster och kvaliteten på tjänsterna för barn och unga. 

Ett av syftena med propositionen är att utvidga innehållet i de riksomfattande informationssystemtjänsterna så att medborgare utöver klienthandlingarna från socialvården kan föra in sina egna välbefinnandeuppgifter eller uppgifter som produceras av olika välbefinnandeapplikationer i informationsresursen för egna uppgifter. Klientuppgifter inom socialvården ska vara tillgängliga i tjänsten Mina Kanta-sidor för både barnet och barnets vårdnadshavare eller någon annan som har rätt att få uppgifter. 

Enligt propositionen förs i informationsresursen för egna uppgifter in sådana uppgifter om välbefinnande som personen själv eller välbefinnandeapplikationen producerar och administrerar. Informationsresursen för egna uppgifter och de välbefinnandeapplikationer som anslutits till den hör till informationssamhällets tjänster, som barn som fyllt 13 år får använda självständigt. Ett barn kan i samband med behandlingen av diabetes självständigt föra in till exempel sina blodsockervärden i uppgifterna om välbefinnande. Barn under 13 år får använda informationsresursen för egena uppgifter med vårdnadshavarens samtycke. 

Den bestämmelse om en informationsresurs för egna uppgifter och om utvidgning av den elektroniska förbindelsen till de egna uppgifterna till klientuppgifter inom socialvården som föreslås i propositionen innebär en möjlighet till barns rätt till privatliv. Möjligheten till e-tjänster kan vara viktig för t.ex. de barn som är ensamma eller som har svåra hemförhållanden. Ett barns personliga situation kan variera mycket och i vissa situationer kan e-tjänster vara ett viktigt medel för växelverkan för barnet. 

Beredningen av propositionen

4.1  Beredningsskeden och beredningsmaterial

Social- och hälsovårdsministeriet tillsatte en arbetsgrupp för beredning av reformen av lagstiftningen om elektronisk behandling av kunduppgifter. Arbetsgruppens mandatperiod var 20.4.2015–31.5.2016. Arbetsgruppens mandatperiod förlängdes till 30.11.2016, eftersom ändringarna av klientuppgiftslagen skulle ha varit beroende av de ändringar som görs i lagen om ordnande av social- och hälsovården och lagen om valfrihet samt av EU:s dataskyddsförordning. 

Arbetsgruppen sammanträdde sammanlagt 19 gånger. Förslaget till proposition har beretts inte bara vid arbetsgruppens sammanträden utan även som tjänsteuppdrag i samarbete med Institutet för hälsa och välfärd och Folkpensionsanstalten. Regeringens proposition RP 300/2018 rd, som presenterades utifrån det arbetet, förföll till följd av riksmötets avslutande och förrättandet av riksdagsval 2019. 

Denna proposition har utarbetats som tjänsteuppdrag utifrån regeringens förfallna proposition RP 300/2018 rd. 

4.2  Remissyttranden och hur de har beaktats

Respons från den tidigare remissbehandlingen i mars 2017 

En remissbehandling av utkastet till regeringsproposition hade ordnats under perioden januari- mars 2017. Social- och hälsovårdsministeriet tog emot cirka 180 remissyttranden. De enskilda remissyttrandena finns på Statsrådets tjänst för projektinformation. Remissresponsen har beaktats och utifrån den har nödvändiga ändringar gjorts i paragraferna och i den allmänna motiveringen och detaljmotiveringen till propositionen. 

Remissinstanserna har ansett att propositionen i huvudsak kan understödjas och de centrala förslagen i lagförslaget har i huvudsak förordats. Dataombudsmannens byrå har fäst vikt vid det faktum att då ett landskap är personuppgiftsansvarig i fråga om all den serviceproduktion som landskapet ska ordna, finns det avsevärt mera uppgifter i en personuppgiftsansvarigs register och även fler som använder registeruppgifterna. I detta fall ökar även riskerna för missbruk av kunduppgifterna. Detta ställer krav på metoderna för och förvaltningen av åtkomsträttigheter. Dessutom ska det för organisationer och medborgare finnas en faktisk möjlighet att i tillräcklig utsträckning följa med användningen av klient- och patientuppgifter och utlämnande i efterhand via tjänsten Mina Kanta-sidor och även på annat sätt. Privata yrkesutövare inom social- och hälsovården har fört fram hur svårt det är att ansluta sig som användare till de riksomfattande informationssystemtjänsterna. 

Remissinstanserna har kunnat säga sin åsikt även genom att svara på frågor i en webropol- enkät. Frågorna har gällt de centrala förslag till ändringar som gjorts i klientuppgiftslagen. 

Av remissinstanserna tyckte ca 80 procent (82 st.) att ändringarna i klientuppgiftslagen på ett bra sätt eller till största delen på ett bra sätt stöder reformen av social- och hälsovårdens servicesystem. Den centrala reformen av social- och hälsovårdens servicesystem innebär bl.a. att social- och hälsotjänsterna bildar samordnade helheter. En effektiv och integrerad tjänsteproduktion förutsätter dessutom en fullständig dataintegration som gäller kunder och tjänster samt data som är tillgängliga över organisations- och förvaltningsgränserna. 

Majoriteten av remissinstanserna ansåg att lagförslaget främjar en informationssäker elektronisk behandling av kunduppgifter inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande inom social- och hälsovården. 

Av remissinstanserna understödde ca 70 procent (112 st.) ett gemensamt kundregister för social- och hälsovården i enlighet med det förslag som var på remiss och tre remissinstanser motsatte sig förslaget. Remissinstanserna ansåg att ett gemensamt kundregister för social- och hälsovården är en förutsättning för valfrihet i fråga om social- och hälsotjänster samt en positiv sak i samarbetet mellan socialvården och hälso- och sjukvården. Kundregistret ansågs även vara nödvändigt för att social- och hälsotjänsterna ska fungera smidigt och högklassigt och att servicekedjorna ska vara smidiga. Det fästes vikt vid att preciseringar behövs i fråga om i hur stor omfattning kunduppgifterna ska vara tillgängliga för den som använder uppgifterna inom social- och hälsotjänsterna. Det fästes även vikt vid att kunduppgifterna hålls tillgängliga för en så liten krets som möjligt. Efter remissbehandlingen har det preciserats att behandlingen av klient- och patientuppgifter utifrån det gemensamma registret och åtkomsträttigheterna inte lyckas. Eftersom klient- och patientuppgifter har olika användningsändamål ska det föreskrivas om användningen av uppgifterna mellan social- och hälsotjänsterna genom lag. Dessutom behövs ändringar även i andra författningar som gäller sekretess för och utlämnande av klient- och patientuppgifter. Dessa ändringar genomförs inte i denna proposition som ska överlämnas till riksdagen, utan en särskild beredning inleds för revidering av författningar som gäller informationshantering. 

I propositionen har det som grund för behandlingen av kunduppgifter föreslagits att yrkesutbildade personer i regel utan kundens samtycke ska få behandla kunduppgifter med stöd av en kund- eller vårdrelation eller en lag. Ungefär 80 procent av remissinstanserna understödde eller understödde till största delen den föreslagna grunden för behandling av kunduppgifter. Det förutsattes dock att Institutet för hälsa och välfärd meddelar tydliga och entydiga föreskrifter om grunderna för åtkomsträttigheter och anger på vilket sätt ett kund- eller vårdförhållande ska fastställas. Vikten av att informera kunden framhävdes också. Cirka 10 procent av remissinstanserna motsatte sig propositionen. Enligt dem ska en individ ha rätt att bestämma om han eller hon vill lämna ut sina uppgifter för behandling. Samtycket upplevdes också som en grund för ett gott och förtroendefullt kundförhållande och det föreslogs att det s.k. allmänna samtycket inte ska slopas. De flesta remissinstanserna understödde det förslag att en kund inte ska ha rätt att förbjuda utlämnande av sina kunduppgifter inom den personuppgiftsansvariga. 

Enligt förslaget kan en person i informationsresursen för egna uppgifter föra in sina uppgifter eller den information som en välbefinnandeapplikation producerat. En person har dessutom rätt att besluta om användningen av sina uppgifter och om avlägsnande av uppgifterna från informationsresursen. En person kan ge sitt samtycke till att en tjänstetillhandahållare i sitt arbete får använda sådana uppgifter om kundens välbefinnande som finns i informationsresursen för egna uppgifter. En person föreslås även ha rätt att förbjuda att sådana uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter visas. Enligt responsen understödde ca 85 procent förslaget om en informationsresurs för egna uppgifter. 

Enligt propositionen får uppgifter om en patients recept, receptexpedieringar och begäranden om receptförnyelser samt andra medicineringsuppgifter vid Receptcentret enligt förslaget behandlas i en vård- eller kundrelation utan patientens samtycke. En patient får emellertid precisera sådana uppgifter om ordinerade läkemedel och tillhörande anteckningar som inte får lämnas ut. Cirka 60 procent av remissinstanserna understödde eller understödde till största delen propositionen. Enligt de remissinstanser som motsatte sig förslaget ska rätten att förbjuda utlämnande av uppgifter om läkemedel vara förenlig med rätten att förbjuda utlämnande av kunduppgifter och det anfördes också att patientens rätt att förbjuda utlämnande av uppgifter helt och hållet ska slopas på grund av hanteringen av den samlade medicineringen. 

Diskussionsmöte 2.5.2018 

Bakgrunden till diskussionsmötet 

Vid den fortsatta beredningen av propositionen om en klientuppgiftslag konstaterades det att utlämnande av klient- och patientuppgifter mellan socialvården och hälso- och sjukvården, dvs. för två olika ändamål, kräver större ändringar än man ursprungligen hade tänkt. Den modell för ett gemensamt register som planerades i utkastet till klientuppgiftslagen i fråga om verifieringen av hanteringen av åtkomsträttigheter och sammanhang eller vårdrelation, är som sådan inte tillräcklig, utan det krävs ändringar också i annan lagstiftning inom social- och hälsovården och inte enbart i klientuppgiftslagen. 

Informationshanteringen av klient- och patientuppgifter regleras i flera olika lagar i den nationella lagstiftningen: lagen om klientens ställning och rättigheter inom socialvården, lagen om klienthandlingar inom socialvården, lagen om patientens ställning och rättigheter och social- och hälsovårdsministeriets förordning om journalhandlingar. Dessutom regleras social- och hälsovårdens verksamhet av flera sektorvisa lagar. 

Författningsgrunden för social- och hälsovårdens gemensamma tjänster både på funktionell nivå och informationshanteringsnivå är obetydlig. Modellen med ett register är ingen lösning på det informationsutbyte mellan social- och hälsovården som det föreskrivs om i den sektorvisa lagstiftningen. Dessutom kräver dataintegrationen en helt ny författningsgrund. I fortsättningen måste de tjänster identifieras där man faktiskt samarbetar inom socialvården och hälso- och sjukvården och där det är nödvändigt att lämna ut uppgifter. 

I artikel 5 i EU:s dataskyddsförordning konstateras att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). Om uppgifter används för andra ändamål än de ursprungliga, krävs för detta en grund, t.ex. samtycke av individen eller en bestämmelse i en lag. Dessutom finns det olika grunder för behandlingen av social- och hälsouppgifter enligt EU:s dataskyddsförordning i artiklarna 6 och 9 i dataskyddsförordningen. 

På grund av de problem som nämns ovan ordnade social- och hälsovårdsministeriet ett diskussionsmöte den 2 maj 2018. Syftet med diskussionsmötet var att få respons särskilt på förslaget om att slopa modellen med ett register. Dessutom kunde remissinstanserna om de så ville ge respons på hela utkastet till klientuppgiftslag. 

Respons från diskussionsmötet 

I diskussionsmötet deltog företrädare för sammanlagt 83 olika organisationer. Sammanlagt 34 skriftliga utlåtanden lämnades in till social- och hälsovårdsministeriet. 

Enligt utlåtanderesponsen ska behandlingen av kunduppgifter vara smidig i social- och hälsovårdens gemensamma tjänster. De gemensamma klienthandlingar som social- och hälsovården har producerat tillsammans ska i fortsättningen identifieras och definieras. I många utlåtanden har det även förts fram att lagförslaget ska lämnas till riksdagen i den form förslaget från 2017 hade. I det föreslogs ett kundregister. Utifrån utlåtanderesponsen från 2017 ansågs modellen med ett kundregister vara ytterst positiv. I modellen med ett register hade hanteringen av kunduppgifter grundat sig bl.a. på administrering av åtkomsträttigheter samt på verifiering av sammanhanget eller vårdrelationen. 

Av remissinstanserna motsatte sig de flesta att det gemensamma kundregistret inom social- och hälsovården slopas i denna proposition. De flesta av remissinstanserna, t.ex. Kommunförbundet, Folkpensionsanstalten och de största städerna och förbunden, har i sina yttranden fört fram att social- och hälsovårdens gemensamma kundregister utgör en förutsättning för valfriheten i fråga om tjänster inom social- och hälsovården och för samarbetet, och registret är nödvändigt för att social- och hälsovårdens tjänster ska vara smidiga och för integrationen inom social- och hälsovården. Dessutom har det föreslagits att EU:s allmänna dataskyddsförordning inte hindrar ett gemensamt register för kunduppgifter inom social- och hälsovården. I responsen har även förts fram att kunduppgifter inom social- och hälsovården redan nu har ett gemensamt användningsändamål. 

I yttrandet från dataombudsmannens byrå anses det vara en bra lösning att det inte föreslås ett gemensamt klient- och patientregister för social- och hälsovården. Dataombudsmannen har hänvisat till den motivering som social- och hälsovårdsministeriet framfört och har i sitt yttrande fäst vikt inte bara vid motiveringen utan även vid det faktum att man i frågan måste beakta sekretessbestämmelserna. Det är inte möjligt att förbise sekretessbestämmelserna enbart genom en definition av register. Således ska även sekretessbestämmelserna bedömas då, om avsikten i fortsättningen är att underlätta möjligheterna att få uppgifter mellan socialvården och hälso- och sjukvården. 

Institutet för hälsa och välfärd betonade i sitt yttrande att propositionen inte innehåller några sådana bestämmelser som underlättar den gemensamma informationshanteringen och som är nödvändiga för social- och hälsovårdens servicesystemreform. I propositionen finns inte heller några gemensamma klienthandlingar som social- och hälsovården producerar tillsammans. 

Finlands apotekareförbund ansåg att propositionen i huvudsak kan understödjas. Förslagen till ändringar stöder genomförandet av dataintegrationen inom social- och hälsovården och förbättrar tillgången till och användbarheten hos kund- och läkemedelsuppgifter. Finlands apotekareförbund föreslår i sitt yttrande att apoteken ska kunna föra in information som gäller läkemedelsbehandlingens effekt i receptcentret. 

Pensionsskyddscentralen, trafikförsäkringscentralen och olycksfallsförsäkringscentralen har i sina yttranden föreslagit att det via den informationsförmedlings- och förfrågningsservice som hör till Kanta-tjänsterna också ska vara möjligt att i elektronisk form lämna ut andra sådana nödvändiga uppgifter om hälsotillstånd som behövs till försäkringsanstalter och försäkringsbolag i sådana fall då de har en på lagstiftningen grundad rätt att få uppgifter. Detta kan genomföras även på ett sådant sätt att den som lämnar ut uppgifterna fortsättningsvis har prövningsrätt i fråga om utlämnande av enskilda uppgifter. Utlämnande av uppgifter kräver alltså även i fortsättningen en specificerad och motiverad begäran, vars riktighet ska bedömas av den som lämnar ut uppgifterna. Ändringen utvidgar således inte försäkringsanstalternas och försäkringsbolagens rätt att få information jämfört med nuläget, men möjliggör förmedling av uppgifter via elektroniska kanaler i motsvarande utsträckning som försäkringsanstalterna och försäkringsbolagen för närvarande har rätt till i pappersform. Arbetspensionsanstalterna får redan nu utifrån arbetspensionslagarna söka uppgifterna via en teknisk anslutning utan samtycke av den vars intressen sekretessen är avsedd att skydda. 

Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) har i sitt yttrande lyft fram att det i propositionen vore skäl att ta in tydliga bestämmelser om att tillsynsmyndigheten för utförande av sina uppgifter ska ha rätt att få nödvändiga uppgifter via en teknisk anslutning ur Folkpensionsanstaltens arkiv. För närvarande måste Valvira begära bl.a. journalhandlingar manuellt direkt från den aktuella verksamhetsenheten. I vissa fall finns det flera verksamhetsenheter i anslutning till ett och samma tillsynsärende. 

Finlands läkarförbund fäste vikt vid de förbud som patienten meddelar. Uppgifterna ska alltid vara synliga för läkaren. Finlands läkarförbund konstaterar i sitt yttrande att det med avseende på genomförandet av läkemedelssäkerheten är nödvändigt att den vårdande läkaren har vetskap om att patienten har meddelat förbud i fråga om uppgifterna i receptcentret eller Patientdataarkivet. Läkarförbundet anser att en enkel upplysning om att förbud antingen har meddelats eller inte har meddelats är tillräcklig. Utan vetskap om meddelade förbud kan läkaren i praktiken inte lita på att läkemedelsuppgifterna i receptcentret är heltäckande för en enda patient. Detta urvattnar den centrala nytta med ett elektroniskt receptsystem som innebär att uppdaterade uppgifter om patientens medicinering ska fås ur systemet. Enligt Valviras åsikt är förbudsrätten dock i den föreslagna formen för omfattande och äventyrar patientsäkerheten. Det är viktigt att det åtminstone med datumuppgifter syns vilka handlingar eller uppgifter i registret som enligt patienten inte får visas. 

Social- och hälsovårdsministeriet har behandlat responsen och gjort ändringar i förslaget. För att främja integrationen av social- och hälsovården och på basis av responsen inleder social- och hälsovårdsministeriet det fortsatta arbetet med att utveckla och förbättra informationshanteringen inom social- och hälsovården. 

Respons från remissbehandlingen 2019-2020 

Utkastet till regeringens proposition genomgick en remissbehandling mellan den 14 november 2019 och den 17 januari 2020, som för ministeriernas del fortsatte till den 14 februari 2020. Social- och hälsovårdsministeriet tog emot ca 100 yttranden. 

De enskilda yttrandena finns i statsrådets utlåtandetjänst https://www.lausuntopalvelu.fi/FI/Proposal/Participation?proposalId=aab5241e-f615-4c4f-8ae2-6ddaef46c786 och beredningsmaterialet till regeringens proposition finns allmänt tillgängligt på adressen https://stm.fi/hanke?tunnus=STM066:00/2019. 

Responsen i yttrandena har beaktats och utifrån den har behövliga ändringar företagits i propositionens paragrafer samt allmänna och specialmotivering. 

Remissinstanserna har i huvudsak ansett att propositionen kan understödjas och de centrala förslagen i propositionen har i huvudsak förordats. 

Största delen av remissinstanserna ansåg att bestämmelserna om behandling och utlämnande av klient- och patientuppgifter är tillräckligt klara och noggranna. 

Största delen av remissinstanserna understödde förslaget om att det till informationshanteringstjänsten fogas en ny punkt som gäller en kunds övriga viljeyttringar som hänför sig till tjänster inom social- och hälsovården och till behandling av kunduppgifter. I informationshanteringstjänsten kunde föras in till exempel att en person motsätter sig att hans eller hennes uppgifter används i biobanksverksamhet. Bestämmelserna om viljeyttringar som gäller behandling och utlämnande är tillräckligt klara och noggranna. Utifrån responsen föreslås det ändå att viljeyttringar koncentreras till en separat viljeyttringstjänst och att informationshanteringstjänsten innehåller patientens viktigaste hälsouppgifter. 

En majoritet av remissinstanserna understödde förslaget att i 9 § stryka bemyndigandet för social- och hälsovårdsministeriet att utfärda förordning om vilka kundhandlingar som ska klassificeras som handlingar som kräver särskilt skydd. Enligt den föreslagna lagen meddelar Institutet för hälsa och välfärd föreskrifter om de väsentliga krav som ställs på datasystemen för att de riksomfattande informationssystemtjänsterna ska kunna utföras och bestämmer kundhandlingarnas informationsinnehåll och datastrukturer samt de kodsystem som i hela landet ska användas i datastrukturerna. I yttrandena påpekades dock att det inte nödvändigtvis är fråga om åtkomsträttigheter i kundhandlingar som åtnjuter särskilt skydd och att handlingar som åtnjuter särskilt skydd omnämns endast i den allmänna motiveringen i utkastet till regeringens proposition. 

I 12 § föreskrivs det att en person kan ge sitt samtycke till att de uppgifter som välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för genomförande av social- och hälsotjänster. En majoritet av remissinstanserna ansåg att bestämmelserna om utlämnande av uppgifter om välbefinnande är tillräckligt klara och noggranna. Tillverkarna av välbefinnandeapplikationer understödde mera ett tillvägagångssätt av typen MyData och att ändamålsbundenheten skulle slopas. En del av remissinstanserna önskade i stället nogrannare och mera detaljerade bestämmelser. 

I 19 och 21 § föreskrivs det att en person har rätt till att hans eller hennes klient- och patientuppgifter kan utnyttjas i informationsresursen för egna uppgifter och vidare i välbefinnandeapplikationer. Strösta delen av remissinstanserna ansåg i sig att bestämmelserna om utlämnande av klient- och patientuppgifter till informationsresursen för egna uppgifter är tillräckligt klara och noggranna, men å andra sidan snäva. En av remissinstanserna förstod inte vad som eftersträvas med kopieringen av uppgifter om välbefinnande och i synnerhet tillverkarna av välbefinnandeapplikationer sade att de inte förstod vilket mervärde informationsresursen för egna uppgifter kunde erbjuda. Största delen av remissinstanserna understödde att välbefinnandeapplikationer som ansluts till informationsresursen för egna uppgifter ska certifieras. 

I 47 § föreslås att grunderna för avgifter som tas ut för användningen av de riksomfattande informationssystemtjänsterna ändras så att Folkpensionsanstalten ska lämna en uppskattning av kostnaderna under de följande fyra åren i stället för ett år. Strävan med ändringen är att kostnaderna för investeringar som skötseln av de riksomfattande informationssystemtjänsterna förutsätter ska kunna beaktas genom en periodisering över flera år så att kostnaderna inte hopas till ett enskilt år. En majoritet av remissinstanserna ansåg att bestämmelserna om avgiftsförfarandena är tillräckligt klara och noggranna. Största delen av tjänstetillhandahållarna inom social- och hälsovården föreslog emellertid att verksamheten borde finansieras ur statsbudgeten i fortsättningen. 

Remissinstanserna hade ingen samstämmig åsikt om det borde föreskrivas uttryckligen i kunduppgiftslagen om att den registrerades rätt att begränsa behandlingen ska kunna inskränkas när den registrerade bestrider personuppgifternas korrekthet. Däremot föreslog bland annat dataombudsmannen att det borde bedömas huruvida bestämmelserna om begränsning kunde vara mera specificerade. Detta kunde genomföras till exempel så att det föreskrivs om situationer där rätten till begränsning kunde medföra allvarlig fara för den registrerades hälsa eller vård. Enligt artikel 18 i dataskyddsförordningen får uppgifter trots begränsning behandlas till exempel för att skydda någon annan fysisk eller juridisk persons rättigheter. 

I flera fritt formulerade svar återkom önskemålet om att utan dröjsmål börja arbeta för en totalreform av bestämmelserna om informationshantering, så att det skulle bli möjligt att använda klient- och patientuppgifter effektivare och mera kundorienterat i multiprofessionella social- och hälsotjänster som har reviderats och kommer att revideras. Lagstiftningen om behandling av personuppgifter inom social- och hälsovården är splittrad och föråldrad, och den del som gäller behandlingen av personuppgifter betjänar inte längre klienternas och patienternas behov.  

Folkpensionsanstalten, Tillsyns- och tillståndsverket för social- och hälsovården, Transport- och kommunikationsverket och Institutet för hälsa och välfärd har i sina yttranden konstaterat att eftersom överensstämmelseintyget samlar kraven på funktionalitet, interoperabilitet och testning, borde det beviljas av någon annan aktör än ett bedömningsorgan för informationssäkerhet, vars sakkunskap omfattar endast informationssäkerhetskrav. Överensstämmelseintyg kunde beviljas av en myndighet, till exempel Folkpensionsanstalten eller, enligt Institutet för hälsa och välfärds yttrande, alternativt Tillstånds- och tillsynsverket för social- och hälsovården, och bedömningsorgandet skulle bara ge ett utlåtande och en rapport om reslutaten av bedömningen av informationssäkerhetskraven. Detta skulle förenkla och förenhetliga certifieringsförfarandena. Institutet för hälsa och välfärd har konstaterat i sitt yttrande att ifall Tillstånds- och tillsynsverket för social- och hälsovården (som innehållsmässigt också ansvarar för registreringen och tillsynen) ska bevilja överensstämmelseintyg, borde verket garanteras tillräckliga resurser för skötseln av uppgiften. Ifall överensstämmelseintygen beviljas av Folkpensionsanstalten, kunde en aktör fungera som tillverkare, testare, godkännare som beviljar intyg och registrerare i fråga om vissa system som ska certifieras, eftersom också Folkpensionsanstaltens Kanta-tjänster ingår i system som ska certifieras. I certifieringsprocessen måste det i vilket fall som helst säkerställas tillräckliga styr- och tillsynsförfarandena, en ändamålsenlig nivå på de förfaranden som via tillverkarna orsakar kostnader för tjänstetillhandahållarna i förhållande till de informationssäkerhets- och andra risker som ska undvikas samt en genomskådlig myndighetsverksamhet. Det är viktigt att certifieringsförfarandena kan styras via Institutet för hälsa och välfärds föreskrifter i enlighet med 34 §. Dessutom borde det i motiveringen eller lagtexten nämnas vilken myndighet (t.ex. social- och hälsovårdsministeriet, Tillstånds- och tillsynsverket för social- och hälsovården eller Institutet för hälsa och välfärd) som övervakar beviljandet av intyg och certifieringsprocessen. Denna aktör borde vara en annan aktör än den som beviljar intygen. Det måste också säkerställas att producenten av en informationssystemtjänst som ska certifieras hörs tillräckligt och har möjligheter att påverka besluten. 

Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården, Transport- och kommunikationsverket och Institutet för hälsa och välfärd har i sina yttranden föreslagit att den maximala giltighetstiden för överensstämmelseintygen ska vara tre år i stället för förslagets fem år. Detta skulle förenhetliga giltighetstiden med de tidsfrister som tillämpas på andra områden och förebygga riskerna i undantagssituationer till följd av förändringar i systemen. 

Enligt Folkpensionsanstaltens yttrande förutsätter utkastet till kunduppgiftslag och det samtidiga utvecklandet av riksomfattande informationssystemtjänster enligt annan lagstiftning omfattande ändringar i informationssystemen hos social- och hälsovårdsaktörer inom den offentliga och den privata sektorn, andra riksomfattande aktörer och apoteken. Erfarenheten har visat att genomförandet av lagändringarna förutsätter specificerade definitioner i samarbete mellan flera aktörer. Först därefter kan de datatekniska implementeringarna och de anskaffningar som de förutsätter inledas. Införandet och åstadkommandet av funktionella ändringar kan i regel starta ungefär två år efter det att den åtgärder som lagstiftningen förutsätter har börjat vidtas.  

Folkpensionsanstalten har i sitt yttrande fäst uppmärksamhet även vid Folkpensionsanstaltens ställning som beviljare av grundläggande utkomststöd och vid Folkpensionsanstaltens anslutning till Kanta-tjänsterna, som det redan föreskrivs om i 18 f § i lagen om utkomststöd. 

Finansministeriet har i sitt yttrande fäst uppmärksamhet vid kunduppgiftslagens förhållande till informationshanteringslagen. Eftersom informationshanteringslagen är en allmän lag, borde de undantag som föreslås från speciallagstiftningen motiveras i regeringens proposition. 

Justitieministerit har i sitt utlåtande fäst särskild uppmärksamhet vid förslagets grundlagsenlighet. De vore väsentligt att precisera propositionen så att i den beaktas bättre grundlagsutskottets anmärkningar som gäller lagstiftningsordningen för utlämnandet av känsliga personuppgifter i regeringens tidigare proposition (RP 300/2018). 

Utlåtanden av rådet för bedömning av lagstiftningen och justitiekanslersämbetet 

Rådet för bedömning av lagstiftningen gav sitt utlåtande om regeringens förfallna proposition (300/2018) i juli 2018. I utlåtandet konstaterade rådet att man får en allmän uppfattning av konsekvensbedömningen av propositionen. Rådet såg emellertid brister i utkastet till proposition och lyfte fram vissa utvecklingsobjekt. Propositionen har korrigerats i enlighet med rådets utlåtande i fråga om t.ex. fördelningen av kostnaderna och nyttan till hushållen, företagen och den offentliga ekonomin samt i fråga om i vilken utsträckning propositionen bidrar till att målet för statsminister Sipiläs regering om totala besparingar uppnås. 

Rådet för bedömning av lagstiftningen fäste också vikt vid att propositionen saknar en jämförelse av internationella erfarenheter av elektroniska informationssystem inom social- och hälsovården samt av hur vi ska kunna lära oss av andra länders erfarenheter av informationssystemens säkerhet, risker, kostnader och nytta. Social- och hälsovårdsministeriet konstaterar att fastän den föreslagna klientuppgiftslagen upphäver den gällande klientuppgiftslagen från 2007, grundar sig den föreslagna klientuppgiftslagen till stor del på den gällande klientuppgiftslagen, och avsaknaden av en internationell jämförelse beror på detta. Beträffande de elektroniska informationssystemtjänsterna görs ett kontinuerligt samarbete mellan EU- länderna. Samarbetet inom nätverket eHealth är ett exempel på detta. Servicesystemen i de olika länderna är mycket olika varandra och därför är det inte möjligt att direkt jämföra informationshanteringslösningarna. 

Rådet för bedömning av lagstiftningen fäste vikt vid att det i propositionen är skäl att bedöma de eventuella riskerna med ett förbud mot utlämnande av uppgifter och särskilt konsekvenserna av ett förbud mot utlämnande av uppgifter för barn. Social- och hälsovårdsministeriet konstaterar att det i lagen om klientens ställning och rättigheter inom socialvården och i lagen om patientens ställning och rättigheter finns bestämmelser om en minderårig klients eller patients självbestämmanderätt. Den föreslagna klientuppgiftslagen medför inga ändringar i dessa bestämmelser. 

Justitiekanslersämbetet fäste i sitt utlåtande om regeringens proposition (300/2018) vikt vid propositionens brister i fråga om grundlagen, lagstiftningsordningen och samband med andra propositioner, och dessa har korrigerats i propositionen. Dessutom har propositionen korrige rats med anledning av de detaljerade brister som justitiekanslersämbetet lyfte fram. 

5 Samband med andra propositione

Propositionen har samband med bland annat följande regeringspropositioner: 

- regeringens proposition med förslag till lag om klinisk prövning av läkemedel och till vissa lagar som har samband med den. 

DETALJMOTIVERING

Lagförslag

1.1  Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården

1 kap. Allmänna bestämmelser 

1 §.Lagens syfte. Enligt paragrafen är syftet med lagen att främja och möjliggöra att kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt på ett informationssäkert sätt samt att föreskriva om de enhetliga och allmänna principer och krav som ska iakttas vid behandling av kunduppgifter och av uppgifter om välbefinnande. Behandling av kunduppgifter och uppgifter om välbefinnande behövs enligt artikel 9.2 (h) i den allmänna dataskyddsförordningen för medicinsk diagnostisering, för tillhandahållande av hälso- och sjukvård, behandling eller social omsorg eller för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas lagstiftning. 

Lagförslaget gör det möjligt att behandla kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande på ett informationssäkert sätt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Bestämmelser om användning av kunduppgifter för sekundära ändamål finns i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019, lagen om sekundär användning). 

De kunduppgifter som producerats inom social- och hälsovården och de uppgifter som kunden själv producerar om sitt om välbefinnande ska kunna användas så effektivt som möjligt av de yrkesutbildade personerna inom social- och hälsovården. I fråga om kunduppgifterna beaktar lagförslaget dataskyddet för känsliga kunduppgifter och kraven på informationssäkerheten. I och med lagen främjas informationsutbytet mellan kunden och de yrkesutbildade personerna inom social- och hälsovården samt kundens möjligheter att få information om behandlingen av sina kunduppgifter. 

2 §.Tillämpningsområde och förhållande till annan lagstiftning. I paragrafen föreslås bestämmelser om lagens tillämpningsområde och förhållande till annan lagstiftning. Lagen innehåller bestämmelser som kompletterar och preciserar dataskyddsförordningen när social- och hälsovårdens kunduppgifter och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Om det i denna lag föreskrivs annat än i dataskyddslagen, tillämpas bestämmelserna i denna lag. 

Enligt paragrafen ska lagen tillämpas på den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och av de uppgifter som kunden själv producerar om sitt välbe finnande. Lagen ska tillämpas när en offentlig eller privat tillhandahållare ordnar eller producerar social- och hälsovård. 

Med elektronisk behandling av kunduppgifter avses att samla in, registrera, organisera, an vända, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter elektroniskt samt att vidta andra åtgärder som gäller kunduppgifter. 

Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen producerar själv och som överlåtits från Kanta-tjänsterna till väldbefinnandeapplikationer. En person ska i syfte att främja välbefinnandet ha möjlighet att registrera och använda uppgifterna om välbefinnande utan kund- eller vårdrelation. 

I 2 mom. föreslås att lagens tillämpningsområde preciseras i förhållande till annan lagstiftning i enlighet med grundlagsutskottets utlåtande (RP 300/2018). Bland annat i 13 a § i patientlagen föreskrivs redan nu att bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten upprätthåller finns i lagen om elektroniska recept (61/2007). I 2 mom. föreslås att till den del som kunduppgiftslagen inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det om saken i eller med stöd av lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen), lagen om klientens ställning och rättigheter inom socialvården (812/2000, nedan klientlagen), lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019,), lagen om informationshantering inom den offentliga förvaltningen (906/2019), dataskyddslagen (1050/2018), lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) samt arkivlagen (831/1994). 

Vid behandlingen av kunduppgifter och ordnandet av service och verksamhet enligt denna lag ska dessutom iakttas det som föreskrivs i och med stöd av språklagen (423/2003). Om ett informationssystem som behandlar klient- och patientuppgifter inom hälso- och sjukvården eller en del av det är en sådan produkt för hälso- och sjukvård som avses i lagen om produkter och utrustning för hälso- och sjukvård (629/2010) tillämpas också den lagen och kraven enligt den på informationssystemet eller delen av det. I regeringens proposition föreslås dessutom en informativ ändring i klientlagen så att i dess nya 14 a § föreskrivs att bestämmelser om utlämnande av uppgifter i handlingar inom socialvården med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården. 

3 §.Definitioner. I paragrafen definieras de centrala begrepp som används i lagen. 

I 1 punkten definieras begreppet kund. Med kund avses en sådan klient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. Det är ändamålsenligt att använda bara en term för de personer som använder antingen socialvårdstjänster eller hälso- och sjukvårdstjänster eller bägge, eller tjänster som produceras av socialvården och hälso- och sjukvården gemensamt. Om lagens bestämmelser tillämpas endast på hälso- och sjukvården ska termen patient användas, vilket avser endast en patient som avses i patientlagen. 

I 2 punkten definieras begreppet kundhandling. Inom socialvården avses enligt klientlagen och klientuppgiftslagen (lagen om klienthandlingar inom socialvården, 254/2015) med klienthandling en handling enligt 5 § 1 och 2 mom. i offentlighetslagen, som innehåller klientuppgifter om en klient eller någon annan enskild. På motsvarande sätt avses enligt 2 § 5 punkten i patientlagen med journalhandling inom hälso- och sjukvården handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Enligt 2 § i förordningen om journalhandlingar innefattar journalhandlingarna patientjournalen och därtill hörande patientuppgifter och handlingar, samt uppgifter eller handlingar som gäller medicinsk undersökning av dödsorsak, liksom även andra uppgifter och handlingar som uppkommit i samband med att en patients vård ordnas och genomförs eller som erhållits någon annanstans ifrån. I denna lag avser kundhandling enligt 2 punkten både en klienthandling som avses i klientlagen och klienthandlingslagen och en journalhandling som avses i patientlagen och förordningen om journalhandlingar. 

Enligt 3 punkten avses med klientuppgift inom socialvården en personuppgift om en klient vilken ingår i en handling som avses i klientlagen och klienthandlingslagen. 

Enligt 4 punkten avses med patientuppgift en personuppgift om en patient vilken ingår i en journalhandling som avses i patientlagen. Enligt 12 § i patientlagen avses med klientuppgifter sådana uppgifter för ordnande, planerande, tillhandahållande och uppföljande av vården av en patient vilka antecknas i journalhandlingar av en yrkesutbildad person inom hälso- och sjukvården och sådana personuppgifter som ingår i en journalhandling som avses i förordningen om journalhandlingar samt sådana i 3 § 6 punkten i klientuppgiftslagen avsedda personuppgif- ter inom socialvården som har antecknats eller som enligt klientuppgiftslagen ska antecknas i en klienthandling inom socialvården. Ändringen av 3—5 punkten har företagits till följd av grundlagsutskottets utlåtande, enligt vilken också patientuppgift borde definieras. 

Enligt 5 punkten avses med kunduppgift klientuppgifter inom socialvården och patientuppgifter enligt 3 och 4 punkten. 

I paragrafens 6 punkt definieras informationssystem. Därmed avses ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kunduppgifter och för registrering och uppdatering av kundhandlingar eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- och hälsovården kan använda uppgifter om välbefinnande. Definitionen baserar sig på den definition av informationssystem som finns i 2 § i informationshanteringslagen. Definitionen har dock kompletterats så att det med informationssystem i den föreslagna lagen avses sådana dataprogram och informationshanteringssystem för behandling av klientuppgifter som är avsedda uttryckligen för användningen av den serviceproduktion som riktar sig till kunderna inom social- och hälsovården. Enligt den definitionen består de informationssystem som avses i bestämmelserna av till exempel patientdatasystem och av de program som används i de laboratorie- och röntgensystem där patientuppgifter behandlas. De dataprogram som styr anordningars funktioner och som inte behandlar kunduppgifter hör däremot inte till de informationssystem som avses i lagen. Inte heller allmänna program såsom textbehandlings- eller kalkylprogram eller program för personal- eller ekonomiförvaltning hör till de informationssystem som avses i lagen. De informationssystem som avses i lagen omfattar även de förmedlingstjänster som används för att förmedla kunduppgifterna inom social- och hälsovården till de i lagen avsedda riksomfattande informationssystemtjänster som Folkpensionsanstalten ska förvalta. Med informationssystem avses dessutom de applikationer som används av yrkesutbildade personer inom social- och hälsovården för att se uppgifter om välbefinnande. Ett informationssystem kan också vara en helhet som består av flera informationssystem och som producenten av en informationssystemtjänst tillhandahåller eller genomför för tjänstetillhandahållaren. 

I paragrafens 7 punkt avses med tjänstetillhandahållare i denna lag anordnare eller producenter både av socialtjänster och av hälsotjänster. 

I lagstiftningen om hälsovård avses enligt 2 § 4 punkten i patientlagen med tjänstetillhandahållare en verksamhetsenhet inom hälso- och sjukvården. Enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) avses med tillhandahållare en arbetsgivare eller en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare. 

I lagstiftningen om socialvården avses enligt 3 § 2 punkten i klienthandlingslagen med tillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller socialservice, eller en sådan serviceproducent som avses i lagen om privat socialservice (922/2011). 

Enligt definitioner i övrig lagstiftning är statliga myndigheter som svarar för ordnandet och produktionen av social- och hälsovårdstjänster, såsom Institutet för hälsa och välfärd i egenskap av anordnare av skyddshemstjänster och Statens skolhem, som lyder under Institutet för hälsa och välfärd, instanser som producerar social- och hälsovård. Däremot omfattas till exempel social- och hälsovårdstjänster som tillhandahålls inom tjänster som ankommer på andra förvaltningsområdens ansvar, såsom de som ordnar och producerar elevhälsans psykolog- och kuratorstjänster enligt 7 § i lagen om elev- och studerandevård (1287/2013) inte av denna definition. Ett undantag från detta är hälso- och sjukvård som ordnas av försvarsmakten, som ingår i definitionen av verksamhetsenhet enligt 2 § 4 punkten i patientlagen, så försvarsmakten är en sådana tjänstetillhandahållare som avses i denna lag. 

I paragrafens 8 punkt avses med tjänsteanordnare en tjänstetillhandahållare som i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut. Med tjänsteanordnare avses dessutom en privat tjänsteproducent som är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna. 

I paragrafens 9 punkt avses med tjänsteproducent en tjänstetillhandahållare som i egenskap av tjänsteanordnare producerar själv eller på basis av ett avtal med tjänsteanordnaren socialtjänster och/eller hälsotjänster. 

I paragrafens 10 punkt definieras bedömningsorgan för informationssäkerhet. Enligt bestämmelsen avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem. De allmänna förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet anges i 5 § i ovannämnda lag. Bedömningsorganet ska dessutom ha god sakkunskap om de krav på informationssystem inom social- och hälsovård som det föreskrivs om i 33 § i lagförslaget. Bedömningsorganet för informationssäkerhet har till uppgift att kontrollera om det informationssystem som ska anslutas direkt till Folkpensionsanstaltens riksomfattande informationssystemtjänster uppfyller informationssäkerhetskraven och de väsentliga kraven för dataskydd. 

För att kunna bli ett bedömningsorgan för informationssäkerhet måste det lämnas en särskild ansökan. Bedömningsorganet ska uppfylla kraven enligt 5 § i lagen om bedömningsorgan för informationssäkerhet och kunduppgiftslagen. Mätteknikcentralens nationella ackrediteringsenhet (Finnish Accreditation Service, FINAS) ska ha konstaterat att bedömningsorganets kompetens är tillräcklig enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Efter detta kan Transport- och kommunikationsverket Traficom utse bedömningsorganet för uppdraget enligt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet. 

I paragrafens 11 punkt definieras begreppet uppgifter om välbefinnande. Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen själv producerar och som personen själv för in i den informationsresurs för egna uppgifter som nämns i 16 punkten. Dessa uppgifter om välbefinnande kan till exempel bestå av olika uppföljnings-, mätnings-, tränings-, bedömnings- eller planeringsuppgifter som gäller välbefinnandet eller hälsan. 

I paragrafens 12 punkt definieras begreppet informationsresursen för egna uppgifter. Med informationsresursen för egna uppgifter avses en inom de riksomfattande informationssystemtjänsterna upprättad riksomfattande elektronisk informationsresurs för bevarande av sådana uppgifter om välbefinnande som personen själv producerar. Personen kan se och radera de uppgifter som han eller hon producerat och om han eller hon så önskar bevilja en yrkesutbildad person inom social- och hälsovården tillstånd att behandla uppgifterna. 

I paragrafens 13 punkt definieras välbefinnandeapplikation. Med välbefinnandeapplikation avses en applikation som är kopplad till informationsresursen för egna uppgifter och som används för att behandla uppgifter om välbefinnande och till vilken en person kan få sina kunduppgifter från en arkiveringstjänst, receptcentret och en informationshanteringstjänst. Med hjälp av applikationen kan en person producera och registrera sina egna uppgifter om välbefinnande i den informationsresurs för egna uppgifter som nämns i 12 punkten. 

I paragrafens 14 punkt definieras arkiveringstjänst. Med arkiveringstjänst avses en informationsresurs där det bevaras kunduppgifter eller andra uppgifter som behövs inom social- och hälsovården. De uppgifter som registreras i arkiveringstjänsten ska aktivt användas vid kundernas tjänsteproduktion. Till arkiveringstjänsten kan man ansluta godkända informationssystem. Arkiveringstjänst är en etablerad term. Uppgifter förvaras dock i arkiveringstjänsten för produktion av social- och hälsotjänster, och inte för arkivändamål av allmänt intresse. 

I paragrafens 15 punkt definieras informationshanteringstjänst. Med informationshanteringstjänst avses en riksomfattande informationshanteringstjänst med vars hjälp man kan producera sammandrag av patientuppgifterna så att en tjänstetillhandahållare kan få tillgång till de patientuppgifter som är viktiga med tanke på tjänsten. 

I 16 punkten definieras viljeyttringstjänst. Genom viljeyttringstjänsten förvaltas handlingar som gäller information, samtycke och förbud, andra viljeyttringar med anknytning till hälso- och sjukvård samt socialtjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården. 

I viljeyttringstjänsten ska det föras in uppgifter om information som en kund har fått enligt denna lag och lagen om elektroniska recept, förbud mot att lämna ut uppgifter som en kund har meddelat i fråga om sina kunduppgifter, uppgift om en kunds övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster, samtycke som en kund har meddelat i fråga om sina kunduppgifter samt om övriga viljeyttringar som hänför sig till tjänster inom social- och hälsovården och till behandling av kunduppgifter. Med social- och hälsovård avses förutom social- och hälsovårdstjänter även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank (en i biobankslagen avsedd provinfrastruktur, som används för att främja vetenskaplig forskning på prover från människor), och i viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank, invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat, och i viljeyttringstjänsten kan föras in invändning mot att genomuppgifter förs in i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret. 

I paragrafens 17 punkt avses med producent av en informationssystemtjänst en instans som tillhandahåller eller utför en informationssystemtjänst där kunduppgifter eller uppgifter om välbefinnande behandlas. Producenten av informationshanteringstjänsten ska i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvara för de krav som ställs på informationssystemet. Informationssystemet ska ha rätta funktioner med avseende på användningsändamålet, tillräckliga dataskyddsegenskaper samt kunna anslutas till det informationsutbyte som sker via de riksomfattande informationssystemtjänsterna. 

I 18 punkten avses med tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården. 

I paragrafens 19 punkt avses med mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar för produktion av informationssystemtjänster eller anslutning till riksomfattande informationssystemtjänster och som i denna roll har möjlighet att se okrypterade kunduppgifter till exempel i samband med underhåll. I dessa situationer kan underhåll av informationshanteringstjänsten inte utföras på korrekt sätt utan att man ser sekretessbelagda uppgifter.  

Inom social- och hälsovården tillämpas klientlagen och patientlagen, där det föreskrivs om bland annat sekretess och tystnadsplikt. Enligt 2 § 1 mom. i klientlagen tillämpas lagen på socialvård som ordnas av myndigheter och av privata, om inte något annat bestäms i den nämnda lagen eller någon annan lag. Enligt 1 § i patientlagen gäller lagen i fråga patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat stadgas i lag. Dessa lagar innehåller bestämmelser om sekretess och tystnadsplikt för anordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen. 

Enligt 13 § 2 mom. i patientlagen får en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den inte utan patientens skriftliga samtycke till utomstående lämna sådana uppgifter som ingår i journalhandlingarna. Med utomstående avses i 13 § i patientlagen personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. Tystnadsplikten kvarstår efter det anställningsförhållandet eller uppdraget har upphört. 

Bestämmelser om sekretess, tystnadsplikt och förbud mot utnyttjande finns i 14 och 15 § i klientlagen. I 15 § 2 och 3 mom. i klientlagen föreskrivs om sekretess, tystnadsplikt och förbud mot utnyttjande för den som verkar på uppdrag av någon som ordnar eller producerar socialvård eller för den sistnämndes räkning eller den som med stöd av lag eller ett tillstånd som utfärdats med stöd av lag har fått kännedom om en sekretessbelagd uppgift. Enligt 15 § 3 mom. i klientlagen får en person som avses i 1 eller 2 mom. inte använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan. 

Mellanhanden berörs av samma tystnadsplikt som tjänstetillhandahållare inom social- och hälsovården eftersom mellanhanden verkar för tjänstetillhandahållarens räkning. Mellanhanden får inte heller röja känsliga klient- och patientuppgifter som han eller hon sett i mellanhandsuppgiften för utomstående. De mellanhänder som tjänstetillhandahållarna anlitar är medvetna om sekretessen och tystnadsplikten, eftersom detta ska överenskommas särskilt i uppdragsavtalet mellan tjänstetillhandahållaren och mellanhanden, och personer som verkar för tjänstetillhandahållarens räkning ska särskilt avkrävas en utfästelse om sekretess och tystnadsplikt. Mellanhanden ska ansvara för uppfyllandet av de krav som gäller informationssystemets miljö eller den helhetsservice för informationshantering som erbjuds en tjänstetillhandahållare. 

Om det på basis av ett avtal är mellanhanden eller producenten av informationssystemtjänsten som ansvarar för uppfyllandet av de krav som gäller tjänstetillhandahållaren, omfattas mellanhanden eller producenten av informationssystemtjänsten av den registreringsskyldighet som avses i 30 § i denna föreslagna lag. När de sköter sina uppgifter omfattas de liksom tjänstetillhandahållaren dessutom av skyldigheten att utarbeta en informationssäkerhetsplan och att uppdatera den. För att en mellanhand ska godkännas krävs det beroende på de tjänster som den sköter att den har fått en fullmakt av tjänstetillhandahållaren eller Folkpensionsanstalten eller en auditering av de väsentliga informationssäkerhetskrav som gäller mellanhandens verksamhet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska tillämpas vid registrering och vid godkännande av mellanhänder. 

I paragrafens 20 punkt avses med certifiering förfarandet genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion. Verifieringen sker genom testning av interoperabiliteten och bedömning av informationssäkerheten. Med informationssystems interoperabilitet avses två eller flera informationssystems förmåga att utbyta information och att använda sådan information och certifiering är alltså en process för att påvisa överensstämmelse med kraven, och resultatet är att de villkor uppfylls som krävs för att informationssystemet eller välbefinnandeapplikationen ska kunna få intyg och antecknas i tillsynsmyndighetens register över informationssystem och välbefinnandeapplikationer som uppfyller kraven. Definitionen omfattar dock inte den certifiering som avses i artikel 42 i EU:s allmänna dataskyddsförordning. Den certifiering som definitionen avser omfattar inte heller sådan bedömning av medicintekniska produkters överenskommelse med kraven som utförs i enlighet medföreskrifterna om medicintekniska produkter (bl.a. direktiv 93/42/EEG; EGTL 1993, L 169; direktiv 2007/47/EG; EGTL 2007, L 247), eftersom de väsentliga kraven främst gäller de krav som uppfylls genom de nationella informationssystemtjänsterna enligt denna lag. I denna lag är det inte fråga om den bedömning och klassificering av produkter i förhållande till föreskrifterna om medicintekniska produkter som tillverkarna av medicintekniska produkter ska utföra med stöd av övriga bestämmelser. 

2 kap. Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster

4 §.Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna. Med personuppgiftsansvarig avses i EU:s dataskyddsförordning en fysisk eller juridisk person, en myndighet eller institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I artikel 25 i dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges ansvar vad gäller skyddet för personuppgifterna. Enligt den ska den personuppgiftsansvarige effektivt vidta de skyddsåtgärder i samband med behandling av personuppgifter som behövs för att behandlingen ska överensstämma med kraven i dataskyddsförordningen och de registrerades rättigheter skyddas. Sådana skyddsåtgärder är till exempel lämpliga tekniska och organisatoriska åtgärder. Den föreslagna paragrafen motsvarar dataskyddsförordningen. Paragrafändringen förändrar inte rådande rättsläge och praxis. 

Som personuppgiftsansvarig ska anvisas en sådan aktör som de facto utövar den bestämmanderätt som tillkommer den personuppgiftsansvariga och som kan fullgöra de skyldigheter som ankommer på den personuppgiftsansvariga. Den personuppgiftsansvariga svarar bland annat för att uppgifterna är korrekta samt för att de registrerades dataskyddsrättigheter tillgodoses. 

Personuppgiftsansvarig för kunduppgifter som uppkommer inom social- och hälsovårdstjänster är den tjänstetillhandahållare som svarar för att tjänsterna ordnas i enlighet med den ovan beskrivna bestämmelserna i dataskyddsförordningen och etablerad praxis. 

I paragrafens 1 mom. föreskrivs det att Folkpensionsanstalten är personuppgiftsansvarig. Folkpensionsanstalten ska vara personuppgiftsansvarig för informationsresursen för egna uppgifter. Bestämmelser om informationsresursen för egna uppgifter föreslås i 13 §. Det föreslås också att Folkpensionsanstalten ska vara personuppgiftsansvarig för förvaringstjänsten för de riksomfattande informationssystemtjänsternas utlämningsloggregister och för användningsloggarna i anslutning till dess egen verksamhet. 

Folkpensionsanstalten är personuppgiftsansvarig för informationsresursen för egna uppgifter på så sätt att uppgifterna om användningen av informationsresursen för egna uppgifter omfattas av FPA:s personuppgiftsansvar, till exempel uppgifterna om användarna av informationsresursen för egna uppgifter och om samtycke som getts för utlämnande av uppgifter om välbefinnande samt logguppgifterna om användningen och utlämnandet av uppgifterna om välbefinnande. Tillverkarna av de applikationer och anordningar som är kopplade till informationsresursen för egna uppgifter ska i enlighet med 7 kap. i lagförslaget ansvara för att applikationerna fungerar på rätt sätt. Den person som använder informationsresursen för egna uppgifter får själv välja vilka applikationer och anordningar han eller hon använder och vilka uppgifter som ska registreras i informationsresursen för egna uppgifter. Personen kan också radera sina uppgifter ur informationsresursen för egna uppgifter. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. Folkpensionsanstalten ska också i enlighet med 14 § 2 mom. 2-punkten svara för tillgänglighet, integritet, oföränderlighet, skydd, förvaring och utplåning i fråga om välbefinnandeuppgifter i informationsresursen för egna uppgifter när en person inte själv har utplånat uppgifterna före förvaringstidens utgång. 

I paragrafens 2 mom. föreslås det att varje tjänstetillhandahållare inom social- och hälsovården ska vara personuppgiftsansvarig för de användningslogguppgifter som uppkommer i den egna verksamheten. 

I paragrafens 3 mom. föreskrivs det om Folkpensionsanstaltens och tjänstetillhandahållarnas gemensamma personuppgiftsansvar. Paragrafen förändrar inte de nuvarande förfarandena för registerföringen av utlämningsloggar. Folkpensionsanstalten och alla tillhandahållare av soci- al- och hälsovårdstjänster är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården. 

I artikel 26.1 i EU:s dataskyddsförordning föreskrivs det om det gemensamma personuppgiftsansvaret enligt följande: Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. 

I 3 mom. föreskrivs det att varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för informationshanteringstjänsten enligt 11 § samt för viljeyttringstjänsten enligt 12 §. Folkpensionsanstalten ansvarar i egenskap av gemensamt personuppgiftsansvarig för tillgängligheten och integriteten i fråga om uppgifterna, informationsinnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna på det sätt som föreskrivs i 13 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten och tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. 

I informationshanteringstjänsten är avsikten att samla och sammanställa viktiga kunduppgifter som finns i olika klient- och journalhandlingar till sammandrag, som kan användas för att genomföra patientvården och klientservicen. Den behandling som sker i informationshanteringstjänsten har alltså betydande konsekvenser för vilka uppgifter som ligger till grund när patientvården och klientservicen börjar genomföras oberoende av att vårdens och servicens innehåll definieras på annat ställe. 

De handlingar som registreras i viljeyttringstjänsten handlar om information, förbud, samtycke och andra viljeyttringar som gäller personens riksomfattande informationssystemtjänster, och dessa ska kunna överföras från Mina Kanta-sidor och från tjänstetillhandahållarna inom social- och hälsovården i enlighet med kundens viljeyttringar. Handlingarnas användningsändamål gäller kundens tjänster och vård samt hanteringen av utlämnandet av kunduppgifterna. Folkpensionsanstalten ska på begäran kunna lämna tjänstetillhandahållaren inom social- och hälsovården de handlingar som gäller hanteringen av utlämnande av uppgifter samt logguppgifterna i anslutning till dem, så att man kan utreda om uppgifterna har behandlats på rätt sätt. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. Folkpensionsanstalten ska ansvara för de skyldigheter för den personuppgiftsansvarige som anges i 6 och 14 § och vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Tillhandahållarna av social- och hälsovårdstjänster ska ansvara för de andra skyldigheterna för personuppgiftsansvariga. 

I paragrafens 4 mom. föreslås det att Folkpensionsanstalten och den självständiga yrkesutbildade person inom hälso- och sjukvården som förskriver ett läkemedel ska vara gemensamt personuppgiftsansvariga för användningsloggarna i gränssnittet för professionellt bruk. Gränssnittet för professionellt bruk är avsett för läkarnas tillfälliga bruk och erbjuder läkare möjligheten att beroende på deras rättigheter skriva ut läkemedelsrecept för annat än för professionellt bruk. Eftersom de som använder gränssnittet inte är självständiga yrkesutövare, tjänsteproducenter eller tjänstetillhandahållare, kan de inte ansvara för alla de skyldigheter som gäller den personuppgiftsansvarige. Folkpensionsanstalten är den som verkställer gränssnittet för professionellt bruk, så det är motiverat att båda bär sitt ansvar för de uppgifter som hör till den personuppgiftsansvarige. Den som använder gränssnittet ska ansvara för att de uppgifter som den antecknar är korrekta. 

I paragrafens 5 mom. hänvisas det till bestämmelserna om receptcentret som personuppgiftsansvarig. I lagen om elektroniska recept är avsikten att ändra 14 § så att den motsvarar det gemensamma personuppgiftsansvaret i EU:s dataskyddsförordning. 

5 §.Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning. I EU:s dataskyddsförordning föreskrivs det om den personuppgiftsansvariges skyldigheter. Det nationella handlingsutrymme som dataskyddsförordningen medger gör det möjligt att utöka den personuppgiftsansvariges skyldigheter så att de omfattar sådana situationer som de inte direkt med stöd av förordningen skulle tillämpas på. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning, ska den nationella speciallagstiftningen avgränsas till det nationella handlingsutrymme som förordningen medger. I nationell speciallagstiftning ska med andra ord inte föreskrivas om andra skyldigheter för den personuppgiftsansvarige. Enligt dataskyddsförordningen kan i den nationella lagstiftningen dock fastställas ansvarsområden för den personuppgiftsansvarige. 

I denna paragraf föreskrivs om den personuppgiftsansvariges ansvar när tjänster inom social- och hälsovård produceras för serviceanordnares räkning. Tjänsteproducenten är då enligt artikel 28 i dataskyddsförordningen den som behandlar personuppgifter, medan serviceanordnaren är den personuppgiftsansvarige. I artikel 28 i dataskyddsförordningen förutsätts det att den behandling som den som behandlar personuppgifter sköter ska fastställas genom avtal eller genom en annan rättsakt som är bindande. I artikeln anges det innehåll som det ska bestämmas om i handlingen. Den föreslagna lagen är en sådan rättsakt som avses i dataskyddsförordningen. Med stöd av artikel 29 i dataskyddsförordningen åläggs den som behandlar personuppgifter dessutom sådana skyldigheter i fråga om behandling av uppgifter som avviker från artikel 28. 

När tjänster inom social- och hälsovård produceras för serviceanordnares räkning, ska tjänsteproducenten enligt 1 mom. 1 punkten ansvara för anteckningen och registreringen av kunduppgifterna för serviceanordnarens räkning och för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen (2 punkten). Bestämmelserna utfärdas med stöd av artikel 28.3 a i dataskyddsförordningen. Enligt den punkten ska det i en rättsakt föreskrivas att den som behandlar personuppgifter endast får behandla personuppgifter i enlighet med de dokumenterade anvisningar som ges av den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. 

Enligt 1 mom. 3 punkten ska tjänsteproducenten ansvara för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen. Bestämmelsen utfärdas med stöd av artikel 28.3 a och artikel 32.4 i dataskyddsförordningen. Enligt den sistnämnda bestämmelsen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. Bestämmelsen begränsar inte det ansvar som den som behandlar personuppgifter har enligt dataskyddsförordningen, utan genom den åläggs en särskild skyldighet att övervaka behandlingen av uppgifterna i den egna organisationen. 

Tjänsteproducenten ansvarar enligt 1 mom. 4 punkten för att kundhandlingarna i original lämnas till serviceanordnaren på så sätt som överenskommits, men de ska dock lämnas utan dröjsmål efter det att kundförhållandet har avslutats. Enligt artikel 28.3 g i dataskyddsförordningen kan den personuppgiftsansvarige välja att antingen radera eller återlämna uppgifterna efter att tillhandahållandet av tjänsterna har avslutats, förutom då när det i lagstiftningen krävs att personuppgifterna ska bevaras. Bestämmelser om bevaring av uppgifter inom social- och hälsovården finns bland annat i klienthandlingslagen inom socialvården och i förordningen om journalhandlingar. Därmed ska serviceanordnaren bevara uppgifterna den tid som lagen kräver, och en serviceanordnare kan inte bestämma att de ska raderas. 

Enligt 1 mom. 5 punkten ansvarar tjänsteproducenten för tillgodoseendet av de rättigheter hos kunden som det föreskrivs om i dataskyddsförordningen och i offentlighetslagen. Enligt artikel 28 i dataskyddsförordningen kan den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att hjälpa den personuppgiftsansvarige att tillgodose den registrerades rättigheter. Med tanke på en smidig verksamhet vore det ändamålsenligt att tjänsteproducenten skulle ansvara för tillgodoseendet av de registrerades rättigheter inom de tjänster som denne tillhandahåller för den personuppgiftsansvariges räkning. Vid behov kan det avtalas närmare om ansvaret aktörerna emellan genom ett avtal mellan serviceanordnaren och den som behandlar personuppgifter. I sista hand ska det dock ur ett dataskyddsperspektiv vara den personuppgiftsansvarige som ska ansvara för tillgodoseendet av den registrerades rättigheter, även om det skulle ha avtalats något annat om det avtalsrättsliga ansvaret. 

I paragrafens 2 mom. föreskrivs det att lämnandet av de i 4 punkten avsedda kundhandlingarna och tillgodoseendet av kunden rättigheter enligt 5 punkten ska kompletteras till behövliga delar genom avtal mellan tjänsteproducenten och tjänsteanordnaren. Genom avtal avtalas det även om annat sådant som avses i artikel 28 i dataskyddsförordningen. Genom ett sådant ovannämnt avtal ska åtminstone fastställas närmare det objekt för behandlingen som avses i artikel 28.2 och som avser grupperna av registrerade, dvs. de kundgrupper som tillhandahålls tjänster av den som behandlar personuppgifter, samt behandlingstiden. Genom avtal ska även fastställas en del av det som avses i artikel 28.3, men dessa frågor förblir öppna i lagförslaget. Dessa gäller till exempel de i 28.3 d avsedda förutsättningarna för användning av ett annat personuppgiftsbiträde. 

Dessutom ska uppmärksamhet fästas vid att det även föreskrivs om det som avses i artikel 

28.3 i övrig lagstiftning. Artikel 28.3 b förutsätter att de som behandlar personuppgifter för ett annat personuppgiftsbiträdes räkning omfattas av tystnadsplikt. Inom annan lagstiftning inom social- och hälsovård föreskrivs det heltäckande om tystnadsplikten, till exempel i patientlagen, lagen om yrkesutbildade personer inom hälso- och sjukvården, klientlagen samt offentlighetslagen. I artikel 28.3 h förutsätts det att den som behandlar personuppgifter tillåter auditeringar som utförs av den personuppgiftsansvarige eller en revisor som bemyndigats av den personuppgiftsansvarige. Även i denna lag föreskrivs det om auditering av system för kunduppgifter, och skyldigheterna gäller både den personuppgiftsansvarige och den som behandlar personuppgifter. 

3 kap. Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården

6 §.De riksomfattande informationssystemtjänsterna inom social- och hälsovården. I paragrafen föreskrivs det om de informationssystemtjänster som ska skötas centraliserat på riksnivå och som innefattar elektronisk behandling av kunduppgifter. Det föreskrivs dessutom om de instanser som ansvarar för skötseln av dessa tjänster. 

Med skötsel av riksomfattande informationssystemtjänster avses alla sådana åtgärder som behövs för att verkställa dessa tjänster så att man genom tjänsterna i fråga kan genomföra den elektroniska bevaringen, användningen och överlåtelsen av kunduppgifter på det sätt som avses i denna lag. De riksomfattande informationssystemtjänsterna är således en del av helheten av social- och hälsotjänster. 

I egenskap av den som behandlar personuppgifter är det enligt 1 mom. 1 punkten Folkpensionsanstalten som har skött och som fortfarande för tjänstetillhandahållarnas räkning ska sköta den riksomfattande arkiveringstjänst för kunduppgifter där kundhandlingar bevaras och används (1 punkten). De kundhandlingar som ska bevaras i arkiveringstjänsten är således inte Folkpensionsanstaltens register eller handlingar. I arkiveringstjänsten bevaras uppgifter för att producera social- och hälsotjänster, inte för arkivändamål av allmänt intresse. 

Personuppgiftsansvaret ska fortfarande bäras av serviceanordnarna, även om det är Folkpensionsanstalten som sköter ovannämnda uppgifter för deras räkning. Folkpensionsanstalten ska fortfarande ansvara för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i loggregistret. Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Folkpensionsanstalten kan inte ge en utomstående instans i uppdrag att bevara uppgifterna, och uppgifterna får inte flyttas ut från Finland. Folkpensionsanstalten får inte heller ge utomstående i uppdrag att behandla eller bevara de i 4 § avsedda register som hänför sig till de riksomfattande informationssystemtjänsterna eller de loggregister som gäller dem. Folkpensionsanstalten kan dock använda underleverantörer eller leverantörer vid produktionen och underhållet av tjänsterna. 

Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet. 

Folkpensionsanstalten ska också sköta förvaringstjänsten för loggregister (2 punkten). I förvaringstjänsten för loggregister registreras utlämningslogguppgifter och användningsloggarna gällande de riksomfattande informationssystemtjänsterna. I den kan även registreras de användningsloggar om användningen av klient- och patientuppgifter som skapas i tjänstetillhandahållarnas verksamhet. 

Till de riksomfattande informationssystemtjänsterna hör också gränssnittet för professionellt bruk, dvs. den s.k. Kelaintjänsten (3 punkten) och medborgargränssnittet (4 punkten). Med hjälp av gränssnittet för professionellt bruk kan läkare skriva ut recept elektroniskt när de utövar sitt yrke som självständiga yrkesutövare utan att vara tjänstetillhandahållare. Med hjälp av medborgargränssnittet kan en person se de kund- och patientuppgifter samt uppgifter om välbefinnande som gäller honom eller henne själv. Att sköta ärenden för någon annans räkning ska förutom på basis av vårdnaden även vara möjligt med stöd av fullmakt, vilket gör det möjligt att sköta ärenden för en myndig persons räkning. Via gränssnittet kan man även ge sitt samtycke och meddela förbud samt sköta ärenden med tjänstetillhandahållare inom social- och hälsovård. I framtiden kommer det att vara möjligt att se och hantera uppgifterna om välbefinnande genom medborgargränssnittet. 

Det föreslås att informationsresursen för egna uppgifter fogas till de riksomfattande informationssystemtjänsterna (5 punkten). Informationsresursen för egna uppgifter är en informationsresurs där en person kan skapa och förvalta över sina egna uppgifter till exempel med hjälp av välbefinnandeapplikationer. De välbefinnandeapplikationer som ansluts till produktionsmiljön för informationsresursen för egna uppgifter ska vara certifierade. För informationsresursen för egna uppgifter fastställs en nationell informationsmodell i vilken applikationsutvecklarna kan ge förslag till utökningar som ska godkännas i enlighet med processen för godkännande av en informationsmodell. Välbefinnandeapplikationerna för informationsresursen för egna uppgifter kan genomföras på många olika sätt och de kan vara antingen www-baserade eller mobilapplikationer. Alla de välbefinnandeapplikationer som kopplas till de riksomfattande informationssystemtjänsterna ska samlas i en applikationskatalog som ska förvaltas av Folkpensionsanstalten och vars uppgift är att informera människorna om vilka applikationer som de kan ta i bruk. Applikationerna kan användas i den egna mobilen eller via webbläsaren som en nättjänst. Välbefinnandeapplikationerna ska certifieras på det sätt som föreskrivs särskilt om dem. 

Utöver den informationshanteringstjänst (6 punkten) och den informationsförmedlings- och förfrågningsservice (9 punkten) som nämns i lagförslaget innefattar arkiveringstjänsterna alla de behövliga lagrings-, registrerings- och informationsförmedlingstjänster och övriga datatekniska lösningar och uppgifter med vilka bevarandet, användningen och överlåtelsen av patientuppgifter och jourhandlingar kan utföras elektroniskt. Med hjälp av förfrågnings- och förmedlingstjänsten kan aktörerna inom social- och hälsovården förmedla intyg, utlåtanden och andra motsvarande handlingar med bilagor till en tredje part. 

Till de riksomfattande informationssystemtjänsterna hör dessutom en viljeyttringstjänst (7 punkten), receptcentret (8 punkten) och läkemedelsdatabasen (9 punkten). Kundens recept ska lagras centraliserat i receptcentret. 

Andra riksomfattande tjänster är i enlighet med paragrafens 2 mom. kodtjänsten och roll- och attributtjänsten. 

Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ska enligt 2 mom. förvalta de riksomfattande tjänsterna roll- och attributtjänsten, koderna och centralregistret för yrkesutbildade personer inom social- och hälsovård. Roll- och attributtjänsten baserar sig på uppgifterna i centralregistret för yrkesutbildade personer inom social- och hälsovården. Koderna ska fortfarande användas för att i strukturerad form framföra uppgifter i anslutning till yrkesrättigheter inom social- och hälsovården och deras giltighetstider och begränsningar. 

Enligt 2 mom. ska Institutet för hälsa och välfärd ansvara för alla de datastrukturinnehåll som ska förvaltas via den nationella kodtjänsten inom social- och hälsovården. Den nationella uppdateringen av klassificeringarna som tjänst sker i kodtjänsten. Folkpensionsanstalten ska fortfarande ansvara för det datatekniska genomförandet av kodservern (Code- Server). Via den nationella kodtjänsten inom social- och hälsovården tillhandahålls sådana datastrukturer som kan utnyttjas i verksamheten och informationssystemen inom social- och hälsovården, till exempel nomenklaturer, klassificeringar, organisationskategorier och bedömningsmätare samt olika datainnehåll. Genom kodtjänsten upprätthålls bland annat åtgärdsklassificeringar, åtgärdsklassificeringar för mun- och tandvården, klassificeringar för radiologiska undersökningar och åtgärder samt nomenklaturer för laboratorieundersökningar, och dessutom motsvarande klassificeringar för strukturerna för socialvårdens klientuppgifter. Även den nationella uppdateringen av klassificeringarna sker i kodtjänsten. 

Strukturerna för handlingarna inom socialvården ska hanteras och delas via ett separat redigeringsprogram. Redigeringsprogrammet utvecklas och uppdateras för närvarande av Institutet för hälsa och välfärd. Upprätthållandet och utvecklandet av strukturerna för klienthandlingarna inom socialvården ska vara en del av kodtjänstverksamheten. Dessutom ska varje tjänstetillhandahållare som har anslutit sig till de riksomfattande informationssystemtjänsterna kunna identifieras med hjälp av kodtjänsten. 

Enligt 3 mom. ska den myndighet som sköter certifikattjänsten för social- och hälsovården vara Myndigheten för digitalisering och befolkningsdata. Myndigheten för digitalisering och befolkningsdata är i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) avsedd certifikatutfärdare för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Beviljandet och återkallandet av yrkescertifikaten inom social- och hälsovården ska vara kopplade till giltighetstiden för den yrkesutbildade personens rätt att utöva yrket. Yrkesutbildade personer inom social- och hälsovården ska vara skyldiga att lämna tillbaka certifikatkortet om certifikatet är återkallat. Om personen har förlorat sin rätt att utöva yrke, ska Myndigheten för digitalisering och befolkningsdata återkalla certifikaten efter att denna erhållit uppgifterna från Tillstånds- och tillsynsverket för social- och hälsovården, men certifikatkorten blir i praktiken kvar hos innehavarna. 

Myndigheten för digitalisering och befolkningsdata har för skötseln av de uppgifter som nämns i 3 mom. rätt att från de centrala registren över yrkesutbildad personal inom hälso- och sjukvården (Terhikki-registret) och socialvården (Suosikki-registret) erhålla sådana uppgifter som behövs vid produktionen av certifikattjänsterna. Rätten för Myndigheten för digitalisering och befolkningsdata att erhålla uppgifter gäller de uppgifter i centralregistret över yrkesutbildade personer inom social- och hälsovården som gäller utfärdande och återkallande av certifikat, själva certifikaten, det tekniska underlaget för certifikat och sändande av certifikat. Uppgifterna innefattar bland annat person- och adressuppgifter om yrkesutbildade personer inom social- och hälsovården och uppgifter om beviljande och förlorande av rätt att utöva yrke eller av skyddad yrkesbeteckning inklusive giltighetstider samt registreringsnummer och de identifieringskoder som krävs för att förskriva läkemedel. Rätten för Myndigheten för digitalisering och befolkningsdata att erhålla information är begränsad och gäller inte grunderna för förlorande av rätt att utöva yrke eller begränsningarna av rätt att utöva yrke eller grunderna för denna rätt. 

I paragrafens 4 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att av Myndigheten för digitalisering och befolkningsdata få uppgifter om de certifikat som beviljats för användningen eller skötseln av de nationella informationssystemtjänsterna inom hälso- och sjukvården så att verket kan styra och övervaka den hälso- och sjukvård som hör till dess ansvarsområde samt funktionerna i hälso- och sjukvårdssystemen. 

7 §.Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs om de riksomfattande informationssystemtjänster som tjänstetillhandahållaren ska ansluta sig till. Anslutningsskyldigheten gäller den riksomfattande arkiveringstjänsten för kunduppgifter, informationshanteringstjänsten, viljeyttringstjänsten och receptcentret. När tjänstetillhandahållaren ansluter sig tar denne i bruk de tjänster och funktioner där handlingar ska förvaras och via vilka tillhandahållaren har rätt att använda kunduppgifterna och uppgifterna om välbefinnande. 

I paragrafens 2 mom. föreskrivs det om anslutningsskyldigheten för tjänstetillhandahållarna inom den privata social- och hälsovården. I regel har tjänstetillhandahållarna inom både den offentliga och den privata social- och hälsovården en absolut anslutningsskyldighet. Genom en omfattande anslutningsskyldighet kan man skapa en heltäckande klientuppgiftssystemhelhet som ger klienten tillgång till uppgifter varhelst och närhelst klienten behöver uträtta ett ärende. På så sätt säkerställs dessutom den riksomfattande interoperabiliteten hos tjänstetillhandahållarnas informationssystem samt möjligheterna att utveckla systemet i fortsättningen. 

I paragrafens 2 mom. föreskrivs om undantag från skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster. Undantaget gäller de privata yrkesutövarna eller de små tjänsteproducenter som inte har tillgång till ett sådant system för patient- eller klientuppgifter som kan anslutas till de riksomfattande informationssystemtjänsterna. 

I 3 mom. föreskrivs det att också andra aktörer inom social- och hälsovården, beträffande vilkas tjänster och behandling av kunduppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 6 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten. Anslutningsmöjlighet är en förutsättning för att till exempel biobanker, som inte är tillhandahållare av social- och hälsotjänster, ska kunna föra in viljeyttringar som gäller deras verksamhet i viljeyttringstjänster och använda dem som grund för behandling av uppgifter. 

Även tjänstetillhandahållare inom social- och hälsovården i landskapet Åland ska få ansluta sig som användare av riksomfattande informationssystemtjänster. Om en tjänstetillhandahållare inom social- och hälsovården i landskapet Åland vill ansluta sig som användare av informationssystemtjänsterna, ska denne iaktta bestämmelserna i denna lag vid användningen av tjänsterna. 

8 §.Handlingar som ska sparas i den riksomfattande arkiveringstjänsten. Om det är möjligt att specificera och identifiera den ursprungliga handling som innehåller kundinformationen, behövs det enligt 1 mom. endast ett original av den elektroniska handlingen med kundinformation som specificeras med en identifikation. De ursprungliga originalen av kundhandlingarna ska förvaras i den riksomfattande arkiveringstjänsten. Den viktigaste identifieringsbeteckning som används i nuläget är organisationernas identifieringsklassificering, nämligen OID-koden enligt ISO-standarden. För att verkställa tjänsten eller av andra motiverade skäl kan det skapas en ny handling eller en kopia av den ursprungliga handlingen av vilken det ska framgå att handlingen är en kopia. Korrigeringar ska alltid göras i den ursprungliga handlingen så att handlingen är otvetydig. 

I paragrafens 2 mom. föreskrivs det vilka handlingar som ska förvaras i de riksomfattande informationssystemtjänsterna. Den riksomfattande arkiveringstjänsten ska innehålla alla de färdiga ursprungliga kundhandlingar som har uppkommit efter att tjänstetillhandahållarna har anslutit sig till tjänsterna. De handlingar som har uppkommit före anslutningen till de riksomfattande informationssystemtjänsterna kan förvaras i den riksomfattande arkiveringstjänsten. Det ska även vara möjligt att förvara andra handlingar än de egentliga kundhandlingarna i den riksomfattande arkiveringstjänsten. 

I arkiveringstjänsten kan utöver kundhandlingar registreras även bildmaterial och andra handlingar och uppgifter i anslutning till ordnandet av och informationshanteringen inom social- och hälsovården. Andra handlingar som registreras inom social- och hälsovården är till exempel vissa handlingar som skapas inom den prehospitala akutsjukvården. I Finland byggs som ett samarbete mellan flera ministerier och deras inrättningar ett gemensamt fältledningssystem för myndigheterna. Detta informationssystem ska innehålla funktioner för den prehospitala akutsjukvården och socialjouren. I detta informationssystem kan man skapa bland annat skapa en berättelse om den prehospitala akutsjukvården, och eftersom denna är en journalhandling arkiveras den i patientdataarkivet. Med tanke på minimeringen av kostnaderna och överlappande åtgärder är det ändamålsenligt att det gemensamma fältledningssystemet även kan arkivera i den nationella arkiveringstjänsten sådana handlingar inom prehospital akutsjukvård som inte är patientspecifika. 

Enligt 3 mom. i paragrafen får bestämmelser om när och i vilken omfattning handlingar senast ska sparas i den riksomfattande arkiveringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. I och med detta kan i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis. 

Senare då genomförandet av informationssystemtjänsterna har framskridit kan omfattningen av de handlingar som ska lagras i arkivet ökas på ett flexibelt sätt genom att ändra ministeriets förordning parallellt med standardiseringen av datainnehåll och genomförandet av informationssystem. 

9 §.Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs det om datastrukturerna för kundhandlingar och kundinformationssystem och om klassificeringen av uppgifter. I paragrafen föreskrivs det om interoperabiliteten mellan informationssystemens och kundhandlingarnas datastrukturer och de riksomfattande informationssystemtjänsterna enligt 6 §. Strukturernas interoperabilitet är en grundförutsättning för att uppgifter ska kunna överlämnas med hjälp av dessa informationssystemtjänster och utnyttjas i de informationssystem som tjänar verksamhetsprocesserna. 

De uppgifter som används inom social- och hälsovården ska kunna avgränsas med hjälp av handlingarnas datastrukturer så att endast sådana uppgifter som behövs för tjänsten i fråga används. Inom hälso- och sjukvården gäller rätten att få patientuppgifter de personer som deltar i vården av personen i fråga och i uppgifter som gäller denna vård. De får behandla patientuppgifter endast i den omfattning som förutsätts för deras arbetsuppgifter och ansvar. Patientuppgifterna är sekretessbelagda. Verkställandet av integritetsskyddet kan dock i särskilda situationer kräva särskilda skyddsåtgärder. Av den orsaken ska sådana journalhandlingar och patientuppgifter som förutsätter särskilt skydd klassificeras genom en separat begäran om bekräftelse för de patientuppgifter som ska skyddas. Det ska inte vara förbjudet att använda dessa uppgifter om uppgifterna är nödvändiga för vården av patienten. Efter att informationssystemet har tagit emot en begäran om bekräftelse ska dock den som vill använda dessa uppgifter bekräfta att uppgifterna behövs genom en separat bekräftelse. Även personalens patientuppgifter kan skyddas på grund av att de kan vara föremål för särskilt intresse. 

Eftersom Institutet för hälsa och välfärd ansvarar för den praktiska styrningen av den elektroniska informationshanteringen, får det enligt 2 mom. meddela närmare föreskrifter om datainnehåll och datastrukturer i informationssystemen samt kodsystem för att de riksomfattande informationssystemtjänsterna ska kunna utföras. Institutet för hälsa och välfärd fastställer informationsinnehållen, begreppsmallarna, verksamhetsprocesserna och datastrukturerna för interoperabiliteten samt de riksomfattande koder som ska användas. För att användningen, överlåtelserna och hanteringen av kundhandlingarna ska kunna verkställas så att kundens dataskydd och uppgifternas interoperabilitet beaktas i tillräcklig grad, måste det finnas tillräckligt detaljerade föreskrifter om uppgifternas klassificering och datastrukturer. Genom enhetliga datastrukturer och uppgiftsklassificeringar kan man säkerställa att man vid de överlåtelser av uppgifter som sker elektroniskt faktiskt överlåter de uppgifter som man avser överlåta och att man inte samtidigt överlåter onödiga uppgifter. När tjänstetillhandahållarna får interoperabla datastrukturer och en enhetlig klassificering av uppgifterna för sina informationssystem möjliggör det ett enhetligt riksomfattande system för överlåtelse och arkivering av uppgifter som kan användas för att överlåta uppgifter elektroniskt till andra tjänstetillhandahållare, samt att uppgifterna är interoperabla mellan de informationssystem som olika tjänstetillhandahållare använder. Föreskriften ska också innehålla tidsfrister för införandet av de nya datastrukturerna. 

Det riskbaserade förhållningssättet enligt dataskyddsförordningen är som sådant direkt tillämplig lagstiftning, något som också de personuppgiftsansvariga samt de som meddelar föreskrifter ska beakta. För att Institutet för hälsa och välfärd ska kunna utföra sina uppgifter, särskilt beredningen av föreskrifterna, krävs det att institutet samarbetar aktivt med de instanser samt tjänstetillhandahållare som deltar i genomförandet, användningen och standardiseringen av informationssystemtjänsterna. 

10 §.Elektronisk underskrift av handlingar. I paragrafens 1 mom. föreskrivs det att handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och bevarande av uppgifter. 

Enligt paragrafens 2 mom. ska det vid en elektronisk underskrift som görs av en fysisk person användas en sådan avancerad elektronisk underskrift som det föreskrivs om i lagen om stark autentisering och betrodda elektroniska tjänster. Lagen baserar sig på Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen). Tjänster inom elektronisk identifiering och elektroniska signaturer ger medborgarna en möjlighet att använda elektroniska tjänster. 

Enligt förordningen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i sådana offentliga eller privata tjänster som kräver elektronisk identifiering. 

Enligt förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat. 

Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Lagen om stark autentisering och betrodda elektroniska tjänster kompletterar bestämmelserna om elektronisk underskrift. 

Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat. 

11 §.Informationshanteringstjänsten. I paragrafen föreskrivs det om informationshanteringstjänsten. I den ska enligt 1 mom. viktiga patientuppgifter som finns i olika journalhandlingar som gäller patienter samlas in och samordnas och lämnas till yrkesutbildade personer inom social- och hälsovården i form av sammandrag för genomförandet av patientens vård. Sammandrag utlämnas på det sätt som föreskrivs i 20 § i propositionen. Viktiga patientuppgifter, över vilka sammandrag kan utlämnas, är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, fysiologiska mätningar, medicineringsuppgifter, åtgärder och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt en i 4 a § i patientlagen avsedd plan för undersökning, vård och medicinsk rehabilitering av patienten eller någon annan motsvarande plan. Informationshanteringstjänsten är en teknisk lösning som kan underlätta sökandet efter och utnyttjandet av strukturerat dokumenterade viktiga klient- och patientuppgifter. I framtiden kan det uppstå också andra behov av att sammanställa olika viktiga strukturerade patientuppgifter i informationshanteringstjänsten, när strukturerade patientuppgifter utvecklas ytterligare. 

Med hjälp av informationshanteringstjänsten sammanställs endast patientuppgifter inom hälso- och sjukvården. Avsikten är att genomföra motsvarande central uppgiftssökning inom socialvården genom att plocka uppgifter direkt från klientdataaarkivet så att uppgifterna inte behöver sammanställas i en särskild databas. 

12 §. Viljeyttringstjänsten. I viljeyttringstjänsten ska det enligt 1 mom. föras in uppgifter om information som en person har fått enligt denna lag och lagen om elektroniska recept samt om samtycke och förbud som en person har meddelat i fråga om utlämnande av kunduppgifter. 

Bestämmelser om den information som ska ges till en person finns i 16 § i den föreslagna lagen och i 4 § i receptlagen. Informationsinnehållet i information som getts tidigare ska dock få bevaras och kunna användas vid behov till exempel när man är tvungen att utreda fel. 

Bestämmelser om en persons samtycke finns i den föreslagna lagens 20 och 21 § om utlämnande av klient- och patientuppgifter. Det omfattande allmänna samtycke som för närvarande är i bruk inom hälso- och sjukvården slopas i den föreslagna lagen. På basis av samtycke kan klientuppgifter inom socialvården lämnas ut till hälso- och sjukvården och patientuppgifter lämnas ut till socialvården. Bestämmelser om samtycke finns i EU:s allmänna dataskyddsförordning. 

Enligt propositionen ska en persons förbud registreras i viljeyttringstjänsten. En person kan meddela förbud på basis av 18 och 19 § i den föreslagna lagen och 13 § i lagen om elektroniska recept. Man kan bli tvungen att avvika från ett sådant förbud mot utlämnande av uppgifter som en person har meddelat, om en yrkesutbildad person inom social- eller hälsovården enligt en lagbestämmelse måste lämna ut kunduppgifterna trots förbudet. 

Enligt 2 mom. kan det i viljeyttringstjänsten dessutom föras in uppgift om en persons övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster (1 punkten) samt om en persons övriga viljeyttringar som hänför sig till tjänster inom social- och hälsovården ovh till behandling av kunduppgifter (2 punkten). 

Viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster och som kan registreras i viljeyttringstjänsten är till exempel en persons förbud mot att lösgöra celler, vävnad eller organ för medicinskt bruk efter att personen avlidit samt personens vårddirektiv. Den föreslagna bestämmelsen betyder dock inte att endast de förbud mot tagande av organ eller de vårddirektiv som har registrerats i viljeyttringstjänsten uttrycker personens vilja. Ett förbud mot tagande av organ eller ett vårddirektiv kan också meddelas på andra sätt, och dessa viljeyttringar är lika giltiga som de förbud eller vårddirektiv som lagrats i viljeyttringstjänsten. Det kan dock vara svårt att bevisa att ett sådant förbud mot tagande av organ eller vårddirektiv existerar i en situation där man måste fatta ett snabbt beslut om att lösgöra ett organ, en vävnad eller celler från en avliden person eller att ge vård till en person som till exempel är medvetslös. Om uppgiften antecknas i viljeyttringstjänsten underlättar det därför i betydande grad genomförandet av till exempel transplantationer eller ordnandet av den vård som patienten behöver. 

Med social- och hälsovård avses förutom social- och hälsovårdstjänter även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank (en i biobankslagen avsedd provinfrastruktur, som används för att främja vetenskaplig forskning på prover från människor), och i viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank, invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat, och i viljeyttringstjänsten kan föras in invändning mot att genomuppgifter förs in i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret. 

13 §.Informationsresursen för egna uppgifter. I paragrafen föreskrivs det om en informationsresurs för egna uppgifter som ska inrättas i samband med de riksomfattande informationssystemtjänsterna för sådana uppgifter om välbefinnande som en person själv producerar och hanterar. 

Enligt 1 mom. ska en person med hjälp av välbefinnandeapplikationer eller via medborgargränssnittet (Mina Kanta-sidor) själv föra in sina egna uppgifter om välbefinnande i informationsresursen för egna uppgifter. Personen bestämmer själv hur hans eller hennes uppgifter i informationsresursen för egna uppgifter ska användas och om de ska avlägsnas. Enligt förslaget ska personen när som helst kunna utplåna, ändra eller avlägsna sina uppgifter i informationsresursen för egna uppgifter. Om en person avlägsnar uppgifter ur informationsresursen, försvinner de helt och hållet, med undantag för logguppgifterna i anslutning till användningen av uppgifterna. 

Exempel på sådana uppgifter om välbefinnande som en person själv kan föra in är blodsocker- och blodtrycksvärden. Hittills har personen vanligtvis antecknat värdena för hand på papper och sedan informerat vårdpersonalen om dem, som på personens vägnar sedan har fört in dem i kunduppgiftssystemet. Även till exempel bilder som har tagits med mobilen eller digital kamera är uppgifter som kan behövas i vården. Extra arbete undviks då en person själv kan föra in eller automatiskt överföra sina uppgifter direkt i den elektroniska tjänsten där de sedan är tillgängliga även för andra. Detta stöder delvis också personens möjligheter att vårda och ta hand om sig själv. 

I paragrafens 2 mom. föreskrivs det om det samtycke som en person kan ge i fråga om utlämnande av sina uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter. För att få lämna ut de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter till tjänstetillhandahållare behövs det ett samtycke av personen i fråga. Enligt propositionen har personen själv rätt att behandla sina uppgifter om välbefinnande i informationsresursen med välbefinnandeapplikationer utan samtycke. Personens samtycke behövs dock när uppgifter om välbefinnande som finns i informationsresursen utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsotjänster. Informationsresursens uppgifter om välbefinnande får utlämnas till en tjänstetillhandahållare när en yrkesutbildad person tillhandahåller personen social- eller hälsotjänster. Momentet har formulerats så att genom samtycket skapas i dessa sammanhang inte en rättslig grund för behandling av personuppgifter, utan endast en grund för utlämnande. Genom formuleringarna i lagen binds samtycket likaså till nödvändighetskraven så att samtycket inte kan vara obegränsat. Detta betyder att en yrkesutbildad person inom social- och hälsovården får behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen. 

Ett sådant samtycke överensstämmer med bestämmelserna om samtycke i artikel 4.1, 4.11 och 7 i EU:s dataskyddsförordning. Folkpensionsanstalten ska i egenskap av administratör och personuppgiftsansvarig för informationsresursen för egna uppgifter ansvara för det tekniska genomförandet av förfarandet för samtycke. 

I ingressen till dataskyddsförordningen är den allmänna regeln den att samtycke alltid bör lämnas genom en entydig bekräftande handling, t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring, som innebär ett medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Enligt ingressen ska samtycket ges på ett sätt som tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. I dataskyddsförordningen föreskrivs det dessutom att begäran om samtycke i skriftlig form ska läggas fram i de skriftliga anmälningar som avses i dataskyddsförordningen på ett sätt som klart och tydligt kan särskiljas från de andra frågorna samt i en begriplig och lätt tillgänglig form med användning av klart och tydligt språk. Utöver att samtycket ska vara uttryckligt och otvetydigt måste det ges frivilligt. I dataskyddsförordningen har den personuppgiftsansvarige ålagts bevisbördan för att samtycke finns. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid att information ges om behandlingen av personuppgifter. 

I 3 mom. föreslås av informativa orsaker en sådan precisering att om en yrkesutbildad person inom social- och hälsovården använder uppgifterna vid tillhandahållande av social- eller hälsotjänster ska personen även ansvara för att de behövliga uppgifter om välbefinnande som påverkar vården eller tjänsten antecknas i klient- eller journalhandlingarna på det sätt som föreskrivs i patientlagen, klientlagen och klienthandlingslagen. 

I paragrafens 4 mom. föreskrivs det om bevarandet av uppgifterna i informationsresursen för egna uppgifter. De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller, när personen inte själv har avlägsnat sina uppgifter, högst tills fem år har förflutit från personens död. Bevaringsplikten gör det möjligt att utnyttja uppgifter om välbefinnande till exempel vid utredning av patientskador. Trots att uppgifter som påverkar vård och service fortfarande ska registreras i klient- eller patientuppgifterna, går det ändå inte utifrån dem att sluta sig till om en yrkesutbildad person över huvud har beaktat uppgifter om välbefinnande i informationsresursen för egna uppgifter och registrerat dessa uppgifter korrekt. 

14 §.Folkpensionsanstaltens ansvar som personuppgiftsbiträde när den förvaltar riksomfattande informationssystemtjänster. I paragrafen föreslås det att Folkpensionsanstalten, som är teknisk ansvarig för och förvaltare av en riksomfattande informationssystemtjänst, ska ansvara för tjänsten rent generellt och för dess lagenlighet. 

Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Inte heller i övrigt får kunduppgifter behandlas i större utsträckning än vad som är nödvändigt för förvaltningen. Eftersom Folkpensionsanstalten sköter arkiveringstjänsten för tillhandahållarna av social- och hälsovårdstjänster, ska Folkpensionsanstalten för sin egen del ansvara för den behandling av kunduppgifter som sker med hjälp av dessa informationssystemtjänster. En tjänstetillhandahållare som anslutit sig till de riksomfattande informationssystemtjänsterna ska i egenskap av personuppgiftsansvarig för kunduppgifter ansvara för innehållet i de införda kunduppgifterna och de logguppgifter som anknyter till behandlingen av dem samt för uppgifternas innehåll och riktighet och för att lagen följs när uppgifter i övrigt behandlas. 

I paragrafens 1 mom. föreskrivs det att de riksomfattande informationssystemtjänsterna och kunduppgifterna ska vara tillgängliga så att man alltid har tillgång till kunduppgifterna utan att kundsäkerheten äventyras. Med detta avses att alla de tjänstetillhandahållare som har anslutit sig till tjänsten ska ha tillgång till uppgifterna dygnet runt under årets alla dagar inklusive högtider och helger. Reaktionstiden vid behandlingen av uppgifter ska vara sådan att den inte äventyrar kundsäkerheten. Informationssystemtjänsterna ska dessutom ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. Med funktionsstörning avses till exempel elavbrott eller andra jämförbara funktionella störningar som förhindrar informationsgången. Med undantagsförhållanden avses sådana förhållanden som avses i 2 § i beredskapslagen (1080/1991), till exempel väpnade angrepp som riktas mot Finland, krig eller storolyckor. 

I paragrafens 2 mom. ska det finnas en förteckning över Folkpensionsanstaltens ansvar vid förvaltningen av de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten ska ansvara för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver samt använda sin bestämmanderätt i frågor gällande systemets datatekniska funktion (1punkten). Folkpensionsanstalten ska också ansvara för säkerställande av säkerhet på det sätt som föreskrivs i 14 § i lagen om informationshantering inom den offentliga förvaltningen i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som för in i de riksomfattande informationssystemtjänsterna samt för utplåning av uppgifterna efter det att förvaringstiden gått ut. I praktiken förändras inte nuläget, dvs. Folkpensionsanstalten ska fortfarande ansvara för användbarheten, integriteten, oförvanskligheten, skyddet, bevarandet och utplåningen i fråga om uppgifterna. En person har dock rätt att utplåna och ändra sina egna uppgifter om välbefinnande. Således kan Folkpensionsanstalten inte svara för dessa uppgifters utplåning så som den gör när det gäller kunduppgifterna. När det gäller oförvansklighet och integritet betyder ansvaret att en persons uppgifter bevaras i den form och med det innehåll som de hade när personen förde in dem i informationsresursen för egna uppgifter (2 punkten). Folkpensionsanstalten ska sörja för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter eller uppgifter om välbefinnande och andra införda uppgifter lämnas ut i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården (3 punkten). Folkpensionsanstalten ska ansvara för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister (4 punkten). 

Folkpensionsanstalten ska dessutom ansvara för det datatekniska genomförandet av kodservern, med undantag för det termredigeringsprogram som Institutet för hälsa och välfärd ansvarar för (5 punkten). Folkpensionsanstalten ansvarar för förmedlingen av information till befolkningen i frågor som gäller de riksomfattande informationssystemtjänsterna (6 punkten). 

Folkpensionsanstalten ska också ansvar för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna. 

I paragrafens 3 mom. förtecknas de rättigheter som gäller Folkpensionsanstalten. Folkpensionsanstalten ska ha rätt att av Tillstånds- och tillsynsverket för social- och hälsovården (Val- vira) få de uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för att sköta sina lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (1 punkten). Denna rätt gäller erhållande av information även på andra sätt än via roll- och attributtjänsten. Uppgifterna behövs och ska används bland annat vid loggrapportering och loggövervakning samt för tillgodoseendet av patientens rättigheter att erhålla information. 

Folkpensionsanstalten ska ha rätt att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt för upprätthållandet av de riksomfattande informationssystem- tjänsterna (2 punkten), att utöva beslutanderätt i frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den (3 punkten) samt att lämna ut handlingar som omfattas av dess personuppgiftsan- svar och logguppgifter över sådana handlingar till berörda tillhandahållare av social- och hälsotjänster för uppföljning och tillsyn av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom. Således kan Folkpensionsanstalten lämna ut logguppgifter om behandlingen av uppgifter i viljeyttringstjänsten och i informationsresursen för egna uppgifter till berörda organisationer när dessa behövs för dataskyddsutredningar (4 punkten). Folkpensionsanstalten har rätt att i syfte att öka informationssäkerheten och förhindra och avslöja överbelastningsattacker och missbruk utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster. Om Folkpensionsanstalten upptäcker eventuella missbruk ska den omedelbart underrätta den berörda personuppgiftsansvariga om saken (5 punkten). Folkpensionsanstalten har rätt att av Myndigheten för digitalisering och befolkningsdata få den information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna (6 punkten). Sådana uppgifter är till exempel uppgifter som behövs för skötseln av ärenden för annans räkning. 

I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska till de myndigheter som ansvarar för styrningen, övervakningen och utvecklandet av de riksomfattande tjänsterna få lämna ut sådana sammanställningar över uppgifter i de riksomfattande informationssystemtjänsterna, över handlingars metadata och över logguppgifter som kan vara av betydelse för utvecklingen, uppföljningen och rapporteringen i fråga om de riksomfattande tjänsterna. Sammanställningarna av uppgifter ska vara sådana att det inte går att identifiera enskilda personer utifrån dem och de får inte innehålla personuppgifter. 

I paragrafens 5 mom. föreslås det att de riksomfattande informationssystemtjänsterna ska skyddas på samma sätt som vad som föreskrivs särskilt om statliga myndigheters och kommuners skyldigheter i fråga om informationssäkerhet i informationshanteringslagen. Folkpensionsanstalten omfattas inte i sig av bestämmelserna om statliga myndigheter, men eftersom den bevarar känsliga klient- och patientuppgifter i de riksomfattande informationssystemtjänsterna för offentliga tillhandahållare av social- och hälsovårdstjänster är det motiverat att skyldigheterna är desamma som de skulle vara om tjänstetillhandahållarna skulle sköta skyldigheterna själva. Åtgärder som garanterar informationssäkerheten i de riksomfattande informationssystemtjänsterna ska vidtas som en helhet så att även privata tjänstetillhandahållares uppgifter är skyddade på motsvarande nivå. Folkpensionsanstalten får inte ge utomstående i uppdrag att behandla eller bevara de register som nämns i denna proposition och som anknyter till organiseringen av de riksomfattande informationssystemtjänsterna eller de loggregister som hänför sig till dessa register. 

4 kap. Behandling av kunduppgifter inom social- och hälsovården

15 §.Åtkomsträttigheter till kunduppgifter. Enligt EU:s dataskyddsförordning ska behandling av personuppgifter ha en rättslig grund enligt artikel 6 i förordningen. Det får utfärdas nationell lagstiftning som förtydligar förordningen bland annat när behandlingen av personuppgifterna har sin grund i artikel 6.1 c i förordningen enligt vilken behandlingen behövs för att iaktta den personuppgiftsansvariges lagstadgade förpliktelse. Eftersom behandlingen av personuppgifter baserar sig på artikel 6.1 c i dataskyddsförordningen har en registrerad ingen sådan rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen. 

I fråga om kunduppgifterna inom social- och hälsovården har den personuppgiftsansvarige en lagstadgad skyldighet att anordna social- och hälsotjänster, och detta utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 c i förordningen. Eftersom behandlingen av kunduppgifter bygger på en lagstadgad skyldighet kan närmare lagstiftning om behandlingen av kunduppgifter utfärdas nationellt. Enligt dataskyddsförordningen kan den nationella lag- stiftningen innehålla mera detaljerade bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen genom mera exakta bestämmelser om särskilda krav för behandling av uppgifter och för andra åtgärder, till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ända mål, ändamålsbegränsningar, bevaringstid samt typer av behandling och förfaranden för be handling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. 

Enligt dataskyddsförordningen ska vid behandling av sådana uppgifter som hör till de särskilda kategorierna av personuppgifter, dvs. känsliga personuppgifter, dessutom något av de krav som anges i artikel 9.2 uppfyllas. I den föreslagna kunduppgiftslagen ska behandlingen behövas bland annat för de ändamål som anges i artikel 9.2 b och h. Enligt artikel 9.2 b och h är behandlingen bland annat nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstatens nationella rätt (b) och av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstatens nationella rätt (h). Dessutom ska bestämmelsen i artikel 9.3 beaktas, enligt vilken känsliga personuppgifter får behandlas för de ändamål som anges i artikel 9.2 h, bland annat för medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, om uppgifterna behandlas av eller under ansvar av en person som omfattas av tystnadsplikt. Enligt artikel 9.2 h i dataskyddsförordningen förutsätts det dessutom att behandlingen grundar sig på lagstiftning eller på ett avtal med yrkesverksamma på hälsoområdet och att den sker under förutsättning att skyddsåtgärderna är uppfyllda. 

Enligt 6 § 1 mom. i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte bland annat 

- när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård (4 punkten), 

- när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade (5 punkten), 

- på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka (6 punkten). 

Enligt dataskyddsförordningen bör sådana personuppgifter som är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd. Dessutom betonas det i dataskyddsförordningen att avvikelser från förbud mot behandling av särskilda kategorier av personuppgifter kan göras ifall detta baserar sig på unionsrätten eller medlemsstaternas nationella rätt och ifall lämpliga skyddsåtgärder vidtas. Den personuppgiftsansvarige ska genomföra behövliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst och för att de inte oavsiktligt eller lagstridigt ska utplånas, ändras, utlämnas, överföras eller behandlas lagstridigt på något annat sätt. 

Enligt 6 § 2 mom. i dataskyddslagen ska en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är 

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter, 

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, 

3) utnämning av ett dataskyddsombud, 

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter, 

5) pseudonymisering av personuppgifter, 

6) kryptering av personuppgifter, 

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident, 

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, 

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål, 

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen, 

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder. 

Skyddsåtgärder i den föreslagna kunduppgiftslagen är bland annat administrationen av åtkomsträttigheter (15 §), förbud mot användning (18-19 §), loggkontroll (25-26 §), certifiering av informationssystem (35 §) och informationssäkerhetsplaner (27 §). 

I artikel 25.2 i dataskyddsförordningen föreskrivs det om att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, bevaringstiden och deras tillgänglighet. Åtgärderna ska särskilt säkerställa att ett obegränsat antal personer som standard inte kommer åt uppgifterna utan en fysisk persons medverkan. 

I enlighet med 16 § i informationshanteringslagen ska den systemansvariga myndigheten definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov. För att säkerställa enhetliga riksomfatande principer för definition av åtkomsträttigheter föreslås bestämmelser om åtkomsträttighter i denna lag, och dessutom ska grunderna för åtkomsträttigheterna preciseras genom förordning av social- och hälsovårdsministeriet. De enhetliga grunderna för åtkomsträttigheter ska således gälla både offentliga och privata tjänsteproducenter. Det föreskrivs också noggrannare om grunderna för åtkomsträttigheter än i informationshanteringslagen. 

Enligt den föreslagna paragrafen ska behandlingen av kunduppgifter i regel grunda sig på de lagstadgade uppgifter som yrkesutbildade personer inom social- och hälsovården sköter. För skötseln av lagstadgade uppgifter ges yrkesutbildade personer åtkomsträtt till de kunduppgifter som de behöver för att sköta sina uppgifter. 

I paragrafens 1 mom. föreskrivs det om rätten att använda kunduppgifter. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Yrkesutbildade personer inom hälso- och sjukvården eller andra personer som behandlar kunduppgifter ska få behandla bara sådana kunduppgifter som är nödvändiga för skötseln av en lagstadgad uppgift inom ramen för deras rätt att få uppgifter. Grunden för behandlingen av kunduppgifter är en kund- eller vårdrelation, någon annan arbetsuppgift eller någon annan lagstadgad rätt. 

I och med ibruktagandet av Kanta-tjänsterna begränsas behandlingen av kunduppgifter genom både beviljande av åtkomsträttigheter och verifiering av samband eller vårdrelation. I paragrafens 1 mom. föreskrivs det att behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Detta datatekniska säkerställande kan inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en anteckning i informationssystemet om att kunden har skrivits in på bäddavdelningen eller polikliniken. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en klientrelation eller vårdrelation med den yrkesutbildade person som behandlar uppgifterna, ska anteckningen ha gjorts av någon annan än denna yrkesutbildade person. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna. Då när det inte är möjligt att använda något annat datatekniskt sätt för att säkerställa vårdrelationen, ska vårdpersonalen dock kunna behandla sådana patientuppgifter som är nödvändiga. I dessa situationer ska den yrkesutbildade personen inom hälso- och sjukvården meddela den särskilda orsak som ligger som grund för behandlingen av uppgifterna. Sådan behandling som baserar sig på särskilda orsaker förutsätter att tillsynen utvecklas både inom organisationerna inom hälso- och sjukvården och på riksomfattande nivå. 

Inom socialvården ska arbetstagarens möjlighet att behandla klientuppgifter begränsas genom verifiering av sammanhanget endast när arbetstagarens arbetsuppgifter gäller klienten i fråga. I regel ska en arbetstagare inom socialvården ha åtkomsträtt till de klientuppgifter som han eller hon behöver i den serviceuppgift som arbetsuppgifterna gäller. Utöver detta kan arbetstagaren beviljas åtkomsträtt till kunduppgifter inom andra serviceuppgifter som han eller hon regelrätt behöver för att utföra sitt arbete. Inom socialvården kan åtkomsträtten även begränsas till sådana socialtjänster som tillhandahålls endast inom en del av en serviceuppgift, till vissa serviceprocesser eller till sådana klienthandlingar som uppkommer bara i vissa serviceuppgifter, om arbetet inte förutsätter behandling av alla de klientuppgifter som anknyter till serviceuppgiften. 

Rättigheterna hos de personer som arbetar med tekniskt underhåll, övervakning av användning samt hantering av kunduppgifter att använda kunduppgifter ska beviljas i behövlig omfattning. Åtkomsträtten får inte möjliggöra åtkomst till sådana kunduppgifter som inte omfattas av arbetstagarens underhålls- eller övervakningsansvar. 

I paragrafens 2 mom. föreskrivs det att social- och hälsovårdsministeriet utfärdar en förordning om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter har rätt att använda i de tjänster som de tillhandahåller. Genom förordningen preciseras de i 1 mom. angivna grunder enligt vilka tjänstetillhandahållaren ska bevilja åtkomsträttigheter till kunduppgifter för de yrkesutbildade personerna inom social- och hälsovården och andra personer som behandlar kunduppgifter. Genom förordningen om grunderna för bestämmandet av åtkomsträttigheter säkerställs att åtkomsträttigheterna till kunduppgifter är desamma i hela landet, och främjas således skyddet av personuppgifter som har registrerats på grundval av en kundrelation från obehörig och lagstridig behandling.  

I 3 mom. föreskrivs det att tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Genom åtkomsträttigheterna kan arbetstagarna behandla endast de kundhandlingar som innehållsmässigt anknyter till deras respektive arbetsuppgifter. Varje person som arbetar med kundservice får behandla kundhandlingar endast i den omfattning som förutsätts för hans eller hennes arbetsuppgifter och ansvar. Genom åtkomsträttigheterna begränsas användning av patientuppgifter som utarbetats i organisationens egen verksamhet, men också användning av uppgifter som fåtts från andra tjänstetillhandahållaren eller tjänster med stöd av kundens samtycke eller lag. Rätten att få uppgifter kan inte utvidgas genom åtkomsträtt. 

För tjänstetillhandahållaren föreskrivs dessutom om förpliktelse att föra ett register över de egna användarna av sina kundinformationssystem och kundregister samt deras åtkomsträttigheter. Detta register ska täcka både tidigare och nya uppgifter om användarna. Av uppgifterna i användarregistren ska det framgå vem som beviljats åtkomsträtt, för vilket patientregister eller dess del rättigheterna beviljats, omfattningen av åtkomsträtten samt tiden då rätten att se, uppdatera eller använda uppgifterna börjar och slutar. 

16 §.Information till kunden om riksomfattande informationssystemtjänster. I paragrafens 1 mom. föreskrivs det om tjänstetillhandahållarens informationsskyldighet. Eftersom erhållandet av information enligt den valda modellen ska grunda sig på lagen, innebär det att alla uppgifter i tjänstetillhandahållarnas register alltid ska finnas tillgängliga för yrkesutbildade personer inom social- och hälsovården när de behöver dem i sina arbetsuppgifter om kunden inte har förbjudit behandling eller utlämnande av uppgifterna. En praxis som bygger på en lagstadgad rätt att få information och på kundens förbud mot detta innebär ett särskilt stort ansvar vad gäller informationen till patienten. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter. 

Enligt propositionen ska tjänstetillhandahållaren ge information om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om de rättigheter hos kunden som anknyter till de riksomfattande informationssystemtjänsterna. Informationen ska ges till kunden senast i samband med den första kontakten. Information ska också kunna ges via medborgargränssnittet (Mina Kanta-sidor) som avses i 24 §. 

I EU:s dataskyddsförordning föreskrivs det däremot om informerandet i samband med behandling av personuppgifter. Vid informerande ska den förpliktelse i dataskyddsförordningen som gäller tjänstetillhandahållarens skyldighet att ge kunden vissa uppgifter iakttas. Om personuppgifterna erhålls direkt av den registrerade själv ska enligt dataskyddsförordningen informationen ges då när personuppgifterna erhålls. Om personuppgifterna fås från någon annan ska informerandet skötas inom en rimlig tid men senast inom en månad från det att uppgifterna erhölls. 

Enligt EU:s dataskyddsförordning är den personuppgiftsansvariga skyldig att avgiftsfritt ge den registrerade information om behandlingen av hans eller hennes personuppgifter. Enligt dataskyddsförordningen ska den personuppgiftsansvarige alltid ge följande uppgifter om behandlingen av personuppgifter: 

- kontaktuppgifter till den personuppgiftsansvarige, dennes eventuella företrädare och den dataskyddsansvariga 

- syfte och rättslig grund för behandlingen av personuppgifter. Om uppgifterna inte fås direkt av den registrerade ska dessutom meddelas vilka kategorier av personuppgifter behandlingen gäller. 

- den personuppgiftsansvariges eller en tredje parts berättigade intressen, om dessa utgör grunden för behandlingen 

- i tillämpliga fall, vem som ska få personuppgifterna 

- huruvida den personuppgiftsansvarige avser att överföra uppgifter till ett tredjeland eller en internationell organisation 

Enligt dataskyddsförordningen ska den personuppgiftsansvarige för att säkerställa rättvis och transparent behandling dessutom lämna följande ytterligare information: 

- uppgifternas lagringstid eller de kriterier som används för att fastställa denna 

- den registrerades rättigheter i fråga om dennes uppgifter, såsom rätten att begära radering av sina personuppgifter, rätten att återkalla sitt samtycke, rätten att inge klagomål och förekomsten av automatiserat beslutsfattande, inbegripet till exempel profilering 

- huruvida insamlingen av uppgifter är ett lagstadgat eller avtalsenligt krav 

- huruvida personen är skyldig att ge uppgifterna och följderna av att uppgifterna inte lämnas 

Den registrerade har enligt dataskyddsförordningen också rätt att få det bekräftat att uppgifterna behandlas eller inte behandlas. Dessutom har den registrerade rätt att få närmare information om behandlingen av uppgifterna, till exempel om syftet med behandlingen och vilka kategorier av personuppgifter behandlingen gäller. 

Vid informerandet ska specialgrupperna beaktas särskilt, till exempel barnen. Till barn måste informationen till exempel ges i sådan form och på ett sådant sätt att barnet kan förstå den. Barnet ska ges tydlig information om hans eller hennes rättigheter att begränsa åtkomsten till uppgifterna. Dessutom ska barnet få tillräcklig information om de situationer där vårdnadshavaren ska sköta ärenden elektroniskt för barnets räkning och tillsammans med barnet. Dessutom kan detaljerade anvisningar om informerandet fås av dataskyddsombudet och av Europeiska dataskyddsstyrelsen (EDPB). 

Utöver den information som ska ges personligen till kunden kan det dessutom som det hittills har gjorts ges information till allmänheten om behandlingen av kunduppgifter. Institutet för hälsa och välfärd ska ansvara för sakinnehållet i den information som ges till kunderna, och folkpensionsanstalten ska enligt paragrafens 2 mom. även i fortsättningen ansvara för informationsmaterialet. 

17 §.Identifiering av dem som behandlar kunduppgifter. Med tanke på de elektroniska tjänsternas tillförlitlighet och individens rättsskydd är det mycket viktigt att de parter som använder tjänsterna faktiskt är de som de utger sig för att vara. Enligt 1 mom. ska därför kunder, tjänstetillhandahållare och andra parter och deras företrädare som behandlar kunduppgifter samt de datatekniska enheterna identifieras på ett tillförlitligt sätt vid elektronisk behandling av kunduppgifter. Identifieringen kan till exempel ske med hjälp av någon annan identifieringsuppgift i en handling som används vid verifieringen av identiteten. 

Identifieringen av de personer som behandlar kunduppgifter och av tjänstetillhandahållarna, de datatekniska enheterna samt av de riksomfattande informationssystemtjänsterna förutsätter dessutom verifiering. Vid behov ska identiteten kunna verifieras genom en handling från en tillförlitlig och oberoende källa. I enlighet med 6 § 2 mom. i lagen om tillhandahållande av digitala tjänster ska tjänsteanvändaren identifieras med hjälp av en sådan tjänst för identifiering av fysiska personer som avses i 3 § 1 mom. 4 punkten i lagen om förvaltningens gemensamma stödtjänster för e-tjänster, med hjälp av stark autentisering som avses i 2 § 1 mom. 1 punkten i lagen om stark autentisering och betrodda elektroniska tjänster eller av vägande och motiverande skäl med hjälp av någon annan motsvarande informationssäker identifieringstjänst. I en elektronisk tjänst kan verifieringen till exempel ske genom att använda identifieringsverktyg för stark autentisering, som till exempel certifikatkort, nätbankskoder eller mobilcertifikat. Myndigheten för digitalisering och befolkningsdata har haft som lagstadgad uppgift att ansvara för certifikaten inom social- och hälsovården, de personliga certifikaten för elektronisk identifiering och undertecknande och för certifikaten för undertecknande i tjänster och system. Identifieringen och de elektroniska underskrifterna av de yrkesutbildade personerna inom social- och hälsovården och av andra anställda hos tjänstetillhandahållarna genomförs med hjälp av den kontroll av åtkomsträttigheter som sköts av Tillstånds- och tillsynsverket för social- och hälsovårdens certifikattjänster och verksamhetsenheter. 

I paragrafens 2 mom. föreslås det att närmare bestämmelser om de tekniska metoderna för identifiering och autentisering får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Myndigheten för digitalisering och befolkningsdata till den del det handlar om en sådan uppgift för Myndigheten för digitalisering och befolkningsdata som avses i 6 § och som gäller att Befolkningsregistercentralen är den i lagen om stark autentisering och betrodda elektroniska tjänster avsedda certifikatutfärdaren för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. 

18 §.Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut. I paragrafen föreskrivs det om kundens rätt att förbjuda att kunduppgifter om honom eller henne lämnas ut mellan personuppgiftsansvariga. I paragrafen används begreppet personuppgiftsansvarig i stället för tjänstetillhandahållare, eftersom begreppet personuppgiftsansvarig hänvisar mera exakt till den aktör som ansvarar för ordnandet av tjänsten och registerföringen. 

Enligt 1 mom. kan klienten förbjuda att en personuppgiftsansvarig lämnar ut klientuppgifter om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. Klienten har dock inte denna rätt när det gäller den personuppgiftsansvariges egen verksamhet och verksamhet för den personuppgiftsansvariges räkning, eftersom det då är fråga om användning av klientuppgifter och inte utlämning. En tjänstetillhandahållare som verkar för en annan tjänstetillhandahållares räkning ska således få klientuppgifter utan inverkan av förbud. På motsvarande sätt föreslås det att en patient ska ha rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till en annan personuppgiftsansvarig eller ett annat register inom hälso- och sjukvården via riksomfattande informationssystemtjänster. 

Eftersom sjukvårdsdistriktets gemensamma register enligt 9 § i hälso- och sjukvårdslagen har kunnat bildas med hjälp av de riksomfattande informationssystemtjänsterna så att kundens rätt att förbjuda utlämnandet av uppgifter genomförs med hjälp av de riksomfattande informationssystemtjänsterna, gäller förbudet i dessa situationer också vid annat utlämnande av uppgifter i det gemensamma registret än genom de riksomfattande informationssystemtjänsterna. 

Dataskyddsförordningen innehåller bestämmelser om den registrerades rätt att göra invändningar. De registrerades rättigheter följer direkt av dataskyddsförordningen. I fråga om övriga rättigheter kan bestämmelser inte utfärdas på nationell nivå. Enligt artikel 9.4 i den allmänna dataskyddsförordningen får medlemsstaterna dock behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den rätt att förbjuda användning som föreslås kan anses vara ett sådant villkor eller en sådan begränsning som avses ovan. Dessutom kräver många av de situationer som nämns i artikel 9.2 och där behandling av särskilda kategorier av personuppgifter är möjlig med stöd av nationell lagstiftning att den nationella lagstiftningen innehåller lämpliga skyddsåtgärder. 

I enlighet med artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt: a) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Om behandlingen har begränsats får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. En registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör. En registrerad kan utöva sin rätt till begränsning enligt artikel 18 i dataskyddsförordningen när det gäller utlämnande av uppgifter med förbudsrätt enligt denna proposition. Det kommer att föreskrivas särskilt om egentlig inskränkning av rätten till begränsning. 

Valet av en modell med förbud kan motiveras med den princip i dataskyddsförordningen en- ligt vilken ett samtycke inte är en tillräcklig grund för behandling av personuppgifter, om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Som exempel på sådan betydande ojämlikhet nämner dataskyddsförordningen att den personuppgiftsansvarige är en myndighet och att det därför är osannolikt att samtycke ges frivilligt. Ett vidsträckt samtycke som riktar sig på framtiden uppfyller inte heller det krav i dataskyddsförordningen om att samtycket ska vara specifikt, informerat, frivilligt och otvetydigt, eftersom individen inte i praktiken kan veta hur hans eller hennes samtycke kommer att användas. 

Det förbud som kan användas som skyddsåtgärd och som beskrivs ovan ska tillämpas på patientuppgifter inom hälso- och sjukvården. Grunden för rätten att förbjuda användningen av klientuppgifter inom socialvården är artikel 86 i EU:s dataskyddsförordning enligt vilken personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av. 

Enligt paragrafens 1 mom. ger rätten att förbjuda användning klienten en möjlighet att hindra utlämnandet av vissa uppgifter via de riksomfattande informationssystemtjänsterna. Inom socialvården kan klienten förbjuda att klientuppgifterna inom socialvården lämnas ut till en annan personuppgiftsansvarig inom socialvården. Inom hälso- och sjukvården kan patienten förbjuda att patientuppgifter om honom eller henne lämnas ut till en annan personuppgiftsansvarig inom hälso- och sjukvården eller till ett annat register inom hälso- och sjukvården. Bestämmelser om överlåtande av uppgifter mellan socialvården och hälso- och sjukvården finns bland annat i klientlagen och i patientlagen. En vårdnadshavare har inte rätt att meddela ett förbud för en minderårig som vårdnadshavaren har vårdnaden om. Detta baserar sig på 9 § 4 mom. i patientlagen enligt vilket patientens vårdnadshavare eller andra lagliga företrädare inte har rätt att förbjuda sådan vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa. Denna princip tillämpas också inom socialvården där den centrala principen är hänsynen till barnets bästa. Inom hälso- och sjukvården kan ett barn som är tillräckligt moget att besluta om sin vård meddela förbud själv. 

Enligt 2 mom. kan en klient eller en patient meddela förbud för alla sina klient- och patientuppgifter. Förbudet kan dock inte gälla sådana handlingar som anknyter till hanteringen av utlämnande av uppgifter till arkivet. Dessa handlingar gäller till exempel samtycke, förbud, viljan att donera organ eller vårddirektiv. Genom ett förbud kan kunden inte heller förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information. 

Enligt 2 mom. kan en klient inom socialvården rikta förbudet till en viss serviceuppgift eller enskild handling/patientjournal. Inom socialvården avses med klientrelation en serviceuppgift enligt 3 § 4 punkten i klienthandlingslagen, i enlighet med vilken tjänsterna inom socialvården är uppdelade i sju olika serviceuppgifter. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Med servicehändelse avses en kundkontakt, ett kundbesök eller en vårdperiod inom hälso- och sjukvården. Dessutom kan förbudet gälla en personuppgiftsansvarig inom den offentlig social- och hälsovården och dess register samt ett register inom företagshälsovården. Inom den privata social- och hälsovården kan förbudet inte gälla ett register eller en personuppgiftsansvarig. Den företagsverksamhet som bedrivs av de privata tjänstetillhandahållarna är mångfacetterad och därför är det svårt för kunden att förstå vilken instans som är tjänstetillhandahållaren och den personuppgiftsansvarige och till vilken personuppgiftsansvarig förbudet ska riktas. Till exempel en läkarstation kan ha flera självständiga yrkesutövare och företag, och kunden har inte alltid klart för sig när det är fråga om en verksamhet som bedrivs för läkarstationens egen räkning och när verksamheten bedrivs av en annan tjänstetillhandahållare. 

I paragrafens 3 mom. föreskrivs det om de konsekvenser som en kunds förbud har för den rätt att få information som gäller yrkesutbildade personer eller myndigheter inom social- och hälsovården. Kundens förbud kan inte förhindra rätten att få information för en yrkesutbildad person eller myndighet inom social- och hälsovården då när deras rätt att få information baserar sig på lag. Till exempel i barnskyddslagen föreskrivs det om när en myndighet inom barnskyddet har rätt att få information trots att kunden inte har meddelat samtycke. Inom hälso- och sjukvården kan patientuppgifter lämnas ut till exempel i en situation enligt 8 § i patientlagen, där brådskande vård måste ges och patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet. Till denna del förblir praxis oförändrad. 

Inom socialvården föreskrivs det i 17 – 21 § i klientlagen om utlämnande av sekretessbelagda uppgifter för att trygga klientens vård och omsorg, trots att klienten eller dennes lagliga företrädare har förbjudit utlämnandet av uppgiften. På de villkor som anges i paragrafen får uppgifter utlämnas som är nödvändiga för att behovet av vård av, omsorg om eller utbildning för klienten skall kunna utredas, för att vården, omsorgen eller utbildningen skall kunna ordnas eller genomföras eller för att förutsättningarna för försörjningen skall kunna tryggas. 

Enligt 4 mom. ska ett förbud som klienten meddelat gälla tills vidare och kunna återtas när som helst. Efter ett eventuellt återtagande kan klienten meddela förbud på nytt. 

19 §.Meddelande och återkallande av förbud mot utlämnande av kunduppgifter. Ett förbud som gäller utlämnande av kunduppgifter kan enligt 1 mom. meddelas vilken tjänstetillhandahållare som helst som har anslutit sig till en riksomfattande informationssystemtjänst. Tjänstetillhandahållaren ska sända uppgifterna till viljeyttringstjänsten så snabbt som det rimligen är möjligt. Efter att uppgiften har sänts till viljeyttringstjänsten beaktas den automatiskt i informationssystemen. Förbud kan även meddelas via ett medborgargränssnitt. Då registreras uppgiften omedelbart i den viljeyttringstjänst som föreslås i 12 §. Vid återtagande av förbud tillämpas samma bestämmelser som vid meddelandet av förbud. Enligt den kan ett förbud meddelas till vilken tillhandahållare av social- eller hälsovård som helst eller meddelas via ett medborgargränssnitt. Uppgiften om att förbudet har återtagits ska utan dröjsmål sändas till viljeyttringstjänsten. 

Ett förbud kan meddelas till viljeyttringstjänsten när som helst. Detta är viktigt bland annat för att en person vid behov ska ha en möjlighet att skydda sina uppgifter eller att återta sitt förbud till exempel på läkarmottagningen, så att de tjänster som kunden behöver kan säkerställas i alla situationer och så att kunden har en möjlighet att skydda sin integritet. Enligt 2 mom. ska på kundens begäran den som tar emot förbudet ge kunden en utskrift av kundens förbudshandling. 

För att alla de som meddelar ett förbud ska få adekvat och enhetlig information om förbudets betydelse, föreslås det i 3 mom. dessutom att Folkpensionsanstalten ska utforma en dokumentmall för förbudet. Av förbudshandlingen ska det bland annat framgå att de uppgifter som omfattas av kundens förbud inte får lämnas ut via riksomfattande informationssystemtjänster och att förbudet även gäller i de fall de förbjudna uppgifterna är relevanta med tanke på vården eller omsorgen av kunden, om inte något annat följer av annan lagstiftning. Dessutom ska det framgå när uppgifterna kan lämnas ut trots ett förbud. Eftersom återtagande av förbud omfattas av samma bestämmelser som meddelandet av förbud, ska även detta framgå av Folkpensionsanstaltens dokumentmall. 

I 4 mom. preciseras att på återkallelse av förbud tillämpas samma regler som på meddelande av förbud. 

20 §.Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster. När en tjänstetillhandahållare lämnar ut patientuppgifter till en annan tjänstetillhandahållare eller till ett annat register hos samma tjänstetillhandahållare ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. I paragrafens 1 mom. föreskrivs det därmed om möjligheten att trots sekretessbestämmelserna lämna ut patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan tjänstetillhandahållare inom hälso- och sjukvården och mellan register för anordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. Sålunda behövs inte separat samtycke. 

I paragrafens 2 mom. föreskrivs det att patientuppgifter inom hälso- och sjukvården får lämnas ut från de riksomfattande informationssystemtjänsterna till en tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård. Utlämnande förutsätter patientens samtycke. Bestämmelser om sekretessbeläggning och utlämnande av patientuppgifter finns i 13 § i patientlagen (785/1992). EU:s dataskyddsförordning möjliggör utlämnande av patientuppgifter med stöd av patientens samtycke. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska vara uttryckligt och specifikt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. Enligt definitionen i artikel 4 i dataskyddsförordningen avses med ’samtycke’ av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke som gäller särskilda kategorier av personuppgifter ska dessutom vara uttryckligt. En motsvarande möjlighet att lämna ut patientuppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att patientuppgifter får lämnas ut mellan socialvården och hälso- och sjukvården. 

Samordning, dvs. integration, av social- och hälso- och sjukvårdstjänsterna är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Helhetsvård av patienten förutsätter att yrkesutövarna har tillgång till de patientuppgifter som de behöver. Samtidigt ska dock patienten ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika användningsändamål. 

Enligt 3 mom. får ett utlämnande av patientuppgifter till en annan tjänstetillhandahållare och mellan en tjänstetillhandahållares register utföras med de riksomfattande informationssystemtjänsterna efter det att patienten har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 15 § i lagförslaget datatekniskt säkerställas att en vårdrelation mellan patienten och den som har lämnat begäran existerar. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter. 

En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnande av uppgifterna i fråga, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om patientens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget. Kundens förbud kan inte hindra en yrkesutbildad persons eller en myndighets rätt att få uppgifter när den yrkesutbildade personens eller myndighetens rätt att få uppgifter grundar sig på lag. 

För att kunduppgifter ska kunna utlämnas utan att myndigheten har lagstadgad rätt att få uppgifter förutsätts att den berörda personen har möjlighet att förbjuda att uppgifterna utlämnas. Förbud mot utlämnande förutsätter åter att personen känner till innehållet i handlingarna. I Kanta-tjänsterna kan registreras även gamla handlingar som upprättats innan de nationellt harmoniserade datastrukturerna infördes och som alltså saknar datastrukturer. Dessa handlingar kan inte visas i medborgargränssnittet, och personen kan inte förbjuda utlämnande via med- borgargränssnittet. Handlingarna kan innehålla uppgifter om någon annan person eller så borde vissa uppgifter inte visas i medborgargränssnittet till exempel i en situation där uppgifterna enligt en yrkesutbildad persons bedömning kan allvarligt äventyra kundens eller någon annan persons hälsa och säkerhet, och handlingarna saknar datastrukturer för sådana funktioner. 

I paragrafens 4 mom. föreskrivs det om utlämnande av patientuppgifter till patienten via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får välbefinnandeapplikationerna på detta sätt, utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat, tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna och kopierats. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter. 

21 §.Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster. När en tjänstetillhandahållare lämnar ut klientuppgifter inom socialvården till en annan tjänstetillhandahållare ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut klientuppgifter inom socialvården med hjälp av de i 6 § i lagförslaget avsedda riksomfattande informationssystemtjänsterna till en annan tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten. Sålunda behövs inte separat samtycke. 

I paragrafens 2 mom. föreskrivs det att klientuppgifter inom socialvården får trots sekretessbestämmelserna lämnas ut från de riksomfattande informationssystemtjänsterna till en personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av socialvård. Utlämnande förutsätter klientens samtycke. Bestämmelser om sekretessbeläggning och utlämnande av klientuppgifter finns i 3 kap. i klientlagen. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska bland annat vara specifikt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. Enligt definitionen i artikel 4 i dataskyddsförordningen avses med ’samtycke’ av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke som gäller särskilda kategorier av personuppgifter ska dessutom vara uttryckligt. En motsvarande möjlighet att lämna ut kunduppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att kunduppgifter får lämnas ut mellan socialvården och hälso- och sjukvården. 

Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för refor- men av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de kunduppgifter som de behöver. Samtidigt ska dock kunden ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika användningsändamål. Bestämmelser om de situationer där kunduppgifter kan lämnas ut utan kundens samtycke finns i socialvårdslagstiftningen. 

Enligt 3 mom. får ett sådant utlämnande av klientuppgifter inom socialvården till en annan tjänstetillhandahållare som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att klienten har informerats på det sätt som avses i 16 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 15 § i lagförslaget datatekniskt säkerställas att det finns ett samband mellan klienten och den som har lämnat begäran. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter. 

En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnandet av sina uppgifter, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om kundens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 18 § i lagförslaget. Kundens förbud kan inte hindra en yrkesutbildad persons eller en myndighets rätt att få uppgifter mellan tjänstetillhandahållare inom socialvården när den yrkesutbildade personens eller myndighetens rätt att få uppgifter grundar sig på lag. 

För att klientuppgifter inom socialvården ska kunna utlämnas utan att myndigheten har lagstadgad rätt att få uppgifter förutsätts att den berörda personen har möjlighet att förbjuda att uppgifterna utlämnas, och förbud mot utlämnande förutsätter åter att personen känner till innehållet i handlingarna. I Kanta-tjänsterna kan registreras även gamla handlingar som upprättats innan de nationellt harmoniserade datastrukturerna infördes och som alltså saknar erforderliga datastrukturer. Dessa handlingar kan inte visas i medborgargränssnittet, och personen kan inte förbjuda utlämnande via medborgargränssnittet. Handlingarna kan innehålla uppgifter om någon annan person eller så borde vissa uppgifter inte visas i medborgargränssnittet på grund av vad som föreskrivs i någon annan lag. 

I paragrafens 4 mom. föreskrivs det om utlämnande av kunduppgifter till kunden via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får välbefinnandeapplikationerna på detta sätt, utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat, tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna och kopierats. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter. 

22 §.Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. I paragrafen föreskrivs det att det via den förfråg- nings- och förmedlingstjänst som hör till de riksomfattande informationssystemtjänsterna får förmedlas handlingar och andra handlingar som har bifogats till dem för skötseln av en lagstadgad uppgift för en aktör utanför social- och hälsovården. Sådana handlingar är bland annat de intyg och utlåtanden samt andra handlingar som innehåller kunduppgifter som sänds till en annan instans. I paragrafens 1 mom. föreslås det också att handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Förmedlingen av handlingar ska alltså grunda sig på kundens eller uppgiftsmottagarens begäran eller på en tjänsteinnehavares lagstadgade uppgifts- eller anhängiggörandeskyldighet på eget initiativ. Exempelvis en socialvårdsmyndighet är skyldig att anhängiggöra ärenden på klientens vägnar i domstol, och då måste handlingar kunna förmedlas utan begäran. 

Det bör påpekas att förfrågnings- och förmedlingstjänsten inte ansvarar för den information som lämnas från en personuppgiftsansvarig till en annan. Det betyder att den personuppgiftsansvarige som ska lämna ut uppgifter ansvarar för att den som får uppgifterna endast får klientuppgifter eller patientuppgifter i den omfattning som mottagaren har rätt att få med stöd av lag eller samtycke. Alltid när uppgifter lämnas ut krävs det övervägande av den personuppgiftsansvarige som lämnar ut uppgifterna och endast de nödvändigaste kunduppgifterna får lämnas ut. Den rätt som mottagaren har att få uppgifter ska basera sig på lag eller på kundens samtycke. Kunduppgifter kan lämnas ut endast i den omfattning mottagaren behöver dem för att sköta sin lagstadgade uppgift. 

Exempel på detta är ett A-intyg eller B-intyg som lämnas till Folkpensionsanstalten eller ett arbetspensionsinstitut för en patients sjukdagpenning eller ett läkarutlåtande som lämnas till polisen för ansökan om körkort. Andra särskilda handlingar som medvetet har bifogats till ett intyg eller utlåtande, som till exempel en röntgenläkares utlåtande som ligger som grund för läkarens eget utlåtande, kan anslutas till utlåtandet och lämnas ut elektroniskt med det, om den som har skapat handlingen anser att det behövs. 

På basis av arbetspensionslagarna har till exempel en arbetspensionsanstalt trots sekretessbestämmelserna och övriga begränsningar av erhållande av information rätt att få sådana uppgifter som den behöver för att avgöra ett ärende och sköta lagstadgade uppgifter. Arbetspensionsanstalternas rätt att få information gäller bland annat pensionstagares journalhandlingar, rehabilitering, hälsotillstånd, vård och arbetsförmåga. Den förfrågnings- och förmedlingstjänst som föreslås i denna paragraf ger den personuppgiftsansvarige inom hälso- och sjukvården möjligheten att bedöma om handlingar kan lämnas till ett arbetspensionsinstitut även om handlingen ursprungligen är avsedd för något annat ändamål. Handlingarna får dock inte innehålla mera information än vad mottagaren har rätt att få enligt lagstiftningen. 

I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka slags handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten. Institutet för hälsa och välfärds föreskrifter är således av teknisk natur. 

23 §.Användning av e-tjänster och behandling av uppgifter för någon annans räkning. I 1 mom. föreskrivs av informativa orsaker på vilka grunder en person har rätt att för någon annans räkning behandla dennes kund- och välbefinnandeuppgifter i ärendehanteringstjänster. När ett ärende sköts för en annan persons räkning ska detta grunda sig på en fullmakt eller ett förordnande som intressebevakaren har gett med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). Skötande av ärenden för andras räkning förutsätter att de nationella register som Myndigheten för digitalisering och befolkningsdata ansvarar för utvecklas målmedvetet och att strukturerade uppgifter börjar användas så att de uppgifter som förutsätts för att sköta ärenden för andras räkning fås ur registren i strukturerad form, till exempel uppgift om en intressebevakare som förordnats för hälso- och sjukvårdsärenden. En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen, 9 § 2 mom. i patientlagen, artikel 8.1 i dataskyddsförordningen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983). 

En minderårig patient som med hänsyn till ålder och utvecklingsnivå kan fatta beslut om sin vård har enligt patientlagen rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård lämnas ut till vårdnadshavaren eller andra lagliga företrädare. Enligt klientlagen får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. En laglig företrädare har dock rätt att få information enligt vad som föreskrivs i 11 § i offentlighetslagen. 

Den yrkesutbildade person inom social- och hälsovården som antecknar kunduppgifter ska säkerställa att barnet vet och förstår att vårdnadshavaren kan se uppgifterna och att barnet med hänsyn till ålder och utvecklingsnivå har rätt att förbjuda att uppgifter lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren. 

Inom socialvården kan till exempel intresset hos en vårdnadshavare och den minderåriga som vårdnadshavaren har vårdnaden om stå i strid med varandra, och då ska tolkningen följa barnets intresse. I en sådan situation har vårdnadshavaren inte rätt att behandla barnets uppgifter om behandlingen strider mot barnets intresse. Sådana situationer kan uppstå inom socialvården, och särskilt inom barnskyddet. Vårdnadshavarens rätt att behandla uppgifterna om den minderårig som vårdnadshavaren har vårdnaden om kan även begränsas genom tingsrättens beslut. 

Utöver den minderårigas förbudsrätt ska vårdnadshavaren inte heller ha rätt att behandla uppgifter om det barn som denne har vårdnaden om ifall det gäller sådana uppgifter i fråga om vilka vårdnadshavaren inte har insynsrätt eller en sådan i offentlighetslagen avsedd rätt för parten att få information. Det kan till exempel vara fråga om en situation där ett litet barn är klient inom barnskyddet och ännu inte förmår förbjuda att uppgifterna lämnas ut till barnets vårdnadshavare och där det trots detta finns en lagenlig grund för att förvägra till exempel vårdnadshavarens insynsrätt till antingen alla eller en del av uppgifterna om barnet. Då kan ovannämnda uppgifter inte ens visas för kunden. Grunderna för förbudet kan dock vara olika för vårdnadshavaren och den minderåriga. Inom hälso- och sjukvården kan det till exempel vara fråga om en situation där barnet berättar för skolhälsovårdaren att det själv eller en familjemedlem har misshandlats eller behandlats illa i hemmet. Barnet vet inte nödvändigtvis att föräldern kan ta del av uppgiften om besöket hos hälsovårdaren via den tjänst som används. Därför är den yrkesutbildade personen inom social- och hälsovården ansvarig för barnets intresse och säkerhet i alla situationer, även när barnet inte med hänsyn till utvecklingsnivån ännu förmår förbjuda insyn i sina uppgifter. 

I artikel 8.1 i dataskyddsförordningen sägs att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a, dvs. behandlingen av personuppgifter grundar sig på samtycke, behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år. 

I 5 § i dataskyddslagen sägs att när personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år. 

Bestämmelser om vårdnadshavarens uppgifter finns i 4 § i lagen angående vårdnad om barn och umgängesrätt (361/1983). Enligt 4 mom. företräder vårdnadshavaren barnet i frågor som gäller barnets person, om inte något annat föreskrivs i lag. Informationsresursen för egna uppgifter är informationssamhällets tjänst som den som fyllt 13 år i enlighet med dataskyddslagen kan börja använda självständigt utan vårdnadshavarens samtycke. 

I 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) föreskrivs det om Myndigheten för digitalisering och befolkningsdatas nya register för behörighetstjänsten, om förfarandet för avgivande av fullmakt och andra viljeyttringar i registret och om innehållet i fullmakter och andra viljeyttringar samt om sammanföringen av uppgifterna om avgivaren och säkerställandet av informationshelhetens integritet. För tillhandahållande av behörighetstjänsten för Myndigheten för digitalisering och befolkningsdata ett register över de fullmakter som avgivits av fysiska personer och för samfunds vägnar samt övriga viljeyttringar. Viljeyttringarna är i fråga om behörigheterna noggrant avgränsade och anknyter till en viss verksamhet eller händelse, och således kan inga öppna fullmakter för rättsligt bistånd avges via tjänsten. 

Via behörighetstjänsten kan även uppgifter om fullmakter som andra myndigheter har registrerat och om andra viljeyttringar förmedlas, om den myndighet som har registrerat uppgifterna har beviljat Myndigheten för digitalisering och befolkningsdata tillstånd till detta och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som ska förmedlas via behörighetstjänsten. När det gäller de register som gäller övriga myndigheters viljeyttringar bygger personuppgiftsansvaret på bestämmelserna om dessa myndigheters verksamhet och det är fortfarande den behöriga myndigheten som bär ansvaret för personuppgifterna och registreringen av viljeyttringarna. Myndigheten för digitalisering och befolkningsdata ansvarar endast för verksamheten i den förmedlingstjänst som ingår i behörighetstjänsten. Möjligheterna att använda till exempel de viljeyttringar som har avgivits inom social- och hälsovården är ofta begränsade till aktörerna inom dessa sektorer och därför är ett mera allmänt utnyttjande av viljeyttringarna inte möjligt. Syftet med punkten i bestämmelsen är att dessa uppgifter ska tillhandahållas centraliserat för användning via behörighetstjänsten. 

24 §.Medborgargränssnitt samt uppgifter och viljeyttringar som visas via det. I paragrafens 1 mom. föreslås det att en person kan avge de viljeyttringar som avses i 12 § i lagförslaget samt sköta ärendena i anslutning till sitt kundförhållande och administreringen av sina kunduppgifter och välbefinnandeuppgifter via ett gränssnitt. Sådana uppgifter är till exempel att ta emot information enligt 16 § i lagförslaget om riksomfattande informationssystemtjänster samt att meddela förbud mot och samtycke till utlämnande av uppgifter. Till gränssnittet kan dessutom anslutas andra funktioner som möjliggör informationsutbyte och utförande och uppföljning av uppgifter som gäller tjänster, omsorg och vård. En sådan funktion är till exempel förmedling av kunduppgifter mellan en kund och en tjänstetillhandahållare. Gränssnittet ska realiseras så att kundens integritetsskydd inte äventyras. 

I artikel 15 i dataskyddsförordningen bestäms om den registrerades rätt till tillgång. Enligt 34 § i dataskyddslagen har en registrerad inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (1 punkten), lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter (2 punkten), eller personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas (3 punkten). Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne. Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade. 

I paragrafens 2 mom. föreskrivs det att en person får via medborgargränssnittet visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, till exempel tidsbeställningsuppgifter, laboratorieresultat, röntgenresultat och andra undersökningsresultat, uppgifter om tider och platser för servicehändelser, uppgifter som är viktiga för vården eller servicen, receptuppgifter, vårdanvisningar, remisser, sammandrag av gjorda behandlingar, utlåtanden om behandlingar, läkarintyg och läkarutlåtanden samt handlingar om socialvården.  

Trots vad som föreskrivs i 1 mom. ska gränssnittet realiseras så att kunden inte har åtkomst till uppgifterna, om den yrkesutbildade personen inom hälso- och sjukvården vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för tillhandahållandet av en tjänst eller för någon annans rättigheter. När uppgifter visas via gränssnittet ska bestämmelserna om partens rätt att få information i 11 § 2 mom. i offentlighetslagen beaktas. 

Principen enligt offentlighetslagen är att en sökande, överklagande eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (en part), har rätt att av den myndighet som behandlar el- ler har behandlat ärendet information om sådant innehåll i en offentlig handling som kan på- verka eller som eventuellt har påverkat behandlingen av hans eller hennes ärende. 

En part eller dennes ombud eller biträde har inte den ovanavsedda rätten till exempel 

1) när utlämnande av uppgifter ur handlingen skulle strida mot ett synnerligen viktigt allmänt intresse, ett barns intresse eller ett annat synnerligen viktigt enskilt intresse, eller 

2) när det är fråga om en handling som har företetts eller upprättats i samband med förundersökning eller polisundersökning som ännu pågår, om utredningen skulle försvåras av att uppgifter lämnas ut. 

Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. 

25 §.Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande. Att användningen och utlämnandet av kunduppgifter följs upp är en central förutsättning för tillgodoseendet av kundens rätt till skydd för privatlivet och för övervakningen av uppgifternas användning. I 17 § i informationshanteringslagen föreskrivs om myndigheternas skyldighet att samla in logginformation. Eftersom också privata tjänstetillhandahållare ansluter sig till de riksomfattande informationssystemtjänsterna som användare, föreslås i paragrafen att det föreskrivs om uppföljning av användning och utlämnande så att alla tillhandahållare av social- och hälsotjänster ska beröras av samma skyldigheter. Det föreskrivs också noggrannare om uppföljning av användning och utlämnande än i informationshanteringslagen. 

Med uppgifternas användning avses att uppgifter används i den personuppgiftsansvariges egen verksamhet och i verksamhet som bedrivs för dennes räkning. De uppgifter som används är uppgifter som finns i den personuppgiftsansvariges egna kundregister. För användning av dessa uppgifter behövs inte tillstånd och en registrerad kan inte förbjuda användningen av sina uppgifter. Med utlämnande av uppgifter avses att uppgifter lämnas ut till en annan personuppgiftsansvarig eller någon annan utomstående som har rätt att få uppgifterna eller att uppgifter överförs mellan den personuppgiftsansvariges olika register. Med utlämnande avses allt avslöjande av information till utomstående inklusive att ge någon rätt att se uppgifter. Utlämnandet av kunduppgifter inom social- och hälsovården ska ske antingen med kundens samtycke eller med stöd av en bestämmelse i lag som ger denna rätt. 

Enligt 1 mom. är tjänstetillhandahållaren skyldig att följa upp hur den egna enheten använder och lämnar ut kunduppgifter. 

I paragrafens 2 och 3 mom. föreskrivs det särskilt om de uppgifter som ska registreras i användningsloggregistret och vilka som ska registreras i utlämningsloggregistret. Logguppgifterna om de register som har upprättats för olika användningsändamål ska registreras separat. 

I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet, användningstidpunkten och andra uppgifter som behövs för tillsyn och uppföljning. 

I utlämningsloggregistret förs det in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren, tidpunkten för utlämnandet och andra uppgifter som behövs för tillsyn och övervakning. 

Enligt 4 mom. ska Folkpensionsanstalten samla in logguppgifterna om de uppgifter som har registrerats i receptcentret, arkiveringstjänsten och i viljeyttringstjänsten och också om utlämnandet av de uppgifter som har visats via informationshanteringstjänsten. Enligt momentet ska Folkpensionsanstalten samla in logguppgifter bland annat om alla utlämnanden av uppgifter och i samband med detta bland annat tidpunkten för utlämnandet och uppgiftsmottagarna. De tjänstetillhandahållare vilka handlingarna gäller och varifrån uppgifterna har fåtts registreras inte i informationshanteringstjänstens logg. Vid behov kan logguppgifterna användas för att utreda om utlämnandet har varit ändamålsenligt. 

Logguppgifterna om utlämnande av tjänstetillhandahållarens uppgifter i kundhandlingar förs in i den förvaringstjänst för loggregister som är avsedd för detta. Eftersom det utlämnande av kunduppgifter mellan tjänstetillhandahållare inom social- och hälsovården som baserar sig på en begäran ska ske i enlighet med 19 eller 20 § med hjälp av riksomfattande informations- systemtjänster, ska logguppgifterna om utlämnandet finnas i arkiveringstjänsten. I arkiveringstjänsten ska till exempel föras in de logganteckningar som ska göras vid utlämnande av remisser och av vårdrespons samt vid utlämnande som sker till övriga med rätt att använda kunduppgifterna. För att en kund ska kunna få information om att hans eller hennes kunduppgifter har utlämnats med hjälp av det medborgargränssnitt som avses i 23 § ska utlämningslogguppgifterna finnas i den centrala arkiveringstjänsten. Dessutom görs det möjligt att föra in logguppgifter om användning i förvaringstjänsten för loggregister. 

Närmare bestämmelser om förvaringstiden för logguppgifter får enligt 5 mom. utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras sakinnehåll. Bestämmelser om journalhandlingarnas förvaringstider finns i förordningen om journalhandlingar. Avsikten är att i fortsättningen föreskriva om journalhandlingarnas förvaringstider i lag. Samtidigt tas även regleringen om förvaringstiderna för logguppgifterna in i lag. 

26 §. Kundens rätt att få information om behandlingen av sina egna uppgifter. Enligt 1 mom. har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har lämnat ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Vid beslutspraxis för riksdagens justitieombudsman och statsrådets justitiekansler har tidsfristen på två månader ansetts vara skälig. Det föreslås att regleringen ska avvika från tidsfristerna enligt 14 § i offentlighetslagen, eftersom logguppgiftsutredningar i praktiken kräver mycket tid. Så är fallet i synnerhet om logguppgifter begärs från flera olika system och för lång tid och om logginformationsinnehållet varierar mycket. 

Dessutom ska kunden ha rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, viljeyttringstjänsten, receptcentret och informationsresursen för egna uppgifter, logguppgifter över använda och utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. De övriga logguppgifterna har kunden rätt att få av tjänstetillhandahållaren. 

Kundens rätt att få logguppgifterna är en viktig rätt som ger kunden möjligheten att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. Rätten att få information gäller både användningsloggar och utlämningsloggar. 

Enligt 2 mom. har kunden inte rätt att få logguppgifter, om den som tar emot begäran om uppgifterna vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Enligt huvudregeln har kunden rätt att få endast de logguppgifter som har införts under de två år som föregick begäran. Det är dock möjligt att få uppgifter även från en längre tid, om det finns något särskilt skäl för det. Ett sådant särskilt skäl kan enligt lagen till exempel vara en välgrundad misstanke om att klientuppgifter eller patientuppgifter har behandlats olovligt på ett sätt som kräver att saken utreds. Den föreslagna tidsfristen på två månader beror på att behandlingen av klagomål inom social- och hälsovården delvis är begränsad så att de endast kan gälla händelser från de två åren före klagomålet. En sådan begränsning gäller till exempel de klagomål som anförs hos riksdagens justitieombudsman och Tillstånds- och tillsynsverket för social- och hälsovården. Ett annat skäl bakom tidsfristen är den preskriptionstid för personregisterbrott som avses i 38 kap. 9 § i strafflagen, som också är två år. 

Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. Kunduppgifternas logguppgifter innehåller information med personuppgifter om de som är anställda hos tjänstetillhandahållaren inom social- och hälsovården. Av den orsaken är det motiverat att kunden inte ska ha rätt att använda dessa uppgifter för något annat ändamål än för att utreda eller tillgodose sina rättigheter att behandla sina egna kunduppgifter. 

I paragrafens 3 mom. föreskrivs det om ersättning för utlämnande av logguppgifter. Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. Rätten att få ersättning av kunden för kostnaderna för utlämnandet finns till för att undvika onödiga begäranden om logguppgifter. Med hjälp av det medborgargränssnitt som avses i 24 § i lagen får det dock inte tas ut någon separat avgift för erhållandet av logguppgifter. Den föreslagna regleringen motsvarar den etablerade specialreglering i förhållande till offentlighetslagen som ingick i klientuppgiftslagen, som nu föreslås bli upphävd, och i den upphävda personuppgiftslagen. 

Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska denna förvägran meddelas genom ett skriftligt beslut enligt 4 mom. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen (1050/2018). I enlighet med 25 § i dataskyddslagen får dataombudsmannens och biträdande dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen. 

Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten enligt 5 mom. på begäran ge kunden en utredning om grunderna för användningen eller utlämnandet av uppgifterna och uppge sin motiverade uppfattning huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Detta är motiverat med tanke på tillgodoseendet av både kundens och den personuppgiftsansvariges rättigheter. Kunden kan då bättre bedöma huruvida det lönar sig att till exempel föra ärendet till polisen för undersökning eller att anföra klagomål hos en besvärsmyndighet. 

Om slutledningen av en kunds begäran, eller om det vid den personuppgiftsansvariges egenkontroll har upptäckts att behandlingen av uppgifterna har stridit mot lagen, ska även den personuppgiftsansvarige på eget initiativ vidta nödvändiga åtgärder. Även tjänstetillhandahållaren ska göra en bedömning av vilka åtgärder den bör vidta. Till exempel kan det åtminstone behövas arbetsrättsliga åtgärder och dessutom beroende på fallet även en eventuell begäran om polisundersökning. 

5 kap. Egenkontroll av informationssäkerhet och dataskydd

27 §.Informationssäkerhetsplan. I paragrafens 1 mom. föreskrivs det om att en tjänstetillhandahållare, en mellanhand och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan som behandlar frågor som är centrala för organisationens informationssäkerhet och dataskydd samt ibruktagande av informationssystem. Syftet med informationssäkerhetsplanen är att säkerställa att tjänstetillhandahållarens, mellanhandens och Folkpensionsanstaltens personal behärskar användningen av de informationssystem som de använder och kan beakta de krav som hänför sig till sekretessbelagda kunduppgifter och informationssäkerhet. I informationssäkerhetsplanen ska dessutom beaktas frågor som gäller användarmiljö, underhåll och uppdaterande samt hur genomförandet av planen och egenkontrollen av de saker som omfattas av planen ska arrangeras. Med informationssystemets miljö avses den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsovårdstjänster och behandlingen av kunduppgifter samt behandlingen av uppgifter om välbefinnande. 

I 13 § i informationshanteringslagen föreskrivs det om informationshanteringsenheters skyldigheter att säkerställa informationssäkerhet, vilket också ska beaktas i informationshanteringsenheternas verksamhet. I denna lag föreslås att alla tillhandahållare av social- och hälsovårdstjänster ska vara skyldiga att ha en informationssäkerhetsplan, vilket säkerställer enhetliga förfaranden för såväl offentliga som privata tjänstetillhandahållare. Dessutom säkerställs att mellanhänder och Folkpensionsanstalten tillämpar motsvarande förfaranden. 

Bestämmelser om egenkontrollplaner ingår i flera lagar om social- och hälsovård, till exempel i hälso- och sjukvårdslagen (1326/2010). Uppgiften om att en informationssäkerhetsplan har utarbetats enligt denna bestämmelse kan ingå i den egenkontrollsplan eller någon annan plan som ska utarbetas på basis av någon annan lag, men informationssäkerhetsplanen kan innehålla sådant som inte bör finnas med i den egenkontrollsplan som är allmänt tillgänglig. I in- formationssäkerhetsplanen ska finnas omfattande information och utredningar för att säkerställa att följande krav uppfylls: att de som använder informationssystemen har den utbildning som användningen kräver (1 punkten), att det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen (2 punkten), att informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten (3 punkten), att informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten (4 punkten), att informationssystemens driftsmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet (5 punkten), att övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd (6 punkten), att informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs (7 punkten), att informationssystem som avses i 29 § uppfyller i 34 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål (8 punkten) och att det finns en plan för hur egenkontrollen ska ordnas och genomföras inom tjänstetillhandahållarens verksamhet (9 punkten). 

I paragrafens 2 mom. föreslås det att informationssäkerhetsplanen dessutom ska innehålla uppgift om hur de särskilda dataskyddsfrågor som gäller dessa riksomfattande informationssystemtjänster har lösts då när tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. 

I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd får meddela närmare föreskrifter om de utredningar som ska ingå i den informationssäkerhetsplan som avses i 1 och 2 mom. och om kraven på dem. 

28 §.Genomförande av och ansvar för egenkontroll av informationssäkerheten. I paragrafens 1 mom. förutsätts det att varje tjänstetillhandahållare inom social- och hälsovården aktivt ska följa upp genomförandet av informationssäkerhetsplanen. Tjänstetillhandahållaren ansvarar för att de ärenden som gäller informationssäkerhet, dataskydd och användning och underhåll av informationssystem kontinuerligt sköts korrekt och för att dataskyddet och informationssäkerheten tillgodoses i anslutning till den tjänst som tillhandahålls. Den ansvariga föreståndaren hos varje tjänstetillhandahållare ska meddela skriftliga instruktioner om hur kunduppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter och se till att en informationssäkerhetsplan som avses i 27 § utarbetas och att den iakttas. 

I 2 mom. föreskrivs det om tjänstetillhandahållarens rätt att vid behov utreda om personalen har använt och läst uppgifter på korrekt sätt. För uppföljning och tillsyn ska tjänstetillhandahållaren ha rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i den informationshanteringstjänst som avses i 11 § och i den viljeyttringstjänst som avses i 12 § i detta lagförslag samt i 13 § i lagförslaget avsedda logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig. 

Enligt 3 mom. ska mellanhänderna och Folkpensionsanstalten följa upp genomförandet av de egna informationssäkerhetsplanerna. 

Paragrafens 4 mom. behandlar utnämnandet av dataskyddsombud och är av informativ karaktär. Bestämmelser om utnämnande av dataskyddsombud och om deras uppgifter och ställning finns i dataskyddsförordningen. Enligt den kan en medlemsstat i den nationella lagstiftningen förutsätta att ett dataskyddsombud utnämns även i andra situationer än de som avses i artikel 37.1. Till exempel när det nationella handlingsutrymme som avses i artikel 9 tillämpas kan skyldigheten enligt artikel 36 fungera som skyddsåtgärd. 

I kunduppgiftslagen stryks bestämmelsen om utnämning av dataskyddsombud, eftersom kravet följer direkt av EU:s dataskyddsförordning. Enligt social- och hälsovårdsministeriet borde kravnivån och förpliktelserna i fråga om utnämningen av dataskyddsombud kvarstå och motsvara nivån på kraven i kunduppgiftslagen, vilket betyder att det inte finns behov av särskild nationell lagstiftning om detta efter ikraftträdandet av dataskyddsförordningen. 

6 kap. Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande

29 §.Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering. I paragrafen föreskrivs det att producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Beskrivningen av ett användningsändamål ska innehålla de egenskaper hos systemet genom vilka de väsentliga krav som ställs på det enligt dess användningsändamål uppfylls. 

I paragrafens 2 mom. föreskrivs det om klassificeringen av informationssystemen, som gäller de informationssystem som ska anslutas till Folkpensionsanstaltens riksomfattande informationssystemtjänster. Social- och hälsovårdens informationssystem och välbefinnandeapplikationer uppdelas enligt deras användningsändamål och egenskaper i klasserna A och B. Till klass A hör de Kanta-tjänster som förvaltas av Folkpensionsanstalten, till exempel arkiveringstjänsten och kundernas informationshanteringstjänst, viljeyttringstjänsten samt de informationssystem och välbefinnandeapplikationer som behandlar kunduppgifter och som ska anslutas till Kanta-tjänsterna (1 och 2 punkten). Klass A anses också omfatta de förmedlingstjänster som används för att överföra uppgifter i regionala eller lokala informationssystem inom hälso- och sjukvården till de riksomfattande informationssystemtjänsterna. Till klass A hör även de övriga informationssystem vars användningsändamål förutsätter certifiering. Dessa system kan till exempel innefatta sådana system som tillhandahåller s.k. molntjänster (Saas, PaaS, IaaS) för social- och hälsovårdens informationssystem, om verksamheten innebär betydande risker vad gäller dataskyddet eller informationssäkerheten eller sådana system som uppfyller kriterierna för klass B och vars användningsändamål är såpass kritiskt att det behövs certifiering eller allmänna ärendehanteringssystem som används inom socialtjänster på motsvarande sätt som ett kunduppgiftssystem och som även kan anslutas till riksomfattande informationssystemtjänster via en teknisk förmedlingstjänst. Också välbefinnandeapplikationer som ansluts till informationsresursen för egna uppgifter är sådana system. (3 punkten). 

I paragrafens 3 mom. föreslås det att de informationssystem som inte räknas upp i 2 mom. ovan ska höra till klass B. 

Informationssystemen i klass B ska vara sådana som varken direkt eller via en förmedlingstjänst är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientuppgiftssystem hör till klass B även om patientuppgiftssystemet registrerar laboratorieresultaten senare i Kanta-tjänsternas arkiveringstjänst.  

I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska avgöra på basis av bestämmelserna i 2 och 3 mom. huruvida ett informationssystem hör till klass A eller B i de enskilda fall detta är oklart. Dessutom får Institutet för hälsa och välfärd meddela närmare föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer. 

30 §.Registrering av informationssystem och välbefinnandeapplikationer. Producenten av en informationssystemtjänst ska enligt 1 mom. göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem innan de tas i användning för produktion. Tillverkaren av en välbefinnandeapplikation ska på motsvarande sätt göra en anmälan om en välbefinnandeapplikaiton. Av anmälan ska informationssystemets och välbefinnandeapplikationens tillverkare och användningsändamål framgå, och till anmälan ska det fogas en utredning om att de väsentliga krav som ställs på systemet enligt dess användningsändamål uppfylls. Bestämmelser om väsentliga krav som ställs på informationssystemet finns i 33 § i lagförslaget. Dessutom ska producenten av en informationssystemtjänst göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion inte längre stöds eller att en annan aktör har övertagit ansvaret för informationssystemet. Att stödet för en version av datasystemet upphört betyder till exempel att producenten av informationssystemtjänsten inte längre utvecklar versionen i fråga och inte tillhandahåller tekniskt stöd för driftenav den. Om producenten av en informationssystemtjänst är någon annan än tillverkaren, ska också producenten framgå av anmälan. 

I paragrafens 2 mom. föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem inom social- och hälsovården och välbefinnandeapplikationer som anmäls till verket. Registret ska innehålla uppgifter om de informationssystem och välbefinnandeapplikationer som används för produktion (1 punkten). I registret lagras även uppgifter om resultaten av interoperabilitetstestningen av de informationssystem och välbefinnandeapplikationer i klass A som har godkänts för att användas i produktion (2 punkten) samt om giltighetstiden för det intyg som utfärdats enligt en bedömning av informationssäkerhet (3 punkten). Dessutom ska registret innehålla information om en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion, medan avvikelsen varar. På basis av registret kan de som anskaffar och använder ett informationssystem kontrollera att de informationssystem som de ska skaffa eller som de använder är ändamålsenliga. 

Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården vid behov meddela föreskrifter om innehållet i anmälan, giltighetstider, ny anmälan och om de uppgifter som ska antecknas i registret. 

31 §.Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster. I paragrafens 1 mom. föreslås det att ett informationssystem eller en välbefinnandeapplikation i klass A ska få användas för produktion och anslutas till riksomfattande informationssystemtjänster när systemet eller applikationen har genomgått den av Folkpensionsanstalten koordinerade interoperabilitetstestningen och när bedömningsorganet för informationssäkerhet har beviljat ett intyg över bedömning av informationssäkerhet, dvs. när informationssystemet eller välbefinnandeapplikationen har certifierats i enlighet med 35 §. 

Enligt 2 mom. får ett informationssystem eller en välbefinnandeapplikation inte tas i användning för produktion, om det inte finns giltiga uppgifter om systemet eller applikationen i det i 30 § 2 mom. avsedda register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om intyget som gäller bedömning av informationssäkerheten har gått ut. 

32 §.Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer. Att informationssystemet fungerar och används korrekt behöver följas upp även efter ibruktagandet. Enligt bestämmelsen ska producenten av en informationssystemtjänst aktivt genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Om uppföljningen visar att det har gjorts betydande avvikelser från uppfyllandet av de väsentliga kraven, ska avvikelserna meddelas till samtliga tjänstetillhandahållare som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Samtidigt ska producenten och välbefinnandeapplikationens tillverkare ge anvisningar om de åtgärder som ska vidtas i fråga om avvikelserna. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 

Producenten av en informationssystemtjänst ska även ge akt på eventuella ändringar i de väsentliga krav ställs på informationssystemen och vid behov justera och korrigera informationssystemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Bestämmelsen om detta finns i 2 mom. Av informationssystem och välbefinnandeapplikationer i klass A förutsätts det dessutom att de ändringar som producenten gör ska meddelas till bedömningsorganet för informationssäkerhet och till Folkpensionsanstalten. På basis av dessa meddelanden kan bedömningsorganet bedöma och vid behov också utreda huruvida ändringarna har konsekvenser för informationssäkerheten. I samband med detta föreskrivs det också att det vid behov ska utfärdas ett nytt intyg över bedömning av informationssäkerhet eller göras en ny interoperabilitetstestning, om ändringarna är betydande eller om de väsentliga kraven på informationssäkerheten har ändrats på så sätt att ett nytt godkännande förutsätts.  

På basis av 3 mom. ska producenten av en informationssystemtjänst i minst fem år efter att informationssystemet eller välbefinnandeapplikationen inte längre användas för produktion bevara de uppgifter som gäller interoperabilitet och informationssäkerhet och andra uppgifter som tillsynen kräver. Syftet med bevaringsskyldigheten är att säkerställa att det till exempel i eventuella situationer som i efterhand kräver utredning av dataskyddet fortfarande finns tillräcklig information om informationssystems och välbefinnandeapplikationers överensstämmelse samt om de ändringar som har gjorts i dem. Bestämmelsen gäller alla informationssystem oberoende av klass. 

På basis av bemyndigandet i 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om vilka avvikelser som enligt lagen ska anses vara betydande och hur anmälningarna om dessa ska göras till användarna av informationssystemen och välbefinnandeapplikationerna, bedömningsorganet för informationssäkerhet, Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 

7 kap. Väsentliga krav på informationssystem och välbefinnandeapplikationer

33 §.Allmänna skyldigheter för tillverkare av informationssystem och välbefinnandeapplikationer och producenter av infomationssystemtjänster. I paragrafen föreslås det bestämmelser om de allmänna skyldigheterna för producenter och tillverkare av informationssystemtjänster för social- och hälsovården. Begreppet producent av informationssystemtjänst ska i detta sammanhang tolkas brett så att det även avser ett företag eller en person som samlar ihop en informationssystemhelhet av flera olika delar som tillhandahålls kunden. Producenten av en informationssystemtjänst ska också kunna verka för en utländsk tillverkares räkning i egenskap av den instans i Finland som ansvarar för uppfyllandet och verifieringen av kraven. En producent av ett informationssystem ska enligt 1 mom. alltid själv ansvara för planeringen och tillverkningen av ett informationssystem för social- och hälsovården. Detta ansvar är inte beroende av huruvida producenten genomför dessa åtgärder själv eller anlitar underleverantörer eller andra instanser för dessa tjänster och åtgärder. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. 

Enligt 2 mom. ska producenten av en informationssystemtjänst utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. 

Enligt 3 mom. får dessa uppgifter som följer med informationssystemet lämnas till tjänstetillhandahållaren på finska, svenska eller engelska. De anvisningar och andra uppgifter som är avsedda för social- och hälsovårdspersonal som använder ett informationssystem ska finnas på finska eller svenska. 

Utöver vad som anges ovan förutsätts det i 4 mom. att tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter, till exempel så som föreskrivs i den förordning som upphäver rådets direktiv 93/42/EEG om medicintekniska produkter. Innan förordningen träder i kraft ska direktivet och den nationella lagstiftningen iakttas. Syftet med kvalitetssystemen är att säkerställa att det inte finns några sådana problem med eller brister hos produkten som beror på planeringen eller genomförandet. Ett ändamålsenligt kvalitetssystem som beaktar användningsändamålet och beaktar kritiskt innehåll kan dessutom främja avhjälpandet av de brister som har upptäckts. 

34 §.Väsentliga krav på informationssystemen och välbefinnandeapplikationer. Enligt 1 mom. ska ett informationssystem eller en välbefinnandeapplikation som används vid behandling av kunduppgifter uppfylla de väsentliga krav på funktionalitet, interoperabilitet, informationssäkerhet och dataskydd som ställs enligt systemets användningsändamål. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det. 

Kraven på informationssäkerhet och dataskydd garanterar att uppgifterna registreras och bevaras oförändrade i alla de olika situationer där de används. Behandlingen och utlämnandet av uppgifterna ska dessutom ske så att sekretessbelagda uppgifter inte kan behandlas av någon annan än de personer som enligt lagstiftningen har rätt att göra detta. 

Med interoperabilitet avses informationssystemens förmåga att utbyta information och att använda sådan information. Enligt definitionen ska systemen också ha teknisk och datainnehållsmässig interoperabilitet med de andra informationssystemen inom social- och hälsovården, dvs. vara semantiskt interoperabla, om dessa använder samma uppgifter i sina egna processer. Tack vare datainnehållets interoperabilitet kan datainnehållet tolkas enhetligt i alla organisationer. Ett system som kan anses fungera tillsammans med ett annat informationssystem ska vara interoperabelt med de andra informationssystem till vilka det ska anslutas. Interoperabiliteten är en förutsättning för att uppgifterna behandlas korrekt och kan överföras mellan informationssystemen. 

Informationssäkerheten hänför sig delvis till den interoperabilitet som behandlas ovan, eftersom syftet med informationssäkerheten är att säkerställa uppgifternas integritet och oförvanskade form och dessutom deras tillgänglighet och användbarhet. Syftet med dataskyddet är att sörja för att konfidentiella och sekretessbelagda klient- och patientuppgifter behandlas endast inom lagstiftningens gränser. 

Kraven på informationssystemens funktionalitet definierar vad informationssystemet gör och hur. Kraven på funktionaliteten innefattar bland annat hur informationssystemet ska kommunicera med dess miljö och hur användarna ska arbeta med informationssystemet. Denna funktionalitet innefattar dessutom informationssystemets användbarhet. 

Enligt 2 mom. ska de informationssystem som tjänstetillhandahållaren använder till sitt användningsändamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. De väsentliga kraven gör det möjligt att ställa både allmänna och tjänstespecifika minimikrav på informationshanteringen hos de tjänstetillhandahållare som producerar olika typer av tjänster. De olika tjänsternas behov av informationshantering kan då tillgodoses på ett ändamålsenligt sätt eftersom informationssystemlösningarna motsvarar de enskilda tjänsternas behov. 

Enligt 3 mom. uppfyller ett informationssystem de väsentliga kraven då när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet, dataskydd, interoperabilitet och funktionalitet och de bestämmelser och beslut som utfärdats med stöd av lagarna. 

Av informationssystem inom social- och hälsovården förutsätts det också att kraven på funktionalitet uppfylls. Med funktionalitet avses i detta sammanhang att informationssystemet är lämpligt för det användningsändamål för vilket det marknadsförs. Det ska kunna realisera alla de funktioner som gäller användningsändamålet och som förutsätts i lagarna och i de övriga bestämmelserna. Till exempel ett informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt receptlagen. Även informationssystemets användbarhet är en del av funktionaliteten. Detta innebär att användarna av informationssystemet genom de anvisningar och den utbildning som de får ska kunna använda informationssystemet eller programmen på det sätt som tillverkaren har avsett och anvisat. 

I paragrafens 4 mom. föreskrivs det om normgivningsbemyndiganden. Enligt förslaget ska Institutet för hälsa och välfärd meddela närmare föreskrifter om innehållet i de väsentliga kraven. Föreskrifterna säkerställer att de informationssystem och välbefinnandeapplikationer som används uppfyller lagarnas krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Vid beredningen av en föreskrift ska Institutet för hälsa och välfärd höra berörda intressentgrupper i enlighet med principerna om god förvaltning. De väsentliga kraven och föreskrifterna om dem ska godkännas i god tid innan de krav som dessa innehåller träder i kraft. Producenterna av informationssystemtjänster samt tillverkarna av informationssystem och välbefinnandeapplikationer ska dessutom reserveras en tillräcklig och skälig tid för uppfyllandet av kraven och visandet av överensstämmelsen med kraven. 

35 §.Påvisande av överensstämmelse med kraven. I paragrafens 1 mom. föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska påvisa att informationssystemet eller välbefinnandeapplikationen uppfyller de väsentliga kraven. Enligt 1 mom. ska påvisandet av att ett informationssystem eller en välbefinnandeapplikation i klass A överensstämmer med kraven basera sig på tre olika delområden. Dessa gäller funktionalitet, interoperabilitet samt dataskydd och informationssäkerhet. Producenten av ett informationssystem och tillverkaren av en välbefinnandeapplikation ansvarar för certifieringen av informationssystemet eller välbefinnandeapplikationen. 

Kraven på funktionalitet ska påvisas genom att producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämnar en utredning om att informationssystemet eller välbefinnandeapplikationen uppfyller alla de krav som gäller funktionaliteten. Uppfyllandet av kraven på interoperabilitet ska påvisas genom en gemensam testning som organiseras av Folkpensionsanstalten. De närmare bestämmelserna om den gemensamma testningen finns i 35 § i lagförslaget. Uppfyllandet av informationssäkerheten och dataskyddet ska däremot visas genom att bedömningsorganet för informationssäkerhet beviljar ett intyg på basis av en bedömning av informationssäkerheten. Bedömningen av informationssäkerheten görs i enlighet med lagen om bedömningsorgan för informationssäkerhet och de nya bestämmelser som föreslås i kunduppgiftslagen. Bestämmelserna om informationssäkerhet finns i 37 § i lagförslaget. 

I paragrafens 2 mom. föreslås det att överensstämmelsen med kraven i fråga om de informationssystem som hör till klass B ska kunna påvisas genom ett lättare förfarande än det som gäller informationssystemen i klass A. Ett informationssystem i klass B kan tas i bruk efter det att producenten av informationssystemet har gett en skriftlig utredning om att informationssystemet uppfyller de föreskrivna väsentliga kraven. Informationssystemet ska uppfylla de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, underhållits och använts på behörigt sätt. 

Enligt 3 mom. ska producenten av en informationssystemtjänst svara för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Producenten av informationssystemtjänsten ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet. 

Enligt 4 mom. får Institutet för hälsa och välfärd meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Det förfarande som ska iakttas vid påvisande av överensstämmelsen med kraven innefattar också hur producentens utredning ska delges användarna av informationssystemen och myndigheterna. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden med vilkas hjälp det kan verifieras att informationssystem som ansluts till Kanta-tjänsterna är interoperabla med Kanta-tjänsterna och andra informationssystem som anslutits till dem. I praktiken genomförs detta genom samtestning av informationssystemen. 

Närmare föreskrifter än de som finns i lag behövs särskilt för de utredningar av påvisande av överensstämmelse med kraven som producenten ska ge för de informationssystem som hör till klass B. 

36 §.Interoperabilitetstestning. I 1 mom. föreskrivs det att informationssystem och välbefinnandeapplikationer i klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga informationssystem i klass A som förvaltas av Folkpensionsanstalten. Interoperabiliteten ska påvisas genom interoperabilitetstestning. Genom denna testning påvisas att ett nytt eller ändrat informationssystem är interoperabelt med övriga informationssystem som är anslutna till de riksomfattande informationssystemtjänsterna. 

Interoperabiliteten ska påvisas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. En förutsättning för att få delta i testning är att producenten av informationssystem- tjänsten eller tillverkaren av välbefinnandeapplikationen redogör för hur informationssystemet uppfyller alla krav som gäller funktionalitet. I redogörelsen måste också kunna påvisas att uppfyllandet av kraven på funktionalitet har konstaterats genom användningstest. Tidpunkten för testningen och de praktiska arrangemangen ska fastslås tillsammans medFolkpensionsanstalten, som ansvarar för testningen. 

I paragrafens 2 mom. föreskrivs det att alla informationssystem i klass A som används för produktion ska genomgå interoperabilitetstestning även i fortsättningen. Syftet med testningen uppfylls inte om det nya informationssystemet endast testas i förhållande till de system som förvaltas av Folkpensionsanstalten. Därför är det viktigt att även andra informationssystem som redan används i produktionen tas med i testningen. Eftersom informationssystemen utvecklas kontinuerligt, gagnar dessa interoperabilitetstestningar även de äldre system som är med i testningen. Alla informationssystem som används i produktionen behöver dock inte vara med i alla testningar, och därför ska Folkpensionsanstalten besluta vilka informationssystem som ska tas med i respektive testning. De producenter av informationssystem som deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllandet av kraven på interoperabilitet när kraven har verifierats. 

I paragrafens 3 mom. föreskrivs det att de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten inte behöver genomgå en separat gemensam testning som en del av påvisandet av uppfyllandet av de väsentliga kraven, med undantag för gränssnittet för professionellt bruk, som ska tas med i den gemensamma testningen. Interoperabiliteten hos de system som förvaltas av Folkpensionsanstalten påvisas vid de gemensamma testningar som utförs med de andra informationssystemen. 

37 §.Bedömning av informationssäkerhet. På basis av förslaget i 1 mom. kan bedömningsorganet för informationssäkerhet utföra uppgifter i anknytning till bedömningen av överensstämmelsen i fråga om de informationssystem och välbefinnandeapplikationer som hör till klass A och bevilja de intyg över bedömning av informationssäkerhet som avses i 35 § i lagförslaget. Bedömningen skiljer sig från de övriga bedömningar av informationssäkerhet som görs enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011) eftersom man inom social- och hälsovården endast bedömer de informationssystem och välbefinnandeapplikationer som hör till klass A. Ändamålsenligheten i fråga om de verksamhetslokaler som innehas av en producent, tillverkare eller användare av ett informationssystem får dock varken bedömas eller inspekteras. Bedömningen av informationssystemet och det intyg som baserar sig på den kan beviljas på ansökan av producenten av en informationssystemtjänst. 

I paragrafens 2 mom. föreskrivs det om beviljandet av intyg över bedömning av informationssäkerhet. Om ett sådant informationssystem eller en sådan välbefinnandeapplikation i klass A som berörs av en ansökan som lämnats till bedömningsorganet för informationssäkerhet på behörigt sätt uppfyller de väsentliga kraven på informationssäkerhet, ska bedömningsorganet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport. 

I lagen slopas kravet på att Folkpensionsanstalten ska lämna ett positivt yttrande om interoperabilitet innan bedömningsorganet för informationssäkerhet ger producenten av informationssystemtjänsten intyg. Informationssystemet får dock tas i användning för produktion först när både yttrandet om interoperabilitet och intyget över informationssäkerhetskrav har erhållits och systemet registrerats i Valviras register. Genom ändringen klarläggs certifieringsprocessen och aktörernas ansvar så att bedömningsorganen för informationssäkerhet och deras intyg i fortsättningen fokuseras uttryckligen på verifiering av kraven på informationssäkerhet. 

I praktiken ska verifiering av informationssäkerhetskraven dock förutsätta att informationssäkerhetskraven bedöms först i fråga om en sådan version av informationssystemet som utifrån den av Folkpensionsanstaltens samordnade interoperabilitetstestningen håller på att tas i användning för produktion och anslutas till de riksomfattande informationssystemtjänsterna. Om informationssäkerheten bedöms i fråga om tidigare versioner, är det möjligt att systemet ändras under interoperabilitetstestningen på ett sätt som förutsätter ny bedömning. Situationen med tanke på förnyande och underhåll av intyget över informationssäkerhet klarläggs av att ett positivt yttrande om interoperabilitet inte är ett absolut villkor för utfärdande av intyg, eftersom det kan bli nödvändigt att förnya intyg över informationssäkerhet också när inga ändringar som förutsätter interoperabilitetstestning har företagets i systemet. 

Omfattningen av bedömningen ska dock alltid motsvara systemets användningsändamål. Bedömning av informationssäkerhet kan i enlighet med finansministeriets informationssäkerhetsanvisning för applikationsutveckling VAHTI 1/2013 Sovelluskehityksen tietoturvaohje innehålla förutom administrativ och arkitekturauditering även teknisk auditering, där det verifieras tekniskt att informationssäkerhetskontrollen fungerar. I synnerhet välbefinnandeapplikation som behandlar klient- och patientuppgifter bör genomgå teknisk auditering, eftersom de inte är en del av den lagstadgade verksamheten för tillhandahållarna av social- och hälsovårdstjänster, och sålunda inte omfattas av tjänstetillhandahållarnas egenkontroll eller tillsynen över social- och hälsotjänster. Med hjälp av teknisk informationssäkerhetsauditering är det möjligt att säkerställa att klient- och patientuppgifter behandlas informationssäkert och samtidigt görs det möjligt för medborgarna att använda olika välbefinnandeapplikationer som det säkerställts att är informationssäkra i syfte att främja välbefinnandet. 

I paragrafens 3 mom. föreskrivs det att ett beviljat intyg över bedömning av informationssäkerhet är i kraft högst tre år. Bedömningsorganet kan besluta att intyget ska vara i kraft en kortare tid, om det på grund av informationssystemets eller välbefinnandeapplikationens utvecklingsfas eller en planerad revidering av de väsentliga kraven eller andra motsvarande faktorer är uppenbart att informationssystemet eller välbefinnandeapplikationen inte kommer att uppfylla de väsentliga informationssäkerhetskraven i tre år utan betydande ändringar. Bedömningsorganet kan förlänga giltigheten för intyget. Detta kan göras för högst tre år åt gången. När förlängningen av giltigheten för intyget bedöms, kan bedömningsorganet kräva att producenten av informationssystemet eller tillverkaren av välbefinnandeapplikationen ska lämna alla de uppgifter som förutsätts för bedömningen så att intyget kan utfärdas. 

Utöver det som anges ovan ska på utfärdande av intyg över bedömning av informationssäkerhet tillämpas de bestämmelser och förfaranden som finns i 9 § i lagen om bedömningsorgan för informationssäkerhet. 

38 §.Anmälningsskyldighet för bedömningsorgan för informationssäkerhet. I paragrafens 1 mom. föreskrivs det att ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla överensstämmelseintyg som har beviljats, ändrats eller kompletterats eller förvägrats. 

I paragrafens 2 mom. föreskrivs det att bedömningsorganet dessutom ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all ytterligare information som behövs för tillsynen över de informationssystemen och välbefinnandeapplikationerna för vilka bedömningsorganet har beviljat ett intyg över bedömning av informationssäkerhet. 

8 kap. Styrning och tillsyn

39 §.Styrning, övervakning och uppföljning. I paragrafens 1 mom. föreskrivs det att soci- al- och hälsovårdsministeriet ansvarar för den allmänna strategiska planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, de riksomfattande informationssystemtjänsterna och informationshanteringen i an- slutning därtill samt för totalfinansieringen av informationshanteringsprojekt som hänför sig till utvecklandet av riksomfattande informationssystemtjänster och andra sådana projekt som social- och hälsovårdsministeriet ansvarar för. Dataombudsmannen ansvarar dock för tillsynen över att behandlingen av personuppgifter är lagenlig. Ministeriets ansvar motsvarar då det ansvar som det även i övrigt har för den riksomfattande planeringen och styrningen av social- och hälsovården. Ministeriets allmänna behörighet inom styrningen innefattar även att sörja för informationssystemens interoperabilitet vid verkställandet av informationshanteringen inom social- och hälsovården. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 

Enligt 2 mom. ansvarar Institutet för hälsa och välfärd för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden. 

I paragrafens 3 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde ska styra och övervaka i enlighet med sin behörighet efterlevnaden av denna lag.  

40 §.Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja överensstämmelsen med kraven i fråga om informationssystemen för social- och hälsovården. Tillsynen enligt lagen kompletterar den övriga tillsyn över social- och hälsovården som utövas av Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket, vars syfte är att säkerställa att tjänstetillhandahållarna följer bestämmelserna. 

Bestämmelser om metoderna för genomförandet av tillsynen finns i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner i syfte att verkställa tillsynen. För genomförandet av inspektionerna har den som utför en inspektion rätt att få tillträde till alla lokaler där tillverkare av informationssytem, producenter av informationssystemtjänster, mellanhänder och tjänstetillhandahållare eventuellt förvarar uppgifter som är viktiga för bedömningen av informationssystemens överensstämmelse med kraven. Detta kan gälla till exempel tillverkares verksamhetslokaler, arkiv och andra motsvarande utrymmen samt alla de lokaler som används av tjänstetillhandahållarna inom social- och hälsovården. Inspektionsrätten gäller dock inte sådana lokaler som används för permanent boende. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. Om den som ska inspekteras invänder mot inspektionen eller annars försöker försvåra den har tillsynsmyndigheten rätt att få handräckning av polisen på det sätt som föreskrivs i 9 kap. 1 § 1 mom. i polislagen (872/2011). 

Bestämmelser om utförandet av inspektioner finns i 3 mom. För att uppfylla syftet med inspektionen får den utföras utan förhandsanmälan. Den som utför inspektionen har rätt att få se alla de handlingar som behövs för att utföra inspektionen. Inspektören har också rätt att få kopior på de handlingar som denna anser behövs. Det får även tas bilder av de lokaler som inspekteras. 

På basis av 4 mom. ska det föras protokoll över inspektionen. Föremålet för inspektionen ska få en kopia av protokollet inom 30 dagar från det att inspektionen utfördes. På basis av kopian får den som utför inspektionen detaljerade uppgifter om inspektionen och de observationer som har gjorts vid den. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara det ursprungliga protokollet över inspektionen i 10 år från den dag inspektionen avslutades. 

41 §. Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem. I paragrafen föreskrivs det att en tjänstetillhandahållare som konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem ska underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten, tillverkaren av informationssystemet, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Till exempel en tjänstetillhandahållare kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som denna har upptäckt. Även andra instanser eller aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. 

Om tjänstetillhandahållaren eller en annan aktör konstaterar dataskyddsavvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denna underrätta dataombudsmannen om saken. 

42 §.Rätt att få information. Enligt bestämmelsen har Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna rätt att för tillsynen över informationssystemen inom social- och hälsovården få all nödvändig information av statliga och kommunala myndigheter samt fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut om riksomfattande informationssystem som utfärdats med stöd av denna lag. Informationen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna. 

43 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Det finns många olika informationssystem inom social- och hälsovården, och produkterna i dem har många invecklade och olika egenskaper. Den inspekterande myndighetens experter kan inte behärska alla olika egenskaper hos informationssystemen. Tillsynen förutsätter dock ofta en experts bedömning och därför föreslås det i 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att från fall till fall anlita utomstående experter som biträden vid bedömning av informationssystem. De utomstående experterna får delta i inspektioner enligt denna lag samt undersöka och testa informationssystem, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur. 

Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. I enlighet med grundlagsutskottets senare praxis är det inte längre nödvändigt att på grund av 124 § i grundlagen ta in den hänvisning till allmänna förvaltningslagar som ingick i den tidigare klientuppgiftslagen i lagar om överföring av offentliga förvaltningsuppgifter, eftersom de allmänna förvaltningslagarna med stöd av sina bestämmelser om tillämpningsområde, myndighetsdefinition eller kraven för en enskild att tillhandahålla språkliga tjänster också tillämpas på enskilda när de fullgör offentliga förvaltningsuppgifter (se t.ex. GrUU 5/2014 rd, s. 4, GrUU 23/2013 rd, s. 3/II, GrUU 10/2013 rd, s. 2/II, GrUU 37/2010 rd, s. 5/I, GrUU 13/2010 rd, s. 3/II, GrUU 42/2005 rd, s. 3/II). 

Utomstående experter har möjlighet att se sekretessbelagda kunduppgifter när de inspekterar informationssystem, om inspektionen inte kan utföras korrekt utan tillgång till sekretessbelagda uppgifter. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen ochbestämmelser om sekretess för de uppgifter som ingår i journalhandlingar finns i 13 § i patientlagen. Enligt bestämmelserna i fråga gäller sekretessen även efter att experten har slutfört uppgiften. Enligt 2 § 1 mom. i klientlagen tillämpas lagen emellertid bara på socialvård som ordnas av myndigheter och av privata, om inte något annat bestäms i den nämnda lagen eller någon annan lag. Enligt 1 § i patientlagen gäller lagen i fråga patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat stadgas i lag. Dessa lagar innehåller bestämmelser om sekretess och tystnadsplikt för anordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen. Experter som avses i 43 § i kunduppgiftslagen eller Valvira har ändå inte i uppgift att ordna social- och hälsovård och dessa bestämmelser tillämpas således inte på deras verksamhet med stöd av bestämmelserna om lagens tillämpningsområde. 

Enligt 2 § 1 mom. i offentlighetslagen bestäms det i offentlighetslagen om rätten att ta del av myndigheternas offentliga handlingar samt om tystnadsplikt för den som är verksam vid en myndighet, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling och bestäms om myndigheternas skyldigheter för att lagens syfte skall nås. Enligt lagens 4 § 2 mom. gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Lagens tillämpning på privata är beroende av bland annat om deras offentliga uppgifter innebär utövning av offentlig makt. I 23 § 1 mom. i offentlighetslagen föreskrivs om tystnadsplikt i fråga om sekretessbelagda uppgifter för den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag. Enligt 2 mom. gäller vad som bestäms i 1 mom. om tystnadsplikt i fråga om sekretessbelagda uppgifter även bland annat den som verkar på uppdrag av en myndighet eller den som är anställd hos den som utför ett myndighetsuppdrag. 

Med stöd av vad som anförts ovan kan det anses att klient-, patient- och offentlighetslagens sekretessbestämmelser inte blir tillämpliga på experter som avses i 43 § i kunduppgiftslagen med stöd av de nämnda författningarnas bestämmelser om tillämpningsområde. Däremot blir offentlighetslagens 23 § om tystnadsplikt tillämplig på utomstående experter som sköter uppgifter på uppdrag av Valvira. Det rekommenderas emellertid att Valvira ingår uppdragsavtal med utomstående experter som Valvira anlitar, där man också kommer överens om sekretess och tystnadsplikt. Utomstående experter bör dessutom avge en utfästelse om sekretess och tystnadsplikt. 

44 §.Föreläggande att fullgöra skyldigheter. I paragrafen föreslås det att om en producent eller tillverkare av en informationssystemtjänst, en tjänstetillhandahållare, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag som gäller informationssystemen eller användningen av dem har Tillstånds- och tillsynsverket rätt att kräva att skyldighet enligt lagen ska uppfyllas. Bestämmelsen behövs för att tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att säkerställa efterlevnaden av lagen. En av tillsynsmyndighetens basuppgifter är att ingripa om lagens bestämmelser inte iakttas. Om myndighetens uppmaning inte följs, ska Tillstånds- och tillsynsverket för social- och hälsovården ha en möjlighet att ålägga den berörda att iaktta lagen inom en viss tid. Bestämmelsen omfattar alla de förpliktelser i lagen som gäller informationssystem eller användningen av dem. I dataskyddsärenden är dock dataombudsmannen behörig med stöd av dataskyddslagen. 

45 §.Skyldigheter avseende informationssystem som är i bruk. Om ett informationssystem inte uppfyller de väsentliga kraven, ska producenten eller tillverkaren i regel ta intitiativ för att vidta korrigerande åtgärder. Utöver detta har Tillstånds- och tillsynsverket för social- och häl sovården enligt 1 mom. i den föreslagna bestämmelsen en möjlighet att i samband med den i 40 § avsedda tillsynen och inspektionen av informationssystemen ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa de brister som gäller de informations- system som används för produktion av tjänster, om det finns skäl att misstänka att producenten eller tillverkaren inte annars vidtar de åtgärder som behövs för att korrigera informationssystemet. 

Enligt 2 mom. får Tillstånds- och tillsynsverket för social- och hälsovården förbjuda användningen av ett informationssystem, om det inte har korrigerats inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har angett och om systemet äventyrar klientsäkerheten eller patientsäkerheten. Förbudsrätten gäller även de situationer där sekretessen för de klientuppgifter och patientuppgifter som ska hemlighållas äventyras. Förbudet kan vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Folkpensionsanstalten kan dessutom stänga förbindelsen till de riksomfattande informationssystemtjänster som den förvaltar, om det finns en risk för att ett system som är anslutet till dem eller en organisation som använder dem kan äventyra den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. 

Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården ålägga producenten av informationssystemet eller en av denne befullmäktigad representant att informera om förbud och förelägganden som gäller användningen av informationssystemet för produktion av tjänster. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma hur informerandet ska ske och den tid inom vilken det ska informeras om saken. Syftet med förpliktelsen är att säkerställa att tjänstetillhandahållarna känner till bristerna i informationssystemen och begränsningarna i fråga om användningen. 

9 kap. Särskilda bestämmelser

46 §.Samarbete som gäller elektronisk informationshantering inom social- och hälsovården. Enligt paragrafen ska social- och hälsovårdsministeriet se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag. Avsikten är också att utveckla den verksamhet som bedrivs i samarbete så att den styr verksamheten på ett strategiskt och föregripande sätt. De som använder de riksomfattande informationssystemtjänsterna och andra intressegrupper ska ha möjlighetatt påverka i sådana frågor som är viktiga för dem vid utvecklingen och genomförandet av de riksomfattande informationssystemtjänsterna. Frågor som är väsentliga vid utvecklingen av informationssystemtjänsterna är till exempel deltagandet i beredningen av bestämmelser, anvisningar och förelägganden i anknytning till genomförandet av informationssystem, prioriteringen av utvecklingen av riksomfattande informationssystem, främjandet av interoperabiliteten hos tjänsteanvändarnas informationssystem och av utvecklandet av dem samt uppföljningen av genomförandet av riksomfattande informationsystemtjänster och uppföljningen av ekonomi, andra resurser och användaravgifter. Bestämmelsen binder inte sättet att ordna samarbetet. För att främja samarbetet och tjänsteanvändarnas samt andra intressegruppers påverkningsmöjligheter kan social- och hälsovårdsministeriet sammankalla arbetsgrupper eller andra samarbetsorgan. 

Statsrådet kan tillsätta delegationer eller andra samarbetsorgan som behövs för det samarbete som avses i 1 mom. När statsrådet tillsätter ett samarbetsorgan kan statsrådet samtidigt besluta om delegationens eller samarbetsorganets uppgifter, mandatperiod och medlemmar. 

I 3 mom. föreslås att Folkpensionsanstalten ska se till att det i anslutning till produktionsverksamheten som gäller riksomfattande informationssystemtjänster har ordnats samarbetsformer och samarbetsförfaranden med tjänstetillhandahållare, apotek och andra samarbetspartner inom produktionsverksamheten, dvs. leverantörer av klient- och patientdatasystem och apotekssystem, regionala IKT-tjänsteproducenter, förmedlare och andra myndigheter. Ändringen främjar samarbetet med samarbetspartner i anslutning till produktionsverksamheten och ökar transparensen och öppenheten i verksamhet som finansieras med avgifter enligt 47 § 1 mom. 

47 §.Avgifter. I paragrafens 1 mom. föreskrivs det att användningen av de riksomfattande informationssystemtjänster som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata och som avses i 6 § är avgiftsbelagd för tjänstetillhandahållarna. Avgifterna inom den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. 

I paragrafens 2 mom. föreslås det att Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata årligen ska lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för åtkomstavgifterna för det följande året. Dessutom ska Folkpensionsanstalten lämna en uppskattning av investeringsplanerna för de följande fyra åren. På så vis blir det möjligt att fördela kostnaderna för investeringar i anslutning till förvaltandet av tjänsterna över flera år och säkerställa att kostnaderna för ett enskilt år inte blir oskäligt höga för tjänstetillhandahållaren. I anskaffningsskedet kan investeringar finansieras ur statsbudgeten och genom avskrivningar faktureras tjänstetillhandahållarna och apoteken retroaktivt, vilket gör det möjligt att fördela kostnaderna över flera år. Det ska vara möjligt att utfärda avgiftsförordningen för flera år åt gången, vilket gör det möjligt för tjänstetillhandahållarna och apoteken att förutsäga avgifterna. I momentet föreslås dessutom att Folkpensionsanstalten årligen ska lämna den delegation som nämns i 46 § ett sammandrag över produktionsverksamheten som gäller riksomfattande informationssystemtjänster och över uppgifter som hänför sig till skötseln av riksomfattande informationssystemtjänster samt över användningen av tjänster. 

I paragrafens 3 mom. föreslås det att producenten av en informationssystemtjänst ska svara för de kostnader som orsakas av påvisandet av överensstämmelsen med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för den gemensamma testning som avses i 36 § till ett självkostnadsvärde enligt 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 30 § i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagt. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 

48 §.Straffbestämmelser. I paragrafen föreskrivs det om att det för brott mot skyldigheterna enligt vissa bestämmelser i den föreslagna lagen ska dömas ut böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag. 

I 1 mom. föreslås det att vissa sätta att bryta mot lagens materiella bestämmelser ska vara straffbara med brottsrubriceringen förseelse mot bestämmelserna om behandling av kunduppgifter inom social- och hälsovården. 

Straffbestämmelsen i förslaget till 1 mom. är av så kallad blancotyp, där brottsrekvisiten utgörs av den materiella bestämmelse som överträds och av själva straffbestämmelsen brottsrekvisit. Den straffrättsliga legalitetsprincipen ställer följande villkor för straffbestämmelser av blancotyp: 1) det finns relevanta hänvisnings- och bemyndigandekedjor mellan bestämmelserna, 2) den materiella beteendenorm som det är straffbart att överträda är skriven så att den är noggrant avgränsad, 3) själva straffbestämmelsen innehåller någon slags karakterisering av den straffbara gärningen och 4) beteendenormerna innehåller en hänvisning till att gärningen är straffbar. 

Det första gärningssättet är enligt 1 mom. 1 punkten i den föreslagna paragrafen brott mot identifieringsskyldigheten i 17 § i lagförslaget. I 17 § 2 mom. i lagförslaget ingår ett bemyndigande att utfärda förordning. I 1 mom. 1 punkten hänvisas inte till det, utan till det som förskrivs ”i 17 §”, varvid straffbart kan vara brott mot uttryckligen den skyldighet som beskrivs i den aktuella lagbestämmelsen. 

Det andra gärningssättet som är straffbart är enligt 1 mom. 2 punkten om kunduppgifter lämnas ut i strid med 20-22 § i lagförslaget utan kundens samtycke eller utan att en bestämmelse i lag tillåter det. 

Det tredje gärningssättet är enligt 1 mom. 3 punkten brott mot informationsskyldigheten enligt 16 § 1 mom. i lagförslaget. 

Vid sidan av villkoren för respektive gärningssätt förutsätter straffbarhet dessutom att förfarandet äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt. Det är fråga om brottsrekvisit som förutsätter så kallad konkret risk, vilket i princip är ett motiverat sätt att begränsa straffbarhet. 

Straff för gärningarna eller försummelserna förutsätter uppsåtlighet eller grov oaktsamhet. Genom straffbestämmelsen betonas att de personer som har åtkomst till kunduppgifter kan behandla uppgifterna endast när de har kundens samtycke till det eller någon annan uttrycklig rätt som baserar sig på lag. 

Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om straff för brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. i 5 § i den lagen. 

49 §.Vite. Enligt förslaget kan skyldigheterna i lagen förenas med vite i enlighet med vad som föreskrivs i viteslagen (1113/1990). Motsvarande bestämmelser finns i lagen om produkter och utrustning för hälso- och sjukvård. 

50 §.Ändringssökande. Enligt 1 mom. får ändring i ett beslut som har meddelats i samband med en inspektion inte sökas utan att det först begärs omprövning hos tillstånds- och tillsynsverket. Därefter konstateras som en informativ hänvisning att bestämmelser om begäran om omprövning finns i förvaltningslagen (434/2003). Det är inte nödvändigt att föreskriva särskilt om den myndighet som behandlar begäran om omprövning eller om tidsfristen för omprövningsbegäran när den är 30 dagar, eftersom dessa överensstämmer med huvudregeln i 7 a kap. om omprövningförfarande i förvaltningslagen, och det är skäl att i mån av möjlighet undvika överlappande reglering med de allmänna bestämmelserna. 

I 49 § i förvaltningslagen föreskrivs det om begäran om omprövning och besvärsförbud. Enligt den paragrafen får omprövning begäras av den som ett beslut avser eller den vars rätt, skyldighet eller fördel direkt påverkas av beslutet. I 46 § i förvaltningslagen föreskrivs det bland annat om att det samtidigt med beslutet ska ges en anvisning om begäran om omprövning.  

I 2 mom. föreskrivs det om sökande av ändring i beslut som Tillstånds- och tillsynsverket för social- och hälsovården fattat med stöd av den föreslagna lagen genom att av informativa orsaker hänvisa till lagen om rättegång i förvaltningsärenden (808/2019). Den lagen reglerar som allmän lag besvär över förvaltningsärenden, och i enlighet med dess 6 § får ett förvaltningsbeslut överklagas genom besvär. Sålunda är det inte nödvändigt att konstatera detta separat om beslut om Tillstånds- och tillsynsverket för social- och hälsovården i 50 § i den föreslagna kunduppgiftslagen. Uttrycket i 6 § i lagen om rättegång i förvaltningsärenden täcker också beslut som fattats med anledning av omprövningsbegäran. I 107 § i lagen om rättegång i förvaltningsärenden föreskrivs det att förfarandet med besvärstillstånd ska vara huvudregel. Förfarandet motsvarar också det som föreskrivs i till exempel lagen om produkter och utrustning för hälso- och sjukvård. 

Enligt 3 mom. ska de beslut som fattas av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av lagen ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat. 

10 kap. Ikraftträdande- och övergångsbestämmelser

51 §.Ikraftträdande. Lagen föreslås träda i kraft den 1 april 2021. 

Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården. 

52 §.Övergångsbestämmelser. Syftet med den nya kunduppgiftslag som föreslås är att förtydliga den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, men så att lagens bestämmelser i huvudsak baserar sig på den gällande lagen. Övergångsbestämmelserna garanterar bland annat att socialvården får tillräckligt tid för att ta i bruk de riksomfattande informationssystemtjänsterna. Verkställigheten av lagen förutsätter också andra ändringar i både de riksomfattande informationssystemtjänsterna och i klient- och patientdatasystemen. Dessutom förutsätter lagen att Institutet för hälsa och välfärds föreskrifter och rutiner utvecklas bl.a. när det gäller de väsentliga kraven på och certifieringsförfarandet för välbefinnandeapplikationer. Övergångsbestämmelser tryggar tillräcklig tid att förbereda sig på dessa ändringar. 

I paragrafens 1 mom. föreslås det att tjänstetillhandahållarna inom den offentliga socialvården ska ansluta sig till arkiveringstjänsten för kunduppgifter inom de riksomfattande informationssystemtjänsterna senast från och med den 1 september 2024 och tjänstetillhandahållarna inom den privata socialvården senast från och med den 1 januari 2026. De privata tjänstetillhandahållare som producerar tjänster för en offentlig tjänstetillhandahållares räkning ska följa samma tidtabell för anslutningen som de offentliga tjänstetillhandahållarna. 

I paragrafens 2 mom. föreskrivs det om möjligheterna att lämna ut uppgifter om välbefinnande från informationsresursen för egna uppgifter till tillhandahållare av social- och hälsovårdstjänster med stöd av en persons samtycke senast den 1 juni 2023. Övergångstiden behövs både för att genomföra informationsresursen för egna uppgifter och för att genomföra de användargränssnitt som yrkesutbildade personer inom social- och hälsovården behöver för att behandla uppgifter om välbefinnande. 

Dessutom föreskrivs det i 2 mom. att förbud som riktas till företagshälsovården i 18 § 2 mom. tillämpas senast den 1 juni 2023. Möjligheten att rikta förbud till den privata företagshälsovårdens register är en ny egenskap, och övergångstiden möjligggör tillräcklig tid att företa ändringar i informationssystemen. 

I 2 mom. föreskrivs det också att 20 § 2 mom. om utlämnande av patientuppgifter inom hälso- och sjukvården till tjänstetillhandahållare inom socialvården och 21 § 2 mom. om utlämnande av klientuppgifter inom socialvården till tjänstetillhandahållare inom hälso- och sjukvården tillämpas senast den 1 juni 2023. 

I paragrafens 3 mom. föreslås det att den rätt som klienten eller patienten enligt 18 § i lagförslaget har att förbjuda utlämnande av sina kunduppgifter ska tillämpas utom i fråga om förbud som gäller register inom företagshälsovården senast då kundhandlingar ska lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Inom hälso- och sjukvården ska bestämmelsen tillämpas genast då lagen har trätt i kraft, eftersom det redan nu lämnas ut patientuppgifter. Inom socialvården är förbudsrätten bunden till ibruktagandet av funktionen för utlämnandet av klienthandlingarna inom socialvården. 

I paragrafens 4 mom. föreslås det att 19 § om meddelande av förbud ska tillämpas inom socialvården från och med den 1 juni 2022 eller i fråga om klienthandlingarna inom socialvården senast då sådana handlingar lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. 

I paragrafens 5 mom. föreslås det att lagen 20 § 4 mom. om utlämnande av patientuppgifter inom hälso- och sjukvården till kunden via en välbefinnandeapplikation ska tillämpas senast den 1 december 2022. 

I paragrafens 6 mom. föreslås det att lagens 20 § 1 och 3 mom. ska tillämpas senast den 1 juni 2022. I den paragrafen föreskrivs det om utlämnande av klientuppgifter inom socialvården från de riksomfattande informationssystemtjänsterna. 

I paragrafens 7 mom. föreslås det att lagens 21 § 4 mom. om utlämnande av klientuppgifter inom socialvården till kunden via en välbefinnandeapplikation ska tillämpas senast den 1 december 2024. Då ska alla tillhandahållare av offentliga socialvårdstjänster vara anslutna till de riksomfattande informationssystemtjänsterna som användare, så klientuppgifter inom socialvården ska vara tillgängliga för kunderna i välbefinnandeapplikationer i hela landet. Övergångsbestämmelsen säkerställer dessutom tillräcklig tid att genomföra behövliga ändringar i de riksomfattande informationssystemtjänsterna i förhållande till övriga ändringar som denna lag och lagen om sekundär användning förutsätter.  

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft. 

1.2  Lagen om ändring av lagen om klienthandlingar inom socialvården

2 §.Tillämpningsområde. Det föreslås att 2 mom. ändras så att i bestämmelsen hänvisas det till EU:s allmänna dataskyddsförordning och så att det i denna lag föreskrivs om behandling av kunduppgifter inom såväl den offentliga som den privata socialvården. I övrigt förblir paragrafen oförändrad. 

I paragrafens 3 mom. föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen samt dataskyddsförordningen och dataskyddslagen. Hänvisningen till den lag som upphävs och de redan upphävda lagarna stryks och ersätts med en hänvisning till de nya lagarna: lagen om informationshantering inom den offentliga förvaltningen (906/2019) samt lagen om tillhandahållande av digitala tjänster (306/2019). 

3 §.Definitioner. Definitionen av klientuppgift i paragrafens 6 punkt föreslås bli ändrad så att begreppet klientuppgift även täcker de uppgifter som antecknas om dessa personer även om de inte skulle bli klienter hos socialvården. Enligt socialvårdslagen inleds en klientrelation i socialvården på ansökan eller när handläggningen av ett ärende som inletts på ett annat sätt påbörjas eller när en person ges socialservice. Exempelvis ett barn som är föremål för en barnskyddsanmälan blir kund hos barnskyddet trots att det inte föreligger någon klientrelation i barnskyddet. Genom ändringen utvidas begreppet klientuppgift till att omfatta uppgifter som antecknas om de situationer där en persons behov av socialvård utreds. 

Det föreslås att paragrafens 9 punkt om socialvårdens personregister upphävs. Definitionen av socialvårdens personregister innefattar i enlighet med den gällande lagen barnskyddets anmälningsregister och socialvårdens klientregister. Definitionen av klientuppgift innefattar i enlighet med punkt 6 också uppgifter i barnskyddsanmälningar och andra uppgifter om situationer där man bara utreder en persons behov av socialvård. I 25 b § i barnskyddslagen (417/2007) föreskrivs det om registrering av barnskyddsanmälningar i klientregistret i stället för i det separata registret över barnskyddsanmälningar. I 22 § i denna lag föreskrivs det om registrering av uppgifter i klientregistret. Sålunda finns det inte längre något behov av en definition av personregister. 

6 §.Språket i handlingarna. Det föreslås att 1 mom. ändras så att i bestämmelsen stryks den sista meningen där det hänvisas till principer som gäller personuppgifterna art i 9 § i den upphävda personuppgiftslagen. I artikel 5 i dataskyddsförordningen bestäms om principer för behandling av personuppgifter, såsom laglighet, ändamålsbegränsning, uppgiftsminimering, kor- rekthet samt integritet och konfidentialitet. Dataskyddsförordningen är direkt tillämplig, så den och dess artikel 5 tillämpas utan hänvisning. I övrigt förblir paragrafen oförändrad. 

7 §.Anteckning av klientuppgifter inom social- och hälsovården i det interna samarbetet vid en verksamhetsenhet inom socialvården. Det föreslås att paragrafens finska språkdräkt ändras för enhetlighetens skull, så att även i denna paragra används ordet ”tallentaa” i stället för ordet ”tallettaa”. I paragrafen föreslås dessutom språkliga och hänvisningstekniska ändringar. 

9 §.Basuppgifter som ska antecknas i en klienthandling. Paragrafen ändras så att det inte krävs att alla basuppgifter om klienten måste föras in i alla handlingar. I den gällande lagen föreskrivs det om de basuppgifter som ska antecknas i handlingarna, vilket strider mot den bestämmelse enligt vilken man endast behöver registrera de uppgifter som behövs och som är tillräckliga med tanke på tjänsten. Genom att förutsätta att alla basuppgifter ska antecknas i alla handlingar, till exempel utlåtanden, får mottagaren av utlåtandet dessutom sådana uppgifter om klienten som inte borde lämnas ut. 

I den föreslagna paragrafens 1 mom. förtecknas de basuppgifter om klienten som alltid ska antecknas. Sådana klientuppgifter är till exempel handlingens namn (1 punkten), klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet (2 punkten), serviceanordnarens, serviceproducentens och vid behov servicegivarens namn och identifikationskod (3 punkten), upprättarens eller antecknarens namn och tjänsteställning eller uppgift vid verksam-hetsenheten (4 punkten), tidpunkten för upprättandet eller registreringen (5 punkten) och eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare (6 punkten). 

I den föreslagna paragrafens 2 mom. förtecknas de basuppgifter som ska föras in utöver de basuppgifter som nämns i 1 mom., om de påverkar klientens service eller vilka åtgärder som föreslås i handlingen. Dessa basuppgifter innefattar klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun (1 punkten). Namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare för klienten och uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, om handlingen gäller en minderårig klient (2 punkten). I handlingen ska dessutom antecknas följande uppgifter: de namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en myndig klient, eller för en person som klienten har bemyndigat (3 punkten) samt vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten (4 punkten). 

10 §.Anteckningar om att uppgifter har lämnats ut. Paragrafen föreslås bli ändrad så att det är möjligt att verifiera, dvs. påvisa, utlämnandet av uppgifter i efterhand. Enligt den gällande paragrafen krävs det att utlämnandet antecknas i handlingen. Då det gäller elektroniska handlingar kan verifieringen av utlämnandet av uppgifter ske till exempel i en logg för datumanteckningar eller genom att anteckna detta i handlingen. 

11 §.Anteckningar om att uppgifter har tagits emot. Paragrafen föreslås bli preciserat så att det blir klart att klienten inte särskilt behöver antecknas som källa då uppgifterna har fåtts av klienten själv. Då uppgifterna om klienten fås eller skaffas från någon annan instans ska däremot källan till uppgifterna antecknas. Enligt den gällande ordalydelsen ska dessutom erhållandet av uppgifterna antecknas i handlingen. Paragrafen föreslås bli ändrad så att verifieringen av erhållandet av uppgifter från elektroniska handlingar ska kunna ske till exempel i en logg för datumanteckningar eller genom att anteckna detta i handlingen. 

13 §.Rättelse av anteckningar i en klienthandling. Enligt 1 mom. i den gällande paragrafen tillämpas i fråga om rättelse av uppgifter i en klienthandling 29 § i personuppgiftslagen. I 2 mom. preciseras hur anteckningar i klienthandlingar ska göras. Enligt bestämmelsen ska en anteckning rättas så att den ursprungliga anteckningen kan läsas vid ett senare tillfälle. Av rättelsen ska det framgå namn och tjänsteställning för den som gjorde rättelsen samt tidpunkt och motivering för rättelsen. 

Bestämmelser om rättelse av uppgifter finns i dataskyddsförordningen. I fråga om kravet på korrekthet bestäms i artikel 5.1 d i dataskyddsförordningen att personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. I artikel 16 i dataskyddsförordningen bestäms om den registrerades rätt till rättelse av uppgifter. Med stöd av artikeln ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. 

Genom att det gällande 1 mom. preciseras i fråga om rättelser anpassas i enlighet med det nationella handlingsutrymme som artikel 6.2 och 6.3 i dataskyddsförordningen möjliggör tillämpningen av förordningens bestämmelser genom att det föreskrivs om behandlingsåtgärder och förfaranden samt åtgärder i syfte att säkerställa laglig och ändamålsenlig databehandling. Genom närmare bestämmelser om rättelser och dokumentationen i anslutning därtill skyddas den registrerades rättigheter genom att det görs möjligt att spåra den ursprungliga uppgiften. 

Det föreslås att 1 mom. ändras så att där hänvisas till artikel 16 i dataskyddsförordningen i stället för personuppgiftslagen. Det föreslås att 1 mom. också preciseras så att rättelser alltid ska göras i originalhandlingen, så att kan försäkra sig om att handlingen är entydig. Bestämmelser om rättelse av klientuppgifter inom socialvården finns dessutom i 13 § i lagen om klienthandlingar inom socialvården (254/2015, klienthandlingslagen) och om rättelse av anteckningar i journalhandlingar i 20 § i social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009). I dessa bestämmelser nämns inte för närvarande att rättelser ska göras i originalhandlingen. 

I fortsättningen föreskrivs det i 2 mom. om hur uppgifter ska rättas. Dataskyddsförordningen är direkt tillämplig och den registrerade har rätt att få uppgifter rättade direkt med stöd av artikel 16 i dataskyddsförordningen. I skäl 8 i dataskyddsförordningens ingress sägs att medlemsstaterna kan införliva delar av förordningen i nationell rätt, om det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Hänvisningen till artikel 16 i dataskyddsförordningen i paragrafen om rättelse av uppgifter kan betraktas som ändamålsenlig med beaktande av bestämmelserna tydlighet och begriplighet för tillämparen. 

21 §.Klienthandlingars användbarhet. Det föreslås att paragrafen upphävs som onödig. I det gällande 1 mom. föreskrivs om upprättande och förvarande av klienthandlingar för att skydda uppgifternas integritet och användbarhet. Dataskyddsförordningen innehåller mer detaljerade bestämmelser om de krav som ska iakttas med avseende på behandlingen av uppgifter. I artikel 5 bestäms om principer för behandling av personuppgifter, såsom laglighet, korrekthet och öppenhet samt integritet och konfidentialitet. I artikel 25 behandlas inbyggt dataskydd och dataskydd som standard och i artikel 32 säkerhet i samband med behandlingen. Dataskyddsförordningens bestämmelser är direkt tillämpliga, så det behöver inte föreskrivas särskilt om klienthandlingars integritet och användbarhet. 

I det gällande 2 mom. föreskrivs om användning av uppgifter. Enligt bestämmelsen ska klientuppgifter kunna användas inom klientprocessen samt vid planeringen, utvärderingen, ledningen och övervakningen av verksamheten och för statistikföring och undersökningar som gäller verksamheten. I fortsättningen föreskrivs det om användning av uppgifter i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ) och i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019). Sålunda behöver det inte föreskrivas särskilt om detta i lagen om klienthandlingar inom socialvården. 

22 §.Registrering av uppgifter i socialvårdens klientregister. Rubriken för paragrafen föreslås bli ändrad till registrering av uppgifter i socialvårdens klientregister. I paragrafen föreslås ett nytt 1 mom. som innehåller en bestämmelse om socialvårdsmyndigheters skyldighet att se till att handlingar registreras i de riksomfattande informationssystemtjänsterna och en hänvisning till 8 § i den föreslagna kunduppgiftslagen. 

Gällande 1 mom. föreslås bli ändrat så att de separata anmälnings- och kundregistren slopas och ersätts av en mall med ett enda klientregister för socialvården. I klientregistret ska förutom handlingar som upprättas inom socialvårdstjänster registreras begäranden i anslutning till inledning samt utredning av servicebehovet, anmälningar och andra handlingar. I enlighet med 34 § i socialvårdslagen (1301/2004) inleds en klientrelation i socialvården på ansökan eller när handläggningen av ett ärende som inletts på ett annat sätt påbörjas eller när en person ges socialservice, så det är motiverat att ta in detäven det nuvarande anmälningsregistrets uppgifter i klientregistret. 

Gällande 2 och 3 mom. föreslås bli ändrade så att pluralformen personregistren ändras till klientregister i singularis. 

23 §. Åtkomsträttigheter till klientuppgifter som registrerats elektroniskt. I paragrafens 1 mom. föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 

Det föreslås att paragrafens 2 mom. upphävs, eftersom bestämmelser om åtkomsträttigheter till kunduppgifter föreslås i 15 § i kunduppgiftslagen. Enligt den utfärdas bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller genom förordning av social- och hälsovårdsministeriet. Tjänstetillhandahållaren ska också med stöd av förordningen bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Tjänstetillhandahållaren ska dessutom föra register över dem som använder tjänstetillhandahållarens kundinformationssystem och kundregister och över deras åtkomsträttigheter. 

24 §.Den registeransvarige samt ansvarsfördelningen när någon handlar för en annans räkning. Det föreslås att paragrafen ska upphävas. I EU:s allmänna dataskyddsförordning föreskrivs det om den personuppgiftsansvariges ansvar som inte kan regleras nationellt. Bestämmelserna om ansvarsfördelningen när någon handlar för en annans räkning har preciserats så att de motsvarar EU:s allmänna dataskyddsförordning, och bestämmelserna föreslås bli flyttade till 5 § i den föreslagna kunduppgiftslagen. 

25 §.Behandlingen av klientuppgifter när någon agerar för en serviceanordnare. Det föreslås att 1 och 2 mom. upphävs. I dessa moment behandlas sådana uppdragsavtal som serviceanordnaren, serviceproducenten och servicegivaren ingår om behandlingen av personuppgifter. Om detta föreskrivs i EU:s dataskyddsförordning. Därför kan det inte regleras om dessa frågor på nationell nivå. 

26 §.Uppföljning av användning och utlämnande av klientuppgifter. I paragrafen föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 

27 §.Förvaring av klientuppgifter. Det föreslås att hänvisningen till 2 mom. stryks i 1 mom. och 2 mom. föreslås bli upphävt. Enligt 1 mom. ska klienthandlingar inom socialvården förvaras den tid som anges i 2 mom. eller i bilagan till denna lag. Enligt arkivlagen (831/1994) bestämmer arkivverket vilka handlingar och uppgifter i handlingar som ska förvaras varaktigt. Förpliktelsen enligt 2 mom. att handlingar som registreras i det riksomfattande klientdatalagret ska förvaras varaktigt kan inte betraktas som ändamålsenlig med tanke på klienthandlingarnas användningsändamål, utan arkivverket kan bestämma om varaktig förvaring med stöd av sina befogenheter. 

Bilaga. Bilagan i lagen om klienthandlingar föreslås bli ändrad så att ordet serviceuppgift i bilagans rubrik ersätts med uttrycket helheten av handlingar. De klientuppgiftskategorier som ingår i bilagan motsvarar inte den nuvarande klassificeringen av serviceuppgifter inom socialvården, utan en del av dem gäller till exempel klienthandlingar som uppkommer inom privata socialtjänster. 

1.3  Lagen om ändring av lagen om elektroniska recept

1 §.Lagens syfte. Eftersom receptarkivet upphör föreslås paragrafen bli ändrad så att även begreppet receptarkiv stryks i denna paragraf om lagens syfte. I paragrafen slopas också kravet om att kundens samtycke vid klarläggande av patientens samlade medicinering ska ges när en person som på grund av sitt yrke har rätt att behandla patientens uppgifter om medicinering. Den föreslagna kunduppgiftslagen innehåller en allmän bestämmelse om grunderna för behandling av patientuppgifter enligt vilken en yrkesutbildad person inom social- och hälsovården ska få behandla kunduppgifter då detta grundar sig på en kundrelation eller en rättighet enligt lag. Dessutom preciseras ordalydelsen så att det föreslås att läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. 

3 §.Definitioner. Paragrafens 4 punkt föreslås bli ändrad så att receptcentrets databas består av elektroniska recept som lagrats av läkemedelsförskrivarna och inte av recept som insänts av dem. Dessutom ändras definitionen så att det i databasen även ska föras in sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som anges i 23 §, uppgifter om förskrivning, utlämnande och uppföljning samt anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen. 

Paragrafens 5 punkt med en definition av begreppet receptarkiv upphävs. Samtidigt blir 6 punkten 5 punkt, 7 punkten 6 punkt, 8 punkten 7 punkt och 9 punkten 8 punkt. Med receptarkiv avses den databas till vilken uppgifterna i receptcentret överförs efter att den förvaringstid som anges i lagen löpt ut. De uppgifter som har överförts till receptarkivet har oftast använts vid myndighetstillsynen och för vetenskaplig forskning. Varken hälso- och sjukvården eller apoteken har haft tillgång till uppgifterna, och patienter har inte kunnat se uppgifterna via tjänsten Mina Kanta-sidor. 

Eftersom receptcentrets och receptets användningsändamål nästan helt motsvarar varandra i fortsättningen, är det ändamålsenligt att begreppet receptarkiv slopas helt och hållet så att det i fortsättningen endast finns ett register och ett receptcenter för lagring och förvaring av uppgifter. Även med tanke på patienterna och de yrkesutbildade personerna inom hälso- och sjukvården är det mera förståeligt om det endast finns ett register där det förvaras receptuppgifter. 

I paragrafen föreslås en ny 8 a-punkt med en definition av pro auctore-recept. Med detta avses ett skriftligt recept genom vilket en läkare, tandläkare, optiker eller munhygienist förskriver ett läkemedel som behövs i samband med hans eller hennes yrkesutövning. 

4 §.Information till patienten. Paragrafens 1 mom. föreslås bli ändrat så att det harmoniseras med EU:s allmänna dataskyddsförordning. Bestämmelser om det informerande och den insyn som gäller behandling av personuppgifter finns i artiklarna 12–14 i EU:s allmänna dataskyddsförordning (EU) 2016/679. Denna paragraf innehåller bestämmelser även om annat informerande än det som gäller rättigheterna i fråga om behandling av personuppgifter. I paragrafen stryks villkoren för utlämnande av receptuppgifter, om skydd av uppgifterna samt om andra för patienten relevanta omständigheter i anslutning till behandlingen av uppgifterna. 

I 2 mom. stryks hänvisningen till personuppgiftslagen. Bestämmelser om skyldigheten att lämna ut uppgifter finns i artiklarna 12–14 i EU:s allmänna dataskyddsförordning. En anteckning om att information har getts till patienten ska göras i den viljeyttringstjänst som avses i 16 a §. 

5 §.Uppgörande av recept. I paragrafens 1 mom. föreslås undantag från den huvudregel enligt vilken ett recept ska göras upp elektroniskt. Sådana undantag är pro auctore-recept och de recept som gäller läkemedelsgaser som endast kan göras upp skriftligt. Pro auctore-recept förskrivs inte för en specifik patient eller person. De som levererar läkemedelsgaserna är inte apotek och har för närvarande ingen rätt att få åtkomst till uppgifterna i receptcentret. De recept som gäller sådana läkemedelspreparat som kräver patientspecifika specialtillstånd kan göras upp antingen skriftligen eller elektroniskt. Detta undantag gäller läkemedelsgaser och patientspecifika preparat som kräver specialtillstånd, som i nuläget inte kan göras upp elektroniskt. I paragrafen konstateras det att även dessa recept ska kunna göras upp elektroniskt om det är möjligt, med undantag för recept för läkemedelsgaser. 

6 §.Informationen i recept. I paragrafens 2 mom. föreslås det att recept dessutom får innehålla uppgifter som är relevanta för förskrivningen av läkemedlet och för genomförandet och uppföljningen av läkemedelsbehandlingen. Dessa uppgifter är nödvändiga bland annat vid utvärdering av helheten av läkemedelsbehandlingen. 

7 §.Signering av recept samt systemcertifikat. I den föreslagna paragrafen läggs systemcertifikat till i rubriken. Tillägget är av informativ natur med beaktande av paragrafens innehåll. 

Enligt 2 mom. ansvarar Myndigheten för digitalisering och befolkningsdata för certifikattjänsten i enlighet med 14 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården. Eftersom den lagen föreslås bli upphävd ska hänvisningen strykas och ersättas av en hänvisning till 6 § i nya kunduppgiftslagen. 

10 §.Rättelse, avslutande, makulering och förnyelse av recept. Paragrafrubriken föreslås bli ändrad så att även avslutande nämns i rubriken utöver rättelse, makulering och förnyelse. Den nya rubriken lyder Rättelse, avslutande, makulering och förnyelse av recept. 

I paragrafen föreslås ett nytt 4 mom. om att läkemedelsförskrivaren ska göra en anteckning i receptcentret om patienten ska sluta använda ett läkemedel som patienten har använt. En sådan anteckning om avslutandet bör göras till exempel när läkemedlet inte längre behövs eller när det är fråga om att läkemedlet har haft skadliga biverkningar. 

I 5 mom. föreslås ett bemyndigande för social- och hälsovårdsministeriet att utfärda förordning om anteckningar som gäller avslutad användning av ett läkemedel. 

11 §.Apotekets rätt att få uppgifter. Det föreslås att ett nytt 3 mom. tas in i paragrafen. Enligt förslaget ska apotek ha rätt att få uppgifter om recept och receptexpedieringar som har lagrats i receptcentret för så lång tid som skötseln av apotekets uppgifter kräver, dock för högst 42 månader från det att receptet gjordes upp. Ändringen kan även motiveras med den ändring i förordningen om förskrivning av läkemedel som trädde i kraft den 1 januari 2017 (347/2015) genom vilken giltighetstiden för recept förlängdes från ett år till två år för alla andra recept än de som gäller narkotika- och HCI- läkemedel, vilket betyder att receptcentrets förvaringstid på 30 månader kan vara för kort med tanke på apotekets behov av att få uppgifter. Eftersom giltighetstiden för recept förlängs med 12 månader föreslås det att giltigheten för rätten att få uppgifter i förlängs i proportion till detta, dvs. till 42 månader. Ändringen är också nödvändig bland annat med tanke på apotekets direktersättning. 

12 §.Expediering av recept. Det föreslås att paragrafens rubrik ändras så att inte bara elektroniska recept nämns. Paragrafens innehåller också expediering av skriftliga recept och telefonrecept. Paragrafens 2 mom. föreslås bli ändrat så att det i samband med samtycket inte längre nämns att det krävs ett muntligt samtycke vid sökning av uppgifter ur alla de recept som har lagrats för patienten i receptcentret. I momentet föreslås ett tillägg om den fullmakt som patienten eller dennes lagliga företrädare ska ge. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, kan en utredning med alla receptuppgifter ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta. Bestämmelser om fullmakt finns i 2 kap. i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också genom en behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e- tjänster (571/2016), till vilken medborgaren kan styras också från medborgargränssnittet enligt kunduppgiftslagen. 

Det föreslås också att 4 mom. ändras så att apoteket ska lagra ett recept och expedieringsuppgifter som hänför sig till det skriftligt eller per telefon även av andra orsaker än tekniska störningar, om receptet inte har lagrats i receptcentret. Den ändringen görs som en följd av ändringarna i 5 § 1 mom. och syftet med ändringen är att apoteket alltid ska lagra pappers- och telefonrecept i receptcentret i samband med expedieringen oberoende av orsaken till att recepret har gjorts upp skriftligt eller per telefon, något som emellertid redan är praxis. Apoteket kan också samtidigt lagra sådana pappers- och telefonrecept för kunden i receptcentret som inte expedieras på samma gång. 

13 §.Patientens rätt att bestämma om utlämnande av uppgifter. Det föreslås att 1 mom. ändras så att där stryks begreppet receptarkiv samt kravet på att patienten ska ge sitt skriftliga samtycke. Slopandet av samtycket motiveras ovan i motiveringen till ändringen i 11 § 2 mom. Receptuppgifter får trots sekretessbestämmelserna lämnas ut till läkemedelsförskrivare samt tillhandahållare av hälso- och sjukvårdstjänster samt socialvårdstjänster i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. Förbud och återtagande av förbud får också meddelas via det medborgargränssnitt som avss i 17 §. I momentet föreslås det också att uppgiften om en patients förbud ska lagras i den viljeyttringstjänst som avses i 12 § i den föreslagna kunduppgiftslagen. För att förbuden ska följas bättre ska förbudsmekanismen vara enhetlig och förbudet rikta sig till ett specifikt recept. 

I paragrafens 2 mom. ändras hänvisningarna till 1 mom., eftersom samtycket slopas i 1 mom. 

I paragrafens 3 mom. ändras hänvisningarna till 1 mom., eftersom samtycket slopas i 1 mom. I paragrafen kvarstår emellertid att en minderårig patients vårdnadshavare eller dennes lagliga företrädare har rätt att meddela ett förbud för patientens räkning. 

I paragrafens 4 mom. föreslås en ny 4 a-punkt. Enligt den får till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om expedieringar utifrån dem. 

Gällande 6 punkten i 4 mom. föreslås bli ändrat så att begreppet verksamhetsenhet ersätts med tillhandahållare. 

I paragrafens 4 mom. föreslås det att 7 punkten ändras så att uppgifter om handlingar som verksamhetsenheten har lagrat i receptcentret och om expedieringar utifrån dem ska få lämnas ut för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling. 

I paragrafens 5 mom. föreslås det att social- och hälsovårdsministeriets bemyndigande att utfärda förordning i fråga om samtycke slopas, eftersom det enligt EU:s dataskyddsförordning inte kan föreskrivas på nationell nivå om detta. I fråga om detta medges inget nationellt handlingsutrymme. Närmare bestämmelser om förbudsförfarandet samt om tillgodoseendet av den rätt att få uppgifter och om sådant klarläggande av den tekniska personalens rättigheter som avses i 4 mom. 6 punkten får dock utfärdas genom förordning av social- och hälsovårdsministeriet. 

I paragrafen föreslås ett nytt 6 mom., enligt vilket uppgifter i ett elektroniskt recept får lämnas ut till patienten med hjälp av en i 3 § 17 punkten punkten i kunduppgiftslagen avsedd välbefinnandeapplikation eller ett i 17 § i denna lag avsett medborgargränssnitt. För att få uppgifterna via en välbefinnandeapplikation ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 

14 §.Förbudshandling. Det föreslås att paragrafrubriken ändras så att samtyckesdokument stryks. Paragrafens 1 mom. föreslås bli ändrat så att det motsvarar det förfarande för kundens förbudsrätt som det föreskrivs om i kunduppgiftslagens 18 §. Dessutom föreslås det att hänvisningen till 13 § 2 eller 3 mom., i vilka bestämmelsen om samtycke stryks. 

Den som tar emot ett förbud som en kund meddelar ska på begäran ge kunden en utskrift av förbudet. Av utskriften ska förbudets betydelse för behandlingen av kunduppgifter framgå. Utskriften ska innehålla i 4 § avsedda uppgifter om de specificerade elektroniska recept som förbudet gäller och om förbudets betydelse. Utskriften ska innehålla en utredning om att de uppgifter som omfattas av ett gällande förbud inte får utnyttjas när hälso- och sjukvård ges även om de är relevanta med tanke på vården, om inte förbudet återtas. 

Paragrafens 2 mom. föreslås bli ändrat så att Folkpensionsanstalten ska vara den som bestämmer sakinnehållet i utskriften. En patient som meddelar ett förbud via det gränssnitt som avses i 17 § ska få motsvarande information via gränssnittet. 

15 §.Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning. Eftersom receptarkivet upphör stryks begreppet receptarkiv i paragrafens 1 mom. och 3 - 5 mom. Eftersom receptcentret omfattas av samregisteransvarighet på det sätt som föreslås nedan i 18 §, nämns samregisteransvarigheten också i 1 och 3 mom. av informativa orsaker. Det föreslås att 3 mom. ändras så att Tillståndsmyndigheten för användning av social- och hälsovårdsdata alltid beslutar om dataanvändningstillstånd som gäller de uppgifter i receptcentret som omfattas av samregisteransvarigheten, liksom om andra uppgifter i Kanta-tjänsterna, i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården. Dessutom föreslås det att 3 mom. preciseras genom en hänvisning till myndigheterna enligt 1 mom., för att det ska framgå tydligare av bestämmelsen till vem de sammanställningar som avses i 3 mom. kan lämnas ut. 

16 §.Patientens rätt till information. Eftersom paragrafen också innehåller bestämmelser om rättelse av felaktiga uppgifter i receptcentret, föreslås det att rättelse av felaktiga uppgifter i receptcentret ska beaktas även i rubriken för 16 §. Eftersom receptarkivet upphör stryks begreppet receptarkiv i paragrafens 1 - 3 mom. Dessutom ersätts hänvisningarna till personuppgiftslagen med motsvarande bestämmelser i EU:s dataskyddsförordning och i dataskyddslagen. Logguppgifterna i paragrafens 3 mom. hör till de skyddsåtgärder som avses i dataskyddsförordningen. Ett ärende som gäller utlämnande av logguppgifter får föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen (1050/2018). I enlighet med 25 § i dataskyddslagen får dataombudsmannens och biträdande dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen. 

16 a §.Viljeyttringstjänsten och informationshanteringstjänsten. Det föreslås att paragrafrubriken ändras så att också viljeyttringstjänsten nämns i den. I paragrafen föreslås en hänvisning till viljeyttringstjänsten i 12 § i den föreslagna kunduppgiftslagen. I viljeyttringstjänsten ska det lagras uppgifter om patientens samtycken och förbud. I paragrafen stryks dessutom begreppet receptarkiv, eftersom receptarkivet upphör. 

17 §.Medborgargränssnitt. Paragrafens 1 mom. föreslås bli ändrat så att begreppen receptarkiv och samtycke stryks. Till 1 mom. fogas dessutom en hänvisning till 23 § i den föreslagna kunduppgiftslagen som gäller skötsel av ärenden och behandling av uppgifter för någon annans räkning i en e-tjänst. I framtiden är det enligt hänvisningsbestämmelsen möjligt att på basis av en fullmakt sköta ett ärende för någon annans räkning i e-tjänsterna. 

I paragrafens 1 mom. 2 punkt stryks hänvisningen till samtycket i 13 §. Hänvisningen är inte längre relevant på grund av de föreslagna ändringarna i 13 §. 

I paragrafens 4 mom. stryks hänvisningen till insynsrätten enligt personuppgiftslagen. I enlighet med EU:s dataskyddsförordning ska i stället för insynsrätt användas uttrycket rätt att ta del av uppgifter om honom eller henne själv. 

18 §.Registeransvarig. Paragrafrubriken föreslås bli ändrad så att den nya rubriken lyder receptcentrets personuppgiftsansvar. Den nya rubriken motsvarar bättre paragrafens sakinnehåll. I paragrafen föreslås ett nytt 1 mom., varvid det nuvarande 1 mom. blir nytt 2 mom. Receptcentret är enligt 1 mom. gemensamt register för Folkpensionsanstalten och apoteken samt tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Bestämmelser om gemensamma register finns i artikel 26 i dataskyddsförordningen. 

I gällande 1 mom. stryks begreppet receptarkiv, eftersom receptarkivet upphör. I momentet stryks dessutom Folkpensionsanstaltens personuppgiftsansvar, eftersom det föreskrivs om detta i nya 1 mom. Folkpensionsanstalten ansvarar för användbarheten och integriteten hos uppgifterna i receptcentret samt för att datainnehållet är oförändrat och att uppgifterna bevaras och utplånas. 

Gällande 2 mom. föreslås bli nya 3 mom. I momentet föreslås det att inte bara läkemedelsförskrivarna utan även tjänstetillhandahållare som gör upp elektroniska recept samt läkemedelsförskrivare som är självständiga yrkesutövare ska ansvara för riktigheten av uppgifterna i det recept som lagras i receptcentret. Tillägget behövs för att det ska vara klart att de instanser som läggs till i momentet ansvarar bland annat för riktigheten av uppgifterna. 

I nya 4 mom. föreslås det att Folkpensionsanstalten ska svara för en personuppgiftsansvarigs andra skyldigheter enligt dataskyddsförordningen än de som genom denna lag påförs apoteken samt tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. I dataskyddsförordningen förtecknas de övriga förpliktelser som gäller för personuppgiftsansvariga och som inte regleras särskilt på nationell nivå. I momentet föreslås också att Folkpensionsanstalten ska vara den kontaktpunkt för registrerade som avses i artikel 26.1 i EU:s dataskyddsförordning. 

19 §.Förvaring av uppgifterna. Enligt grundlagsutskottets ställningstaganden ska regleringen av förvaringstiden på lagnivå vara omfattande och detaljerad. Bestämmelser om förvaringstid bör därför innehålla en tidsangivelse. (GrUU 20/2006 rd). Utskottet har betonat att i synnerhet förvaringstiden för känsliga uppgifter bör begränsas till vad som är nödvändigt för att uppnå det mål som är orsak till att uppgifterna har registrerats i systemet (se t.ex. GrUU 13/2017 rd, s. 6). I paragrafens 1 mom. föreslås det en ändring i fråga om bevarandet av de uppgifter som lagras i receptcentret. Eftersom receptarkivet slopas, bevaras de handlingar med uppgifter som har lagrats i receptcentret i receptcentret i 20 år. Förvaringstiden är då lika lång som förvaringstiden enligt den gällande lagen och säkerställer att receptuppgifterna vid behov är tillgängliga för patientens vård. 

Paragrafens 2 mom. stryks eftersom detta handlar endast om det receptarkiv som upphör. 

22 a §.Godkännande och ibruktagande av informationssystem och programvara. Paragrafen innehåller bestämmelser om godkännande och ibruktagande av de informationssystem och program som hänför sig till elektroniska recept samt hänvisningar till kunduppgiftslagen. Enligt den föreslagna paragrafen ska de informationssystem som används när elektroniska recept görs upp och expedieras och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen kontrolleras eller utvärderas innan de tas i bruk för att säkerställa sekretessen, informationssäkerheten och interoperabiliteten för patientuppgifter i enlighet med 6 och 7 kap. i kunduppgiftslagen. Till paragrafen fogas omnämnanden av certifiering och interoperabilitet, så att bestämmelserna motsvarar kunduppgiftslagen. Läkemedelsdatabasen innehåller inga patientuppgifter, men trots detta ska även den genomgå interoperabilitetstestning. 

22 b §.Rubriken egenkontroll föreslås bli ändrad till informationssäkerhetsplan. Även i paragrafens 1 mom. ersätts begreppet egenkontroll med begreppet informationssäkerhetsplan. Begreppet informationssäkerhetsplan används även i den föreslagna kunduppgiftslagen. Undantag i fråga om den egenkontrollplan som utarbetas av de som gör upp elektroniska recept ska anmälas enligt vad som föreskrivs i 19 h och 19 i § i den klientuppgiftslag som upphävs. Eftersom den lagen föreslås bli upphävd ska hänvisningen strykas och ersättas av en hänvisning till 27 och 41 § i nya kunduppgiftslagen. 

23 §.Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården. I paragrafens 1 mom. föreslås ett tillägg om att tillhandahållaren av social- eller hälso- och sjukvårdstjänster ansvarar för att de uppgifter om läkemedel som enheten lämnar ut till en patient är korrekta. Tillägget är av informativ natur och kompletterar 18 § 3 mom. i detta lagförslag. 

23 a §.Gränsöverskridande elektroniska recept. Paragrafens 1 mom. föreslås bli ändrat så att grunden för behandlingen harmoniseras med den grund för behandling som föreslås i kunduppgiftslagen. I paragrafens 1 mom. slopas patientens samtycke om att ett elektroniskt recept får lämnas ut till utlandet. 

Samtidigt slopas patientens samtycke även i paragrafens 3 mom. 2 punkten. EU:s dataskyddsarbetsgrupp WP 29 behandlade i dess brev till eHealth network den 11 april 2018 grunderna för behandling av uppgifter inom den gränsöverskridande hälso- och sjukvården. Enligt dataskyddsarbetsgruppen borde man inom EU inte få utfärda särskilda och ytterligare grunder för behandling utöver den allmänna grunden, eftersom de försvårar den gränsöverskridande hälso- och sjukvården (artikel 1.3 i dataskyddsförordningen). Som behandlingsgrund ska enligt dataskyddsarbetsgruppen kunna användas sådan nationell reglering som utfärdats på basis av direktivet om gränsöverskridande hälso- och sjukvård (som t.ex. denna 23 a §) och som kan anses basera sig även på artikel 9.2 h i EU:s dataskyddsförordning. Dataskyddsgruppen hänvisar i sitt brev även till skäl 53 i dataskyddsförordningen. Med beaktande av dataskyddsarbetsgruppens ställningstagande är det motiverat att i receptlagens 23 a § slopa det särskilda samtycke som gäller gränsöverskridande läkemedelsförskrivning. Behandlingsgrunden harmoniseras med den behandlingsgrund som föreslås i kunduppgiftslagen och receptlagen. Även i andra länder baserar sig grunderna för behandling av uppgifter på EU:s dataskyddsförordning. Dataskyddsgruppen erkänner dock också att medlemsländerna med grund i artikel 9.4 i dataskyddsförordningen kan tillämpa eller ta i bruk nya sådana ytterligare villkor som gäller behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Även samtycket skulle kunna vara ett sådant särskilt villkor, förutsatt att det inte försvårar personuppgifternas fria rörlighet enligt artikel 1.3 i förordningen. 

Patienten ska dock få information i enlighet med EU:s dataskyddsförordning. Dessutom ska det vara möjligt att följa upp vart uppgifterna har lämnats. 

Det föreslås att 3 mom. 2 punkten ändras så att där slopas patientens samtycke som villkor för överlåtelse. Avsikten är inte att genomförordning föreskriva om sådant som det ska föreskrivas om i lag. 

24 §.Styrning, uppföljning och övervakning. I paragrafens 1 mom. ersätts hänvisningen till 14 § i gällande klientuppgiftslag med en hänvisning till 6 § i den nya kunduppgiftslagen. 

Det föreslås att paragrafens 4 mom. stryks. I momentet föreskrivs det om den personuppgiftsansvariges uppgifter på motsvarande sätt som i EU:s dataskyddsförordning. Den personuppgiftsansvariges uppgifter kan inte regleras på nationell nivå och det medges inget nationellt handlingsutrymme i fråga om den personuppgiftsansvariges uppgifter. 

I paragrafens 5 mom. föreslås en informativ hänvisning till artikel 37 i EU:s allmänna dataskyddsförordning. I den artikeln föreskrivs det om dataskyddsombud. Paragrafens 5 mom. blir 4 mom. 

25 §.Avgifter. I paragrafens 1 mom. stryks begreppet receptarkiv eftersom arkivet upphör. Hänvisningen i paragrafen ersätts av en hänvisning till 6 § i den nya kunduppgiftslagen och det föreslås att ordföljden i paragrafen ändras. 

28 §.Övergångsbestämmelse. Paragrafens 3 mom. upphävs som onödig. Det föreslås att bestämmelserna om utlämnande av uppgifter med hjälp av välbefinnandeapplikationer enligt 13 § 5 mom. ska börja tillämpas senast den 1 december 2022. Det föreslås att 23 a § börjar tillämpas den 1 januari 2023. 

1.4  Lagen om ändring av 9 § i hälso- och sjukvårdslagen

9 §.Registret över patientuppgifter och behandling av patientuppgifter. Det föreslås att 9 § 4 mom. i hälso- och sjukvårdslagen ändras vad gäller hänvisningen till kunduppgiftslagen så att det i stället för 5 § hänvisas till 25 § i lagen. Dessutom föreslås det att ordföljden ändras. 

1.5  Lagen om ändring av 25 b § i barnskyddslagen

25 b §.Registerföring. Rubriken föreslås lyda Registrering av barnskyddsanmälningar i socialvårdens klientregister. Paragrafen ska motsvara ändringen i lagen om klienthandlingar inom socialvården samt den föreslagna kunduppgiftslagen. I och med den nya kunduppgiftslagen ansluts socialvården till de riksomfattande informationssystemtjänsterna, och därför är det inte längre ändamålsenligt att upprätthålla två olika register. Enligt den föreslagna kunduppgiftslagen ska alla klienthandlingar inom socialvården lagras i socialvårdens klientregister och de separata register som förs av olika organ slopas. 

Till exempel barnskyddsanmälan hör till de klienthandlingar inom barnskyddet som ska lagras i socialvårdens klientregister. Enligt 26 § i barnskyddslagen anhängiggörs ett barnskyddsärende på ansökan eller när en socialarbetare eller någon annan yrkesutövare inom barnskyddet på något annat sätt får veta att ett barn eventuellt är i behov av barnskydd. Då inleds barnskyddsärendet genom att barnskyddsanmälan tas emot och handlingarna om ärendet bifogas både till serviceuppgiften inom barnskyddet och till det ärende som behandlas. 

Socialvårdsmyndigheten måste sörja för personens rättsskydd och dataskydd vad gäller anmälan. Endast den personal som behandlar anmälningar ska ha åtkomst till barnskyddsanmälan, om den person som är föremål för anmälan inte är en klient inom barnskyddet. Om barnskyddsanmälan leder till ett klientförhållande med barnskyddet ska den personal inom social- vården som tillhandahåller barnskyddstjänster få åtkomst till anmälan. Även åtkomsträttigheterna bestämmer åtkomsten till klienthandlingarna. Enligt 23 § 2 mom. i lagen om klienthandlingar inom socialvården har Institutet för hälsa och välfärd meddelat föreskrifter om de grunder på vilka personalen ska ha åtkomst till barnskyddsanmälningar och andra klienthandlingar inom socialvården. I fortsättningen ska bestämmelser om åtkomsträttigheter utfärdas genom förordning av social- och hälsovårdsministeriet med stöd av kunduppgiftslagen i stället för genom en föreskrift av Institutet för hälsa och välfärd. 

1.6  Lagen om ändring av 13 a § i lagen om patientens ställning och rättigheter

13 a §.Riksomfattande informationssystemtjänster. I paragrafen föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftsla- gen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 

1.7  Lagen om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården

2 §.Uppgifter. I paragrafens 1 mom. 1 punkt föreslås en teknisk ändring på grund av upphävandet av klientuppgiftslagen och ikraftträdandet av den nya kunduppgiftslagen. Hänvisningen till den lag som upphävs stryks och ersätts med en hänvisning till den nya lagen. 

1.8  Lagen om ändring av lagen om klientens ställning och rättigheter inom socialvårdenn

14 a §.Riksomfattande informationssystemtjänster. Det föreslås att en ny 14 a § fogas till lagen, där det för tydlighetens skull konstateras, på samma sätt som i 13 a § i patientlagen, att i situationer enligt klientuppgiftslagen där klientuppgifter inom socialvården behandlas tillämpas den nya lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården. 

Ikraftträdande

Lagen föreslås träda i kraft den 1 juni 2020. 

Genom lagen upphävs lagen om behandling av klientuppgifter inom social- och hälsovården (159/2007). 

Förhållande t i l l grundlagen samt lagstiftningsordning

3.1  Förhållande till grundlagen och EU:s dataskyddsförordning

Skyddet för personuppgifter är en del av skyddet för privatlivet, som är en grundläggande rättighet som garanteras i 10 § i grundlagen och i Europakonventionen samt i EU-fördragen och EU:s stadga om de grundläggande rättigheterna. 

EU:s allmänna dataskyddsförordning grundar sig på artikel 16 i fördraget om Europeiska unionens funktionssätt (FEUF) och på EU:s stadga om de grundläggande rättigheterna. I bestämmelserna har också beaktats Europakonventionen och dess artikel 8. 

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter (GrUU 28/2016 rd, s. 5). 

I artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggas skyddet för privatlivet och enligt artikel 16 i FEUF och artikel 8 i EU:s stadga om de grundläggander rättigheterna har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. 

Grundlagens 10 § 1 mom. motsvarar det tidigare gällande 8 § 1 mom. i regeringsformen (969/1995). Skyddet för personuppgifter är individens grundläggande rättighet och dessutom hör skyddet för personuppgifter med stöd av 8 § 1 mom. i grundlagen till området för lag. 

Grundlagsutskottet har ansett att det med anledning av inledningen av tillämpningen av dataskyddsförordningen är motiverat att revidera sin tidigare ståndpunkt i fråga om regleringsobjekt som är viktiga med hänsyn till skyddet av personuppgifter. Grundlagsutskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i dataskyddsförordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att det i speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskrivs om behandlingen av personuppgifter (GrUU 14/2018 rd). 

EU:s dataskyddsförordning ger ramvillkoren för när behandlingen av personuppgifter kan regleras nationellt. Att på nationell nivå utfärda bestämmelser som preciserar den allmänna dataskyddsförordningen är möjligt då behandlingen av personuppgifter sker med stöd av artikel 6 c och 6 e i dataskyddsförordningen, enligt vilka behandlingen ska vara nödvändig för den personuppgiftsansvariges fullgörande av en lagstadgad skyldighet eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den nationella lagstiftningen kan i syfte att anpassa tillämpningen av bestämmelserna i förordningen innehålla mer detaljerade bestämmelser som noggrannare definierar behandlingen av uppgifter och särskilda krav som gäller andra åtgärder. När särskilda kategorier av personuppgifter behandlas ska dessutom något av de villkor som anges i artikel 9.2 uppfyllas. Propositionen baserar sig på artikel 6 c i dataskyddsförordningen. 

Enligt dataskyddsförordningen ska den nationella lagstiftningen innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 

Hälsouppgifterna är en sådan särskild kategori av personuppgifter som avses i artikel 9 i dataskyddsförordningen som enligt huvudregeln i artikel 9.1 inte får behandlas. Enligt artikel 2.1 ska förbudet mot behandlingen dock inte tillämpas om något av de villkor som anges i artikel 2.2 a-j uppfylls. På basis av detta får personuppgifter som hör till de särskilda kategorierna av personuppgifter behandlas bland annat med samtycke av den berörda personen. 

Grundlagsutskottet har konstaterat att uppgifter som beskriver någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit inte enligt artikel 9.1 i dataskyddsförordningen hör till de särskilda kategorierna av personuppgifter. Det är dock inte uteslutet att dessa uppgifter kan innehålla uppgifter som hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. Det kan då exempelvis gälla hälsotillståndet för en klient hos socialvården. Uppgifter om socialvårdstjänster ingår inte heller i de uppgifter som räknas upp i artikel 8.1 i personuppgiftsdirektivet, som genomförts genom personuppgiftslagen. Registrering av dessa uppgifter har dock nationellt ansetts innebära en större risk än normalt för medborgarnas privatliv och rättsskydd, och därför är det motiverat att betrakta dem som känsliga (GrUU 15/2018 rd, RP 96/1998 rd, s. 4/I). 

Grundlagsutskottet har särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (GrUU 15/2018 rd). Enligt artikel 6 c i dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen av personuppgifter är enligt artikel 6 e laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (se GrUU 14/2018 rd, s. 4). Utskottet menar att de nämnda leden i artikeln i regel inte kräver och inte ens möjliggör att det ska finnas en särskild lag för varje enskild behandling. Trots det utgör uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner eller andra motsvariga uppgifter sådana risker för och hot mot den enskildes grundläggande fri- och rättigheter, att det inom de ramar dataskyddsförordningen tillåter måste föreskrivas om behandling av uppgifterna med samma noggrannhet och exakthet som gäller också för behandlingen av andra känsliga uppgifter. 

I lagförslagen beaktas att socialvårdens och hälso- och sjukvårdens rättsliga grund för behandling av uppgifter skiljer sig från varandra. Den som är personuppgiftsansvarig för kunduppgifterna inom social- och hälsovården har en rättslig förpliktelse att ordna social- och hälsotjänster. De yrkesutbildade personerna inom social- och hälsovården har en lagstadgad uppgift och när de fullgör sin uppgift har de rätt att behandla endast nödvändiga klient- och patientuppgifter. Bestämmelserna om uppgifterna inom social- och hälsovården finns i speciallagstiftningen. Ovannämnda faktorer utgör den rättsliga grunden för behandlingen av personuppgifter enligt artikel 6.1 c i förordningen. 

Grundlagsutskottet har konstaterat att särskild hänsyn bör tas till att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (GrUU 42/2016 rd, s. 2-3). Lagstiftarens handlingsutrymme vid utfärdandet av bestämmelser om behandling av personuppgifter begränsas i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med tanke på systemet med de grundläggande fri- och rättigheterna som helhet. Utskottet har särskilt bedömt att tillåtelse att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/I) varför till exempel bildandet av register som innehåller sådana uppgifter bör bedömas i förhållande till villkoren för inskränkningar av de grundläggande fri- och rättigheterna, i synnerhet med tanke på lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd s. 4-5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (GrUU 38/2016 rd. s. 3). 

Enligt artikel 9 i EU:s dataskyddsförordning ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska eller biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. 

I propositionens bestämmelser om den rätt som de yrkesutbildade personerna inom social- och hälsovården har att använda kunduppgifter beaktas den i dataskyddsförordningen avsedda särskilda art av uppgifterna inom social- och hälsovården samt sekretess som gäller uppgifterna. Behandlingen av kunduppgifter ska i regel basera sig på sådana åtkomsträttigheter för yrkesutbildade personer inom social- och hälsovården eller andra personer som behandlar kunduppgifter som ger åtkomst enbart till de klient- eller patientuppgifter som personen behöver i sin arbetsuppgift. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Likaså får klient- och patientuppgifter lämnas ut för annat användningsändamål endast om det finns laglig grund eller kundens uttryckliga samtycke för detta. Hälso- och sjukvårdsuppgifter som används i kundarbete kan inte krypteras eller pseudonymiseras, eftersom tillförlitlig identifiering av en person och behandling av hans eller hennes identifierbara uppgifter är nödvändigt i arbetet och behandlingen av patientuppgifterna baserar sig på lagstiftningen. 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter (GrUU 15/2018 rd). Enligt grundlagsutskottet kan allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter vara förknippade med omfattande databaser, som i sista hand kan utgöra hot mot en persons identitet (GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Också i skäl 51 i ingressen i EU:s allmänna dataskyddsförordning betonas att de särskilda personuppgifter som avses i artikel 9 som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har av denna orsak särskilt påpekat att det bör finnas exakta och noggrant avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd s. 5). När känsliga personuppgifter behandlas ska dessa åtnjuta särskilt skydd enligt EU:s dataskyddsförordning. Enligt artikel 25 i dataskyddsförordningen ska man beakta både den nyaste tekniken och genomförandekostnaderna. Dessutom måste hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål, samt de risker för fysiska personers rättigheter och friheter som behandlingen föranleder. Utifrån dessa omständigheter ska den personuppgiftsansvariga vid fastställandet av behandlingssätten och vid behandlingen av uppgifter iaktta dataskyddsprinciperna. Som dataskyddsprinciper nämns i förordningen exempelvis uppgiftsminimering samt lämpliga tekniska och organisatoriska åtgärder. Genom dessa tekniska och organisatoriska åtgärder säkerställs det att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Antalet personuppgifter, behandlingens omfattning, förvaringstiden och tillgängligheten ska bedömas i förhållande till personuppgifternas nödvändighet. Som standard ska inte heller ett obegränsat antal personer få tillgång till uppgifter. Till sist nämns det att en godkänd certifieringsmekanism kan användas som ett element för att visa att de krav som nämns i detta stycke iakttas. 

Skyddsåtgärderna enligt EU:s dataskyddsförordning beaktas i propositionen. Syftet med de tekniska och organisatoriska åtgärder som ingår i lagförslagen är att hindra missbruk och lagstridig åtkomst till klient- och patientuppgifter. Sådana tekniska och organisatoriska åtgärder är bland annat administration av åtkomsträttigheter, tekniskt säkerställande av samband eller vårdrelation, utbildning för personal samt tillförlitlig identifiering av fysiska personer, organisationer och datatekniska enheter Samtidigt säkerställs det att ett obegränsat antal personer inte kommer åt uppgifterna, att endast sådana personuppgifter som är nödvändiga i varje enskilt fall behandlas och att principen om uppgiftsminimering enligt dataskyddsförordningen iakttas. 

För att den registrerades rättigheter ska tryggas ska kunden enligt den föreslagna kunduppgiftslagen informeras om att uppgifterna behandlas i riksomfattande informationssystemtjänster. Kunden har rätt att förbjuda att en personuppgiftsansvarig lämnar ut de uppgifter som han eller hon särskilt har specificerat till en annan personuppgiftsansvarig. Insamling av användnings- och utlämningslogguppgifter samt loggövervakning säkerställer att den registrerade eller någon annan som utför loggövervakning i efterhand ska kunna kontrollera vem som har tittat på hans eller hennes uppgifter och ingripa i eventuellt missbruk. På det sättet säkerställs att den registrerades rättigheter respekteras. 

För att minimera riskerna måste man enligt dataskyddsförordningen följa med hur tekniken utvecklas i syfte att skydda uppgifterna på ett tillförlitligt sätt, dock med beaktande av kostnaderna för genomförandet av den nyaste tekniken. Enligt den föreslagna kunduppgiftslagen måste datastrukturerna för informationssystemen och kundhandlingarna möjliggöra skydd av uppgifterna. Enligt propositionen ska informationssystemen vara certifierade. Propositionen innehåller bestämmelser om en informationssäkerhetsplan, genomförande av egenkontroll i fråga om informationssäkerheten, registrering av informationssystem inom social- och hälsovården, uppföljningen av informationssystem efter deras ibruktagande samt om de krav som ska ställas på informationssystemen och som bland annat gäller bedömningen av informationssäkerheten. Dessutom innehåller propositionen bestämmelser om tillsyn över och inspektioner av informationssystem inom social- och hälsovården. 

Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretess med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få uppgifter och möjlighet att lämna ut uppgifter har till exempel gällt ”behövliga uppgifter” för ett visst ändamål, när avsikten har varit att i lagen ge en uttömmande förteckning över datainnehållet. Om datainnehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2-3). Vid utskottets bedömningar av exaktheten och innehållet i lagstiftningen har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). 

Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter inte bara är fråga om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen (GrUU 15/2018 rd). Ju mer generella bestämmelserna om rätt till information är, desto större är risken att intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till materiella villkor, desto mer sannolikt är det att enskilda begäranden om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 17/2016 rd, s. 6). 

Då grundlagsutskottet har bedömt de patientuppgiftsregister som det föreskrivs om i hälso- och sjukvårdslagen har den understrukit att då det är fråga om ett register som innehåller känsliga uppgifter är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas (GrUU 41/2010 rd, s. 3/II). 

Grundlagsutskottet har i sitt utlåtande (GrUU 41/2010 rd, s. 3) om den regeringsproposition genom vilken hälso- och sjukvårdslagen stiftades (RP 90/2010 rd) tagit ställning till det gemensamma register för patientuppgifter som avses i 9 § i hälso- och sjukvårdslagen. Mellan de personuppgiftsansvariga som hör till det gemensamma patientuppgiftsregister som omfattar området för en samkommun för ett sjukvårdsdistrikt får det utan patientens särskilda samtycke lämnas ut sådana uppgifter om hälsotillstånd som patientens vård förutsätter. Patienten har dock rätt att förbjuda att uppgifter lämnas ut mellan personuppgiftsansvariga. I utlåtandet konstaterade utskottet att patientens rätt att förbjuda användning av hans eller hennes uppgifter och den skyldighet att redogöra för patienten om denna möjlighet ger tillräckliga garantier för att patientens självbestämmanderätt tillgodoses. Grundlagsutskottet ansåg inte att den föreslagna regleringen är problematisk med tanke på grundlagen. Utskottet konstaterade också att arrangemangen för informationssäkerheten fungerar och införs samtidigt som systemet börjar användas. 

Grundlagsutskottet har dessutom lyft fram kravet på ändamålsbegränsning, framför allt i fråga om behandling av känsliga uppgifter. När det gäller omfattande register med biometriska kännetecken finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för (GrUU 14/2009 rd, s. 4/II). I så fall kan bara exakt avgränsade och mycket små undantag göras från ändamålsbundenheten. Bestämmelserna har inte fått leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga eller ens ett viktigt ändamål (se även t.ex. GrUU 14/2017 rd, s. 5-6). 

Enligt propositionen avgränsas behandlingen så att de uppgifter om kunden som är känsliga får behandlas av en yrkesutbildad person inom social- och hälsovården endast om kunduppgifterna är nödvändiga för arbetet. Detta får stöd av den gällande speciallagstiftning som gäller utlämnande och behandling av klient- och patientuppgifter inom social- och hälsovården samt av de skyddsåtgärder som ingår i propositionen. I fråga om de riksomfattande informationssystemtjänsterna är propositionens tekniska och organisatoriska skyddsåtgärder för behandling av kunduppgifter inom social- och hälsovården tillräckliga för att skydda personuppgifter mot obehörig åtkomst och mot att de oavsiktligt eller lagstridigt utplånas, ändras, utlämnas, överförs eller behandlas lagstridigt på något annat sätt. Den registrerades rättigheter tillgodoses i propositionen genom att kunden själv administrerar över sina egna uppgifter om välbefinnande och kan förbjuda att hans eller hennes kunduppgifter lämnas ut mellan personuppgiftsansvariga. Lagarna innehåller inga sådana bestämmelser som gör det möjligt att lämna ut uppgifter till utomstående utan kundens samtycke eller en gällande laglig grund. 

Med grund i det som framförs ovan kan de föreslagna bestämmelserna anses trygga kundens skydd för privatlivet och uppfylla de krav som gäller skyddet för personuppgifter på det sätt som grundlagen och dataskyddsförordningen förutsätter. 

Grundlagsutskottets utlåtande om regeringens förfallna proposition 300/2018 och hur det har beaktats 

Grundlagsutskottet har i sitt utlåtande (GrUU 71/2018 rd) om regeringens förfallna proposition som gällde kunduppgiftslagen (RP 300/2018 rd) konstaterat att i 2 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården finns bestämmelser om tillämpningsområdet. Enligt utskottets utlåtande är det skäl att förtydliga regleringens tillämpningsområde särskilt med avseende på de andra lagarna. I denna regeringsproposition har 2 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården preciserats med avseende på dataskyddsförordningen, dataskyddslagen och de viktigaste lagarna om social- och hälsovården och informationshanteringen och dataskyddet i anslutning därtill samt de viktigaste allmänna lagarna. 

Grundlagsutskottet påpekade dessutom att utskottet vid bedömningen av patientregister enligt lagen om hälso- och sjukvård underströk att det i fråga om register som innehåller känsliga uppgifter, exempelvis patientregister, är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och finns tillgänglig genast när registret börjar användas (GrUU 41/2010 rd, s. 3/I) samt också GrUU 65/2018 rd, s. 47, GrUU 15/2018 rd, s. 13 och 40. Enligt grundlagsutskottet möjliggör också den föreslagna behandlingen datainbrott, informationsläckor eller missbruk som enligt utskottets bedömning leder till en betydande kränkning av de grundläggande fri- och rättigheterna, vilket ytterligare accentueras av informationssystemens omfattning. Av betydelse är att en del av uppgifterna behandlas i annat syfte än det för vilket de ursprungligen samlades in och att en avsevärd del av uppgifterna är av känslig natur (se GrUU 15/2018 rd, s. 40). Grundlagsutskottet framhåller att social- och hälsovårdsutskottet bör försäkra sig om att informationssäkerheten fungerar och finns tillgänglig genast när registret börjar användas. 

Det föreslås att till 14 § i lagförslaget fogas att Folkpensionsanstalten ska ha rätt att utöva tillsyn över användningen av sina tjänster och de uppgifter som bevaras i dessa tjänster i syfte att öka informationssäkerheten och förhindra och avslöja överbelastningsattacker och missbruk. Om Folkpensionsanstalten upptäcker eventuella missbruk ska den omedelbart underrätta den berörda personuppgiftsansvariga om saken. Av dataskyddsförordningen följer dessutom skyldighet att göra en bedömning av konsekvenserna för dataskyddet och lagförslaget innehåller flera skyddsåtgärder, till exempel att utarbeta en informationssäkerhetsplan och certifiera informationssystemen. I övergångsbestämmelserna anges att skyddsåtgärder i anslutning till utlämnandet av uppgifter ska ha genomförts senast när uppgifter börjar utlämnas från Kanta-tjänsterna. 

Enligt nämnda utlåtande av grundlagsutskottet verkar informationshanteringstjänsten som det bestäms om i 11 § i lagförslaget vara avsedd för utlämnande av patient- eller klientuppgifter inte bara mellan tjänstetillhandahållare inom hälso- och sjukvården eller socialvården utan också mellan tjänstetillhandahållare inom socialvården och inom hälso- och sjukvården. Enligt 11 § 3 mom. i lagförslaget får bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. Grundlagsutskottet noterade att den föreslagna bestämmelsens ordalydelse inte tillåter att sekretessbelagda patient- och klientuppgifter lämnas ut, eftersom det i bestämmelsen inte ingår någon skyldighet eller rätt att lämna ut uppgifterna trots sekretess. Meningen är sannolikt att rätten att få uppgifterna ska grunda sig på särskilda bestämmelser. Utskottet anser att en sådan avgränsning också bör skrivas in i bestämmelsen. Bestämmelsen är också relativt öppen, vilket ytterligare accentueras genom det bemyndigande att utfärda förordning som ingår i den. Om avsikten är att på grundval av bestämmelsen lämna ut patient- och klientuppgifter trots sekretess, måste den föreslagna regleringen på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och för personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se även GrUU 15/2018 rd, s. 39). Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 19 och 20 § i lagförslag 1. 

I denna regeringsproposition har de ändringar och preciseringar som grundlagsutskottet förutsätter företagits i 20 och 21 §, som gäller utlämnande av patientuppgifter och klientuppgifter inom socialvården från riksomfattande informationssystemtjänster, så att de aktörer som lämnar ut och tar emot patientuppgifter och klientuppgifter inom socialvården har definierats noggrannare i lagens definitioner. Patientuppgifter och klientuppgifter inom socialvården som trots sekretessbestämmelserna utlämnas med stöd av denna lag till en annan tjänstetillhandahållare inom hälso- och sjukvården eller en tjänstetillhandahållare inom socialvården med hjälp av de riksomfattande informationssystemtjänsterna ska dessutom vad användningsändamålet beträffar vara begränsade till ordnande, produktion och tillhandahållande av socialvård samt hälso- och sjukvård för patienten och klienten och till de andra förutsättningar som föreskrivs i 20 § 2 och 3 mom. och 21 § 2 och 3 mom. Det är alltså fråga om samma användningsändamål som de som uppgifterna ursprungligen lagrades för. Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § i lagförslaget avsedda riksomfattande informationssystemtjänsterna för det första lämnas ut till en annan tjänstetillhandahållare inom hälso- och sjukvården eller till ett annat patientregister hos samma tjänstetillhandahållare endast för ordnande, produktion och tillhandhållande av hälso- och sjukvård för patienten. Klientuppgifter inom socialvården får på motsvarande sätt lämnas ut trots sekretessbestämmelserna med hjälp av de i 6 § i lagförslaget avsedda riksomfattande informationssystemtjänsterna till en annan tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten. 

Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården endast med stöd av patientens samtycke lämnas ut till en tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård. På motsvarande sätt får klientuppgifter inom socialvården trots sekretessbestämmelserna endast med stöd av klientens samtycke lämnas ut till en tjänstetillhandahållare inom hälso- och sjukvården för ordnande, produktion och tillhandahålland av hälso- och sjukvård. 

Patientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationsystemtjänster efter det att patienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten med stöd av 18 § har förbjudit att uppgifter inom honom eller henne lämnas ut. I 15 § bestäms om åtkomsträtt till endast nödvändiga patientuppgifter. 

På motsvarande sätt lämnas klientuppgifter på grund av en begäran med hjälp av riksomfattande informationssystemtjänster ut till tjänstetillhandahållare efter det att klienten har informerats i enlighet med 15 § och existensen av en kund- eller vårdrelation mellan klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte klienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. I 15 § bestäms om åtkomsträtt till endast nödvändiga kunduppgifter. 

De ändringar som föreslås i 20 och 21 § är förenliga med EU:s dataskyddsförordning och motsvarar de riksomfattande informationssystemtjänsternas verkliga funktionalitet. Grundlagsutskottet har i sitt utlåtande (GrUU 1/2018) ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (se även GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4, GrUU 54/2010 rd, s. 2). Dessutom har, som tidigare konstaterats, grundlagsutskottet i sitt utlåtande (GrUU 14/2018) ansett att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. För det andra har grundlagsutskottet i samma utlåtande (GrUU 14/2018) också konstaterat att vi bör förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning och att sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. 

Bland annat professor Juha Lavapuro har i sitt yttrande till grundlagsutskottet konstaterat att että ”trots att grundlagsutskottet i sin tolkningspraxis har konkretiserat en mängd tämligen etablerade tolkningsprinciper som gäller skyddet för personuppgifter, har tillämpningspraxisen varit tämligen formell. Framför allt bedömningen av grundlagsenligheten i fråga om överföring och utlämnande av uppgifter tycks främst vara begränsad till att säkerställa att de begrepp som utskottet förutsätter har använts i lagförslaget: utskottet har grovt taget kontrollerat huruvida krav på nödvändighet och behövlighet förekommer där de enligt grundlagsutskottets doktrin borde förekomma. Om de inte förekommer är ett typiskt villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning att bestämmelsen ändras. Om de förekommer är saken inte förenad med några författningsrättsliga problem.” Enligt professor Lavapuro ”har grundlagsutskottet vanligtvis inte alls bedömt om det finns en godtagbar grund för överföring och utlämnande av uppgifter på föreslaget sätt eller uppfyller bestämmelserna om detta proportionalitetskravet i materiellt hänseende eller med avseende på ett begränsningstest av de grundläggande fri- och rättigheterna. Med andra ord har utskottet i sin praxis inte just bedömt huruvida den föreslagna överföringen av personuppgifter kan anses godtagbar i sak med tanke på myndighetens uppgift. I allmänhet har man inte heller bedömt desto noggrannare på vilka villkor överföring och utlämnande i sak kan anses nödvändig. Däremot har det räckt att begreppen nödvändighet och behövlighet har nämnts på enligt doktrinen rätta ställen.” 

I grundlagen, Europakonventionen och EU:s stadga om de grundläggande rättigheterna anges på vilka villkor de grundläggande fri- och rättigheterna kan begränsas. Gemensamma begränsningsvillkor för dessa är att det föreskrivs om begränsningarna genom lag, att begränsningen har ett berättigat syfte samt att proportionalitetsprincipen respekteras. I bedömningen av begränsningens godtagbarhet framhävs i praktiken särskilt att de valda metoderna står i rätt proportion till de eftersträvade målen. Olika undantagsåtgärder borde begränsas till att gälla endast absolut nödvändiga saker, de borde vara proportionerliga och temporära och de borde övervakas regelbundet. Grundlagen, internationell rätt och unionsförpliktelser som är bindande för Finland ska respekteras. 

De valda metoderna ska stå i rätt proportion till de eftersträvade målen. Detta förutsätter en bedömning av att de valda metoderna är ändamålsenliga och nödvändiga. De valda metoderna måste genuint vara lämpliga med tanke på eftersträvande målen, och de grundläggande fri- och rättigheterna ska inte begränsas mera än vad som är absolut nödvändigt. 

Det är inte datatekniskt möjligt att avgränsa utlämnandet av klient- och patientuppgifter med hjälp av de riksomfattande informationssystemtjänsterna till utlämnande av enbart nödvändiga uppgifter. Dessutom kan bara den yrkesutbildad person som vårdar patienten eller den yrkesutbildade person inom socialvården som ansvarar för klienten bedöma vad som är nödvändiga klient- och patientuppgifter för att ordna, producera och tillhandahålla vård eller ordna, producera och tillhandahålla socialvård för klienten. Personuppgifter inom social- och hälsovården som ska användas i kundarbetet kan inte krypteras, anonymiseras eller pseudonymiseras, eftersom det är nödvändigt i arbetet att identifiera personen på ett tillförligt sätt och att behandla identifierbara uppgifter som gäller honom eller henne. 

I denna regeringsproposition har användningsändamålen i samband med utlämnande och de aktörer som lämnar ut och tar emot uppgifter preciserats. De registrerades rättigheter tryggas dessutom av flertalet skyddsåtgärder som nämns ovan. Tjänstetillhandahållarna åläggs dessutom skyldighet att föra register över dem som använderas deras kunddatassystem och kundregister samt över användarnas åtkomsträttigheter. Detta register bör omfatta både aktuella uppgifter och tidigare användaruppgifter. I kunduppgiftslagen definieras aktörernas ansvar för både behandlingen av känsliga personuppgifter och produktionen av informationssystemtjänster. 

På det sätt som professor Lavapuro bedömde i sitt yttrande avviker inte skyddet för personuppgifter som en grundläggande rättighet från andra grundläggande fri- och rättigheter i kvalitativt hänseende. Enligt honom ”kan det också förväntas att sådana bestämmelser om myndigheternas rätt till information och utlämnande av uppgifter som sträcker sig till personuppgifter i framtiden utgör en ännu viktigare del av regleringen om myndighetsverksamheten. Det finns många grunder till detta som ofta är godtagbara med tanke på grundrättssystemet. Som exempel kan nämnas den pågående social- och hälsovårdsreformen, där målet att tillhandahålla integrerade social- och hälsovårdstjänster inte uppnås utan att myndigheterna ges omfattande befogenheter att överföra personuppgifter.”  

Informationshanteringen inom finländska systemet med social- och hälsovårdstjänster, inklusive sekundär användning av personuppgifter, är till centrala delar uppbyggt kring riksomfattande informationssystemtjänster. Klientupgiftslagen och annan lagstiftning om e-tjänster inom social- och hälsovården med koppling till den, särskilt lagen om elektroniska recept (61/2007), har varit en mycket central lagstiftningshelhet för att främja kundorienterad digitalisring, informationshantering, informationsintegration och enhetliga verksamhetsmodeller i Finland. I den föreslagna kunduppgiftslagen sker utlämnande med hjälp av riksomfattande informationssystemtjänster i praktiken på samma sätt som hittills och på det sätt som med stöd av lagändringen från 2010 har skett i fråga om patientuppgifter. En skillnad är ändå att det nu ska ske med stöd av information och den föreslagna kunduppgiftslagen, och inte längre med stöd av brett allmänt samförstånd. Dessutom ska mångsidiga skyddsåtgärder trygga de registrerades rättigheter. Bakom de riksomfattande informationssystemtjänsternas verksamhet ligger ett tungt vägande intresse som berör kärnan i individens och samhällets grundläggande fri- och rättigheter när det gäller ordnande av social- och hälsovård (GL 19 § rätt till social trygghet) och samtidigt säkerheten i samhället (GL 7 § rätt till liv, personlig frihet och integritet). De föreslagna bestämmelserna bör anses vara tillräckligt exakta och noggrant avgränsade med avseende på tryggande och samordning av de grundläggande fri- och rättigheterna samt godtagbara med avseende på grundrättssystemet som helhet, och de föreslagna ändringarna bör anses stå i rätt proportion till användningsändamålet och målet kan inte nås med metoder som ingriper mindre i de grundläggande fri- och rättigheterna. 

I 11 § om informationshanteringstjänsten föreskrivs att informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga för genomförandet av social- och hälsovården och producerar sammandrag av dem för tjänstetillhandahållarna för genomförande av patientens vård. Informationshanteringstjänsten är i sig bara en teknisk lösning som kan underlätta sökandet efter och utnyttjandet av strukturerat dokumenterade viktiga patientuppgifter. I 11 § föreskrivs det noga avgränsat att viktiga patient- uppgifter är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, fysiologiska mätningar, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna samt en i 4 a § i lagen om patientens ställning och rättigheter (785/1992) avsedd plan för undersökning, vård och medicinsk rehabilitering av patienten eller någon annan motsvarande plan. Uppgifter får utlämnas via informationshanteringstjänsten bara på det sätt som föreskrivs nedan i 20 § och 21 §. Uppgifterna i informationshanteringstjänster får behandlas inom ramen för de åtkomsträttigheter som anges i 15 §. I 11 § i förslaget till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården föreslås inte längre något bemyndigande att utfärda förordning. 

Grundlagsutskottet konstaterade i sitt utlåtande om regeringens förfallna proposition som gällde kunduppgiftslagen att i lagförslagen i propositionen föreslås det en del rätt långa förvaringstider. Till exempel sägs det i 19 § i lagförslag 3 att de handlingar och uppgifter om handlingarna som har lagrats i receptcentret ska förvaras i receptcentret i 12 år efter patientens död eller i 120 år efter patientens födelse. Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifterom om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Utskottet har å andra sidan ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd, s. 6) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd, s.7). Social- och hälsovårdsutskottet bör överväga om de föreslagna förvaringstiderna behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter till vad som är nödvändigt med avseende på syftet med förvaringen.  

I denna regeringsproposition har de nämnda förvaringstiderna setts över på det sätt som förutsätts i grundlagsutskottets utlåtande: det föreslås att 27 § 2 mom. i klienthandlingslagen upphävs. Enligt 1 mom. ska klienthandlingar inom socialvården förvaras den tid som anges i 2 mom. eller i bilagan till klienthandlingslagen. Enligt arkivlagen (831/1994) bestämmer arkivverket vilka handlingar och uppgifter i handlingar som ska förvaras varaktigt. Förpliktelsen enligt 2 mom. att handlingar som registreras i det riksomfattande klientdatalagret ska förvaras varaktigt kan inte betraktas som ändamålsenlig med tanke på klienthandlingarnas användningsändamål, utan arkivverket kan bestämma om varaktig förvaring med stöd av sina befogenheter. I 19 § 1 mom. i lagen om elektroniska recept föreslås det en ändring i fråga om bevarandet av de uppgifter som lagras i receptcentret. Eftersom receptarkivet slopas, ska de handlingar med uppgifter som har lagrats i receptcentret bevaras i receptcentret i 20 år i stället för den gällande lagens 30 månader, och inte i 12 år efter patientens död eller i 120 år efter patientens födelse, som förslaget lydde i RP 300/2018. Förvaringstiden är då lika lång som förvaringstiden enligt den gällande lagen och säkerställer att receptuppgifterna vid behov är tillgängliga för patientens vård. Vid social- och hälsovårdsministeriet kommer man att inleda en totalreform av dataskyddet, informationshanteringen och styrningen av den inom social- och hälsovården, där ett mål är att revidera och harmonisera lagstiftningen om förvaringstider. 

I 22 § i lagförslaget finns bestämmelser om förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten. Enligt grundlagsutskottets utlåtande måste bemyndigandena för myndigheterna att meddela föreskrifter granskas mot bakgrund av 80 § 2 mom. i grundlagen. Enligt det momentet kan även andra myndigheter än de som nämns i 80 § 1 mom. genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Dessutom ska tillämpningsområdet för ett sådant bemyndigande vara exakt avgränsat. Jämfört med ett bemyndigande att utfärda förordning ställs i allmänhet strängare krav på ett sådant bemyndigande bland annat när det gäller klar avgränsning av de frågor bemyndigandet kan gälla (se t.ex. GrUU 10/2016 rd, s. 4—5). Grundlagsutskottet noterar att ordalydelsen i den föreslagna 21 § inte möjliggör förmedling av sekretessbelagda känsliga uppgifter utifrån syftet med upprättandet (”den som handlingarna har upprättats för”) om inte mottagaren med stöd av lag har rätt att få dem, som enligt bestämmelsen är det andra kriteriet för förmedlingen. Bestämmelsen måste preciseras. Om avsikten är att genom bemyndigandet att meddela föreskrifter i 2 mom. bestämma om möjlighet att trots sekretessbestämmelserna lämna ut handlingar som innehåller känsliga och sekretessbelagda personuppgifter utifrån syftet med upprättandet av handlingarna, måste den föreslagna regleringen på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och för personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se även GrUU 15/2018 rd, s. 40). Utan dessa ändringar kan lagförslag 1 (RP 300/2018) inte behandlas i vanlig lagstiftningsordning.  

Syftet med 22 § i denna regeringsproposition är inte att utvidga den lagstadgade rätten att få kunduppgifter för aktörer utanför social- och hälsovården. Trots sekretessbestämmelserna får handlingar förmedlas med stöd av kunden begäran eller mottagarens lagstadgade begäran, eller med stöd av uppgiftsutlämnarens lagstadgade uppgiftsskyldighet. Det kan påpekas att informationsförmedlings- och förfrågningsservicen inte är ansvarig för information som går från en personuppgiftsansvarig till en annan. Detta innebär att en personuppgiftsansvarig som lämnar ut uppgifter är ansvarig för att mottagaren får bara de klient- och patientuppgifter som mottagaren har rätt att få med stöd av kundens begäran eller mottagarens lagstadgade begäran eller uppgiftsutlämnarens lagstadgade uppgiftsskyldighet. Utlämnande av uppgifter förutsätter alltid att den personuppgiftsansvarige som lämnar ut uppgifter prövar saken och endast nödvändiga kunduppgifter får utlämnas. Mottagarens rätt att få uppgifter ska grunda sig på lag eller kundens begäran. Endast sådana kunduppgifter får utlämnas som mottagaren behöver för att sköta sin lagstadgade uppgift. I denna regeringsproposition har behövliga preciseringar företagits så att bemyndigandet att meddela föreskrifter inte gäller behandling av personuppgifter utan är av endast teknisk karaktär och gäller endast vilka slags handlingar (de intyg och utlåtanden samt andra handlingar som innehåller kunduppgifter som sänds till den mottagande instansen) som kan förmedlas med hjälp av den tekniska tjänsten. 

I sitt utlåtande om RP 300/2018 konstaterade grundlagsutskottet likaså att enligt 14 § i förslaget till lag om elektronisk behandling av kunduppgifter inom social- och hälsovården meddelar Institutet för hälsa och välfärd föreskrifter om de grunder enligt vilka tjänstetillhandahållaren ska bestämma åtkomstsrättigheterna till kunduppgifter för de personer som behandlar sådana uppgifter. I propositionsmotiven (s. 113) bedöms det att meddelandet av föreskrifter anknyter till de tekniska frågorna vid genomförandet av de riksomfattande informationssystemtjänsterna, och att behovet av reglering således är detaljerat och av teknisk karaktär. Föreskrifter om grunderna för behandling av känsliga personuppgifter är enligt grundlagsutskottets åsikt inte detaljerade eller av teknisk karaktär. Det är också relevant att bemyndigandet att meddela föreskrifter även verkar gälla ändring av användningsändamålet, om till exempel uppgifter som samlats in för ändamål inom hälso- och sjukvården behandlas för ändamål inom socialvården. Här måste det göras en betydlig precisering av bemyndigandet att meddela föreskrifter. Ändringen var en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 

Föreskrifter om grunderna för behandling av känsliga personuppgifter är inte detaljerade eller av tekniska karaktär utan har stor betydelse för hur sekretessbelagda känsliga uppgifter behandlas inom social- och hälsovården. I 15 § 1 mom. i lagförslaget inom social- och hälsovården föreskrivs det om åtkomsträttigheter till kunduppgifter. Åtkomsträttigheterna skyddar känsliga och sekretessbelagda kunduppgifter från obehörig behandling. En yrkesutbildad person eller en annan person som behandlar kunduppgifter får behandla endast de nödvändiga kunduppgifter som den aktuella lagstadgade uppgiften förutsätter inom ramen för deras rätt att få uppgifter. Behandlingen av kunduppgifter ska basera sig på en kund- eller vårdrelation eller någon annan lagstadgad rätt. I och med införandet av Kanta-tjänsterna begränsas behandlingen av kunduppgifter å ena sidan genom att åtkomsträttigheterna definieras, å andra sidan genom att sambandet eller vårdrelationen verifieras. 

I 1 mom. föreskrivs att behandlingen av kunduppgifter ska grunda sig på en kund- eller vårdrelation eller någon annan lagstadgad rätt som har säkerställts datatekniskt. 

I 2 mom. föreskrivs att bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet. Genom förordningen preciseras alltså de i 1 mom. angivna grunder i enlighet med vilka tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Genom social- och hälsovårdsministeriets förordning om grunderna för bestämmandet av åtkomsträttigheter säkerställs att åtkomsträttigheterna till kunduppgifter är desamma i hela landet, och främjas således skyddet av personuppgifter som har registrerats på grundval av en kundrelation från obehörig och lagstridig behandling. Genom åtkomsträttigheterna fastställs i vilken utsträckning bland annat personuppgifter som hör till särskilda kategorier av personuppgifter kan behandlas i olika uppgifter. Trots att sådana personuppgifter inte i sig behandlas när bestämmelserna utarbetas har bestämmelserna ändå betydande konsekvenser för i vilken omfattning personuppgifter som åtnjuter särskilt skydd i praktiken behandlas i samband med olika tjänster. I 3 mom. föreskrivs att tjänstetillhandahållaren ska med stöd av förordningen enligt 2 mom. bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Genom att åtkomsträttigheterna är fastställda kommer arbetstagarna åt att behandla endast sådana kunduppgifter som innehållsmässigt hänför sig till de arbetsuppgifter som anvisats var och en. Varje person som deltar i kundarbetet får behandla klienthandlingar endast i den utsträckning som personens arbetsuppgifter och ansvar förutsätter. Genom åtkomsträttigheterna begränsas användning av patientuppgifter som tillkommit i organisationens egen verksamhet, men också användningen av uppgifter som utlämnats av andra tjänstetillhandahållare eller från andra tjänster med stöd av kundens samtycke eller lag. Rättigheterna att få uppgifter kan inte utvidgas genom åtkomsträttigheterna. Dessutom föreskrivs att tjänstetillhandahållaren är förpliktad att föra ett register över de egna användarna av sina kundinformationssystem och kundregister samt deras åtkomsträttigheter. Detta register ska täcka både tidigare och nya uppgifter om användarna. 

I det nämnda utlåtandet konstaterade grundlagsutskottet dessutom att enligt 43 § 2 mom. i lagföslaget tillämpas förvaltningslagens bestämmelser om tjänstemannajäv på utomstående experter. I motiven behandlas inte bestämmelsens förhållande till den övriga regleringen i förvaltningslagen. Enligt grundlagsutskottet möjliggör den föreslagna bestämmelsen kontradiktoriska slutsatser om hur tillämpningsområdet enligt 2 § 3 mom. i förvaltningslagen förhåller sig till kraven på rättssäkerhet och god förvaltning i 124 § i grundlagen (se också GrUU 42/2018 rd, s. 3, GrUU 28/2018 rd, s. 2). Utskottet anser att bestämmelsen måste kompletteras med de allmänna förvaltningslagarna. Alternativt måste hänvisningen till jävsbestämmelserna i förvaltningslagen strykas. 

Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andrra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och om det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. I enlighet med grundlagsutskottets praxis är det inte längre nödvändigt att på grund av 124 § i grundlagen ta in den hänvisning till allmänna förvaltningslagar som ingick i den tidigare klientuppgiftslagen i lagar om överföring av offentliga förvaltningsuppgifter, eftersom de allmänna förvaltningslagarna med stöd av sina bestämmelser om tillämpningsområde, myndighetsdefinition eller kraven för en enskild att tillhandahålla språkliga tjänster också tillämpas på enskilda när de fullgör offentliga förvaltningsuppgifter (se t.ex. GrUU 5/2014 rd, s. 4, GrUU 23/2013 rd, s. 3/II, GrUU 10/2013 rd, s. 2/II, GrUU 37/2010 rd, s. 5/I, GrUU 13/2010 rd, s. 3/II, GrUU 42/2005 rd, s. 3/II). Utomstående experter Utomstående experter har möjlighet att se sekretessbelagda kunduppgifter när de inspekterar informationssystem, om inspektionen inte kan utföras korrekt utan tillgång till sekretessbelagda uppgifter. De utomstående experterna omfattas av samma sekretessbestämmelser som tjänstemännen när de behandlas känsliga klient- och patientuppgifter i sin uppgift. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen. Bestämmelser om sekretess för de uppgifter som ingår i journalhandlingar finns i 13 § i patientlagen. Sekretessen gäller även efter att experten har slutfört uppgiften. 

Enligt 2 § 1 mom. i klientlagen tillämpas lagen emellertid bara på socialvård som ordnas av myndigheter och av privata, om inte något annat bestäms i den nämnda lagen eller någon annan lag. Enligt 1 § i patientlagen gäller lagen i fråga patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat stadgas i lag. Dessa lagar innehåller bestämmelser om sekretess och tystnadsplikt för anordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen. Experter som avses i 43 § i kunduppgiftslagen eller Valvira har ändå inte i uppgift att ordna social- och hälsovård och dessa bestämmelser tillämpas således inte på deras verksamhet med stöd av bestämmelserna om lagens tillämpningsområde. 

Enligt 2 § 1 mom. i offentlighetslagen bestäms det i offentlighetslagen om rätten att ta del av myndigheternas offentliga handlingar samt om tystnadsplikt för den som är verksam vid en myndighet, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling och bestäms om myndigheternas skyldigheter för att lagens syfte skall nås. Enligt lagens 4 § 2 mom. gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Lagens tillämpning på privata är beroende av bland annat om deras offentliga uppgifter innebär utövning av offentlig makt. I 23 § 1 mom. i offentlighetslagen föreskrivs om tystnadsplikt i fråga om sekretessbelagda uppgifter för den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag. Enligt 2 mom. gäller vad som bestäms i 1 mom. om tystnadsplikt i fråga om sekretessbelagda uppgifter även bland annat den som verkar på uppdrag av en myndighet eller den som är anställd hos den som utför ett myndighetsuppdrag. 

Med stöd av vad som anförts ovan kan det anses att klient-, patient- och offentlighetslagens sekretessbestämmelser inte blir tillämpliga på experter som avses i 43 § i kunduppgiftslagen med stöd av de nämnda författningarnas bestämmelser om tillämpningsområde. Däremot blir offentlighetslagens 23 § om tystnadsplikt tillämplig på utomstående experter som sköter uppgifter på uppdrag av Valvira. Det rekommenderas emellertid att Valvira ingår uppdragsavtal med utomstående experter som Valvira anlitar, där man också kommer överens om sekretess och tystnadsplikt. Utomstående experter bör dessutom avge en utfästelse om sekretess och tystnadsplikt. 

3.2  Bemyndiganden att meddela föreskrifter

I 80 § i grundlagen föreskrivs om utfärdande av förordningar och delegering av lagstiftningsbehörighet. Enligt 1 mom. ska genom lag utfärdas bestämmelser om grunderna för individens rättigheter och skyldigheter samt om frågor som enligt grundlagen i övrigt hör till området för lag. 

Enligt 80 § 2 mom. i grundlagen kan andra myndigheter än statsrådet eller ett ministerium genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat. Av grundlagen följer dessutom att de frågor som ett bemyndigande omfattar ska fastställas noggrant i lag. 

Lagen ska ge svar på de grundläggande frågorna, av lagen ska tydligt framgå vad det ska meddelas föreskrifter om och bemyndigandenas tillämpningsområde ska vara exakt avgränsat. Exempelvis i grundlagsutskottets utlåtande (GrUU 10/2014 rd) betonas kraven på exakthet och noggrann avgränsning. 

Det bemyndigande för social- och hälsovårdsministeriet att utfärda förordning som ingår i propositionen gäller vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda med stöd av sina arbetsuppgifter och de tjänster som tillhandahålls, uppdelningen och omfattningen av de handlingar som ska lagras i den riksomfattande arkiveringstjänsten, tekniska metoder för identifiering och verifiering, åtkomsträttigheter, logguppgifter, minimitider för bevarande av uppgifter, avgifter för användningen av riksomfattande informationssystemtjänsterna samt i 30 § avsedda avgifter för registrering av informationssystem. Statsrådets bemyndigande att utfärda förordning gäller statsrådets möjlighet att tillsätta en delegation för samarbete som gäller elektronisk informationshantering inom social- och hälsovården. 

I propositionen ges även Institutet för hälsa och välfärd bestämmanderätt i fråga om många bestämmelser på lägre nivå. Bemyndigandet att utfärda normer har angivits så noggrant och exakt som möjligt. Meddelandet av föreskrifter anknyter till de tekniska frågorna vid genomförandet av de riksomfattande informationssystemtjänsterna. Behovet av reglering är således detaljerat och av teknisk karaktär. 

Dessutom ges Folkpensionsanstalten rätt att bestämma om de förfaranden som ska iakttas i fråga om informationssystemens interoperabilitet. 

Tillstånds- och tillsynsverket för social- och hälsovården får utfärda föreskrifter om innehållet i och giltighetstiden för registreringsanmälan som gäller informationssystem, förnyad anmälan och de uppgifter som ska antecknas i registret. 

De ovannämnda bemyndigandena för Institutet för hälsa och välfärd, Tillstånds- och tillsynsverket för social- och hälsovården och Säkerhets- och utvecklingscentret för läkemedelsområdet har i lagförslaget angetts så noga avgränsat och exakt som möjligt. Meddelandet av föreskrifter är endast i ringa mån förenat med ändamålsenlighetsprövning. I bemyndigandena är det i stor utsträckning fråga om att meddela tekniska och närmare föreskrifter om saker när närmare reglering är nödvändig på grund av deras tekniska karaktär, den snabba tekniska utvecklingen och den sakkunskap som regleringen förutsätter. 

Lagförslagens bemyndiganden strider inte mot grundlagen. 

Med stöd av vad som anförts ovan är bemyndigandena i lagförslagen inte i strid med grundlagens 80 §. 

På dessa grunder anser regeringen att propositionen är förenlig med grundlagen och att de föreslagna lagarna kan behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om elektronisk behandling av kunduppgifter inom social- och hälsovården 

I enlighet med riksdagens beslut föreskrivs: 
1 kap. 
Allmänna bestämmelser 
1 § 
Lagens syfte 
Syftet med denna lag är att främja och möjliggöra att kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas på ett informationssäkert sätt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Ett syfte med lagen är också att främja kundens möjligheter att få information om behandlingen av de egna kunduppgifterna. 
2 § 
Tillämpningsområde och förhållande till övrig lagstiftning 
Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, när kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag. 
Till den del som denna lag inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det om saken i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, lagen om informationshantering inom den offentliga förvaltningen (906/2019), dataskyddslagen, lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019), lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) samt arkivlagen (831/1994). Bestämmelser om språkliga rättigheter vid behandlingen av kunduppgifter och ordnandet av tjänster och verksamhet enligt denna lag finns dessutom i språklagen (423/2003). Bestämmelser om produkter och utrustning som används inom hälso- och sjukvården finns i lagen om produkter och utrustning för hälso- och sjukvård (629/2010). 
3 § 
Definitioner 
I denna lag avses med 
1) kund en sådan klient inom socialvården som avses i klientlagen och en patient som avses i patientlagen, 
2) kundhandling en sådan klienthandling inom socialvården som avses i klientlagen och lagen om klienthandlingar inom socialvården (254/2015), nedan klienthandlingslagen, och en journalhandling som avses i patientlagen, 
3) klientuppgift inom socialvården en personuppgift som gäller en kund och som ingår i en handling som avses i klientlagen eller klienthandlingslagen, 
4) patientuppgift en personuppgift som gäller en patient och som ingår i en journalhandling som avses i patientlagen, 
5) kunduppgift i 3 och 4 punkten avsedda klientuppgifter inom socialvården och patientupp- gifter, 
6) informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kunduppgifter och för registrering och uppdatering av kundhandlingar eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- och hälsovården kan använda uppgifter om välbefinnande,  
7) tjänstetillhandahållare en anordnare och en producent av social- och hälsotjänster, 
8) serviceanordnare en tjänstetillhandahållare som
a) i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut, eller
b) i egenskap av privat tjänstetillhandahållare är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna,
 
9) tjänsteproducent en tjänstetillhandahållare som
a) i egenskap av serviceanordnare själv producerar social- eller hälsotjänster, eller
b) för en serviceanordnares räkning producerar social- eller hälsotjänster,
 
10) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömnings- organ för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av informationssäkerhet,  
11) uppgifter om välbefinnande sådana uppgifter som en person producerat om sin hälsa och sitt välbefinnande och som personen själv har fört in i den i 16 punkten avsedda informationsresursen för egna uppgifter, 
12) informationsresursen för egna uppgifter en inom de riksomfattande informationssystemtjänsterna upprättad centraliserad elektronisk informationsresurs för bevarande och behandling av uppgifter om välbefinnande, 
13) välbefinnandeapplikation ett sådant program i anslutning till informationsresursen för egna uppgifter som den enskilde använder och med vilket uppgifter om välbefinnande behandlas, och till vilket en person kan få sina kunduppgifter från arkiveringstjänsten, receptcentret och informationshanteringstjänsten, 
14) arkiveringstjänst en informationsresurs där kunduppgifter och andra för social- och hälsovården behövliga uppgifter bevaras och med vars hjälp sådana uppgifter kan användas, och som godkända informationssystem kan anslutas till, 
15) informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken sammandrag av patientuppgifter produceras, 
16) viljeyttringstjänst en riksomfattande informationssystemtjänst genom vilken handlingar som gäller information, samtycke och förbud, andra viljeyttringar med anknytning till hälso- och sjukvård samt socialtjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården förvaltas, 
17) producent av en informationssystemtjänst den som för en tjänstetillhandahållare tillhandahåller eller genomför ett informationssystem där kunduppgifter eller uppgifter om välbefinnande behandlas och som i egenskap av tillverkare av informationssystemet, för tillverkarens räkning eller för en eller flera tillverkares del ansvarar för de krav som ställs på informationssystemet, 
18) tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkning- en av ett informationssystem för social- och hälsovården, 
19) mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster, genomförandet av informationssystemens tekniska eller fysiska miljö eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll har en möjlighet att se okrypterade kunduppgifter, exempelvis i samband med underhåll, och 
20) certifiering ett förfarande genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion. 
2 kap. 
Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster 
4 § 
Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna 
Folkpensionsanstalten är personuppgiftsansvarig i fråga om informationsresursen för egna uppgifter, förvaringstjänsten för logguppgifterna i utlämningsloggregistret och användningsloggarna i anslutning till dess egen verksamhet. Välbefinnandeuppgifter som förts in i informationsresursen för egna uppgifter är dock respektive persons egna uppgifter och de omfattas inte av Folkpensionsanstaltens personuppgiftsansvar. 
Varje tillhandahållare av social- och hälsotjänster är personuppgiftsansvarig i fråga om de användningsloggar som uppkommer i dess verksamhet. 
Varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården, för informationshanteringstjänsten och för viljeyttringstjänsten. Folkpensionsanstalten ansvarar i egenskap av gemensamt personuppgiftsansvarig för tillgängligheten och integriteten i fråga om uppgifterna, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna på det sätt som föreskrivs i 14 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten och tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. 
Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är den yrkesutbildade personen inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är kontaktpunkt för användningsloggarna för det gränssnittet. 
Bestämmelser om receptcentrets personuppgiftsansvar finns i 18 § i lagen om elektroniska recept (61/2007). 
5 § 
Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning 
När en tjänsteproducent tillhandahåller social- och hälsotjänster för en serviceanordnares räkning, ansvarar tjänsteproducenten 
1) för införande och registrering av kunduppgifter för serviceanordnarens räkning, 
2) för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen, 
3) för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen, 
4) för att kundhandlingarna i original lämnas till serviceanordnaren utan dröjsmål, och 
5) tillsammans med serviceanordnaren för att kundens rättigheter enligt dataskyddsförord- ningen och offentlighetslagen tillgodoses. 
Serviceanordnaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och om tillgodoseendet av kundens rättigheter enligt 1 mom. 5 punkten samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor. 
3 kap. 
Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården 
6 § 
De riksomfattande informationssystemtjänsterna inom social- och hälsovården 
För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster: 
1) en riksomfattande arkiveringstjänst för kunduppgifter, 
2) en förvaringstjänst för loggregister, 
3) ett gränssnitt för professionell behandling av elektroniska recept, 
4) ett medborgargränssnitt, 
5) en informationsresurs för egna uppgifter, 
6) en informationshanteringstjänst, 
7) en viljeyttringstjänst, 
8) ett receptcenter, 
9) en läkemedelsdatabas, och 
10) en informationsförmedlings- och förfrågningsservice. 
Dessutom förutsätter utförandet av de riksomfattande informationssystemtjänsterna en kodtjänst och en roll- och attributtjänst. Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta roll- och attributtjänsten och kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ansvarar för innehållet i kodtjänsten. 
Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tillhandahållare av social- och hälsovårdstjänster samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som centralen utfärdat enligt 3 mom. 
7 § 
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna 
Tjänstetillhandahållare ska ansluta sig som användare av de riksomfattande informationssystemtjänster som avses i 6 § 1 mom. 1, 6, 7 och 8 punkten. 
Privata tillhandahållare av social- och hälsotjänster ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av klient- och patientuppgifter. 
Andra aktörer inom social- och hälsovården, beträffande vilkas tjänster och behandling av personuppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 6 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten. 
Tillhandahållare av social-, hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna. 
8 § 
Handlingar som ska sparas i den riksomfattande arkiveringstjänsten 
Av en elektronisk kundhandling får det i den riksomfattande arkiveringstjänsten finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning får det av originalet göras ett extra exemplar av vilket det ska framgå att det inte är originalet. 
Efter anslutning till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original i den riksomfattande arkiveringstjänsten. Kundhandlingar som uppkommit före anslutningen får sparas i den riksomfattande arkiveringstjänsten. I arkiveringstjänsten får det utöver kundhandlingar även sparas andra handlingar som hänför sig till ordnandet av social- och hälsovården och till informationshanteringen. 
Bestämmelser om när och i vilken omfattning originalhandlingar som avses i 1 mom. senast ska sparas i den riksomfattande arkiveringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. 
9 § 
Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna 
Informationssystemens och kundhandlingarnas datastrukturer ska möjliggöra användning, utlämnande, bevarande och skydd av elektroniska kundhandlingar och kunduppgifter med hjälp av de riksomfattande informationssystemtjänster som avses i 6 §. 
Institutet för hälsa och välfärd meddelar föreskrifter om kundhandlingarnas datainnehåll och datastrukturer i informationssystemen för att de riksomfattande informationssystemtjänsterna ska kunna utföras samt om de kodsystem som överallt i landet ska användas i datastrukturerna. 
10 § 
Elektronisk underskrift av handlingar 
Klientuppgifternas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och förvaring av uppgifterna. 
Vid elektronisk signering som görs av en fysisk person ska det användas en sådan avancerad elektronisk underskrift som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Vid signering som görs av en organisation och datatekniska enheter ska det användas en elektronisk underskrift av motsvarande tillförlitlighet. 
11 § 
Informationshanteringstjänsten 
Informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga för genomförandet av hälso- och sjukvården och producerar sammandrag av dem för tjänstetillhandahållare för genomförande av patientens vård. Viktiga patientuppgifter som informationshanteringstjänsten kan sammanställa är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, medicineringsuppgifter, fysiologiska mätningar och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt i 4 a § i patientlagen avsedda planer för undersökning, vård och medicinsk rehabilitering eller andra motsvarande planer. Uppgifter får lämnas ut med hjälp av informationshanteringstjänsten på det sätt som föreskrivs i 20 §. Uppgifter i informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 15 §. 
12 § 
Viljeyttringstjänsten 
I viljeyttringstjänsten ska det föras in uppgifter om information som en person har fått enligt denna lag och lagen om elektroniska recept samt om samtycke och förbud som en person har meddelat i fråga om kunduppgifter. 
I viljeyttringstjänsten kan det föras in uppgift om en persons 
1) andra viljeyttringar i fråga om hälso- och sjukvård eller socialtjänster än sådana som avses i 1 mom., 
2) andra viljeyttringar i fråga om tjänster inom social- och hälsovården och behandling av kunduppgifter än sådana som avses i 1 mom. 
13 § 
Informationsresursen för egna uppgifter 
En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i informationsresursen för egna uppgifter och via den använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från informationsresursen. 
En person kan ge sitt samtycke till att de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsotjänster. 
Bestämmelser om registrering av uppgifter som påverkar vården eller tjänster i kund- eller journalhandlingarna finns i patientlagen, klientlagen och klienthandlingslagen. 
De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller tills högst fem år har förflutit från personens död. 
14 § 
Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster 
De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska alltid vara tillgängliga. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. 
Folkpensionsanstalten svarar 
1) för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver, 
2) för säkerställande av säkerhet på det sätt som föreskrivs i 14 § i lagen om informationshantering inom den offentliga förvaltningen i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förs in i de riksomfattande informationssystemtjänsterna samt för utplåning av uppgifterna efter det att förvaringstiden gått ut, 
3) för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter, uppgifter om välbefinnande och andra uppgifter som har införts i de riksomfattande informationssystemtjänsterna lämnas ut endast i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården, 
4) för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister, 
5) för det datatekniska utförandet av kodtjänsten, 
6) för information till befolkningen med avseende på de riksomfattande informationssystemtjänsterna, 
7) för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna. 
Folkpensionsanstalten har rätt 
1) att av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för skötseln av lagstadgade uppgifter med avseende på de riksomfattande informationssystemtjänsterna, 
2) att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt med tanke på uppgifter som hänför sig till förvaltningen av de riksomfattande informationssystemtjänsterna, 
3) att besluta om frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den, 
4) att lämna ut handlingar som omfattas av Folkpensionsanstaltens personuppgiftsansvar, och logguppgifter över sådana handlingar, till tjänstetillhandahållare inom social- och hälsovården för uppföljning och tillsyn i fråga om användning och utlämnande av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom, 
5) att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster, 
6) att trots sekretessen av Myndigheten för digitalisering och befolkningsdata få nödvändig information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna. 
Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. 
I skyddet av de riksomfattande informationssystemtjänsterna iakttas vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter. Folkpensionsanstalten får inte på en utomstående överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna, eller av loggregister som hänför sig till sådana register. 
4 kap. 
Behandling av kunduppgifter inom social- och hälsovården 
15 § 
Åtkomsträttigheter till kunduppgifter 
Åtkomsträttigheterna till kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar klient- och patientuppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har åtkomsträtt endast till de nödvändiga kunduppgifter som han eller hon behöver i sina arbetsuppgifter och beträffande vilka han eller hon har rätt att få uppgifter. Behandlingen av kunduppgifter ska grunda sig på en kund- eller vårdrelation eller någon annan lagstadgad rätt som har säkerställts datatekniskt. 
Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet. 
Tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda sådana uppgifter. Tjänstetillhandahållaren ska föra register över dem som använder tjänstetillhandahållarens kundinformationssystem och kundregister och över deras åtkomsträttigheter. 
16 § 
Information till kunden om riksomfattande informationssystemtjänster 
Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som omfattar hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten. 
Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet. 
17 § 
Identifiering av dem som behandlar kunduppgifter 
Vid elektronisk behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna identifieras på ett tillförlitligt sätt. De personer som behandlar kunduppgifter, tjänstetillhandahållarna, de datatekniska enheterna och de riksomfattande informationssystemtjänsterna ska identifieras genom verifiering. 
Närmare bestämmelser om de tekniska identifierings- och verifieringsmedlen får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Myndigheten för digitalisering och befolkningsdata. 
18 § 
Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut 
En klient har rätt att förbjuda att en personuppgiftsansvarig inom socialvården lämnar ut klientuppgifter inom socialvården om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. En patient har rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till ett annat register inom hälso- och sjukvården eller till en annan personuppgiftsansvarig inom hälso- och sjukvården via riksomfattande informationssystemtjänster. En vårdnadshavare har inte rätt att meddela ett förbud för en minderårigs räkning som vårdnadshavaren har vårdnaden om. 
Ett förbud som klienten eller patienten meddelar kan gälla alla hans eller hennes klientuppgifter inom socialvården och patientuppgifter. Inom socialvården kan förbudet gälla en serviceuppgift inom socialvården eller en enskild kundhandling. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Dessutom kan förbudet gälla en personuppgiftsansvarig inom offentlig social- och hälsovård och dess register samt ett register inom företagshälsovården. 
Genom ett förbud går det inte att förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information. 
Ett förbud gäller tills vidare och får återtas. 
19 § 
Meddelande och återkallande av förbud mot utlämnande av kunduppgifter 
Meddelande av förbud mot utlämnande av kunduppgifter lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssitt. Tjänstetillhandahållaren ska utan dröjsmål föra in uppgift om det meddelade förbudet i viljeyttringstjänsten. 
Den som tar emot ett förbud ska på begäran ge kunden en utskrift av förbudshandlingen. 
Folkpensionsanstalten bestämmer innehållet i en förbudshandling. Av förbudshandlingen ska förbudets betydelse vid behandlingen av kunduppgifter framgå. 
På återkallande av förbud tillämpas vad som i 1–3 mom. föreskrivs om meddelande av förbud. 
20 § 
Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster 
Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan tjänstetillhandahållare inom hälso- och sjukvården eller till ett annat patientregister hos samma tjänstetillhandahållare för ordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. 
Trots sekretessbestämmelserna får patientuppgifter inom hälso- och sjukvården, om patienten samtycker, lämnas ut till en tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård. 
Patientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationstjänster efter det att patienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan patienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte patienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. Bestämmelser om åtkomsträtt till nödvändiga patientuppgifter finns i 15 §. 
Patientuppgifter får lämnas ut till kunden med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
21 § 
Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster 
Trots sekretessbestämmelserna får klientuppgifter inom socialvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna lämnas ut till en annan tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten. 
Trots sekretessbestämmelserna får klientuppgifter inom socialvården, om klienten samtycker, lämnas ut till en tjänstetillhandahållare inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård. 
Klientuppgifter lämnas till tjänstetillhandahållare med hjälp av riksomfattande informationssystemtjänster efter det att klienten har informerats i enlighet med 16 § och existensen av en kund- eller vårdrelation mellan klienten och den som framställt begäran om utlämnande har säkerställts datatekniskt, om inte klienten med stöd av 18 § har förbjudit att uppgifter om honom eller henne lämnas ut. Bestämmelser om åtkomsträtt till nödvändiga kunduppgifter finns i 15 §. 
Klientuppgifter inom socialvården får lämnas ut till klienten med hjälp av en välbefinnandeapplikation eller ett medborgargränssnitt. För att få uppgifterna via välbefinnandeapplikationen ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
22 § 
Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården 
Med hjälp av de riksomfattande informationssystemtjänsterna får intyg, utlåtanden och andra handlingar som innehåller kunduppgifter förmedlas till en aktör utanför social- och hälsovården. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Kundhandlingarna förmedlas med hjälp av den informationsförmedlings- och förmedlingsservice som hör till de riksomfattande informationssystemtjänsterna. 
Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen. 
23 § 
Användning av e-tjänster och behandling av uppgifter för någon annans räkning 
En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) för en annan persons räkning behandla sådana uppgifter om denna person som har sparats i en riksomfattande informationssystemtjänst. En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen, 9 § 2 mom. i patientlagen, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983). 
24 § 
Medborgargränssnitt samt kunduppgifter och viljeyttringar som visas via det 
En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt. 
Personen får via medborgargränssnittet visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen eller enligt annan lagstiftning inte har rätt att få. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter. 
25 § 
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande 
En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje kundregister samla in logguppgifter om all användning och allt utlämnande av kunduppgifter. 
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen. 
I utlämningsloggregistret ska det föras in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren och tidpunkten för utlämnandet samt andra uppgifter som behövs för tillsynen och uppföljningen av utlämnandet. 
Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 6 § avsedda riksomfattande informationssystemtjänsterna och som har lämnats ut via dem samla in dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk. I den förvaringstjänst för loggregister som avses i 6 § sparas logguppgifter om utlämnande av en tjänstetillhandahållares kundregisteruppgifter. I förvaringstjänsten för loggregister får logguppgifter om användning sparas. 
Närmare bestämmelser om förvaringstiden för logguppgifter får utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll. 
26 § 
Kundens rätt att få information om behandlingen av sina egna uppgifter 
En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren utifrån loggregistret avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Kunden har motsvarande rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, viljeyttringstjänsten, receptcentret och informationsresursen för egna uppgifter, logguppgifter för använda eller utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. 
Kunden har dock ingen rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. 
Om en kund på nytt begär logguppgifter som han eller hon redan har fått, får tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillgång till logguppgifter med hjälp av det i 24 § avsedda medborgargränssnittet får dock ingen avgift tas ut. 
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska det fattas ett skriftligt avslagsbeslut. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen. 
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Om tjänstetillhandahållaren bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren på eget initiativ vidta nödvändiga åtgärder. 
5 kap. 
Egenkontroll av informationssäkerhet och dataskydd 
27 § 
Informationssäkerhetsplan 
En tjänstetillhandahållare, en mellanhand och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. Planen ska innehålla redogörelser för hur följande krav som hänför sig till behandlingen av klient- och patientuppgifterna och systemen säkerställs: 
1) de som använder informationssystemen har den utbildning som användningen kräver, 
2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen, 
3) informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten, 
4) informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten, 
5) informationssystemens driftsmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet, 
6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd, 
7) informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs, 
8) informationssystem som avses i 29 § uppfyller i 34 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål, och 
9) tjänstetillhandahållaren, mellanhanden och Folkpensionsanstalten har en plan för hur egenkontrollen ska ordnas och genomföras inom dess verksamhet. 
Innan en tjänstetillhandahållare ansluter sig som användare av de riksomfattande informationstjänsterna, ska det i tjänstetillhandahållarens informationssäkerhetsplan redogöras för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster. 
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten. 
28 § 
Genomförande av och ansvar för egenkontroll av informationssäkerheten 
Den ansvariga föreståndaren hos en tillhandahållare av social- och hälsovårdstjänster ska se till att en informationssäkerhetsplan enligt 27 § utarbetas och iakttas. Den ansvariga föreståndaren ska meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. 
För att uppföljning och tillsyn i fråga om dataskyddet och informationssäkerheten har tjänstetillhandahållaren rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i informationshanteringstjänsten och viljeyttringstjänsten och logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig. 
Folkpensionsanstalten och en mellanhand ska följa genomförandet av informationssäkerhetsplanen. 
Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artiklarna 37—39 i dataskyddsförordningen. 
6 kap. 
Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande 
29 § 
Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering 
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. 
Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör 
1) de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten, 
2) de informationssystem och välbefinnandeapplikationer som behandlar kunduppgifter och som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna, 
3) sådana andra informationssystem och välbefinnandeapplikationer och tjänster tillhandahållna av mellanhänder som i fråga om sitt användningsändamål kräver certifiering. 
Andra informationssystem än de som avses i 2 mom. hör till klass B. 
Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem. I oklara fall beslutar Institutet för hälsa och välfärd om huruvida ett informationssystem hör till klass A eller klass B. 
30 § 
Registrering av informationssystem och välbefinnandeapplikationer 
Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket för social- och hälsovården innan informationssystemen eller välbefinnandeapplikationerna tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål framgå, och till anmälan ska det fogas i 35 och 36 § avsedda utredningar om och i 37 § avsett intyg över att de väsentliga krav som ställs på systemet eller applikationen enligt dess användningsändamål uppfylls. Om producenten av en informationssystemtjänst är någon annan än tillverkaren av informationssystemet, ska också producenten framgå av anmälan. Producenten av en informationssystemtjänst ska göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion av tjänster inte längre stöds eller att en annan aktör övertagit ansvaret för informationssystemet. 
Tillstånds- och tillsynsverket för social- och hälsovården för ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket. Registret ska innehålla uppgifter om 
1) informationssystem och välbefinnandeapplikationer som är avsedda att användas för produktion av tjänster, deras användningsändamål och de väsentliga krav som de uppfyller, 
2) resultat av interoperabilitetstestningen av informationssystem och välbefinnandeapplikationer som hör till klass A och som har godkänts för användning i produktion av tjänster, och 
3) giltighetstiden för det intyg över bedömning av informationssäkerhet som utfärdats enligt en bedömning av informationssäkerhet för informationssystem och välbefinnandeapplikationer som hör till klass A och har godkänts för användning i produktion av tjänster, och 
4) en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion av tjänster, medan avvikelsen varar. 
Tillstånds- och tillsynsverket för social- och hälsovården får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret. 
31 § 
Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster 
Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna efter det att systemet eller applikationen har certifierats i enlighet med 35 §. 
Ett informationssystem eller en välbefinnandeapplikation får inte tas i användning för produktion av tjänster, om det inte finns giltiga uppgifter om systemet eller applikationen i det i 30 § 2 mom. avsedda registret, eller om intyget över bedömning av informationssäkerhet för ett informationssystem eller en välbefinnandeapplikation som hör till klass A har gått ut. 
32 § 
Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer 
Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården. 
Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Bedömningsorganet för informationssäkerhet och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering. 
Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska bevara uppgifter om interoperabilitet och informationssäkerhet samt övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster. 
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras. 
7 kap. 
Väsentliga krav på informationssystem och välbefinnandeapplikationer 
33 § 
Allmänna skyldigheter för tillverkare av informationssystem och välbefinnandeapplikationer och producenter av informationssystemtjänster 
Tillverkaren av ett informationssystem för social- och hälsovården ansvarar för planeringen och tillverkningen av informationssystemet, oberoende av om dessa åtgärder utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. 
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska. 
Tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter. 
34 § 
Väsentliga krav på informationssystem och välbefinnandeapplikationer 
Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det. 
De informationssystem som tjänstetillhandahållaren använder ska till sitt användningsändamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. 
Ett informationssystem uppfyller de väsentliga kraven när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av klient- och patientuppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. 
Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven och om de väsentliga krav de informationssystem och välbefinnandeapplikationer som används i de olika tjänsterna ska uppfylla. 
35 § 
Påvisande av överensstämmelse med kraven 
Överensstämmelse med kraven ska för ett informationssystem och en välbefinnandeapplikation som hör till klass A visas med certifiering, det vill säga en utredning från producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen om att systemet eller applikationen uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål. Certifieringen visas med en godkänd interoperabilitetstestning och ett sådant intyg över bedömning av informationssäkerhet av ett bedömningsorgan för informationssäkerhet som avses i 37 §. Producenten av en informationssystemtjänst ansvarar för att informationssystemet är certifierat och tillverkaren av välbefinnandeapplikation ansvarar för att applikationen är certifierad. 
Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, drivits och använts på behörigt sätt. Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet. 
Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifiering av interoperabiliteten i fråga om informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i lagen om elektroniska recept. 
36 § 
Interoperabilitetstestning 
Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets eller välbefinnandeapplikationens funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten. 
Ett informationssystem som hör till klass A och har tagits i användning för produktion av tjänster ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet när kraven har verifierats. 
Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar. 
37 § 
Bedömning av informationssäkerhet 
Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för producenten eller tillverkaren av en informationssystemtjänst eller för användaren. Bedömningen av informationssäkerhet görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation. 
Bedömningsorganet för informationssäkerhet ska utifrån sin bedömning av informationssäkerhet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport. Bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets eller välbefinnandeapplikationens användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet. 
Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Intyget är giltigt i högst tre år. Intygets giltighetstid får förlängas med högst tre år i sänder. 
38 § 
Anmälningsskyldighet för bedömningsorgan för informationssäkerhet 
Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. 
Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet. 
8 kap. 
Styrning och tillsyn 
39 § 
Styrning, övervakning och uppföljning 
Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt beslutsfattandet om totalfinansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden. 
Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag. 
40 § 
Övervakning och inspektioner av informationssystem 
Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven. 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. 
Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift. 
Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades. 
41 § 
Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem 
Om tjänstetillhandahållaren konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denne underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för kundsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Om tjänstetillhandahållaren eller en annan aktör konstaterar dataskyddsavvikelser när det gäller uppfyllandet av de väsentliga kraven på ett datasystem, ska denne underrätta dataombudsmannen om saken. 
42 § 
Rätt att få information 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över informationssystem inom social- och hälsovården få nödvändig information av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården. 
43 § 
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter 
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av ett informationssystems överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. 
44 § 
Föreläggande att fullgöra skyldigheter 
Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tjänstetillhandahållare, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid. 
45 § 
Skyldigheter avseende informationssystem som är i bruk 
När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem med stöd av 40 § får verket samtidigt ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa brister i informationssystem som används för produktion av tjänster. 
Om ett informationssystem kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. 
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst eller en av denne befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet för produktion av tjänster. 
9 kap. 
Särskilda bestämmelser 
46 § 
Samarbete som gäller elektronisk informationshantering inom social- och hälsovården 
Social- och hälsovårdsministeriet ska se till att det har ordnats samarbetsformer och samarbetsförfaranden för det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag. 
Statsrådet kan tillsätta delegationer och andra samarbetsorgan som behövs för det samarbete som avses i 1 mom. 
Folkpensionsanstalten ska se till att det har ordnats samarbetsformer och samarbetsförfaranden kring den produktionsverksamhet som gäller informationssystemtjänster med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten. 
47 § 
Avgifter 
Användningen av de riksomfattande informationssystemtjänster enligt 6 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tjänstetillhandahållarna. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. 
Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för användningsavgifterna för de följande fyra åren och av investeringsbehoven under de fyra följande åren och kostnaderna för dem. 
Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Folkpensionsanstalten har rätt att ta ut en avgift för interoperabilitetstestning enligt 36 § till ett självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 30 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet. 
48 § 
Straffbestämmelser 
Den som uppsåtligen eller av grov oaktsamhet 
1) bryter mot identifieringsskyldigheten i 17 § 1 mom., 
2) lämnar ut kunduppgifter i strid med 20—22 § utan kundens samtycke eller utan att en bestämmelse i lag tillåter det eller 
3) försummar sin skyldighet att informera enligt 16 § 1 mom. och på så sätt äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt 
ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter. 
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen. 
49 § 
Vite 
Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag och ett beslut som verket har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990). 
50 § 
Ändringssökande 
Omprövning får begäras i fråga om ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen. 
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). 
Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat. 
10 kap. 
Ikraftträdande och övergångsbestämmelser 
51 § 
Ikraftträdande 
Denna lag träder i kraft den 20 . 
Genom denna lag upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). 
52 § 
Övergångsbestämmelser 
Tjänstetillhandahållare inom den offentliga socialvården ska ansluta sig till den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten för kunduppgifter senast den 1 september 2024 och tjänstetillhandahållare inom den privata socialvården senast den 1 januari 2026. 
Bestämmelserna i 13 § 2 mom., vad som föreskrivs om förbud som riktas till företagshälsovården i 18 § 2 mom. samt bestämmelserna i 20 § 2 mom. och 21 § 2 mom. tillämpas senast den 1 juni 2023. 
Lagens 18 § tillämpas utom i fråga om förbud som gäller register inom företagshälsovården senast från det att kundhandlingar lämnas ut från den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten för kunduppgifter. 
Lagens 19 § tillämpas inom socialvården från och med den 1 juni 2022 eller senast från det att kundhandlingar inom socialvården lämnas ut från den i 6 § 1 mom. 1 punkten avsedda riksomfattande arkiveringstjänsten. 
Lagens 20 § 4 mom. tillämpas i fråga om välbefinnandeapplikationer senast den 1 december 2022. 
Lagens 21 § 1 och 3 mom. tillämpas senast den 1 juni 2022. 
Lagens 21 § 4 mom. tillämpas i fråga om välbefinnandeapplikationer senast den 1 december 2024. 
 Slut på lagförslaget 

2. Lag om ändring av lagen om klienthandlingar inom socialvården 

I enlighet med riksdagens beslut 
upphävs i lagen om klienthandlingar inom socialvården (254/2015) 3 § 9 punkten, 21 §, 23 § 2 mom., 24 §, 25 § 1 och 2 mom. och 27 § 2 mom. samt 
ändras 2 § 2 och 3 mom., 3 § 6 punkten, 6 § 1 mom., 7 §, 9—11 §, 13 § 1 mom., 22 §, rubriken för 23 § samt 23 § 1 mom., 26 § och 27 § 1 mom., av dem 2 § 2 och 3 mom. sådana de lyder i lag 1202/2019, som följer: 
2 § 
Tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
Denna lag tillämpas behandlingen av sådana klientuppgifter inom socialvården som avses i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, inom såväl den offentliga som den privata socialvården. 
Bestämmelser om behandlingen av klientuppgifter finns dessutom i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kunduppgiftslagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, för- valtningslagen (434/2003), dataskyddslagen (1050/2018), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009), arkivlagen (831/1994), lagen om informationshantering inom den offentliga förvaltningen (906/2019) och lagen om patientens ställning och rättigheter (785/1992). 
3 § 
Definitioner 
I denna lag avses med 
 En icke ändrad del av lagtexten har utelämnats 
6) klientuppgift en personuppgift som har erhållits inom socialvården och som har antecknats eller som enligt denna lag ska antecknas i en klienthandling inom socialvården, 
 En icke ändrad del av lagtexten har utelämnats 
6 § 
Språket i handlingarna 
Det språk som används i klienthandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem. 
 En icke ändrad del av lagtexten har utelämnats 
7 § 
Anteckning av klientuppgifter inom social- och hälsovården i det interna samarbetet vid en verksamhetsenhet inom socialvården 
Om socialservice lämnas gemensamt av personal inom socialvården och hälso- och sjukvården vid en verksamhetsenhet inom socialvården, ska det upprättas en gemensam genomföranderapport för klienten. Dessutom kan det utarbetas en gemensam klientplan och andra behövliga gemensamma klienthandlingar för klienten. Sådana gemensamma klienthandlingar som avses i detta moment ska registreras i socialvårdens klientregister. 
En person som deltar i lämnandet av i 1 mom. avsedd gemensam service ska ha tillgång till sådana gemensamma klienthandlingar som han eller hon behöver i sitt arbete. En kopia av en gemensam klientplan får vid behov registreras i patientregistret. 
Patientuppgifter om hälso- och sjukvård som lämnas av en yrkesutbildad person inom hälso- och sjukvården ska dessutom antecknas i journalhandlingarna och registreras i patientregistret i enlighet med vad som föreskrivs särskilt. 
9 § 
Basuppgifter som ska antecknas i en klienthandling 
Följande basuppgifter ska alltid antecknas i en klienthandling: 
1) handlingens namn, 
2) klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet, 
3) serviceanordnarens, serviceproducentens och vid behov servicegivarens namn och identifikationskod, 
4) namnet på den som upprättat handlingen eller gjort anteckningen samt dennes tjänsteställning eller uppgift vid verksamhetsenheten, 
5) tidpunkten för när handlingen upprättats eller anteckningen gjorts, samt 
6) eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare. 
Vidare ska följande basuppgifter om berörda personer antecknas i en handling om uppgifterna inverkar på de tjänster klienten får eller de åtgärder som föreslås i handlingen: 
1) klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun, 
2) namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten och samt uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, om handlingen gäller en minderårig klient, 
3) namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en myndig klient, eller för en person som klienten har bemyndigat, samt 
4) vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten. 
10 § 
Anteckningar om att uppgifter har lämnats ut 
Om uppgifter om en klient lämnas ut till en utomstående, ska den som lämnar ut uppgifterna kunna verifiera 
1) vilka uppgifter som har lämnats ut, 
2) till vem uppgifterna har lämnats ut, 
3) när uppgifterna har lämnats ut, 
4) vem som har lämnat ut uppgifterna, 
5) vilken bestämmelse som ligger till grund för utlämnandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har lämnats ut. 
11 § 
Anteckningar om att uppgifter har tagits emot 
Om uppgifter om en klient fås av någon annan än klienten själv, ska mottagaren kunna verifiera 
1) vilka uppgifter som har inhämtats eller tagits emot, 
2) av vem man har fått uppgifterna, 
3) när uppgifterna har tagits emot, 
4) vem som har begärt uppgifterna, om de har inhämtats på eget initiativ, 
5) vilken bestämmelse som ligger till grund för inhämtandet eller mottagandet, eller uppgifter om samtycke, samt 
6) det ändamål för vilket uppgifterna har inhämtats eller mottagits. 
13 § 
Rättelse av anteckningar i en klienthandling 
Bestämmelser om rättelse av uppgifter i en klienthandling finns i artikel 16 i dataskyddsförordningen. En rättelse av uppgifter ska alltid göras i originalhandlingen. 
 En icke ändrad del av lagtexten har utelämnats 
22 § 
Registrering av uppgifter i socialvårdens klientregister 
Bestämmelser om socialvårdsmyndighetens skyldighet att se till att handlingarna registreras finns i 8 § i kunduppgiftslagen. 
Socialvårdsmyndigheten ska registrera klienthandlingarna i socialvårdens klientregister. 
Av varje klienthandling som registreras i klientregistret ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter inom socialvården handlingen ansluter sig. 
 En icke ändrad del av lagtexten har utelämnats 
23 § 
Åtkomsträttigheter till klientuppgifter som registrerats elektroniskt 
Bestämmelser om åtkomsträttigheter till klientuppgifter som registrerats elektroniskt finns i 15 § i kunduppgiftslagen. Åtkomsträttigheterna för yrkesutbildad personal inom social- och hälsovården till klientuppgifter inom socialvården som har registrerats elektroniskt ska bestämmas enligt serviceuppgift inom socialvården och med beaktande av varje persons arbetsuppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
26 § 
Uppföljning av användning och utlämnande av klientuppgifter 
Bestämmelser om logguppgifter, användningsloggregister och utlämningsloggregister som hänför sig till uppföljningen av de klientuppgifter som en tillhandahållare av social- och hälsotjänster har använt och lämnat ut elektroniskt samt bestämmelser om den tid som dessa uppgifter och register ska bevaras finns i 25 § i kunduppgiftslagen. 
27 § 
Förvaring av klientuppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Handlingar inom socialvården ska förvaras den tid som anges i bilagan. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av lagen om elektroniska recept 

I enlighet med riksdagens beslut 
upphävs i lagen om elektroniska recept (61/2007) 3 § 5 punkten, 13 § 2 mom., 19 § 2 mom., 24 § 4 mom. och 28 § 3 mom., 
av dem 3 § 5 punkten, 13 § 2 mom., 19 § 2 mom. och 24 § 4 mom. sådana de lyder i lag 251/2014, 
ändras 1 §, 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., 6 § 2 mom., rubriken för 7 § samt 7 § 2 mom., rubriken för 10 § samt 10 § 5 mom., rubriken för 12 § samt 12 § 2 och 4 mom., 13 § 1 och 3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, det inledande stycket i 15 § 1 mom. samt 15 § 3—5 mom., rubriken för 16 § samt 16 § 1—3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 18 §, 19 § 1 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 1 och 5 mom. samt 25 § 1 mom., 
av dem 3 § 4 punkten, 4 § 1 och 2 mom., 5 § 1 mom., rubriken för 10 § samt 10 § 5 mom., 12 § 4 mom., 13 § 1 och 3 mom., 4 mom. 5 och 6 punkten samt 5 mom., 14 §, det inledande stycket i 15 § 1 mom.,16 § 3 mom., 16 a §, 17 § 1 mom., 2 mom. 2 punkten och 4 mom., 22 a och 22 b §, 23 § 1 mom., 23 a § 1 mom. och 3 mom. 2 punkten, 24 § 5 mom. och 28 § 1 mom. sådana de lyder i lag 251/2014 samt 7 § 2 mom., 15 § 4 och 5 mom., 24 § 1 mom. och 25 § 1 mom., sådana de lyder i lag 557/2019, och 
fogas till 3 §, sådan den lyder delvis ändrad i lagarna 436/2010 och 251/2014, en ny 8 a- punkt, till 10 §, sådan den lyder i lag 251/2014, ett nytt 4 mom., varvid det nuvarande 4 och det ändrade 5 mom. blir 5 och 6 mom., till 11 §, sådan den lyder delvis ändrad i lag 251/2014, ett nytt 3 mom. samt till 13 § 4 mom., sådant det lyder i lag 251/2014, nya 4 a och 7 punkter och till den paragrafen, sådan den lyder i lag 251/2014, ett nytt 5 mom. som följer: 
1 § 
Lagens syfte 
Syftet med denna lag är att förbättra patient- och läkemedelssäkerheten samt underlätta och effektivisera förskrivningen och expedieringen av läkemedel genom ett system där patientens läkemedelsordinationer kan lagras elektroniskt i ett receptcenter på riksnivå och där läkemedlen utifrån de recept som lagrats i receptcentret kan expedieras till patienten vid den tidpunkt som patienten önskar och på det apotek som han eller hon har valt. Syftet med lagen är dessutom att möjliggöra klarläggandet av patientens samlade medicinering och beakta den vid läkemedelsbehandling samt att nyttiggöra de samlade uppgifterna i receptcentret i myndigheternas verksamhet inom hälso- och sjukvården. 
3 § 
Definitioner 
I denna lag avses med 
 En icke ändrad del av lagtexten har utelämnats 
4) receptcenter en databas som består av elektroniska recept som lagrats av läkemedelsförskrivarna, av recept som apoteken har lagrat på de grunder som föreskrivs i 12 §, av sådana uppgifter om läkemedel som överlåtits till patienter av tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster på de grunder som föreskrivs i 23 §, av expedieringsuppgifter som fogats till recepten och av anteckningar som hänför sig till en bedömning av läkemedelsbehandlingen, 
 En icke ändrad del av lagtexten har utelämnats 
8 a) pro auctore-recept ett skriftligt recept genom vilket en läkare, tandläkare, optiker eller munhygienist förskriver ett läkemedel som behövs i samband med hans eller hennes yrkesutövning. 
 En icke ändrad del av lagtexten har utelämnats 
4 § 
Information till patienten 
Innan ett elektroniskt recept görs upp ska patienten informeras om elektroniska recept och patientens rättigheter i anslutning till sådana. Dessutom ska patienten informeras om de riksomfattande informationssystemtjänster som hänför sig till elektroniska recept, om de allmänna principerna för hur tjänsterna fungerar och om anordnaren av informationssystemtjänster. 
Tillhandahållaren av hälso- och sjukvårdstjänster ska personligen informera patienten skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på något annat sätt än skriftligt, ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i den viljeyttringstjänst som avses i 16 a §. 
 En icke ändrad del av lagtexten har utelämnats 
5 § 
Uppgörande av recept 
Recept ska göras upp elektroniskt med undantag för pro auctore-recept och recept som gäller läkemedelsgaser, vilka får göras upp skriftligt, och recept som gäller patientspecifika specialtillståndspreparat, vilka får göras upp skriftligt eller elektroniskt. Om det på grund av en teknisk störning inte är möjligt att göra en elektronisk förskrivning, får ett recept också göras upp skriftligt eller förskrivas per telefon. Ett recept får likaså göras upp skriftligt eller förskrivas per telefon på begäran av ett apotek, om apoteket inte kan expediera ett elektroniskt recept på grund av en teknisk störning. Dessutom får ett recept göras upp skriftligt eller förskrivas per telefon, om läkemedelsbehandlingen brådskar och det på grund av exceptionella förhållanden eller av någon annan särskild orsak inte går att göra upp ett elektroniskt recept. 
 En icke ändrad del av lagtexten har utelämnats 
6 § 
Informationen i recept 
 En icke ändrad del av lagtexten har utelämnats 
Av ett recept får det utöver de uppgifter som avses i 1 mom. framgå andra uppgifter som är relevanta för förskrivningen, användningen och expedieringen av läkemedlet och för genomförandet och uppföljningen av läkemedelsbehandlingen. 
 En icke ändrad del av lagtexten har utelämnats 
7 § 
Signering av recept samt systemcertifikat 
 En icke ändrad del av lagtexten har utelämnats 
Myndigheten för digitalisering och befolkningsdata svarar för certifikattjänsten i enlighet med 6 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), nedan kundsuppgiftslagen. Närmare bestämmelser om certifiering av att den som gjort upp recept har rätt att förskriva läkemedel och om genomförandet av certifikattjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet ska innan förordningen utfärdas höra Myndigheten för digitalisering och befolkningsdata till den del det gäller den uppgift som Myndigheten för digitalisering och befolkningsdata har enligt vad som föreskrivs ovan. 
10 § 
Rättelse, avslutande, makulering och förnyelse av recept 
 En icke ändrad del av lagtexten har utelämnats 
Om läkemedelsförskrivaren beslutar att en patient ska sluta använda ett läkemedel som patenten har använt, ska en anteckning om detta föras in i receptcentret. 
 En icke ändrad del av lagtexten har utelämnats 
Närmare bestämmelser om rättelse, makulering, förnyelse och förhindrande av förnyelse av ett elektroniskt recept och om anteckningar som gäller avslutad användning av ett läkemedel får utfärdas genom förordning av social- och hälsovårdsministeriet. 
 En icke ändrad del av lagtexten har utelämnats 
11 § 
Apotekets rätt att få uppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Apoteket har rätt att få uppgifter om recept och receptexpedieringar som har lagrats i receptcentret för så lång tid som de är nödvändiga för skötseln av apotekets uppgifter, dock för högst 42 månader från det att receptet gjordes upp. 
12 § 
Expediering av recept 
 En icke ändrad del av lagtexten har utelämnats 
När läkemedlet överlåts ska den som köper läkemedlet få en skriftlig utredning om det expedierade läkemedlet och uppgift om den oexpedierade delen av receptet, om inte köparen uppger att han eller hon inte vill ha någon utredning. Med patientens samtycke får utredningen innehålla information om patientens alla recept som finns lagrade i receptcentret. Om läkemedlet avhämtas av någon annan än patienten själv eller av någon annan än patientens lagliga företrädare, får en utredning med alla receptuppgifter dock ges endast om patienten eller dennes lagliga företrädare har gett en fullmakt för detta. Bestämmelser om fullmakt finns i lagen om rättshandlingar på förmögenhetsrättens område (228/1929). En fullmakt kan ges också inom en behörighetstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). 
 En icke ändrad del av lagtexten har utelämnats 
Om ett recept har gjorts upp skriftligt eller förskrivits per telefon på grund av en sådan teknisk störning eller annan orsak som avses i 5 § 1 mom. och receptet inte har lagrats i receptcentret, ska apoteket lagra receptet och expedieringsuppgifter som hänför sig till det i receptcentret när receptet expedieras eller, om en teknisk störning hindrar omedelbar lagring, så snart som möjligt. I samband med detta kan också uppgifter om andra skriftliga recept lagras i receptcentret. Apoteket kan också i samband med detta lagra sådana pappers- och telefonrecept för kunden i receptcentret som inte expedieras vid den tidpunkten. Den som har antecknats som läkemedelsförskrivare i ett recept har oberoende av vårdrelation rätt att från receptcentret få uppgifter om vilka recept som av ett apotek har lagrats i receptcentret försedda med anteckning om att han eller hon är läkemedelsförskrivare. Närmare bestämmelser om lagring av skriftliga recept och telefonrecept och expedieringsuppgifter i fråga om dem i receptcentret och om de sökfunktioner med vilka en läkemedelsförskrivare kan få uppgifter om recept som apoteken lagrat i receptcentret får utfärdas genom förordning av statsrådet. 
13 § 
Patientens rätt att bestämma om utlämnande av uppgifter 
Uppgifter i receptcentret om en patients recept, receptexpedieringar och begäran om receptförnyelser får trots sekretessbestämmelserna lämnas ut till tillhandahållare av hälso- och sjukvårdstjänster och socialvårdstjänster och till läkemedelsförskrivare i syfte att ordna och tillhandahålla hälso- och sjukvård för patienten. Patienten har dock rätt att förbjuda att de recept som han eller hon specificerat lämnas ut till de ovan avsedda aktörerna och till apoteken. Ett förbud får återtas när som helst. Förbud och återtagande av förbud kan meddelas till vilken som helst tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har anslutit sig till de elektroniska recepten. Förbud får meddelas och återtas också genom det medborgargränssnitt som avses i 17 §. Uppgiften om ett förbud som en patient har meddelat ska lagras i den viljeyttringstjänst som avses i 12 § i kunduppgiftslagen. 
 En icke ändrad del av lagtexten har utelämnats 
Om en minderårig patient på det sätt som avses i 7 § 1 mom. i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, med beaktande av sin ålder och utvecklingsnivå själv kan fatta beslut om sin vård, kan han eller hon också besluta om förbud som avses i 1 mom. En minderårigs vårdnadshavare eller lagliga företrädare har inte rätt att förbjuda utlämnande. En minderårig som avses i 9 § 2 mom. i patientlagen har dessutom rätt att förbjuda att uppgifter i ett elektroniskt recept lämnas ut till den minderåriges vårdnadshavare eller andra lagliga företrädare. 
Oberoende av 1 mom. får 
 En icke ändrad del av lagtexten har utelämnats 
4 a) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som under den tid en vårdrelation pågår har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tillhandahållaren av tjänsterna har lagrat i receptcentret och om expedieringar utifrån dem, 
5) till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster och till en yrkesutbildad person inom hälso- och sjukvården, i sådana situationer som avses i 8 § i patientlagen där brådskande vård måste ges och patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet, lämnas ut uppgifter om recept som har lagrats i receptcentret och om expedieringar av dem, 
6) till sådan teknisk personal hos en tillhandahållare av hälso- och sjukvårdstjänster, hos Folkpensionsanstalten och hos informationssystemets leverantör som svarar för de elektroniska receptens funktion lämnas ut uppgifter i den omfattning som krävs för att åtgärda störningar och problemsituationer, och 
7) för tillsynsutredningar till en tillhandahållare av hälso- och sjukvårdstjänster eller socialvårdstjänster som har upprättat en handling som har lagrats i receptcentret lämnas ut uppgifter om handlingar som tjänstetillhandahållaren har lagrat i receptcentret och om expedieringar utifrån dem. 
Närmare bestämmelser om förbudsförfarandet samt om tillgodoseendet av den rätt att få uppgifter och om sådant klarläggande av den tekniska personalens rättigheter som avses i 4 mom. 6 punkten får utfärdas genom förordning av social- och hälsovårdsministeriet. 
Uppgifter i ett elektroniskt recept får lämnas ut till patienten med hjälp av en i 3 § 17 punkten i kunduppgiftslagen avsedd välbefinnandeapplikation eller ett i 17 § i denna lag avsett medborgargränssnitt. För att få uppgifterna via en välbefinnandeapplikation ska patienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. 
14 § 
Förbudshandling 
Den som tar emot ett förbud som en kund meddelar ska på begäran ge kunden en utskrift av förbudet. Av utskriften ska förbudets betydelse för behandlingen av kunduppgifter framgå. Utskriften ska innehålla i 13 § avsedda uppgifter om de specificerade elektroniska recept som förbudet gäller och om förbudets betydelse. Utskriften ska innehålla en utredning om att de uppgifter som omfattas av ett gällande förbud inte får utnyttjas när hälso- och sjukvård ges även om de är relevanta med tanke på vården, om inte förbudet återtas eller mottagaren av uppgifterna har lagstadgad rätt att få uppgifter. 
Folkpensionsanstalten meddelar närmare föreskrifter om innehållet i en förbudshandling. En patient som meddelar ett förbud via det gränssnitt som avses i 17 § ska få motsvarande information via gränssnittet. 
15 § 
Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning 
Trots sekretessbestämmelserna och andra bestämmelser om användningen av uppgifterna får Folkpensionsanstalten i egenskap av gemensamt personuppgiftsansvarig för receptcentret, utöver vad som föreskrivs någon annanstans i lagstiftningen, från receptcentret på begäran 
 En icke ändrad del av lagtexten har utelämnats 
Bestämmelser om Folkpensionsanstaltens rätt att ta del av uppgifterna i receptcentret finns i 19 kap. 1 § i sjukförsäkringslagen (1224/2004). Folkpensionsanstalten får inte lämna uppgifter vidare med stöd av sådan skyldighet eller rätt att lämna uppgifter som den har enligt någon annan lag. 
Tillståndsmyndigheten för användning av social- och hälsovårdsdata har rätt att behandla uppgifter i och lämna ut uppgifter från receptcentret i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019). 
Folkpensionsanstalten får i egenskap av gemensamt personuppgiftsansvarig för de myndigheter som nämns i 1 mom. upprätta och till dem överlåta sammanställningar över sådana uppgifter i receptcentret som kan vara av betydelse för utredning av läkemedelssäkerheten eller nyttan av eller kostnaderna för läkemedelsbehandlingar eller vid utvecklandet av Folkpensionsanstaltens verksamhet och tjänster. 
16 § 
Patientens rätt till information och rättelse av felaktiga uppgifter i receptcentret 
Bestämmelser om patientens rätt att ta del av uppgifterna om sig själv i receptcentret finns i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i 34 § i dataskyddslagen (1050/2018). 
Bestämmelser om rättelse av felaktiga uppgifter i receptcentret finns i 10 § och i artikel 16 i dataskyddsförordningen. Om patienten eller dennes lagliga företrädare med stöd av artikel 16 i dataskyddsförordningen kräver att en uppgift ska rättas och om den felaktiga uppgiften grundar sig på läkemedelsförskrivarens eller läkemedelsexpedierarens anteckning, ska kravet på rättelse riktas till den person som gjort den felaktiga anteckningen eller den organisation där personen var anställd när felet begicks. 
Patienten har rätt att på begäran utifrån logguppgifter få veta vem som har behandlat eller haft åtkomst till sådan information om honom eller henne som finns i receptcentret eller i den i 12 § i kunduppgiftslagen avsedda viljeyttringstjänsten. Patienten har dock inte rätt att få logguppgifter, om den som lämnar ut uppgifterna vet att utlämnandet kan medföra allvarlig fara för patientens hälsa eller vård eller för någon annans rättigheter. Patienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Logguppgifter som en patient har fått får inte användas eller lämnas vidare för något annat ändamål. Folkpensionsanstalten ska lämna ut uppgifterna utan dröjsmål. Det får inte tas ut någon avgift för utlämnandet av uppgifterna. En patient som på nytt begär samma uppgifter som han eller hon redan har fått har rätt att få uppgifterna endast om det finns grundad anledning till det med hänsyn till tillgodoseendet av patientens intressen eller rättigheter. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen. För uppgifter som lämnas ut på nytt får Folkpensionsanstalten ta ut en avgift som inte får överstiga kostnaderna för utlämnande av uppgifterna. 
 En icke ändrad del av lagtexten har utelämnats 
16 a § 
Viljeyttringstjänsten och informationshanteringstjänsten 
I den viljeyttringstjänst som avses i 12 § i kunduppgiftslagen lagras uppgifter om patientens förbud och samtycken och om information som patienten fått. Genom den informationshanteringstjänst som avses i 11 § i kunduppgiftslagen är det möjligt att i den utsträckning som föreskrivs i 13 § i denna lag ge åtkomst till de uppgifter om recept och om expedieringar av dem som finns i receptcentret. Uppgifterna får användas för att förskriva läkemedel till patienten och för att ordna och tillhandahålla hälso- och sjukvård för patienten. 
17 § 
Medborgargränssnitt 
Med hjälp av medborgargränssnittet ges en patient uppgifter om patientens i receptcentret lagrade recept, rättelse- och expedieringsanteckningar i dem, uppgifter om förbud samt utlämningslogguppgifter, med undantag för personuppgifter om mottagaren av uppgifter och sådana utlämningslogguppgifter som en patient enligt 16 § 3 mom. inte har rätt att få. Bestämmelser om skötsel av ärenden och behandling av uppgifter för någon annans räkning i en e-tjänst finns också i 23 § i kunduppgiftslagen. 
Genom gränssnittet kan patienten dessutom 
 En icke ändrad del av lagtexten har utelämnats 
2) meddela och återta ett förbud som avses i 13 §, och 
 En icke ändrad del av lagtexten har utelämnats 
Medborgargränssnittet ska genomföras så att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får genom gränssnittet lämnas ut till patienten och till patientens vårdnadshavare eller någon annan laglig företrädare. Vid utlämnandet av uppgifter ska vad som i 9 § 2 mom. i patientlagen föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om patientens hälsotillstånd ges till patentens vårdnadshavare eller någon annan laglig företrädare då beaktas. Vårdnadshavarens eller företrädarens åtkomst till uppgifter genom gränssnittet får inte påverka patientens rätt att ta del av uppgifter som gäller honom eller henne själv. 
 En icke ändrad del av lagtexten har utelämnats 
18 § 
Receptcentrets personuppgiftsansvar 
Receptcentret är gemensamt register för Folkpensionsanstalten och apoteken samt för tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. 
Folkpensionsanstalten ansvarar för användbarheten och integriteten hos uppgifterna i receptcentret samt för att datainnehållet är oförändrat och att uppgifterna bevaras och utplånas. 
Tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept ansvarar för riktigheten av uppgifterna i recept som lagras i receptcentret. Det apotek som expedierar ett läkemedel ansvarar för riktigheten av de expedieringsuppgifter som lagras i receptcentret. 
Folkpensionsanstalten ansvarar för en personuppgiftsansvarigs andra skyldigheter enligt dataskyddsförordningen än de som genom denna lag påförs apoteken samt tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Folkpensionsanstalten är dessutom i artikel 26.1 i dataskyddsförordningen avsedd kontaktpunkt för de registrerade. 
19 § 
Förvaring av uppgifterna 
De handlingar och uppgifter om handlingarna som har lagrats i receptcentret bevaras i receptcentret i 20 år. Särskilda bestämmelser gäller i fråga om den skyldighet som tillhandahållarna av hälso- och sjukvårdstjänster och apoteken har att bevara uppgifter om recept. 
 En icke ändrad del av lagtexten har utelämnats 
22 a § 
Godkännande och ibruktagande av informationssystem och programvara 
De informationssystem som används när elektroniska recept görs upp och expedieras och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen ska innan de tas i bruk kontrolleras eller utvärderas för säkerställande av sekretessen, informationssäkerheten och interoperabiliteten för patientuppgifter i enlighet med 6 och 7 kap. i kunduppgiftslagen. 
22 b § 
Informationssäkerhetsplan 
Tjänstetillhandahållare som gör upp elektroniska recept, apoteken, Folkpensionsanstalten och producenterna av tjänster för förmedling av kunduppgifter ska utarbeta en informationssäkerhetsplan för säkerställande av sekretessen och informationssäkerheten för patientuppgifter i enlighet med 27 § i kunduppgiftslagen samt följa verksamheten och anmäla avvikelser i enlighet med 41 § i den lagen. 
23 § 
Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården 
Uppgifter om läkemedel som en tillhandahållare av social- eller hälso- och sjukvårdstjänster lämnar ut till en patient får lagras i receptcentret. När det gäller lagring av uppgifter om dessa läkemedel i receptcentret tillämpas i övrigt vad som i denna lag föreskrivs om elektroniska recept. Tillhandahållaren av social- eller hälso- och sjukvårdstjänster ansvarar för riktigheten av de uppgifter om läkemedel som enheten lämnar ut till en patient. 
 En icke ändrad del av lagtexten har utelämnats 
23 a § 
Gränsöverskridande elektroniska recept 
Ett elektroniskt recept som gjorts upp någon annanstans än i Finland får godkännas och expedieras av ett apotek som är verksamt i Finland, även om receptet inte uppfyller alla de krav som i denna lag ställs på elektroniska recept. En förutsättning för godkännande är dock att receptet uppfyller de krav som godkänts i Europeiska unionen eller som avtalats mellan Europeiska unionens medlemsstater och staterna inom Europeiska ekonomiska samarbetsområdet och att receptet förmedlas till ett finländskt apotek genom en utländsk och en finländsk nationell kontaktpunkt som certifierar receptets riktighet. En förutsättning för att receptet ska lämnas ut till utlandet är att utlämnandet sker via Finlands och mottagarlandets nationella kontaktpunkt. 
 En icke ändrad del av lagtexten har utelämnats 
Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om 
 En icke ändrad del av lagtexten har utelämnats 
2) överlåtelse av elektroniska recept till den nationella kontaktpunkten i en annan stat, och 
 En icke ändrad del av lagtexten har utelämnats 
24 § 
Styrning, uppföljning och övervakning 
Ordnandet och genomförandet och den allmänna planeringen, styrningen och övervakningen av elektroniska recept och i denna lag avsedda riksomfattande informationssystemtjänster hör till social- och hälsovårdsministeriets uppgifter. Den allmänna styrningen och övervakningen av den i 6 § i kunduppgiftslagen avsedda certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör dock gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
Den ansvariga föreståndaren för en tjänstetillhandahållare och apotekaren ska meddela skriftliga anvisningar om behandlingen av kunduppgifter och om de förfaranden som ska iakttas samt sörja för att de anställda har tillräcklig sakkunskap och kompetens när patientuppgifter behandlas. Bestämmelser om det dataskyddsombud som ska utnämnas för uppföljnings- och övervakningsuppgiften hos tjänstetillhandahållare och apotek finns i artikel 37 i dataskyddsförordningen. 
25 § 
Avgifter 
För lagring av elektroniska recept och receptexpedieringsuppgifterna om dem, för certifiering som avses i denna lag samt för användning av uppgifterna i receptcentret och läkemedelsdatabasen tas det ut en avgift som motsvarar kostnaderna för serviceproduktionen. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. Avgiften tas ut av Folkpensionsanstalten. Avgifter som hänför sig till den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. Trots 10 § i lagen om grunderna för avgifter till staten (150/1992) föreskrivs det genom förordning av social- och hälsovårdsministeriet om de avgifter som Folkpensionsanstalten tar ut så att de motsvarar kostnaderna för skötseln av tjänsterna. Bestämmelser om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer enligt 6 § i kunduppgiftslagen finns i lagen om grunderna för avgifter till staten. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
Bestämmelserna om utlämnande av uppgifter med hjälp av välbefinnandeapplikationer enligt 13 § 5 mom. ska börja tillämpas senast den 1 december 2022. 
Bestämmelserna i 23 a § tillämpas från och med den 1 januari 2023. 
 Slut på lagförslaget 

4. Lag om ändring av 9 § i hälso- och sjukvårdslagen 

I enlighet med riksdagens beslut 
ändras i hälso- och sjukvårdslagen (1326/2010) 9 § 4 mom. som följer: 
9 § 
Registret över patientuppgifter och behandling av patientuppgifter 
 En icke ändrad del av lagtexten har utelämnats 
Den som med hjälp av informationssystem använder uppgifter som har registrerats av en annan tillhandahållare av hälso- och sjukvårdstjänster ska följa upp användningen av patient- uppgifterna på det sätt som anges i 25 § i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Det ska datatekniskt säkerställas att en vårdrelation existerar mellan patienten och den som begärt uppgifter. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om ändring av 25 b § i barnskyddslagen 

I enlighet med riksdagens beslut 
ändras i barnskyddslagen (417/2007) 25 b §, sådan den lyder i lag 1302/2014, som följer: 
25 b § 
Registrering av barnskyddsanmälningar i socialvårdens klientregister 
Barnskyddsanmälningar ska registreras i enlighet med 22 § i lagen om klienthandlingar inom socialvården (254/2015) i socialvårdens klientregister som avses i den lagen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om ändring av 13 a § i lagen om patientens ställning och rättigheter 

I enlighet med riksdagens beslut 
ändras i lagen om patientens ställning och rättigheter (785/1992) 13 a §, sådan den lyder i lag 1230/2010, som följer: 
13 a § 
Riksomfattande informationssystemtjänster 
Bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten förvaltar finns i lagen om elektroniska recept (61/2007). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av 2 § i lagen om Tillstånds- och tillsynsverket för social- och hälsovården 

I enlighet med riksdagens beslut 
ändras i lagen om Tillstånds- och tillsynsverket för social- och hälsovården (669/2008) 2 § 1 mom. 1 punkten, sådan den lyder i lag 1481/2019, som följer: 
2 § 
Uppgifter 
Verket ska sköta följande: 
1) den tillståndsförvaltning, styrning och tillsyn som hör till verkets uppgifter enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994), lagen om yrkesutbildade personer inom socialvården (817/2015), folkhälsolagen (66/1972), lagen om företagshälsovård (1383/2001), lagen om specialiserad sjukvård (1062/1989), hälso- och sjukvårdslagen (1326/2010), mentalvårdslagen (1116/1990), lagen om privat hälso- och sjukvård (152/1990), lagen om smittsamma sjukdomar (1227/2016), lagen om hälsovården inom försvarsmakten (322/1987), lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården ( / ), lagen om elektroniska recept (61/2007), socialvårdslagen (1301/2014), lagen om privat socialservice (922/2011), lagen angående specialomsorger om utvecklingsstörda (519/1977), hälsoskyddslagen (763/1994), alkohollagen (1102/2017), tobakslagen (549/2016), gentekniklagen (377/1995), lagen om produkter och utrustning för hälso- och sjukvård (629/2010) och lagen om Enheten för hälso- och sjukvård för fångar (1635/2015), 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag om ändring av lagen om klientens ställning och rättigheter inom socialvården 

I enlighet med riksdagens beslut 
fogas till lagen om klientens ställning och rättigheter inom socialvården (812/2000) en ny 14 a § som följer: 
14 a § 
Riksomfattande informationssystemtjänster 
Bestämmelser om utlämnande av uppgifter i handlingar inom socialvården med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kund- uppgifter inom social- och hälsovården ( / ). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 5 november 2020 
StatsministerSannaMarin
Familje- och omsorgsministerKristaKiuru