1.1
Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården
1 kap. Allmänna bestämmelser
1 §.Lagens syfte. Enligt paragrafen är syftet med lagen att främja och möjliggöra att kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt på ett informationssäkert sätt samt att föreskriva om de enhetliga och allmänna principer och krav som ska iakttas vid behandling av kunduppgifter och av uppgifter om välbefinnande. Behandling av kunduppgifter och uppgifter om välbefinnande behövs enligt artikel 9.2 (h) i den allmänna dataskyddsförordningen för medicinsk diagnostisering, för tillhandahållande av hälso- och sjukvård, behandling eller social omsorg eller för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas lagstiftning.
Lagförslaget gör det möjligt att behandla kunduppgifter som produceras inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande på ett informationssäkert sätt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Bestämmelser om användning av kunduppgifter för sekundära ändamål finns i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019, lagen om sekundär användning).
De kunduppgifter som producerats inom social- och hälsovården och de uppgifter som kunden själv producerar om sitt om välbefinnande ska kunna användas så effektivt som möjligt av de yrkesutbildade personerna inom social- och hälsovården. I fråga om kunduppgifterna beaktar lagförslaget dataskyddet för känsliga kunduppgifter och kraven på informationssäkerheten. I och med lagen främjas informationsutbytet mellan kunden och de yrkesutbildade personerna inom social- och hälsovården samt kundens möjligheter att få information om behandlingen av sina kunduppgifter.
2 §.Tillämpningsområde och förhållande till annan lagstiftning. I paragrafen föreslås bestämmelser om lagens tillämpningsområde och förhållande till annan lagstiftning. Lagen innehåller bestämmelser som kompletterar och preciserar dataskyddsförordningen när social- och hälsovårdens kunduppgifter och uppgifter som kunden själv producerar om sitt välbefinnande behandlas elektroniskt i samband med ordnandet och produktionen av hälso- och sjukvård och socialtjänster. Om det i denna lag föreskrivs annat än i dataskyddslagen, tillämpas bestämmelserna i denna lag.
Enligt paragrafen ska lagen tillämpas på den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och av de uppgifter som kunden själv producerar om sitt välbe finnande. Lagen ska tillämpas när en offentlig eller privat tillhandahållare ordnar eller producerar social- och hälsovård.
Med elektronisk behandling av kunduppgifter avses att samla in, registrera, organisera, an vända, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter elektroniskt samt att vidta andra åtgärder som gäller kunduppgifter.
Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen producerar själv och som överlåtits från Kanta-tjänsterna till väldbefinnandeapplikationer. En person ska i syfte att främja välbefinnandet ha möjlighet att registrera och använda uppgifterna om välbefinnande utan kund- eller vårdrelation.
I 2 mom. föreslås att lagens tillämpningsområde preciseras i förhållande till annan lagstiftning i enlighet med grundlagsutskottets utlåtande (RP 300/2018). Bland annat i 13 a § i patientlagen föreskrivs redan nu att bestämmelser om utlämnande av uppgifter ur journalhandlingar med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). Bestämmelser om utlämnande av uppgifter ur recept som lagrats i det receptcenter som Folkpensionsanstalten upprätthåller finns i lagen om elektroniska recept (61/2007). I 2 mom. föreslås att till den del som kunduppgiftslagen inte innehåller bestämmelser om behandling av kunduppgifter föreskrivs det om saken i eller med stöd av lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen), lagen om klientens ställning och rättigheter inom socialvården (812/2000, nedan klientlagen), lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019,), lagen om informationshantering inom den offentliga förvaltningen (906/2019), dataskyddslagen (1050/2018), lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), lagen om tillhandahållande av digitala tjänster (306/2019), lagen om befolkningsdatasystemet och certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) samt arkivlagen (831/1994).
Vid behandlingen av kunduppgifter och ordnandet av service och verksamhet enligt denna lag ska dessutom iakttas det som föreskrivs i och med stöd av språklagen (423/2003). Om ett informationssystem som behandlar klient- och patientuppgifter inom hälso- och sjukvården eller en del av det är en sådan produkt för hälso- och sjukvård som avses i lagen om produkter och utrustning för hälso- och sjukvård (629/2010) tillämpas också den lagen och kraven enligt den på informationssystemet eller delen av det. I regeringens proposition föreslås dessutom en informativ ändring i klientlagen så att i dess nya 14 a § föreskrivs att bestämmelser om utlämnande av uppgifter i handlingar inom socialvården med hjälp av riksomfattande informationssystemtjänster finns i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården.
3 §.Definitioner. I paragrafen definieras de centrala begrepp som används i lagen.
I 1 punkten definieras begreppet kund. Med kund avses en sådan klient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. Det är ändamålsenligt att använda bara en term för de personer som använder antingen socialvårdstjänster eller hälso- och sjukvårdstjänster eller bägge, eller tjänster som produceras av socialvården och hälso- och sjukvården gemensamt. Om lagens bestämmelser tillämpas endast på hälso- och sjukvården ska termen patient användas, vilket avser endast en patient som avses i patientlagen.
I 2 punkten definieras begreppet kundhandling. Inom socialvården avses enligt klientlagen och klientuppgiftslagen (lagen om klienthandlingar inom socialvården, 254/2015) med klienthandling en handling enligt 5 § 1 och 2 mom. i offentlighetslagen, som innehåller klientuppgifter om en klient eller någon annan enskild. På motsvarande sätt avses enligt 2 § 5 punkten i patientlagen med journalhandling inom hälso- och sjukvården handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Enligt 2 § i förordningen om journalhandlingar innefattar journalhandlingarna patientjournalen och därtill hörande patientuppgifter och handlingar, samt uppgifter eller handlingar som gäller medicinsk undersökning av dödsorsak, liksom även andra uppgifter och handlingar som uppkommit i samband med att en patients vård ordnas och genomförs eller som erhållits någon annanstans ifrån. I denna lag avser kundhandling enligt 2 punkten både en klienthandling som avses i klientlagen och klienthandlingslagen och en journalhandling som avses i patientlagen och förordningen om journalhandlingar.
Enligt 3 punkten avses med klientuppgift inom socialvården en personuppgift om en klient vilken ingår i en handling som avses i klientlagen och klienthandlingslagen.
Enligt 4 punkten avses med patientuppgift en personuppgift om en patient vilken ingår i en journalhandling som avses i patientlagen. Enligt 12 § i patientlagen avses med klientuppgifter sådana uppgifter för ordnande, planerande, tillhandahållande och uppföljande av vården av en patient vilka antecknas i journalhandlingar av en yrkesutbildad person inom hälso- och sjukvården och sådana personuppgifter som ingår i en journalhandling som avses i förordningen om journalhandlingar samt sådana i 3 § 6 punkten i klientuppgiftslagen avsedda personuppgif- ter inom socialvården som har antecknats eller som enligt klientuppgiftslagen ska antecknas i en klienthandling inom socialvården. Ändringen av 3—5 punkten har företagits till följd av grundlagsutskottets utlåtande, enligt vilken också patientuppgift borde definieras.
Enligt 5 punkten avses med kunduppgift klientuppgifter inom socialvården och patientuppgifter enligt 3 och 4 punkten.
I paragrafens 6 punkt definieras informationssystem. Därmed avses ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kunduppgifter och för registrering och uppdatering av kundhandlingar eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- och hälsovården kan använda uppgifter om välbefinnande. Definitionen baserar sig på den definition av informationssystem som finns i 2 § i informationshanteringslagen. Definitionen har dock kompletterats så att det med informationssystem i den föreslagna lagen avses sådana dataprogram och informationshanteringssystem för behandling av klientuppgifter som är avsedda uttryckligen för användningen av den serviceproduktion som riktar sig till kunderna inom social- och hälsovården. Enligt den definitionen består de informationssystem som avses i bestämmelserna av till exempel patientdatasystem och av de program som används i de laboratorie- och röntgensystem där patientuppgifter behandlas. De dataprogram som styr anordningars funktioner och som inte behandlar kunduppgifter hör däremot inte till de informationssystem som avses i lagen. Inte heller allmänna program såsom textbehandlings- eller kalkylprogram eller program för personal- eller ekonomiförvaltning hör till de informationssystem som avses i lagen. De informationssystem som avses i lagen omfattar även de förmedlingstjänster som används för att förmedla kunduppgifterna inom social- och hälsovården till de i lagen avsedda riksomfattande informationssystemtjänster som Folkpensionsanstalten ska förvalta. Med informationssystem avses dessutom de applikationer som används av yrkesutbildade personer inom social- och hälsovården för att se uppgifter om välbefinnande. Ett informationssystem kan också vara en helhet som består av flera informationssystem och som producenten av en informationssystemtjänst tillhandahåller eller genomför för tjänstetillhandahållaren.
I paragrafens 7 punkt avses med tjänstetillhandahållare i denna lag anordnare eller producenter både av socialtjänster och av hälsotjänster.
I lagstiftningen om hälsovård avses enligt 2 § 4 punkten i patientlagen med tjänstetillhandahållare en verksamhetsenhet inom hälso- och sjukvården. Enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) avses med tillhandahållare en arbetsgivare eller en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare.
I lagstiftningen om socialvården avses enligt 3 § 2 punkten i klienthandlingslagen med tillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller socialservice, eller en sådan serviceproducent som avses i lagen om privat socialservice (922/2011).
Enligt definitioner i övrig lagstiftning är statliga myndigheter som svarar för ordnandet och produktionen av social- och hälsovårdstjänster, såsom Institutet för hälsa och välfärd i egenskap av anordnare av skyddshemstjänster och Statens skolhem, som lyder under Institutet för hälsa och välfärd, instanser som producerar social- och hälsovård. Däremot omfattas till exempel social- och hälsovårdstjänster som tillhandahålls inom tjänster som ankommer på andra förvaltningsområdens ansvar, såsom de som ordnar och producerar elevhälsans psykolog- och kuratorstjänster enligt 7 § i lagen om elev- och studerandevård (1287/2013) inte av denna definition. Ett undantag från detta är hälso- och sjukvård som ordnas av försvarsmakten, som ingår i definitionen av verksamhetsenhet enligt 2 § 4 punkten i patientlagen, så försvarsmakten är en sådana tjänstetillhandahållare som avses i denna lag.
I paragrafens 8 punkt avses med tjänsteanordnare en tjänstetillhandahållare som i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut. Med tjänsteanordnare avses dessutom en privat tjänsteproducent som är skyldig att se till att kunden får sådana tjänster som kunden har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna.
I paragrafens 9 punkt avses med tjänsteproducent en tjänstetillhandahållare som i egenskap av tjänsteanordnare producerar själv eller på basis av ett avtal med tjänsteanordnaren socialtjänster och/eller hälsotjänster.
I paragrafens 10 punkt definieras bedömningsorgan för informationssäkerhet. Enligt bestämmelsen avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem. De allmänna förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet anges i 5 § i ovannämnda lag. Bedömningsorganet ska dessutom ha god sakkunskap om de krav på informationssystem inom social- och hälsovård som det föreskrivs om i 33 § i lagförslaget. Bedömningsorganet för informationssäkerhet har till uppgift att kontrollera om det informationssystem som ska anslutas direkt till Folkpensionsanstaltens riksomfattande informationssystemtjänster uppfyller informationssäkerhetskraven och de väsentliga kraven för dataskydd.
För att kunna bli ett bedömningsorgan för informationssäkerhet måste det lämnas en särskild ansökan. Bedömningsorganet ska uppfylla kraven enligt 5 § i lagen om bedömningsorgan för informationssäkerhet och kunduppgiftslagen. Mätteknikcentralens nationella ackrediteringsenhet (Finnish Accreditation Service, FINAS) ska ha konstaterat att bedömningsorganets kompetens är tillräcklig enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Efter detta kan Transport- och kommunikationsverket Traficom utse bedömningsorganet för uppdraget enligt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.
I paragrafens 11 punkt definieras begreppet uppgifter om välbefinnande. Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen själv producerar och som personen själv för in i den informationsresurs för egna uppgifter som nämns i 16 punkten. Dessa uppgifter om välbefinnande kan till exempel bestå av olika uppföljnings-, mätnings-, tränings-, bedömnings- eller planeringsuppgifter som gäller välbefinnandet eller hälsan.
I paragrafens 12 punkt definieras begreppet informationsresursen för egna uppgifter. Med informationsresursen för egna uppgifter avses en inom de riksomfattande informationssystemtjänsterna upprättad riksomfattande elektronisk informationsresurs för bevarande av sådana uppgifter om välbefinnande som personen själv producerar. Personen kan se och radera de uppgifter som han eller hon producerat och om han eller hon så önskar bevilja en yrkesutbildad person inom social- och hälsovården tillstånd att behandla uppgifterna.
I paragrafens 13 punkt definieras välbefinnandeapplikation. Med välbefinnandeapplikation avses en applikation som är kopplad till informationsresursen för egna uppgifter och som används för att behandla uppgifter om välbefinnande och till vilken en person kan få sina kunduppgifter från en arkiveringstjänst, receptcentret och en informationshanteringstjänst. Med hjälp av applikationen kan en person producera och registrera sina egna uppgifter om välbefinnande i den informationsresurs för egna uppgifter som nämns i 12 punkten.
I paragrafens 14 punkt definieras arkiveringstjänst. Med arkiveringstjänst avses en informationsresurs där det bevaras kunduppgifter eller andra uppgifter som behövs inom social- och hälsovården. De uppgifter som registreras i arkiveringstjänsten ska aktivt användas vid kundernas tjänsteproduktion. Till arkiveringstjänsten kan man ansluta godkända informationssystem. Arkiveringstjänst är en etablerad term. Uppgifter förvaras dock i arkiveringstjänsten för produktion av social- och hälsotjänster, och inte för arkivändamål av allmänt intresse.
I paragrafens 15 punkt definieras informationshanteringstjänst. Med informationshanteringstjänst avses en riksomfattande informationshanteringstjänst med vars hjälp man kan producera sammandrag av patientuppgifterna så att en tjänstetillhandahållare kan få tillgång till de patientuppgifter som är viktiga med tanke på tjänsten.
I 16 punkten definieras viljeyttringstjänst. Genom viljeyttringstjänsten förvaltas handlingar som gäller information, samtycke och förbud, andra viljeyttringar med anknytning till hälso- och sjukvård samt socialtjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården.
I viljeyttringstjänsten ska det föras in uppgifter om information som en kund har fått enligt denna lag och lagen om elektroniska recept, förbud mot att lämna ut uppgifter som en kund har meddelat i fråga om sina kunduppgifter, uppgift om en kunds övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster, samtycke som en kund har meddelat i fråga om sina kunduppgifter samt om övriga viljeyttringar som hänför sig till tjänster inom social- och hälsovården och till behandling av kunduppgifter. Med social- och hälsovård avses förutom social- och hälsovårdstjänter även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank (en i biobankslagen avsedd provinfrastruktur, som används för att främja vetenskaplig forskning på prover från människor), och i viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank, invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat, och i viljeyttringstjänsten kan föras in invändning mot att genomuppgifter förs in i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret.
I paragrafens 17 punkt avses med producent av en informationssystemtjänst en instans som tillhandahåller eller utför en informationssystemtjänst där kunduppgifter eller uppgifter om välbefinnande behandlas. Producenten av informationshanteringstjänsten ska i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvara för de krav som ställs på informationssystemet. Informationssystemet ska ha rätta funktioner med avseende på användningsändamålet, tillräckliga dataskyddsegenskaper samt kunna anslutas till det informationsutbyte som sker via de riksomfattande informationssystemtjänsterna.
I 18 punkten avses med tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården.
I paragrafens 19 punkt avses med mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar för produktion av informationssystemtjänster eller anslutning till riksomfattande informationssystemtjänster och som i denna roll har möjlighet att se okrypterade kunduppgifter till exempel i samband med underhåll. I dessa situationer kan underhåll av informationshanteringstjänsten inte utföras på korrekt sätt utan att man ser sekretessbelagda uppgifter.
Inom social- och hälsovården tillämpas klientlagen och patientlagen, där det föreskrivs om bland annat sekretess och tystnadsplikt. Enligt 2 § 1 mom. i klientlagen tillämpas lagen på socialvård som ordnas av myndigheter och av privata, om inte något annat bestäms i den nämnda lagen eller någon annan lag. Enligt 1 § i patientlagen gäller lagen i fråga patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat stadgas i lag. Dessa lagar innehåller bestämmelser om sekretess och tystnadsplikt för anordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen.
Enligt 13 § 2 mom. i patientlagen får en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den inte utan patientens skriftliga samtycke till utomstående lämna sådana uppgifter som ingår i journalhandlingarna. Med utomstående avses i 13 § i patientlagen personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. Tystnadsplikten kvarstår efter det anställningsförhållandet eller uppdraget har upphört.
Bestämmelser om sekretess, tystnadsplikt och förbud mot utnyttjande finns i 14 och 15 § i klientlagen. I 15 § 2 och 3 mom. i klientlagen föreskrivs om sekretess, tystnadsplikt och förbud mot utnyttjande för den som verkar på uppdrag av någon som ordnar eller producerar socialvård eller för den sistnämndes räkning eller den som med stöd av lag eller ett tillstånd som utfärdats med stöd av lag har fått kännedom om en sekretessbelagd uppgift. Enligt 15 § 3 mom. i klientlagen får en person som avses i 1 eller 2 mom. inte använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.
Mellanhanden berörs av samma tystnadsplikt som tjänstetillhandahållare inom social- och hälsovården eftersom mellanhanden verkar för tjänstetillhandahållarens räkning. Mellanhanden får inte heller röja känsliga klient- och patientuppgifter som han eller hon sett i mellanhandsuppgiften för utomstående. De mellanhänder som tjänstetillhandahållarna anlitar är medvetna om sekretessen och tystnadsplikten, eftersom detta ska överenskommas särskilt i uppdragsavtalet mellan tjänstetillhandahållaren och mellanhanden, och personer som verkar för tjänstetillhandahållarens räkning ska särskilt avkrävas en utfästelse om sekretess och tystnadsplikt. Mellanhanden ska ansvara för uppfyllandet av de krav som gäller informationssystemets miljö eller den helhetsservice för informationshantering som erbjuds en tjänstetillhandahållare.
Om det på basis av ett avtal är mellanhanden eller producenten av informationssystemtjänsten som ansvarar för uppfyllandet av de krav som gäller tjänstetillhandahållaren, omfattas mellanhanden eller producenten av informationssystemtjänsten av den registreringsskyldighet som avses i 30 § i denna föreslagna lag. När de sköter sina uppgifter omfattas de liksom tjänstetillhandahållaren dessutom av skyldigheten att utarbeta en informationssäkerhetsplan och att uppdatera den. För att en mellanhand ska godkännas krävs det beroende på de tjänster som den sköter att den har fått en fullmakt av tjänstetillhandahållaren eller Folkpensionsanstalten eller en auditering av de väsentliga informationssäkerhetskrav som gäller mellanhandens verksamhet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska tillämpas vid registrering och vid godkännande av mellanhänder.
I paragrafens 20 punkt avses med certifiering förfarandet genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion. Verifieringen sker genom testning av interoperabiliteten och bedömning av informationssäkerheten. Med informationssystems interoperabilitet avses två eller flera informationssystems förmåga att utbyta information och att använda sådan information och certifiering är alltså en process för att påvisa överensstämmelse med kraven, och resultatet är att de villkor uppfylls som krävs för att informationssystemet eller välbefinnandeapplikationen ska kunna få intyg och antecknas i tillsynsmyndighetens register över informationssystem och välbefinnandeapplikationer som uppfyller kraven. Definitionen omfattar dock inte den certifiering som avses i artikel 42 i EU:s allmänna dataskyddsförordning. Den certifiering som definitionen avser omfattar inte heller sådan bedömning av medicintekniska produkters överenskommelse med kraven som utförs i enlighet medföreskrifterna om medicintekniska produkter (bl.a. direktiv 93/42/EEG; EGTL 1993, L 169; direktiv 2007/47/EG; EGTL 2007, L 247), eftersom de väsentliga kraven främst gäller de krav som uppfylls genom de nationella informationssystemtjänsterna enligt denna lag. I denna lag är det inte fråga om den bedömning och klassificering av produkter i förhållande till föreskrifterna om medicintekniska produkter som tillverkarna av medicintekniska produkter ska utföra med stöd av övriga bestämmelser.
2 kap. Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster
4 §.Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna. Med personuppgiftsansvarig avses i EU:s dataskyddsförordning en fysisk eller juridisk person, en myndighet eller institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I artikel 25 i dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges ansvar vad gäller skyddet för personuppgifterna. Enligt den ska den personuppgiftsansvarige effektivt vidta de skyddsåtgärder i samband med behandling av personuppgifter som behövs för att behandlingen ska överensstämma med kraven i dataskyddsförordningen och de registrerades rättigheter skyddas. Sådana skyddsåtgärder är till exempel lämpliga tekniska och organisatoriska åtgärder. Den föreslagna paragrafen motsvarar dataskyddsförordningen. Paragrafändringen förändrar inte rådande rättsläge och praxis.
Som personuppgiftsansvarig ska anvisas en sådan aktör som de facto utövar den bestämmanderätt som tillkommer den personuppgiftsansvariga och som kan fullgöra de skyldigheter som ankommer på den personuppgiftsansvariga. Den personuppgiftsansvariga svarar bland annat för att uppgifterna är korrekta samt för att de registrerades dataskyddsrättigheter tillgodoses.
Personuppgiftsansvarig för kunduppgifter som uppkommer inom social- och hälsovårdstjänster är den tjänstetillhandahållare som svarar för att tjänsterna ordnas i enlighet med den ovan beskrivna bestämmelserna i dataskyddsförordningen och etablerad praxis.
I paragrafens 1 mom. föreskrivs det att Folkpensionsanstalten är personuppgiftsansvarig. Folkpensionsanstalten ska vara personuppgiftsansvarig för informationsresursen för egna uppgifter. Bestämmelser om informationsresursen för egna uppgifter föreslås i 13 §. Det föreslås också att Folkpensionsanstalten ska vara personuppgiftsansvarig för förvaringstjänsten för de riksomfattande informationssystemtjänsternas utlämningsloggregister och för användningsloggarna i anslutning till dess egen verksamhet.
Folkpensionsanstalten är personuppgiftsansvarig för informationsresursen för egna uppgifter på så sätt att uppgifterna om användningen av informationsresursen för egna uppgifter omfattas av FPA:s personuppgiftsansvar, till exempel uppgifterna om användarna av informationsresursen för egna uppgifter och om samtycke som getts för utlämnande av uppgifter om välbefinnande samt logguppgifterna om användningen och utlämnandet av uppgifterna om välbefinnande. Tillverkarna av de applikationer och anordningar som är kopplade till informationsresursen för egna uppgifter ska i enlighet med 7 kap. i lagförslaget ansvara för att applikationerna fungerar på rätt sätt. Den person som använder informationsresursen för egna uppgifter får själv välja vilka applikationer och anordningar han eller hon använder och vilka uppgifter som ska registreras i informationsresursen för egna uppgifter. Personen kan också radera sina uppgifter ur informationsresursen för egna uppgifter. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. Folkpensionsanstalten ska också i enlighet med 14 § 2 mom. 2-punkten svara för tillgänglighet, integritet, oföränderlighet, skydd, förvaring och utplåning i fråga om välbefinnandeuppgifter i informationsresursen för egna uppgifter när en person inte själv har utplånat uppgifterna före förvaringstidens utgång.
I paragrafens 2 mom. föreslås det att varje tjänstetillhandahållare inom social- och hälsovården ska vara personuppgiftsansvarig för de användningslogguppgifter som uppkommer i den egna verksamheten.
I paragrafens 3 mom. föreskrivs det om Folkpensionsanstaltens och tjänstetillhandahållarnas gemensamma personuppgiftsansvar. Paragrafen förändrar inte de nuvarande förfarandena för registerföringen av utlämningsloggar. Folkpensionsanstalten och alla tillhandahållare av soci- al- och hälsovårdstjänster är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården.
I artikel 26.1 i EU:s dataskyddsförordning föreskrivs det om det gemensamma personuppgiftsansvaret enligt följande: Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
I 3 mom. föreskrivs det att varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för informationshanteringstjänsten enligt 11 § samt för viljeyttringstjänsten enligt 12 §. Folkpensionsanstalten ansvarar i egenskap av gemensamt personuppgiftsansvarig för tillgängligheten och integriteten i fråga om uppgifterna, informationsinnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna på det sätt som föreskrivs i 13 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten och tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen.
I informationshanteringstjänsten är avsikten att samla och sammanställa viktiga kunduppgifter som finns i olika klient- och journalhandlingar till sammandrag, som kan användas för att genomföra patientvården och klientservicen. Den behandling som sker i informationshanteringstjänsten har alltså betydande konsekvenser för vilka uppgifter som ligger till grund när patientvården och klientservicen börjar genomföras oberoende av att vårdens och servicens innehåll definieras på annat ställe.
De handlingar som registreras i viljeyttringstjänsten handlar om information, förbud, samtycke och andra viljeyttringar som gäller personens riksomfattande informationssystemtjänster, och dessa ska kunna överföras från Mina Kanta-sidor och från tjänstetillhandahållarna inom social- och hälsovården i enlighet med kundens viljeyttringar. Handlingarnas användningsändamål gäller kundens tjänster och vård samt hanteringen av utlämnandet av kunduppgifterna. Folkpensionsanstalten ska på begäran kunna lämna tjänstetillhandahållaren inom social- och hälsovården de handlingar som gäller hanteringen av utlämnande av uppgifter samt logguppgifterna i anslutning till dem, så att man kan utreda om uppgifterna har behandlats på rätt sätt. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret. Folkpensionsanstalten ska ansvara för de skyldigheter för den personuppgiftsansvarige som anges i 6 och 14 § och vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Tillhandahållarna av social- och hälsovårdstjänster ska ansvara för de andra skyldigheterna för personuppgiftsansvariga.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten och den självständiga yrkesutbildade person inom hälso- och sjukvården som förskriver ett läkemedel ska vara gemensamt personuppgiftsansvariga för användningsloggarna i gränssnittet för professionellt bruk. Gränssnittet för professionellt bruk är avsett för läkarnas tillfälliga bruk och erbjuder läkare möjligheten att beroende på deras rättigheter skriva ut läkemedelsrecept för annat än för professionellt bruk. Eftersom de som använder gränssnittet inte är självständiga yrkesutövare, tjänsteproducenter eller tjänstetillhandahållare, kan de inte ansvara för alla de skyldigheter som gäller den personuppgiftsansvarige. Folkpensionsanstalten är den som verkställer gränssnittet för professionellt bruk, så det är motiverat att båda bär sitt ansvar för de uppgifter som hör till den personuppgiftsansvarige. Den som använder gränssnittet ska ansvara för att de uppgifter som den antecknar är korrekta.
I paragrafens 5 mom. hänvisas det till bestämmelserna om receptcentret som personuppgiftsansvarig. I lagen om elektroniska recept är avsikten att ändra 14 § så att den motsvarar det gemensamma personuppgiftsansvaret i EU:s dataskyddsförordning.
5 §.Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning. I EU:s dataskyddsförordning föreskrivs det om den personuppgiftsansvariges skyldigheter. Det nationella handlingsutrymme som dataskyddsförordningen medger gör det möjligt att utöka den personuppgiftsansvariges skyldigheter så att de omfattar sådana situationer som de inte direkt med stöd av förordningen skulle tillämpas på. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning, ska den nationella speciallagstiftningen avgränsas till det nationella handlingsutrymme som förordningen medger. I nationell speciallagstiftning ska med andra ord inte föreskrivas om andra skyldigheter för den personuppgiftsansvarige. Enligt dataskyddsförordningen kan i den nationella lagstiftningen dock fastställas ansvarsområden för den personuppgiftsansvarige.
I denna paragraf föreskrivs om den personuppgiftsansvariges ansvar när tjänster inom social- och hälsovård produceras för serviceanordnares räkning. Tjänsteproducenten är då enligt artikel 28 i dataskyddsförordningen den som behandlar personuppgifter, medan serviceanordnaren är den personuppgiftsansvarige. I artikel 28 i dataskyddsförordningen förutsätts det att den behandling som den som behandlar personuppgifter sköter ska fastställas genom avtal eller genom en annan rättsakt som är bindande. I artikeln anges det innehåll som det ska bestämmas om i handlingen. Den föreslagna lagen är en sådan rättsakt som avses i dataskyddsförordningen. Med stöd av artikel 29 i dataskyddsförordningen åläggs den som behandlar personuppgifter dessutom sådana skyldigheter i fråga om behandling av uppgifter som avviker från artikel 28.
När tjänster inom social- och hälsovård produceras för serviceanordnares räkning, ska tjänsteproducenten enligt 1 mom. 1 punkten ansvara för anteckningen och registreringen av kunduppgifterna för serviceanordnarens räkning och för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen (2 punkten). Bestämmelserna utfärdas med stöd av artikel 28.3 a i dataskyddsförordningen. Enligt den punkten ska det i en rättsakt föreskrivas att den som behandlar personuppgifter endast får behandla personuppgifter i enlighet med de dokumenterade anvisningar som ges av den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen.
Enligt 1 mom. 3 punkten ska tjänsteproducenten ansvara för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen. Bestämmelsen utfärdas med stöd av artikel 28.3 a och artikel 32.4 i dataskyddsförordningen. Enligt den sistnämnda bestämmelsen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. Bestämmelsen begränsar inte det ansvar som den som behandlar personuppgifter har enligt dataskyddsförordningen, utan genom den åläggs en särskild skyldighet att övervaka behandlingen av uppgifterna i den egna organisationen.
Tjänsteproducenten ansvarar enligt 1 mom. 4 punkten för att kundhandlingarna i original lämnas till serviceanordnaren på så sätt som överenskommits, men de ska dock lämnas utan dröjsmål efter det att kundförhållandet har avslutats. Enligt artikel 28.3 g i dataskyddsförordningen kan den personuppgiftsansvarige välja att antingen radera eller återlämna uppgifterna efter att tillhandahållandet av tjänsterna har avslutats, förutom då när det i lagstiftningen krävs att personuppgifterna ska bevaras. Bestämmelser om bevaring av uppgifter inom social- och hälsovården finns bland annat i klienthandlingslagen inom socialvården och i förordningen om journalhandlingar. Därmed ska serviceanordnaren bevara uppgifterna den tid som lagen kräver, och en serviceanordnare kan inte bestämma att de ska raderas.
Enligt 1 mom. 5 punkten ansvarar tjänsteproducenten för tillgodoseendet av de rättigheter hos kunden som det föreskrivs om i dataskyddsförordningen och i offentlighetslagen. Enligt artikel 28 i dataskyddsförordningen kan den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att hjälpa den personuppgiftsansvarige att tillgodose den registrerades rättigheter. Med tanke på en smidig verksamhet vore det ändamålsenligt att tjänsteproducenten skulle ansvara för tillgodoseendet av de registrerades rättigheter inom de tjänster som denne tillhandahåller för den personuppgiftsansvariges räkning. Vid behov kan det avtalas närmare om ansvaret aktörerna emellan genom ett avtal mellan serviceanordnaren och den som behandlar personuppgifter. I sista hand ska det dock ur ett dataskyddsperspektiv vara den personuppgiftsansvarige som ska ansvara för tillgodoseendet av den registrerades rättigheter, även om det skulle ha avtalats något annat om det avtalsrättsliga ansvaret.
I paragrafens 2 mom. föreskrivs det att lämnandet av de i 4 punkten avsedda kundhandlingarna och tillgodoseendet av kunden rättigheter enligt 5 punkten ska kompletteras till behövliga delar genom avtal mellan tjänsteproducenten och tjänsteanordnaren. Genom avtal avtalas det även om annat sådant som avses i artikel 28 i dataskyddsförordningen. Genom ett sådant ovannämnt avtal ska åtminstone fastställas närmare det objekt för behandlingen som avses i artikel 28.2 och som avser grupperna av registrerade, dvs. de kundgrupper som tillhandahålls tjänster av den som behandlar personuppgifter, samt behandlingstiden. Genom avtal ska även fastställas en del av det som avses i artikel 28.3, men dessa frågor förblir öppna i lagförslaget. Dessa gäller till exempel de i 28.3 d avsedda förutsättningarna för användning av ett annat personuppgiftsbiträde.
Dessutom ska uppmärksamhet fästas vid att det även föreskrivs om det som avses i artikel
28.3 i övrig lagstiftning. Artikel 28.3 b förutsätter att de som behandlar personuppgifter för ett annat personuppgiftsbiträdes räkning omfattas av tystnadsplikt. Inom annan lagstiftning inom social- och hälsovård föreskrivs det heltäckande om tystnadsplikten, till exempel i patientlagen, lagen om yrkesutbildade personer inom hälso- och sjukvården, klientlagen samt offentlighetslagen. I artikel 28.3 h förutsätts det att den som behandlar personuppgifter tillåter auditeringar som utförs av den personuppgiftsansvarige eller en revisor som bemyndigats av den personuppgiftsansvarige. Även i denna lag föreskrivs det om auditering av system för kunduppgifter, och skyldigheterna gäller både den personuppgiftsansvarige och den som behandlar personuppgifter.
3 kap. Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården
6 §.De riksomfattande informationssystemtjänsterna inom social- och hälsovården. I paragrafen föreskrivs det om de informationssystemtjänster som ska skötas centraliserat på riksnivå och som innefattar elektronisk behandling av kunduppgifter. Det föreskrivs dessutom om de instanser som ansvarar för skötseln av dessa tjänster.
Med skötsel av riksomfattande informationssystemtjänster avses alla sådana åtgärder som behövs för att verkställa dessa tjänster så att man genom tjänsterna i fråga kan genomföra den elektroniska bevaringen, användningen och överlåtelsen av kunduppgifter på det sätt som avses i denna lag. De riksomfattande informationssystemtjänsterna är således en del av helheten av social- och hälsotjänster.
I egenskap av den som behandlar personuppgifter är det enligt 1 mom. 1 punkten Folkpensionsanstalten som har skött och som fortfarande för tjänstetillhandahållarnas räkning ska sköta den riksomfattande arkiveringstjänst för kunduppgifter där kundhandlingar bevaras och används (1 punkten). De kundhandlingar som ska bevaras i arkiveringstjänsten är således inte Folkpensionsanstaltens register eller handlingar. I arkiveringstjänsten bevaras uppgifter för att producera social- och hälsotjänster, inte för arkivändamål av allmänt intresse.
Personuppgiftsansvaret ska fortfarande bäras av serviceanordnarna, även om det är Folkpensionsanstalten som sköter ovannämnda uppgifter för deras räkning. Folkpensionsanstalten ska fortfarande ansvara för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i loggregistret. Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Folkpensionsanstalten kan inte ge en utomstående instans i uppdrag att bevara uppgifterna, och uppgifterna får inte flyttas ut från Finland. Folkpensionsanstalten får inte heller ge utomstående i uppdrag att behandla eller bevara de i 4 § avsedda register som hänför sig till de riksomfattande informationssystemtjänsterna eller de loggregister som gäller dem. Folkpensionsanstalten kan dock använda underleverantörer eller leverantörer vid produktionen och underhållet av tjänsterna.
Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.
Folkpensionsanstalten ska också sköta förvaringstjänsten för loggregister (2 punkten). I förvaringstjänsten för loggregister registreras utlämningslogguppgifter och användningsloggarna gällande de riksomfattande informationssystemtjänsterna. I den kan även registreras de användningsloggar om användningen av klient- och patientuppgifter som skapas i tjänstetillhandahållarnas verksamhet.
Till de riksomfattande informationssystemtjänsterna hör också gränssnittet för professionellt bruk, dvs. den s.k. Kelaintjänsten (3 punkten) och medborgargränssnittet (4 punkten). Med hjälp av gränssnittet för professionellt bruk kan läkare skriva ut recept elektroniskt när de utövar sitt yrke som självständiga yrkesutövare utan att vara tjänstetillhandahållare. Med hjälp av medborgargränssnittet kan en person se de kund- och patientuppgifter samt uppgifter om välbefinnande som gäller honom eller henne själv. Att sköta ärenden för någon annans räkning ska förutom på basis av vårdnaden även vara möjligt med stöd av fullmakt, vilket gör det möjligt att sköta ärenden för en myndig persons räkning. Via gränssnittet kan man även ge sitt samtycke och meddela förbud samt sköta ärenden med tjänstetillhandahållare inom social- och hälsovård. I framtiden kommer det att vara möjligt att se och hantera uppgifterna om välbefinnande genom medborgargränssnittet.
Det föreslås att informationsresursen för egna uppgifter fogas till de riksomfattande informationssystemtjänsterna (5 punkten). Informationsresursen för egna uppgifter är en informationsresurs där en person kan skapa och förvalta över sina egna uppgifter till exempel med hjälp av välbefinnandeapplikationer. De välbefinnandeapplikationer som ansluts till produktionsmiljön för informationsresursen för egna uppgifter ska vara certifierade. För informationsresursen för egna uppgifter fastställs en nationell informationsmodell i vilken applikationsutvecklarna kan ge förslag till utökningar som ska godkännas i enlighet med processen för godkännande av en informationsmodell. Välbefinnandeapplikationerna för informationsresursen för egna uppgifter kan genomföras på många olika sätt och de kan vara antingen www-baserade eller mobilapplikationer. Alla de välbefinnandeapplikationer som kopplas till de riksomfattande informationssystemtjänsterna ska samlas i en applikationskatalog som ska förvaltas av Folkpensionsanstalten och vars uppgift är att informera människorna om vilka applikationer som de kan ta i bruk. Applikationerna kan användas i den egna mobilen eller via webbläsaren som en nättjänst. Välbefinnandeapplikationerna ska certifieras på det sätt som föreskrivs särskilt om dem.
Utöver den informationshanteringstjänst (6 punkten) och den informationsförmedlings- och förfrågningsservice (9 punkten) som nämns i lagförslaget innefattar arkiveringstjänsterna alla de behövliga lagrings-, registrerings- och informationsförmedlingstjänster och övriga datatekniska lösningar och uppgifter med vilka bevarandet, användningen och överlåtelsen av patientuppgifter och jourhandlingar kan utföras elektroniskt. Med hjälp av förfrågnings- och förmedlingstjänsten kan aktörerna inom social- och hälsovården förmedla intyg, utlåtanden och andra motsvarande handlingar med bilagor till en tredje part.
Till de riksomfattande informationssystemtjänsterna hör dessutom en viljeyttringstjänst (7 punkten), receptcentret (8 punkten) och läkemedelsdatabasen (9 punkten). Kundens recept ska lagras centraliserat i receptcentret.
Andra riksomfattande tjänster är i enlighet med paragrafens 2 mom. kodtjänsten och roll- och attributtjänsten.
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ska enligt 2 mom. förvalta de riksomfattande tjänsterna roll- och attributtjänsten, koderna och centralregistret för yrkesutbildade personer inom social- och hälsovård. Roll- och attributtjänsten baserar sig på uppgifterna i centralregistret för yrkesutbildade personer inom social- och hälsovården. Koderna ska fortfarande användas för att i strukturerad form framföra uppgifter i anslutning till yrkesrättigheter inom social- och hälsovården och deras giltighetstider och begränsningar.
Enligt 2 mom. ska Institutet för hälsa och välfärd ansvara för alla de datastrukturinnehåll som ska förvaltas via den nationella kodtjänsten inom social- och hälsovården. Den nationella uppdateringen av klassificeringarna som tjänst sker i kodtjänsten. Folkpensionsanstalten ska fortfarande ansvara för det datatekniska genomförandet av kodservern (Code- Server). Via den nationella kodtjänsten inom social- och hälsovården tillhandahålls sådana datastrukturer som kan utnyttjas i verksamheten och informationssystemen inom social- och hälsovården, till exempel nomenklaturer, klassificeringar, organisationskategorier och bedömningsmätare samt olika datainnehåll. Genom kodtjänsten upprätthålls bland annat åtgärdsklassificeringar, åtgärdsklassificeringar för mun- och tandvården, klassificeringar för radiologiska undersökningar och åtgärder samt nomenklaturer för laboratorieundersökningar, och dessutom motsvarande klassificeringar för strukturerna för socialvårdens klientuppgifter. Även den nationella uppdateringen av klassificeringarna sker i kodtjänsten.
Strukturerna för handlingarna inom socialvården ska hanteras och delas via ett separat redigeringsprogram. Redigeringsprogrammet utvecklas och uppdateras för närvarande av Institutet för hälsa och välfärd. Upprätthållandet och utvecklandet av strukturerna för klienthandlingarna inom socialvården ska vara en del av kodtjänstverksamheten. Dessutom ska varje tjänstetillhandahållare som har anslutit sig till de riksomfattande informationssystemtjänsterna kunna identifieras med hjälp av kodtjänsten.
Enligt 3 mom. ska den myndighet som sköter certifikattjänsten för social- och hälsovården vara Myndigheten för digitalisering och befolkningsdata. Myndigheten för digitalisering och befolkningsdata är i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) avsedd certifikatutfärdare för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Beviljandet och återkallandet av yrkescertifikaten inom social- och hälsovården ska vara kopplade till giltighetstiden för den yrkesutbildade personens rätt att utöva yrket. Yrkesutbildade personer inom social- och hälsovården ska vara skyldiga att lämna tillbaka certifikatkortet om certifikatet är återkallat. Om personen har förlorat sin rätt att utöva yrke, ska Myndigheten för digitalisering och befolkningsdata återkalla certifikaten efter att denna erhållit uppgifterna från Tillstånds- och tillsynsverket för social- och hälsovården, men certifikatkorten blir i praktiken kvar hos innehavarna.
Myndigheten för digitalisering och befolkningsdata har för skötseln av de uppgifter som nämns i 3 mom. rätt att från de centrala registren över yrkesutbildad personal inom hälso- och sjukvården (Terhikki-registret) och socialvården (Suosikki-registret) erhålla sådana uppgifter som behövs vid produktionen av certifikattjänsterna. Rätten för Myndigheten för digitalisering och befolkningsdata att erhålla uppgifter gäller de uppgifter i centralregistret över yrkesutbildade personer inom social- och hälsovården som gäller utfärdande och återkallande av certifikat, själva certifikaten, det tekniska underlaget för certifikat och sändande av certifikat. Uppgifterna innefattar bland annat person- och adressuppgifter om yrkesutbildade personer inom social- och hälsovården och uppgifter om beviljande och förlorande av rätt att utöva yrke eller av skyddad yrkesbeteckning inklusive giltighetstider samt registreringsnummer och de identifieringskoder som krävs för att förskriva läkemedel. Rätten för Myndigheten för digitalisering och befolkningsdata att erhålla information är begränsad och gäller inte grunderna för förlorande av rätt att utöva yrke eller begränsningarna av rätt att utöva yrke eller grunderna för denna rätt.
I paragrafens 4 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att av Myndigheten för digitalisering och befolkningsdata få uppgifter om de certifikat som beviljats för användningen eller skötseln av de nationella informationssystemtjänsterna inom hälso- och sjukvården så att verket kan styra och övervaka den hälso- och sjukvård som hör till dess ansvarsområde samt funktionerna i hälso- och sjukvårdssystemen.
7 §.Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs om de riksomfattande informationssystemtjänster som tjänstetillhandahållaren ska ansluta sig till. Anslutningsskyldigheten gäller den riksomfattande arkiveringstjänsten för kunduppgifter, informationshanteringstjänsten, viljeyttringstjänsten och receptcentret. När tjänstetillhandahållaren ansluter sig tar denne i bruk de tjänster och funktioner där handlingar ska förvaras och via vilka tillhandahållaren har rätt att använda kunduppgifterna och uppgifterna om välbefinnande.
I paragrafens 2 mom. föreskrivs det om anslutningsskyldigheten för tjänstetillhandahållarna inom den privata social- och hälsovården. I regel har tjänstetillhandahållarna inom både den offentliga och den privata social- och hälsovården en absolut anslutningsskyldighet. Genom en omfattande anslutningsskyldighet kan man skapa en heltäckande klientuppgiftssystemhelhet som ger klienten tillgång till uppgifter varhelst och närhelst klienten behöver uträtta ett ärende. På så sätt säkerställs dessutom den riksomfattande interoperabiliteten hos tjänstetillhandahållarnas informationssystem samt möjligheterna att utveckla systemet i fortsättningen.
I paragrafens 2 mom. föreskrivs om undantag från skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster. Undantaget gäller de privata yrkesutövarna eller de små tjänsteproducenter som inte har tillgång till ett sådant system för patient- eller klientuppgifter som kan anslutas till de riksomfattande informationssystemtjänsterna.
I 3 mom. föreskrivs det att också andra aktörer inom social- och hälsovården, beträffande vilkas tjänster och behandling av kunduppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 6 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten. Anslutningsmöjlighet är en förutsättning för att till exempel biobanker, som inte är tillhandahållare av social- och hälsotjänster, ska kunna föra in viljeyttringar som gäller deras verksamhet i viljeyttringstjänster och använda dem som grund för behandling av uppgifter.
Även tjänstetillhandahållare inom social- och hälsovården i landskapet Åland ska få ansluta sig som användare av riksomfattande informationssystemtjänster. Om en tjänstetillhandahållare inom social- och hälsovården i landskapet Åland vill ansluta sig som användare av informationssystemtjänsterna, ska denne iaktta bestämmelserna i denna lag vid användningen av tjänsterna.
8 §.Handlingar som ska sparas i den riksomfattande arkiveringstjänsten. Om det är möjligt att specificera och identifiera den ursprungliga handling som innehåller kundinformationen, behövs det enligt 1 mom. endast ett original av den elektroniska handlingen med kundinformation som specificeras med en identifikation. De ursprungliga originalen av kundhandlingarna ska förvaras i den riksomfattande arkiveringstjänsten. Den viktigaste identifieringsbeteckning som används i nuläget är organisationernas identifieringsklassificering, nämligen OID-koden enligt ISO-standarden. För att verkställa tjänsten eller av andra motiverade skäl kan det skapas en ny handling eller en kopia av den ursprungliga handlingen av vilken det ska framgå att handlingen är en kopia. Korrigeringar ska alltid göras i den ursprungliga handlingen så att handlingen är otvetydig.
I paragrafens 2 mom. föreskrivs det vilka handlingar som ska förvaras i de riksomfattande informationssystemtjänsterna. Den riksomfattande arkiveringstjänsten ska innehålla alla de färdiga ursprungliga kundhandlingar som har uppkommit efter att tjänstetillhandahållarna har anslutit sig till tjänsterna. De handlingar som har uppkommit före anslutningen till de riksomfattande informationssystemtjänsterna kan förvaras i den riksomfattande arkiveringstjänsten. Det ska även vara möjligt att förvara andra handlingar än de egentliga kundhandlingarna i den riksomfattande arkiveringstjänsten.
I arkiveringstjänsten kan utöver kundhandlingar registreras även bildmaterial och andra handlingar och uppgifter i anslutning till ordnandet av och informationshanteringen inom social- och hälsovården. Andra handlingar som registreras inom social- och hälsovården är till exempel vissa handlingar som skapas inom den prehospitala akutsjukvården. I Finland byggs som ett samarbete mellan flera ministerier och deras inrättningar ett gemensamt fältledningssystem för myndigheterna. Detta informationssystem ska innehålla funktioner för den prehospitala akutsjukvården och socialjouren. I detta informationssystem kan man skapa bland annat skapa en berättelse om den prehospitala akutsjukvården, och eftersom denna är en journalhandling arkiveras den i patientdataarkivet. Med tanke på minimeringen av kostnaderna och överlappande åtgärder är det ändamålsenligt att det gemensamma fältledningssystemet även kan arkivera i den nationella arkiveringstjänsten sådana handlingar inom prehospital akutsjukvård som inte är patientspecifika.
Enligt 3 mom. i paragrafen får bestämmelser om när och i vilken omfattning handlingar senast ska sparas i den riksomfattande arkiveringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. I och med detta kan i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis.
Senare då genomförandet av informationssystemtjänsterna har framskridit kan omfattningen av de handlingar som ska lagras i arkivet ökas på ett flexibelt sätt genom att ändra ministeriets förordning parallellt med standardiseringen av datainnehåll och genomförandet av informationssystem.
9 §.Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs det om datastrukturerna för kundhandlingar och kundinformationssystem och om klassificeringen av uppgifter. I paragrafen föreskrivs det om interoperabiliteten mellan informationssystemens och kundhandlingarnas datastrukturer och de riksomfattande informationssystemtjänsterna enligt 6 §. Strukturernas interoperabilitet är en grundförutsättning för att uppgifter ska kunna överlämnas med hjälp av dessa informationssystemtjänster och utnyttjas i de informationssystem som tjänar verksamhetsprocesserna.
De uppgifter som används inom social- och hälsovården ska kunna avgränsas med hjälp av handlingarnas datastrukturer så att endast sådana uppgifter som behövs för tjänsten i fråga används. Inom hälso- och sjukvården gäller rätten att få patientuppgifter de personer som deltar i vården av personen i fråga och i uppgifter som gäller denna vård. De får behandla patientuppgifter endast i den omfattning som förutsätts för deras arbetsuppgifter och ansvar. Patientuppgifterna är sekretessbelagda. Verkställandet av integritetsskyddet kan dock i särskilda situationer kräva särskilda skyddsåtgärder. Av den orsaken ska sådana journalhandlingar och patientuppgifter som förutsätter särskilt skydd klassificeras genom en separat begäran om bekräftelse för de patientuppgifter som ska skyddas. Det ska inte vara förbjudet att använda dessa uppgifter om uppgifterna är nödvändiga för vården av patienten. Efter att informationssystemet har tagit emot en begäran om bekräftelse ska dock den som vill använda dessa uppgifter bekräfta att uppgifterna behövs genom en separat bekräftelse. Även personalens patientuppgifter kan skyddas på grund av att de kan vara föremål för särskilt intresse.
Eftersom Institutet för hälsa och välfärd ansvarar för den praktiska styrningen av den elektroniska informationshanteringen, får det enligt 2 mom. meddela närmare föreskrifter om datainnehåll och datastrukturer i informationssystemen samt kodsystem för att de riksomfattande informationssystemtjänsterna ska kunna utföras. Institutet för hälsa och välfärd fastställer informationsinnehållen, begreppsmallarna, verksamhetsprocesserna och datastrukturerna för interoperabiliteten samt de riksomfattande koder som ska användas. För att användningen, överlåtelserna och hanteringen av kundhandlingarna ska kunna verkställas så att kundens dataskydd och uppgifternas interoperabilitet beaktas i tillräcklig grad, måste det finnas tillräckligt detaljerade föreskrifter om uppgifternas klassificering och datastrukturer. Genom enhetliga datastrukturer och uppgiftsklassificeringar kan man säkerställa att man vid de överlåtelser av uppgifter som sker elektroniskt faktiskt överlåter de uppgifter som man avser överlåta och att man inte samtidigt överlåter onödiga uppgifter. När tjänstetillhandahållarna får interoperabla datastrukturer och en enhetlig klassificering av uppgifterna för sina informationssystem möjliggör det ett enhetligt riksomfattande system för överlåtelse och arkivering av uppgifter som kan användas för att överlåta uppgifter elektroniskt till andra tjänstetillhandahållare, samt att uppgifterna är interoperabla mellan de informationssystem som olika tjänstetillhandahållare använder. Föreskriften ska också innehålla tidsfrister för införandet av de nya datastrukturerna.
Det riskbaserade förhållningssättet enligt dataskyddsförordningen är som sådant direkt tillämplig lagstiftning, något som också de personuppgiftsansvariga samt de som meddelar föreskrifter ska beakta. För att Institutet för hälsa och välfärd ska kunna utföra sina uppgifter, särskilt beredningen av föreskrifterna, krävs det att institutet samarbetar aktivt med de instanser samt tjänstetillhandahållare som deltar i genomförandet, användningen och standardiseringen av informationssystemtjänsterna.
10 §.Elektronisk underskrift av handlingar. I paragrafens 1 mom. föreskrivs det att handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och bevarande av uppgifter.
Enligt paragrafens 2 mom. ska det vid en elektronisk underskrift som görs av en fysisk person användas en sådan avancerad elektronisk underskrift som det föreskrivs om i lagen om stark autentisering och betrodda elektroniska tjänster. Lagen baserar sig på Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen). Tjänster inom elektronisk identifiering och elektroniska signaturer ger medborgarna en möjlighet att använda elektroniska tjänster.
Enligt förordningen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i sådana offentliga eller privata tjänster som kräver elektronisk identifiering.
Enligt förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Lagen om stark autentisering och betrodda elektroniska tjänster kompletterar bestämmelserna om elektronisk underskrift.
Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat.
11 §.Informationshanteringstjänsten. I paragrafen föreskrivs det om informationshanteringstjänsten. I den ska enligt 1 mom. viktiga patientuppgifter som finns i olika journalhandlingar som gäller patienter samlas in och samordnas och lämnas till yrkesutbildade personer inom social- och hälsovården i form av sammandrag för genomförandet av patientens vård. Sammandrag utlämnas på det sätt som föreskrivs i 20 § i propositionen. Viktiga patientuppgifter, över vilka sammandrag kan utlämnas, är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, fysiologiska mätningar, medicineringsuppgifter, åtgärder och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt en i 4 a § i patientlagen avsedd plan för undersökning, vård och medicinsk rehabilitering av patienten eller någon annan motsvarande plan. Informationshanteringstjänsten är en teknisk lösning som kan underlätta sökandet efter och utnyttjandet av strukturerat dokumenterade viktiga klient- och patientuppgifter. I framtiden kan det uppstå också andra behov av att sammanställa olika viktiga strukturerade patientuppgifter i informationshanteringstjänsten, när strukturerade patientuppgifter utvecklas ytterligare.
Med hjälp av informationshanteringstjänsten sammanställs endast patientuppgifter inom hälso- och sjukvården. Avsikten är att genomföra motsvarande central uppgiftssökning inom socialvården genom att plocka uppgifter direkt från klientdataaarkivet så att uppgifterna inte behöver sammanställas i en särskild databas.
12 §. Viljeyttringstjänsten. I viljeyttringstjänsten ska det enligt 1 mom. föras in uppgifter om information som en person har fått enligt denna lag och lagen om elektroniska recept samt om samtycke och förbud som en person har meddelat i fråga om utlämnande av kunduppgifter.
Bestämmelser om den information som ska ges till en person finns i 16 § i den föreslagna lagen och i 4 § i receptlagen. Informationsinnehållet i information som getts tidigare ska dock få bevaras och kunna användas vid behov till exempel när man är tvungen att utreda fel.
Bestämmelser om en persons samtycke finns i den föreslagna lagens 20 och 21 § om utlämnande av klient- och patientuppgifter. Det omfattande allmänna samtycke som för närvarande är i bruk inom hälso- och sjukvården slopas i den föreslagna lagen. På basis av samtycke kan klientuppgifter inom socialvården lämnas ut till hälso- och sjukvården och patientuppgifter lämnas ut till socialvården. Bestämmelser om samtycke finns i EU:s allmänna dataskyddsförordning.
Enligt propositionen ska en persons förbud registreras i viljeyttringstjänsten. En person kan meddela förbud på basis av 18 och 19 § i den föreslagna lagen och 13 § i lagen om elektroniska recept. Man kan bli tvungen att avvika från ett sådant förbud mot utlämnande av uppgifter som en person har meddelat, om en yrkesutbildad person inom social- eller hälsovården enligt en lagbestämmelse måste lämna ut kunduppgifterna trots förbudet.
Enligt 2 mom. kan det i viljeyttringstjänsten dessutom föras in uppgift om en persons övriga viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster (1 punkten) samt om en persons övriga viljeyttringar som hänför sig till tjänster inom social- och hälsovården ovh till behandling av kunduppgifter (2 punkten).
Viljeyttringar som hänför sig till hälso- och sjukvård eller socialtjänster och som kan registreras i viljeyttringstjänsten är till exempel en persons förbud mot att lösgöra celler, vävnad eller organ för medicinskt bruk efter att personen avlidit samt personens vårddirektiv. Den föreslagna bestämmelsen betyder dock inte att endast de förbud mot tagande av organ eller de vårddirektiv som har registrerats i viljeyttringstjänsten uttrycker personens vilja. Ett förbud mot tagande av organ eller ett vårddirektiv kan också meddelas på andra sätt, och dessa viljeyttringar är lika giltiga som de förbud eller vårddirektiv som lagrats i viljeyttringstjänsten. Det kan dock vara svårt att bevisa att ett sådant förbud mot tagande av organ eller vårddirektiv existerar i en situation där man måste fatta ett snabbt beslut om att lösgöra ett organ, en vävnad eller celler från en avliden person eller att ge vård till en person som till exempel är medvetslös. Om uppgiften antecknas i viljeyttringstjänsten underlättar det därför i betydande grad genomförandet av till exempel transplantationer eller ordnandet av den vård som patienten behöver.
Med social- och hälsovård avses förutom social- och hälsovårdstjänter även andra tjänster inom social- och hälsovårdens förvaltningsområde. En sådan tjänst är till exempel en biobank (en i biobankslagen avsedd provinfrastruktur, som används för att främja vetenskaplig forskning på prover från människor), och i viljeyttringstjänsten kan föras in till exempel en persons samtycke och ändring av det, förbud mot eller begränsning av behandlingen av prover, invändning mot att prover överförs till en biobank, invändning mot att personuppgifter behandlas i biobanken. En annan framtida tjänst med koppling till social- och hälsovården är Genomcentret, som föreslås bli inrättat, och i viljeyttringstjänsten kan föras in invändning mot att genomuppgifter förs in i Genomcentret och invändning mot att genomuppgifter behandlas i Genomcentret.
13 §.Informationsresursen för egna uppgifter. I paragrafen föreskrivs det om en informationsresurs för egna uppgifter som ska inrättas i samband med de riksomfattande informationssystemtjänsterna för sådana uppgifter om välbefinnande som en person själv producerar och hanterar.
Enligt 1 mom. ska en person med hjälp av välbefinnandeapplikationer eller via medborgargränssnittet (Mina Kanta-sidor) själv föra in sina egna uppgifter om välbefinnande i informationsresursen för egna uppgifter. Personen bestämmer själv hur hans eller hennes uppgifter i informationsresursen för egna uppgifter ska användas och om de ska avlägsnas. Enligt förslaget ska personen när som helst kunna utplåna, ändra eller avlägsna sina uppgifter i informationsresursen för egna uppgifter. Om en person avlägsnar uppgifter ur informationsresursen, försvinner de helt och hållet, med undantag för logguppgifterna i anslutning till användningen av uppgifterna.
Exempel på sådana uppgifter om välbefinnande som en person själv kan föra in är blodsocker- och blodtrycksvärden. Hittills har personen vanligtvis antecknat värdena för hand på papper och sedan informerat vårdpersonalen om dem, som på personens vägnar sedan har fört in dem i kunduppgiftssystemet. Även till exempel bilder som har tagits med mobilen eller digital kamera är uppgifter som kan behövas i vården. Extra arbete undviks då en person själv kan föra in eller automatiskt överföra sina uppgifter direkt i den elektroniska tjänsten där de sedan är tillgängliga även för andra. Detta stöder delvis också personens möjligheter att vårda och ta hand om sig själv.
I paragrafens 2 mom. föreskrivs det om det samtycke som en person kan ge i fråga om utlämnande av sina uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter. För att få lämna ut de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter till tjänstetillhandahållare behövs det ett samtycke av personen i fråga. Enligt propositionen har personen själv rätt att behandla sina uppgifter om välbefinnande i informationsresursen med välbefinnandeapplikationer utan samtycke. Personens samtycke behövs dock när uppgifter om välbefinnande som finns i informationsresursen utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsotjänster. Informationsresursens uppgifter om välbefinnande får utlämnas till en tjänstetillhandahållare när en yrkesutbildad person tillhandahåller personen social- eller hälsotjänster. Momentet har formulerats så att genom samtycket skapas i dessa sammanhang inte en rättslig grund för behandling av personuppgifter, utan endast en grund för utlämnande. Genom formuleringarna i lagen binds samtycket likaså till nödvändighetskraven så att samtycket inte kan vara obegränsat. Detta betyder att en yrkesutbildad person inom social- och hälsovården får behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen.
Ett sådant samtycke överensstämmer med bestämmelserna om samtycke i artikel 4.1, 4.11 och 7 i EU:s dataskyddsförordning. Folkpensionsanstalten ska i egenskap av administratör och personuppgiftsansvarig för informationsresursen för egna uppgifter ansvara för det tekniska genomförandet av förfarandet för samtycke.
I ingressen till dataskyddsförordningen är den allmänna regeln den att samtycke alltid bör lämnas genom en entydig bekräftande handling, t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring, som innebär ett medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Enligt ingressen ska samtycket ges på ett sätt som tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. I dataskyddsförordningen föreskrivs det dessutom att begäran om samtycke i skriftlig form ska läggas fram i de skriftliga anmälningar som avses i dataskyddsförordningen på ett sätt som klart och tydligt kan särskiljas från de andra frågorna samt i en begriplig och lätt tillgänglig form med användning av klart och tydligt språk. Utöver att samtycket ska vara uttryckligt och otvetydigt måste det ges frivilligt. I dataskyddsförordningen har den personuppgiftsansvarige ålagts bevisbördan för att samtycke finns. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid att information ges om behandlingen av personuppgifter.
I 3 mom. föreslås av informativa orsaker en sådan precisering att om en yrkesutbildad person inom social- och hälsovården använder uppgifterna vid tillhandahållande av social- eller hälsotjänster ska personen även ansvara för att de behövliga uppgifter om välbefinnande som påverkar vården eller tjänsten antecknas i klient- eller journalhandlingarna på det sätt som föreskrivs i patientlagen, klientlagen och klienthandlingslagen.
I paragrafens 4 mom. föreskrivs det om bevarandet av uppgifterna i informationsresursen för egna uppgifter. De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller, när personen inte själv har avlägsnat sina uppgifter, högst tills fem år har förflutit från personens död. Bevaringsplikten gör det möjligt att utnyttja uppgifter om välbefinnande till exempel vid utredning av patientskador. Trots att uppgifter som påverkar vård och service fortfarande ska registreras i klient- eller patientuppgifterna, går det ändå inte utifrån dem att sluta sig till om en yrkesutbildad person över huvud har beaktat uppgifter om välbefinnande i informationsresursen för egna uppgifter och registrerat dessa uppgifter korrekt.
14 §.Folkpensionsanstaltens ansvar som personuppgiftsbiträde när den förvaltar riksomfattande informationssystemtjänster. I paragrafen föreslås det att Folkpensionsanstalten, som är teknisk ansvarig för och förvaltare av en riksomfattande informationssystemtjänst, ska ansvara för tjänsten rent generellt och för dess lagenlighet.
Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Inte heller i övrigt får kunduppgifter behandlas i större utsträckning än vad som är nödvändigt för förvaltningen. Eftersom Folkpensionsanstalten sköter arkiveringstjänsten för tillhandahållarna av social- och hälsovårdstjänster, ska Folkpensionsanstalten för sin egen del ansvara för den behandling av kunduppgifter som sker med hjälp av dessa informationssystemtjänster. En tjänstetillhandahållare som anslutit sig till de riksomfattande informationssystemtjänsterna ska i egenskap av personuppgiftsansvarig för kunduppgifter ansvara för innehållet i de införda kunduppgifterna och de logguppgifter som anknyter till behandlingen av dem samt för uppgifternas innehåll och riktighet och för att lagen följs när uppgifter i övrigt behandlas.
I paragrafens 1 mom. föreskrivs det att de riksomfattande informationssystemtjänsterna och kunduppgifterna ska vara tillgängliga så att man alltid har tillgång till kunduppgifterna utan att kundsäkerheten äventyras. Med detta avses att alla de tjänstetillhandahållare som har anslutit sig till tjänsten ska ha tillgång till uppgifterna dygnet runt under årets alla dagar inklusive högtider och helger. Reaktionstiden vid behandlingen av uppgifter ska vara sådan att den inte äventyrar kundsäkerheten. Informationssystemtjänsterna ska dessutom ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. Med funktionsstörning avses till exempel elavbrott eller andra jämförbara funktionella störningar som förhindrar informationsgången. Med undantagsförhållanden avses sådana förhållanden som avses i 2 § i beredskapslagen (1080/1991), till exempel väpnade angrepp som riktas mot Finland, krig eller storolyckor.
I paragrafens 2 mom. ska det finnas en förteckning över Folkpensionsanstaltens ansvar vid förvaltningen av de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten ska ansvara för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver samt använda sin bestämmanderätt i frågor gällande systemets datatekniska funktion (1punkten). Folkpensionsanstalten ska också ansvara för säkerställande av säkerhet på det sätt som föreskrivs i 14 § i lagen om informationshantering inom den offentliga förvaltningen i fråga om kunduppgifter, uppgifter om välbefinnande och andra uppgifter som för in i de riksomfattande informationssystemtjänsterna samt för utplåning av uppgifterna efter det att förvaringstiden gått ut. I praktiken förändras inte nuläget, dvs. Folkpensionsanstalten ska fortfarande ansvara för användbarheten, integriteten, oförvanskligheten, skyddet, bevarandet och utplåningen i fråga om uppgifterna. En person har dock rätt att utplåna och ändra sina egna uppgifter om välbefinnande. Således kan Folkpensionsanstalten inte svara för dessa uppgifters utplåning så som den gör när det gäller kunduppgifterna. När det gäller oförvansklighet och integritet betyder ansvaret att en persons uppgifter bevaras i den form och med det innehåll som de hade när personen förde in dem i informationsresursen för egna uppgifter (2 punkten). Folkpensionsanstalten ska sörja för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter eller uppgifter om välbefinnande och andra införda uppgifter lämnas ut i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården (3 punkten). Folkpensionsanstalten ska ansvara för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister (4 punkten).
Folkpensionsanstalten ska dessutom ansvara för det datatekniska genomförandet av kodservern, med undantag för det termredigeringsprogram som Institutet för hälsa och välfärd ansvarar för (5 punkten). Folkpensionsanstalten ansvarar för förmedlingen av information till befolkningen i frågor som gäller de riksomfattande informationssystemtjänsterna (6 punkten).
Folkpensionsanstalten ska också ansvar för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna.
I paragrafens 3 mom. förtecknas de rättigheter som gäller Folkpensionsanstalten. Folkpensionsanstalten ska ha rätt att av Tillstånds- och tillsynsverket för social- och hälsovården (Val- vira) få de uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för att sköta sina lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (1 punkten). Denna rätt gäller erhållande av information även på andra sätt än via roll- och attributtjänsten. Uppgifterna behövs och ska används bland annat vid loggrapportering och loggövervakning samt för tillgodoseendet av patientens rättigheter att erhålla information.
Folkpensionsanstalten ska ha rätt att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt för upprätthållandet av de riksomfattande informationssystem- tjänsterna (2 punkten), att utöva beslutanderätt i frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den (3 punkten) samt att lämna ut handlingar som omfattas av dess personuppgiftsan- svar och logguppgifter över sådana handlingar till berörda tillhandahållare av social- och hälsotjänster för uppföljning och tillsyn av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom. Således kan Folkpensionsanstalten lämna ut logguppgifter om behandlingen av uppgifter i viljeyttringstjänsten och i informationsresursen för egna uppgifter till berörda organisationer när dessa behövs för dataskyddsutredningar (4 punkten). Folkpensionsanstalten har rätt att i syfte att öka informationssäkerheten och förhindra och avslöja överbelastningsattacker och missbruk utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster. Om Folkpensionsanstalten upptäcker eventuella missbruk ska den omedelbart underrätta den berörda personuppgiftsansvariga om saken (5 punkten). Folkpensionsanstalten har rätt att av Myndigheten för digitalisering och befolkningsdata få den information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna (6 punkten). Sådana uppgifter är till exempel uppgifter som behövs för skötseln av ärenden för annans räkning.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska till de myndigheter som ansvarar för styrningen, övervakningen och utvecklandet av de riksomfattande tjänsterna få lämna ut sådana sammanställningar över uppgifter i de riksomfattande informationssystemtjänsterna, över handlingars metadata och över logguppgifter som kan vara av betydelse för utvecklingen, uppföljningen och rapporteringen i fråga om de riksomfattande tjänsterna. Sammanställningarna av uppgifter ska vara sådana att det inte går att identifiera enskilda personer utifrån dem och de får inte innehålla personuppgifter.
I paragrafens 5 mom. föreslås det att de riksomfattande informationssystemtjänsterna ska skyddas på samma sätt som vad som föreskrivs särskilt om statliga myndigheters och kommuners skyldigheter i fråga om informationssäkerhet i informationshanteringslagen. Folkpensionsanstalten omfattas inte i sig av bestämmelserna om statliga myndigheter, men eftersom den bevarar känsliga klient- och patientuppgifter i de riksomfattande informationssystemtjänsterna för offentliga tillhandahållare av social- och hälsovårdstjänster är det motiverat att skyldigheterna är desamma som de skulle vara om tjänstetillhandahållarna skulle sköta skyldigheterna själva. Åtgärder som garanterar informationssäkerheten i de riksomfattande informationssystemtjänsterna ska vidtas som en helhet så att även privata tjänstetillhandahållares uppgifter är skyddade på motsvarande nivå. Folkpensionsanstalten får inte ge utomstående i uppdrag att behandla eller bevara de register som nämns i denna proposition och som anknyter till organiseringen av de riksomfattande informationssystemtjänsterna eller de loggregister som hänför sig till dessa register.
4 kap. Behandling av kunduppgifter inom social- och hälsovården
15 §.Åtkomsträttigheter till kunduppgifter. Enligt EU:s dataskyddsförordning ska behandling av personuppgifter ha en rättslig grund enligt artikel 6 i förordningen. Det får utfärdas nationell lagstiftning som förtydligar förordningen bland annat när behandlingen av personuppgifterna har sin grund i artikel 6.1 c i förordningen enligt vilken behandlingen behövs för att iaktta den personuppgiftsansvariges lagstadgade förpliktelse. Eftersom behandlingen av personuppgifter baserar sig på artikel 6.1 c i dataskyddsförordningen har en registrerad ingen sådan rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen.
I fråga om kunduppgifterna inom social- och hälsovården har den personuppgiftsansvarige en lagstadgad skyldighet att anordna social- och hälsotjänster, och detta utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 c i förordningen. Eftersom behandlingen av kunduppgifter bygger på en lagstadgad skyldighet kan närmare lagstiftning om behandlingen av kunduppgifter utfärdas nationellt. Enligt dataskyddsförordningen kan den nationella lag- stiftningen innehålla mera detaljerade bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen genom mera exakta bestämmelser om särskilda krav för behandling av uppgifter och för andra åtgärder, till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ända mål, ändamålsbegränsningar, bevaringstid samt typer av behandling och förfaranden för be handling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Enligt dataskyddsförordningen ska vid behandling av sådana uppgifter som hör till de särskilda kategorierna av personuppgifter, dvs. känsliga personuppgifter, dessutom något av de krav som anges i artikel 9.2 uppfyllas. I den föreslagna kunduppgiftslagen ska behandlingen behövas bland annat för de ändamål som anges i artikel 9.2 b och h. Enligt artikel 9.2 b och h är behandlingen bland annat nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstatens nationella rätt (b) och av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstatens nationella rätt (h). Dessutom ska bestämmelsen i artikel 9.3 beaktas, enligt vilken känsliga personuppgifter får behandlas för de ändamål som anges i artikel 9.2 h, bland annat för medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, om uppgifterna behandlas av eller under ansvar av en person som omfattas av tystnadsplikt. Enligt artikel 9.2 h i dataskyddsförordningen förutsätts det dessutom att behandlingen grundar sig på lagstiftning eller på ett avtal med yrkesverksamma på hälsoområdet och att den sker under förutsättning att skyddsåtgärderna är uppfyllda.
Enligt 6 § 1 mom. i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte bland annat
- när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård (4 punkten),
- när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade (5 punkten),
- på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka (6 punkten).
Enligt dataskyddsförordningen bör sådana personuppgifter som är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd. Dessutom betonas det i dataskyddsförordningen att avvikelser från förbud mot behandling av särskilda kategorier av personuppgifter kan göras ifall detta baserar sig på unionsrätten eller medlemsstaternas nationella rätt och ifall lämpliga skyddsåtgärder vidtas. Den personuppgiftsansvarige ska genomföra behövliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst och för att de inte oavsiktligt eller lagstridigt ska utplånas, ändras, utlämnas, överföras eller behandlas lagstridigt på något annat sätt.
Enligt 6 § 2 mom. i dataskyddslagen ska en personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är
1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter,
2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,
3) utnämning av ett dataskyddsombud,
4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,
5) pseudonymisering av personuppgifter,
6) kryptering av personuppgifter,
7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident,
8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,
9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,
10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen,
11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.
Skyddsåtgärder i den föreslagna kunduppgiftslagen är bland annat administrationen av åtkomsträttigheter (15 §), förbud mot användning (18-19 §), loggkontroll (25-26 §), certifiering av informationssystem (35 §) och informationssäkerhetsplaner (27 §).
I artikel 25.2 i dataskyddsförordningen föreskrivs det om att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, bevaringstiden och deras tillgänglighet. Åtgärderna ska särskilt säkerställa att ett obegränsat antal personer som standard inte kommer åt uppgifterna utan en fysisk persons medverkan.
I enlighet med 16 § i informationshanteringslagen ska den systemansvariga myndigheten definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov. För att säkerställa enhetliga riksomfatande principer för definition av åtkomsträttigheter föreslås bestämmelser om åtkomsträttighter i denna lag, och dessutom ska grunderna för åtkomsträttigheterna preciseras genom förordning av social- och hälsovårdsministeriet. De enhetliga grunderna för åtkomsträttigheter ska således gälla både offentliga och privata tjänsteproducenter. Det föreskrivs också noggrannare om grunderna för åtkomsträttigheter än i informationshanteringslagen.
Enligt den föreslagna paragrafen ska behandlingen av kunduppgifter i regel grunda sig på de lagstadgade uppgifter som yrkesutbildade personer inom social- och hälsovården sköter. För skötseln av lagstadgade uppgifter ges yrkesutbildade personer åtkomsträtt till de kunduppgifter som de behöver för att sköta sina uppgifter.
I paragrafens 1 mom. föreskrivs det om rätten att använda kunduppgifter. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Yrkesutbildade personer inom hälso- och sjukvården eller andra personer som behandlar kunduppgifter ska få behandla bara sådana kunduppgifter som är nödvändiga för skötseln av en lagstadgad uppgift inom ramen för deras rätt att få uppgifter. Grunden för behandlingen av kunduppgifter är en kund- eller vårdrelation, någon annan arbetsuppgift eller någon annan lagstadgad rätt.
I och med ibruktagandet av Kanta-tjänsterna begränsas behandlingen av kunduppgifter genom både beviljande av åtkomsträttigheter och verifiering av samband eller vårdrelation. I paragrafens 1 mom. föreskrivs det att behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Detta datatekniska säkerställande kan inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en anteckning i informationssystemet om att kunden har skrivits in på bäddavdelningen eller polikliniken. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en klientrelation eller vårdrelation med den yrkesutbildade person som behandlar uppgifterna, ska anteckningen ha gjorts av någon annan än denna yrkesutbildade person. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna. Då när det inte är möjligt att använda något annat datatekniskt sätt för att säkerställa vårdrelationen, ska vårdpersonalen dock kunna behandla sådana patientuppgifter som är nödvändiga. I dessa situationer ska den yrkesutbildade personen inom hälso- och sjukvården meddela den särskilda orsak som ligger som grund för behandlingen av uppgifterna. Sådan behandling som baserar sig på särskilda orsaker förutsätter att tillsynen utvecklas både inom organisationerna inom hälso- och sjukvården och på riksomfattande nivå.
Inom socialvården ska arbetstagarens möjlighet att behandla klientuppgifter begränsas genom verifiering av sammanhanget endast när arbetstagarens arbetsuppgifter gäller klienten i fråga. I regel ska en arbetstagare inom socialvården ha åtkomsträtt till de klientuppgifter som han eller hon behöver i den serviceuppgift som arbetsuppgifterna gäller. Utöver detta kan arbetstagaren beviljas åtkomsträtt till kunduppgifter inom andra serviceuppgifter som han eller hon regelrätt behöver för att utföra sitt arbete. Inom socialvården kan åtkomsträtten även begränsas till sådana socialtjänster som tillhandahålls endast inom en del av en serviceuppgift, till vissa serviceprocesser eller till sådana klienthandlingar som uppkommer bara i vissa serviceuppgifter, om arbetet inte förutsätter behandling av alla de klientuppgifter som anknyter till serviceuppgiften.
Rättigheterna hos de personer som arbetar med tekniskt underhåll, övervakning av användning samt hantering av kunduppgifter att använda kunduppgifter ska beviljas i behövlig omfattning. Åtkomsträtten får inte möjliggöra åtkomst till sådana kunduppgifter som inte omfattas av arbetstagarens underhålls- eller övervakningsansvar.
I paragrafens 2 mom. föreskrivs det att social- och hälsovårdsministeriet utfärdar en förordning om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter har rätt att använda i de tjänster som de tillhandahåller. Genom förordningen preciseras de i 1 mom. angivna grunder enligt vilka tjänstetillhandahållaren ska bevilja åtkomsträttigheter till kunduppgifter för de yrkesutbildade personerna inom social- och hälsovården och andra personer som behandlar kunduppgifter. Genom förordningen om grunderna för bestämmandet av åtkomsträttigheter säkerställs att åtkomsträttigheterna till kunduppgifter är desamma i hela landet, och främjas således skyddet av personuppgifter som har registrerats på grundval av en kundrelation från obehörig och lagstridig behandling.
I 3 mom. föreskrivs det att tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Genom åtkomsträttigheterna kan arbetstagarna behandla endast de kundhandlingar som innehållsmässigt anknyter till deras respektive arbetsuppgifter. Varje person som arbetar med kundservice får behandla kundhandlingar endast i den omfattning som förutsätts för hans eller hennes arbetsuppgifter och ansvar. Genom åtkomsträttigheterna begränsas användning av patientuppgifter som utarbetats i organisationens egen verksamhet, men också användning av uppgifter som fåtts från andra tjänstetillhandahållaren eller tjänster med stöd av kundens samtycke eller lag. Rätten att få uppgifter kan inte utvidgas genom åtkomsträtt.
För tjänstetillhandahållaren föreskrivs dessutom om förpliktelse att föra ett register över de egna användarna av sina kundinformationssystem och kundregister samt deras åtkomsträttigheter. Detta register ska täcka både tidigare och nya uppgifter om användarna. Av uppgifterna i användarregistren ska det framgå vem som beviljats åtkomsträtt, för vilket patientregister eller dess del rättigheterna beviljats, omfattningen av åtkomsträtten samt tiden då rätten att se, uppdatera eller använda uppgifterna börjar och slutar.
16 §.Information till kunden om riksomfattande informationssystemtjänster. I paragrafens 1 mom. föreskrivs det om tjänstetillhandahållarens informationsskyldighet. Eftersom erhållandet av information enligt den valda modellen ska grunda sig på lagen, innebär det att alla uppgifter i tjänstetillhandahållarnas register alltid ska finnas tillgängliga för yrkesutbildade personer inom social- och hälsovården när de behöver dem i sina arbetsuppgifter om kunden inte har förbjudit behandling eller utlämnande av uppgifterna. En praxis som bygger på en lagstadgad rätt att få information och på kundens förbud mot detta innebär ett särskilt stort ansvar vad gäller informationen till patienten. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter.
Enligt propositionen ska tjänstetillhandahållaren ge information om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om de rättigheter hos kunden som anknyter till de riksomfattande informationssystemtjänsterna. Informationen ska ges till kunden senast i samband med den första kontakten. Information ska också kunna ges via medborgargränssnittet (Mina Kanta-sidor) som avses i 24 §.
I EU:s dataskyddsförordning föreskrivs det däremot om informerandet i samband med behandling av personuppgifter. Vid informerande ska den förpliktelse i dataskyddsförordningen som gäller tjänstetillhandahållarens skyldighet att ge kunden vissa uppgifter iakttas. Om personuppgifterna erhålls direkt av den registrerade själv ska enligt dataskyddsförordningen informationen ges då när personuppgifterna erhålls. Om personuppgifterna fås från någon annan ska informerandet skötas inom en rimlig tid men senast inom en månad från det att uppgifterna erhölls.
Enligt EU:s dataskyddsförordning är den personuppgiftsansvariga skyldig att avgiftsfritt ge den registrerade information om behandlingen av hans eller hennes personuppgifter. Enligt dataskyddsförordningen ska den personuppgiftsansvarige alltid ge följande uppgifter om behandlingen av personuppgifter:
- kontaktuppgifter till den personuppgiftsansvarige, dennes eventuella företrädare och den dataskyddsansvariga
- syfte och rättslig grund för behandlingen av personuppgifter. Om uppgifterna inte fås direkt av den registrerade ska dessutom meddelas vilka kategorier av personuppgifter behandlingen gäller.
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, om dessa utgör grunden för behandlingen
- i tillämpliga fall, vem som ska få personuppgifterna
- huruvida den personuppgiftsansvarige avser att överföra uppgifter till ett tredjeland eller en internationell organisation
Enligt dataskyddsförordningen ska den personuppgiftsansvarige för att säkerställa rättvis och transparent behandling dessutom lämna följande ytterligare information:
- uppgifternas lagringstid eller de kriterier som används för att fastställa denna
- den registrerades rättigheter i fråga om dennes uppgifter, såsom rätten att begära radering av sina personuppgifter, rätten att återkalla sitt samtycke, rätten att inge klagomål och förekomsten av automatiserat beslutsfattande, inbegripet till exempel profilering
- huruvida insamlingen av uppgifter är ett lagstadgat eller avtalsenligt krav
- huruvida personen är skyldig att ge uppgifterna och följderna av att uppgifterna inte lämnas
Den registrerade har enligt dataskyddsförordningen också rätt att få det bekräftat att uppgifterna behandlas eller inte behandlas. Dessutom har den registrerade rätt att få närmare information om behandlingen av uppgifterna, till exempel om syftet med behandlingen och vilka kategorier av personuppgifter behandlingen gäller.
Vid informerandet ska specialgrupperna beaktas särskilt, till exempel barnen. Till barn måste informationen till exempel ges i sådan form och på ett sådant sätt att barnet kan förstå den. Barnet ska ges tydlig information om hans eller hennes rättigheter att begränsa åtkomsten till uppgifterna. Dessutom ska barnet få tillräcklig information om de situationer där vårdnadshavaren ska sköta ärenden elektroniskt för barnets räkning och tillsammans med barnet. Dessutom kan detaljerade anvisningar om informerandet fås av dataskyddsombudet och av Europeiska dataskyddsstyrelsen (EDPB).
Utöver den information som ska ges personligen till kunden kan det dessutom som det hittills har gjorts ges information till allmänheten om behandlingen av kunduppgifter. Institutet för hälsa och välfärd ska ansvara för sakinnehållet i den information som ges till kunderna, och folkpensionsanstalten ska enligt paragrafens 2 mom. även i fortsättningen ansvara för informationsmaterialet.
17 §.Identifiering av dem som behandlar kunduppgifter. Med tanke på de elektroniska tjänsternas tillförlitlighet och individens rättsskydd är det mycket viktigt att de parter som använder tjänsterna faktiskt är de som de utger sig för att vara. Enligt 1 mom. ska därför kunder, tjänstetillhandahållare och andra parter och deras företrädare som behandlar kunduppgifter samt de datatekniska enheterna identifieras på ett tillförlitligt sätt vid elektronisk behandling av kunduppgifter. Identifieringen kan till exempel ske med hjälp av någon annan identifieringsuppgift i en handling som används vid verifieringen av identiteten.
Identifieringen av de personer som behandlar kunduppgifter och av tjänstetillhandahållarna, de datatekniska enheterna samt av de riksomfattande informationssystemtjänsterna förutsätter dessutom verifiering. Vid behov ska identiteten kunna verifieras genom en handling från en tillförlitlig och oberoende källa. I enlighet med 6 § 2 mom. i lagen om tillhandahållande av digitala tjänster ska tjänsteanvändaren identifieras med hjälp av en sådan tjänst för identifiering av fysiska personer som avses i 3 § 1 mom. 4 punkten i lagen om förvaltningens gemensamma stödtjänster för e-tjänster, med hjälp av stark autentisering som avses i 2 § 1 mom. 1 punkten i lagen om stark autentisering och betrodda elektroniska tjänster eller av vägande och motiverande skäl med hjälp av någon annan motsvarande informationssäker identifieringstjänst. I en elektronisk tjänst kan verifieringen till exempel ske genom att använda identifieringsverktyg för stark autentisering, som till exempel certifikatkort, nätbankskoder eller mobilcertifikat. Myndigheten för digitalisering och befolkningsdata har haft som lagstadgad uppgift att ansvara för certifikaten inom social- och hälsovården, de personliga certifikaten för elektronisk identifiering och undertecknande och för certifikaten för undertecknande i tjänster och system. Identifieringen och de elektroniska underskrifterna av de yrkesutbildade personerna inom social- och hälsovården och av andra anställda hos tjänstetillhandahållarna genomförs med hjälp av den kontroll av åtkomsträttigheter som sköts av Tillstånds- och tillsynsverket för social- och hälsovårdens certifikattjänster och verksamhetsenheter.
I paragrafens 2 mom. föreslås det att närmare bestämmelser om de tekniska metoderna för identifiering och autentisering får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Myndigheten för digitalisering och befolkningsdata till den del det handlar om en sådan uppgift för Myndigheten för digitalisering och befolkningsdata som avses i 6 § och som gäller att Befolkningsregistercentralen är den i lagen om stark autentisering och betrodda elektroniska tjänster avsedda certifikatutfärdaren för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter.
18 §.Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut. I paragrafen föreskrivs det om kundens rätt att förbjuda att kunduppgifter om honom eller henne lämnas ut mellan personuppgiftsansvariga. I paragrafen används begreppet personuppgiftsansvarig i stället för tjänstetillhandahållare, eftersom begreppet personuppgiftsansvarig hänvisar mera exakt till den aktör som ansvarar för ordnandet av tjänsten och registerföringen.
Enligt 1 mom. kan klienten förbjuda att en personuppgiftsansvarig lämnar ut klientuppgifter om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. Klienten har dock inte denna rätt när det gäller den personuppgiftsansvariges egen verksamhet och verksamhet för den personuppgiftsansvariges räkning, eftersom det då är fråga om användning av klientuppgifter och inte utlämning. En tjänstetillhandahållare som verkar för en annan tjänstetillhandahållares räkning ska således få klientuppgifter utan inverkan av förbud. På motsvarande sätt föreslås det att en patient ska ha rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till en annan personuppgiftsansvarig eller ett annat register inom hälso- och sjukvården via riksomfattande informationssystemtjänster.
Eftersom sjukvårdsdistriktets gemensamma register enligt 9 § i hälso- och sjukvårdslagen har kunnat bildas med hjälp av de riksomfattande informationssystemtjänsterna så att kundens rätt att förbjuda utlämnandet av uppgifter genomförs med hjälp av de riksomfattande informationssystemtjänsterna, gäller förbudet i dessa situationer också vid annat utlämnande av uppgifter i det gemensamma registret än genom de riksomfattande informationssystemtjänsterna.
Dataskyddsförordningen innehåller bestämmelser om den registrerades rätt att göra invändningar. De registrerades rättigheter följer direkt av dataskyddsförordningen. I fråga om övriga rättigheter kan bestämmelser inte utfärdas på nationell nivå. Enligt artikel 9.4 i den allmänna dataskyddsförordningen får medlemsstaterna dock behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den rätt att förbjuda användning som föreslås kan anses vara ett sådant villkor eller en sådan begränsning som avses ovan. Dessutom kräver många av de situationer som nämns i artikel 9.2 och där behandling av särskilda kategorier av personuppgifter är möjlig med stöd av nationell lagstiftning att den nationella lagstiftningen innehåller lämpliga skyddsåtgärder.
I enlighet med artikel 18 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt: a) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Om behandlingen har begränsats får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. En registrerad som har fått behandling begränsad ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör. En registrerad kan utöva sin rätt till begränsning enligt artikel 18 i dataskyddsförordningen när det gäller utlämnande av uppgifter med förbudsrätt enligt denna proposition. Det kommer att föreskrivas särskilt om egentlig inskränkning av rätten till begränsning.
Valet av en modell med förbud kan motiveras med den princip i dataskyddsförordningen en- ligt vilken ett samtycke inte är en tillräcklig grund för behandling av personuppgifter, om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Som exempel på sådan betydande ojämlikhet nämner dataskyddsförordningen att den personuppgiftsansvarige är en myndighet och att det därför är osannolikt att samtycke ges frivilligt. Ett vidsträckt samtycke som riktar sig på framtiden uppfyller inte heller det krav i dataskyddsförordningen om att samtycket ska vara specifikt, informerat, frivilligt och otvetydigt, eftersom individen inte i praktiken kan veta hur hans eller hennes samtycke kommer att användas.
Det förbud som kan användas som skyddsåtgärd och som beskrivs ovan ska tillämpas på patientuppgifter inom hälso- och sjukvården. Grunden för rätten att förbjuda användningen av klientuppgifter inom socialvården är artikel 86 i EU:s dataskyddsförordning enligt vilken personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av.
Enligt paragrafens 1 mom. ger rätten att förbjuda användning klienten en möjlighet att hindra utlämnandet av vissa uppgifter via de riksomfattande informationssystemtjänsterna. Inom socialvården kan klienten förbjuda att klientuppgifterna inom socialvården lämnas ut till en annan personuppgiftsansvarig inom socialvården. Inom hälso- och sjukvården kan patienten förbjuda att patientuppgifter om honom eller henne lämnas ut till en annan personuppgiftsansvarig inom hälso- och sjukvården eller till ett annat register inom hälso- och sjukvården. Bestämmelser om överlåtande av uppgifter mellan socialvården och hälso- och sjukvården finns bland annat i klientlagen och i patientlagen. En vårdnadshavare har inte rätt att meddela ett förbud för en minderårig som vårdnadshavaren har vårdnaden om. Detta baserar sig på 9 § 4 mom. i patientlagen enligt vilket patientens vårdnadshavare eller andra lagliga företrädare inte har rätt att förbjuda sådan vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa. Denna princip tillämpas också inom socialvården där den centrala principen är hänsynen till barnets bästa. Inom hälso- och sjukvården kan ett barn som är tillräckligt moget att besluta om sin vård meddela förbud själv.
Enligt 2 mom. kan en klient eller en patient meddela förbud för alla sina klient- och patientuppgifter. Förbudet kan dock inte gälla sådana handlingar som anknyter till hanteringen av utlämnande av uppgifter till arkivet. Dessa handlingar gäller till exempel samtycke, förbud, viljan att donera organ eller vårddirektiv. Genom ett förbud kan kunden inte heller förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information.
Enligt 2 mom. kan en klient inom socialvården rikta förbudet till en viss serviceuppgift eller enskild handling/patientjournal. Inom socialvården avses med klientrelation en serviceuppgift enligt 3 § 4 punkten i klienthandlingslagen, i enlighet med vilken tjänsterna inom socialvården är uppdelade i sju olika serviceuppgifter. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Med servicehändelse avses en kundkontakt, ett kundbesök eller en vårdperiod inom hälso- och sjukvården. Dessutom kan förbudet gälla en personuppgiftsansvarig inom den offentlig social- och hälsovården och dess register samt ett register inom företagshälsovården. Inom den privata social- och hälsovården kan förbudet inte gälla ett register eller en personuppgiftsansvarig. Den företagsverksamhet som bedrivs av de privata tjänstetillhandahållarna är mångfacetterad och därför är det svårt för kunden att förstå vilken instans som är tjänstetillhandahållaren och den personuppgiftsansvarige och till vilken personuppgiftsansvarig förbudet ska riktas. Till exempel en läkarstation kan ha flera självständiga yrkesutövare och företag, och kunden har inte alltid klart för sig när det är fråga om en verksamhet som bedrivs för läkarstationens egen räkning och när verksamheten bedrivs av en annan tjänstetillhandahållare.
I paragrafens 3 mom. föreskrivs det om de konsekvenser som en kunds förbud har för den rätt att få information som gäller yrkesutbildade personer eller myndigheter inom social- och hälsovården. Kundens förbud kan inte förhindra rätten att få information för en yrkesutbildad person eller myndighet inom social- och hälsovården då när deras rätt att få information baserar sig på lag. Till exempel i barnskyddslagen föreskrivs det om när en myndighet inom barnskyddet har rätt att få information trots att kunden inte har meddelat samtycke. Inom hälso- och sjukvården kan patientuppgifter lämnas ut till exempel i en situation enligt 8 § i patientlagen, där brådskande vård måste ges och patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet. Till denna del förblir praxis oförändrad.
Inom socialvården föreskrivs det i 17 – 21 § i klientlagen om utlämnande av sekretessbelagda uppgifter för att trygga klientens vård och omsorg, trots att klienten eller dennes lagliga företrädare har förbjudit utlämnandet av uppgiften. På de villkor som anges i paragrafen får uppgifter utlämnas som är nödvändiga för att behovet av vård av, omsorg om eller utbildning för klienten skall kunna utredas, för att vården, omsorgen eller utbildningen skall kunna ordnas eller genomföras eller för att förutsättningarna för försörjningen skall kunna tryggas.
Enligt 4 mom. ska ett förbud som klienten meddelat gälla tills vidare och kunna återtas när som helst. Efter ett eventuellt återtagande kan klienten meddela förbud på nytt.
19 §.Meddelande och återkallande av förbud mot utlämnande av kunduppgifter. Ett förbud som gäller utlämnande av kunduppgifter kan enligt 1 mom. meddelas vilken tjänstetillhandahållare som helst som har anslutit sig till en riksomfattande informationssystemtjänst. Tjänstetillhandahållaren ska sända uppgifterna till viljeyttringstjänsten så snabbt som det rimligen är möjligt. Efter att uppgiften har sänts till viljeyttringstjänsten beaktas den automatiskt i informationssystemen. Förbud kan även meddelas via ett medborgargränssnitt. Då registreras uppgiften omedelbart i den viljeyttringstjänst som föreslås i 12 §. Vid återtagande av förbud tillämpas samma bestämmelser som vid meddelandet av förbud. Enligt den kan ett förbud meddelas till vilken tillhandahållare av social- eller hälsovård som helst eller meddelas via ett medborgargränssnitt. Uppgiften om att förbudet har återtagits ska utan dröjsmål sändas till viljeyttringstjänsten.
Ett förbud kan meddelas till viljeyttringstjänsten när som helst. Detta är viktigt bland annat för att en person vid behov ska ha en möjlighet att skydda sina uppgifter eller att återta sitt förbud till exempel på läkarmottagningen, så att de tjänster som kunden behöver kan säkerställas i alla situationer och så att kunden har en möjlighet att skydda sin integritet. Enligt 2 mom. ska på kundens begäran den som tar emot förbudet ge kunden en utskrift av kundens förbudshandling.
För att alla de som meddelar ett förbud ska få adekvat och enhetlig information om förbudets betydelse, föreslås det i 3 mom. dessutom att Folkpensionsanstalten ska utforma en dokumentmall för förbudet. Av förbudshandlingen ska det bland annat framgå att de uppgifter som omfattas av kundens förbud inte får lämnas ut via riksomfattande informationssystemtjänster och att förbudet även gäller i de fall de förbjudna uppgifterna är relevanta med tanke på vården eller omsorgen av kunden, om inte något annat följer av annan lagstiftning. Dessutom ska det framgå när uppgifterna kan lämnas ut trots ett förbud. Eftersom återtagande av förbud omfattas av samma bestämmelser som meddelandet av förbud, ska även detta framgå av Folkpensionsanstaltens dokumentmall.
I 4 mom. preciseras att på återkallelse av förbud tillämpas samma regler som på meddelande av förbud.
20 §.Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster. När en tjänstetillhandahållare lämnar ut patientuppgifter till en annan tjänstetillhandahållare eller till ett annat register hos samma tjänstetillhandahållare ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. I paragrafens 1 mom. föreskrivs det därmed om möjligheten att trots sekretessbestämmelserna lämna ut patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan tjänstetillhandahållare inom hälso- och sjukvården och mellan register för anordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten. Sålunda behövs inte separat samtycke.
I paragrafens 2 mom. föreskrivs det att patientuppgifter inom hälso- och sjukvården får lämnas ut från de riksomfattande informationssystemtjänsterna till en tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård. Utlämnande förutsätter patientens samtycke. Bestämmelser om sekretessbeläggning och utlämnande av patientuppgifter finns i 13 § i patientlagen (785/1992). EU:s dataskyddsförordning möjliggör utlämnande av patientuppgifter med stöd av patientens samtycke. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska vara uttryckligt och specifikt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. Enligt definitionen i artikel 4 i dataskyddsförordningen avses med ’samtycke’ av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke som gäller särskilda kategorier av personuppgifter ska dessutom vara uttryckligt. En motsvarande möjlighet att lämna ut patientuppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att patientuppgifter får lämnas ut mellan socialvården och hälso- och sjukvården.
Samordning, dvs. integration, av social- och hälso- och sjukvårdstjänsterna är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Helhetsvård av patienten förutsätter att yrkesutövarna har tillgång till de patientuppgifter som de behöver. Samtidigt ska dock patienten ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika användningsändamål.
Enligt 3 mom. får ett utlämnande av patientuppgifter till en annan tjänstetillhandahållare och mellan en tjänstetillhandahållares register utföras med de riksomfattande informationssystemtjänsterna efter det att patienten har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 15 § i lagförslaget datatekniskt säkerställas att en vårdrelation mellan patienten och den som har lämnat begäran existerar. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter.
En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnande av uppgifterna i fråga, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om patientens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget. Kundens förbud kan inte hindra en yrkesutbildad persons eller en myndighets rätt att få uppgifter när den yrkesutbildade personens eller myndighetens rätt att få uppgifter grundar sig på lag.
För att kunduppgifter ska kunna utlämnas utan att myndigheten har lagstadgad rätt att få uppgifter förutsätts att den berörda personen har möjlighet att förbjuda att uppgifterna utlämnas. Förbud mot utlämnande förutsätter åter att personen känner till innehållet i handlingarna. I Kanta-tjänsterna kan registreras även gamla handlingar som upprättats innan de nationellt harmoniserade datastrukturerna infördes och som alltså saknar datastrukturer. Dessa handlingar kan inte visas i medborgargränssnittet, och personen kan inte förbjuda utlämnande via med- borgargränssnittet. Handlingarna kan innehålla uppgifter om någon annan person eller så borde vissa uppgifter inte visas i medborgargränssnittet till exempel i en situation där uppgifterna enligt en yrkesutbildad persons bedömning kan allvarligt äventyra kundens eller någon annan persons hälsa och säkerhet, och handlingarna saknar datastrukturer för sådana funktioner.
I paragrafens 4 mom. föreskrivs det om utlämnande av patientuppgifter till patienten via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får välbefinnandeapplikationerna på detta sätt, utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat, tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna och kopierats. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter.
21 §.Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster. När en tjänstetillhandahållare lämnar ut klientuppgifter inom socialvården till en annan tjänstetillhandahållare ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut klientuppgifter inom socialvården med hjälp av de i 6 § i lagförslaget avsedda riksomfattande informationssystemtjänsterna till en annan tjänstetillhandahållare inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten. Sålunda behövs inte separat samtycke.
I paragrafens 2 mom. föreskrivs det att klientuppgifter inom socialvården får trots sekretessbestämmelserna lämnas ut från de riksomfattande informationssystemtjänsterna till en personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av socialvård. Utlämnande förutsätter klientens samtycke. Bestämmelser om sekretessbeläggning och utlämnande av klientuppgifter finns i 3 kap. i klientlagen. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska bland annat vara specifikt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. Enligt definitionen i artikel 4 i dataskyddsförordningen avses med ’samtycke’ av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke som gäller särskilda kategorier av personuppgifter ska dessutom vara uttryckligt. En motsvarande möjlighet att lämna ut kunduppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att kunduppgifter får lämnas ut mellan socialvården och hälso- och sjukvården.
Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för refor- men av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de kunduppgifter som de behöver. Samtidigt ska dock kunden ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika användningsändamål. Bestämmelser om de situationer där kunduppgifter kan lämnas ut utan kundens samtycke finns i socialvårdslagstiftningen.
Enligt 3 mom. får ett sådant utlämnande av klientuppgifter inom socialvården till en annan tjänstetillhandahållare som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att klienten har informerats på det sätt som avses i 16 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 15 § i lagförslaget datatekniskt säkerställas att det finns ett samband mellan klienten och den som har lämnat begäran. Eftersom den föreslagna ändringen från samtycke till lagstadgad informationsskyldighet är betydande för den registrerade, fungerar informationen som en skyddsåtgärd som säkerställer den registrerades rättigheter och skyldigheter, i synnerhet deras grundade förväntningar när praxis förändras. För den valda lösningen talar också det riskbaserade tänkandet, genomskådligheten, dataskydd som standard och inbyggt dataskydd enligt dataskyddsförordningen, som i propositionen har beaktats på ett för den registrerade positivt sätt. I den praktiska verksamheten är det ändå skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter.
En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnandet av sina uppgifter, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om kundens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 18 § i lagförslaget. Kundens förbud kan inte hindra en yrkesutbildad persons eller en myndighets rätt att få uppgifter mellan tjänstetillhandahållare inom socialvården när den yrkesutbildade personens eller myndighetens rätt att få uppgifter grundar sig på lag.
För att klientuppgifter inom socialvården ska kunna utlämnas utan att myndigheten har lagstadgad rätt att få uppgifter förutsätts att den berörda personen har möjlighet att förbjuda att uppgifterna utlämnas, och förbud mot utlämnande förutsätter åter att personen känner till innehållet i handlingarna. I Kanta-tjänsterna kan registreras även gamla handlingar som upprättats innan de nationellt harmoniserade datastrukturerna infördes och som alltså saknar erforderliga datastrukturer. Dessa handlingar kan inte visas i medborgargränssnittet, och personen kan inte förbjuda utlämnande via medborgargränssnittet. Handlingarna kan innehålla uppgifter om någon annan person eller så borde vissa uppgifter inte visas i medborgargränssnittet på grund av vad som föreskrivs i någon annan lag.
I paragrafens 4 mom. föreskrivs det om utlämnande av kunduppgifter till kunden via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får välbefinnandeapplikationerna på detta sätt, utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat, tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna och kopierats. I den praktiska verksamheten är det skäl att fästa särskild uppmärksamhet vid informationen om behandlingen av personuppgifter.
22 §.Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. I paragrafen föreskrivs det att det via den förfråg- nings- och förmedlingstjänst som hör till de riksomfattande informationssystemtjänsterna får förmedlas handlingar och andra handlingar som har bifogats till dem för skötseln av en lagstadgad uppgift för en aktör utanför social- och hälsovården. Sådana handlingar är bland annat de intyg och utlåtanden samt andra handlingar som innehåller kunduppgifter som sänds till en annan instans. I paragrafens 1 mom. föreslås det också att handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Förmedlingen av handlingar ska alltså grunda sig på kundens eller uppgiftsmottagarens begäran eller på en tjänsteinnehavares lagstadgade uppgifts- eller anhängiggörandeskyldighet på eget initiativ. Exempelvis en socialvårdsmyndighet är skyldig att anhängiggöra ärenden på klientens vägnar i domstol, och då måste handlingar kunna förmedlas utan begäran.
Det bör påpekas att förfrågnings- och förmedlingstjänsten inte ansvarar för den information som lämnas från en personuppgiftsansvarig till en annan. Det betyder att den personuppgiftsansvarige som ska lämna ut uppgifter ansvarar för att den som får uppgifterna endast får klientuppgifter eller patientuppgifter i den omfattning som mottagaren har rätt att få med stöd av lag eller samtycke. Alltid när uppgifter lämnas ut krävs det övervägande av den personuppgiftsansvarige som lämnar ut uppgifterna och endast de nödvändigaste kunduppgifterna får lämnas ut. Den rätt som mottagaren har att få uppgifter ska basera sig på lag eller på kundens samtycke. Kunduppgifter kan lämnas ut endast i den omfattning mottagaren behöver dem för att sköta sin lagstadgade uppgift.
Exempel på detta är ett A-intyg eller B-intyg som lämnas till Folkpensionsanstalten eller ett arbetspensionsinstitut för en patients sjukdagpenning eller ett läkarutlåtande som lämnas till polisen för ansökan om körkort. Andra särskilda handlingar som medvetet har bifogats till ett intyg eller utlåtande, som till exempel en röntgenläkares utlåtande som ligger som grund för läkarens eget utlåtande, kan anslutas till utlåtandet och lämnas ut elektroniskt med det, om den som har skapat handlingen anser att det behövs.
På basis av arbetspensionslagarna har till exempel en arbetspensionsanstalt trots sekretessbestämmelserna och övriga begränsningar av erhållande av information rätt att få sådana uppgifter som den behöver för att avgöra ett ärende och sköta lagstadgade uppgifter. Arbetspensionsanstalternas rätt att få information gäller bland annat pensionstagares journalhandlingar, rehabilitering, hälsotillstånd, vård och arbetsförmåga. Den förfrågnings- och förmedlingstjänst som föreslås i denna paragraf ger den personuppgiftsansvarige inom hälso- och sjukvården möjligheten att bedöma om handlingar kan lämnas till ett arbetspensionsinstitut även om handlingen ursprungligen är avsedd för något annat ändamål. Handlingarna får dock inte innehålla mera information än vad mottagaren har rätt att få enligt lagstiftningen.
I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka slags handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten. Institutet för hälsa och välfärds föreskrifter är således av teknisk natur.
23 §.Användning av e-tjänster och behandling av uppgifter för någon annans räkning. I 1 mom. föreskrivs av informativa orsaker på vilka grunder en person har rätt att för någon annans räkning behandla dennes kund- och välbefinnandeuppgifter i ärendehanteringstjänster. När ett ärende sköts för en annan persons räkning ska detta grunda sig på en fullmakt eller ett förordnande som intressebevakaren har gett med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). Skötande av ärenden för andras räkning förutsätter att de nationella register som Myndigheten för digitalisering och befolkningsdata ansvarar för utvecklas målmedvetet och att strukturerade uppgifter börjar användas så att de uppgifter som förutsätts för att sköta ärenden för andras räkning fås ur registren i strukturerad form, till exempel uppgift om en intressebevakare som förordnats för hälso- och sjukvårdsärenden. En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen, 9 § 2 mom. i patientlagen, artikel 8.1 i dataskyddsförordningen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983).
En minderårig patient som med hänsyn till ålder och utvecklingsnivå kan fatta beslut om sin vård har enligt patientlagen rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård lämnas ut till vårdnadshavaren eller andra lagliga företrädare. Enligt klientlagen får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. En laglig företrädare har dock rätt att få information enligt vad som föreskrivs i 11 § i offentlighetslagen.
Den yrkesutbildade person inom social- och hälsovården som antecknar kunduppgifter ska säkerställa att barnet vet och förstår att vårdnadshavaren kan se uppgifterna och att barnet med hänsyn till ålder och utvecklingsnivå har rätt att förbjuda att uppgifter lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren.
Inom socialvården kan till exempel intresset hos en vårdnadshavare och den minderåriga som vårdnadshavaren har vårdnaden om stå i strid med varandra, och då ska tolkningen följa barnets intresse. I en sådan situation har vårdnadshavaren inte rätt att behandla barnets uppgifter om behandlingen strider mot barnets intresse. Sådana situationer kan uppstå inom socialvården, och särskilt inom barnskyddet. Vårdnadshavarens rätt att behandla uppgifterna om den minderårig som vårdnadshavaren har vårdnaden om kan även begränsas genom tingsrättens beslut.
Utöver den minderårigas förbudsrätt ska vårdnadshavaren inte heller ha rätt att behandla uppgifter om det barn som denne har vårdnaden om ifall det gäller sådana uppgifter i fråga om vilka vårdnadshavaren inte har insynsrätt eller en sådan i offentlighetslagen avsedd rätt för parten att få information. Det kan till exempel vara fråga om en situation där ett litet barn är klient inom barnskyddet och ännu inte förmår förbjuda att uppgifterna lämnas ut till barnets vårdnadshavare och där det trots detta finns en lagenlig grund för att förvägra till exempel vårdnadshavarens insynsrätt till antingen alla eller en del av uppgifterna om barnet. Då kan ovannämnda uppgifter inte ens visas för kunden. Grunderna för förbudet kan dock vara olika för vårdnadshavaren och den minderåriga. Inom hälso- och sjukvården kan det till exempel vara fråga om en situation där barnet berättar för skolhälsovårdaren att det själv eller en familjemedlem har misshandlats eller behandlats illa i hemmet. Barnet vet inte nödvändigtvis att föräldern kan ta del av uppgiften om besöket hos hälsovårdaren via den tjänst som används. Därför är den yrkesutbildade personen inom social- och hälsovården ansvarig för barnets intresse och säkerhet i alla situationer, även när barnet inte med hänsyn till utvecklingsnivån ännu förmår förbjuda insyn i sina uppgifter.
I artikel 8.1 i dataskyddsförordningen sägs att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a, dvs. behandlingen av personuppgifter grundar sig på samtycke, behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.
I 5 § i dataskyddslagen sägs att när personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.
Bestämmelser om vårdnadshavarens uppgifter finns i 4 § i lagen angående vårdnad om barn och umgängesrätt (361/1983). Enligt 4 mom. företräder vårdnadshavaren barnet i frågor som gäller barnets person, om inte något annat föreskrivs i lag. Informationsresursen för egna uppgifter är informationssamhällets tjänst som den som fyllt 13 år i enlighet med dataskyddslagen kan börja använda självständigt utan vårdnadshavarens samtycke.
I 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) föreskrivs det om Myndigheten för digitalisering och befolkningsdatas nya register för behörighetstjänsten, om förfarandet för avgivande av fullmakt och andra viljeyttringar i registret och om innehållet i fullmakter och andra viljeyttringar samt om sammanföringen av uppgifterna om avgivaren och säkerställandet av informationshelhetens integritet. För tillhandahållande av behörighetstjänsten för Myndigheten för digitalisering och befolkningsdata ett register över de fullmakter som avgivits av fysiska personer och för samfunds vägnar samt övriga viljeyttringar. Viljeyttringarna är i fråga om behörigheterna noggrant avgränsade och anknyter till en viss verksamhet eller händelse, och således kan inga öppna fullmakter för rättsligt bistånd avges via tjänsten.
Via behörighetstjänsten kan även uppgifter om fullmakter som andra myndigheter har registrerat och om andra viljeyttringar förmedlas, om den myndighet som har registrerat uppgifterna har beviljat Myndigheten för digitalisering och befolkningsdata tillstånd till detta och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som ska förmedlas via behörighetstjänsten. När det gäller de register som gäller övriga myndigheters viljeyttringar bygger personuppgiftsansvaret på bestämmelserna om dessa myndigheters verksamhet och det är fortfarande den behöriga myndigheten som bär ansvaret för personuppgifterna och registreringen av viljeyttringarna. Myndigheten för digitalisering och befolkningsdata ansvarar endast för verksamheten i den förmedlingstjänst som ingår i behörighetstjänsten. Möjligheterna att använda till exempel de viljeyttringar som har avgivits inom social- och hälsovården är ofta begränsade till aktörerna inom dessa sektorer och därför är ett mera allmänt utnyttjande av viljeyttringarna inte möjligt. Syftet med punkten i bestämmelsen är att dessa uppgifter ska tillhandahållas centraliserat för användning via behörighetstjänsten.
24 §.Medborgargränssnitt samt uppgifter och viljeyttringar som visas via det. I paragrafens 1 mom. föreslås det att en person kan avge de viljeyttringar som avses i 12 § i lagförslaget samt sköta ärendena i anslutning till sitt kundförhållande och administreringen av sina kunduppgifter och välbefinnandeuppgifter via ett gränssnitt. Sådana uppgifter är till exempel att ta emot information enligt 16 § i lagförslaget om riksomfattande informationssystemtjänster samt att meddela förbud mot och samtycke till utlämnande av uppgifter. Till gränssnittet kan dessutom anslutas andra funktioner som möjliggör informationsutbyte och utförande och uppföljning av uppgifter som gäller tjänster, omsorg och vård. En sådan funktion är till exempel förmedling av kunduppgifter mellan en kund och en tjänstetillhandahållare. Gränssnittet ska realiseras så att kundens integritetsskydd inte äventyras.
I artikel 15 i dataskyddsförordningen bestäms om den registrerades rätt till tillgång. Enligt 34 § i dataskyddslagen har en registrerad inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (1 punkten), lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter (2 punkten), eller personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas (3 punkten). Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne. Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.
I paragrafens 2 mom. föreskrivs det att en person får via medborgargränssnittet visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, till exempel tidsbeställningsuppgifter, laboratorieresultat, röntgenresultat och andra undersökningsresultat, uppgifter om tider och platser för servicehändelser, uppgifter som är viktiga för vården eller servicen, receptuppgifter, vårdanvisningar, remisser, sammandrag av gjorda behandlingar, utlåtanden om behandlingar, läkarintyg och läkarutlåtanden samt handlingar om socialvården.
Trots vad som föreskrivs i 1 mom. ska gränssnittet realiseras så att kunden inte har åtkomst till uppgifterna, om den yrkesutbildade personen inom hälso- och sjukvården vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för tillhandahållandet av en tjänst eller för någon annans rättigheter. När uppgifter visas via gränssnittet ska bestämmelserna om partens rätt att få information i 11 § 2 mom. i offentlighetslagen beaktas.
Principen enligt offentlighetslagen är att en sökande, överklagande eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (en part), har rätt att av den myndighet som behandlar el- ler har behandlat ärendet information om sådant innehåll i en offentlig handling som kan på- verka eller som eventuellt har påverkat behandlingen av hans eller hennes ärende.
En part eller dennes ombud eller biträde har inte den ovanavsedda rätten till exempel
1) när utlämnande av uppgifter ur handlingen skulle strida mot ett synnerligen viktigt allmänt intresse, ett barns intresse eller ett annat synnerligen viktigt enskilt intresse, eller
2) när det är fråga om en handling som har företetts eller upprättats i samband med förundersökning eller polisundersökning som ännu pågår, om utredningen skulle försvåras av att uppgifter lämnas ut.
Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.
25 §.Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande. Att användningen och utlämnandet av kunduppgifter följs upp är en central förutsättning för tillgodoseendet av kundens rätt till skydd för privatlivet och för övervakningen av uppgifternas användning. I 17 § i informationshanteringslagen föreskrivs om myndigheternas skyldighet att samla in logginformation. Eftersom också privata tjänstetillhandahållare ansluter sig till de riksomfattande informationssystemtjänsterna som användare, föreslås i paragrafen att det föreskrivs om uppföljning av användning och utlämnande så att alla tillhandahållare av social- och hälsotjänster ska beröras av samma skyldigheter. Det föreskrivs också noggrannare om uppföljning av användning och utlämnande än i informationshanteringslagen.
Med uppgifternas användning avses att uppgifter används i den personuppgiftsansvariges egen verksamhet och i verksamhet som bedrivs för dennes räkning. De uppgifter som används är uppgifter som finns i den personuppgiftsansvariges egna kundregister. För användning av dessa uppgifter behövs inte tillstånd och en registrerad kan inte förbjuda användningen av sina uppgifter. Med utlämnande av uppgifter avses att uppgifter lämnas ut till en annan personuppgiftsansvarig eller någon annan utomstående som har rätt att få uppgifterna eller att uppgifter överförs mellan den personuppgiftsansvariges olika register. Med utlämnande avses allt avslöjande av information till utomstående inklusive att ge någon rätt att se uppgifter. Utlämnandet av kunduppgifter inom social- och hälsovården ska ske antingen med kundens samtycke eller med stöd av en bestämmelse i lag som ger denna rätt.
Enligt 1 mom. är tjänstetillhandahållaren skyldig att följa upp hur den egna enheten använder och lämnar ut kunduppgifter.
I paragrafens 2 och 3 mom. föreskrivs det särskilt om de uppgifter som ska registreras i användningsloggregistret och vilka som ska registreras i utlämningsloggregistret. Logguppgifterna om de register som har upprättats för olika användningsändamål ska registreras separat.
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet, användningstidpunkten och andra uppgifter som behövs för tillsyn och uppföljning.
I utlämningsloggregistret förs det in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren, tidpunkten för utlämnandet och andra uppgifter som behövs för tillsyn och övervakning.
Enligt 4 mom. ska Folkpensionsanstalten samla in logguppgifterna om de uppgifter som har registrerats i receptcentret, arkiveringstjänsten och i viljeyttringstjänsten och också om utlämnandet av de uppgifter som har visats via informationshanteringstjänsten. Enligt momentet ska Folkpensionsanstalten samla in logguppgifter bland annat om alla utlämnanden av uppgifter och i samband med detta bland annat tidpunkten för utlämnandet och uppgiftsmottagarna. De tjänstetillhandahållare vilka handlingarna gäller och varifrån uppgifterna har fåtts registreras inte i informationshanteringstjänstens logg. Vid behov kan logguppgifterna användas för att utreda om utlämnandet har varit ändamålsenligt.
Logguppgifterna om utlämnande av tjänstetillhandahållarens uppgifter i kundhandlingar förs in i den förvaringstjänst för loggregister som är avsedd för detta. Eftersom det utlämnande av kunduppgifter mellan tjänstetillhandahållare inom social- och hälsovården som baserar sig på en begäran ska ske i enlighet med 19 eller 20 § med hjälp av riksomfattande informations- systemtjänster, ska logguppgifterna om utlämnandet finnas i arkiveringstjänsten. I arkiveringstjänsten ska till exempel föras in de logganteckningar som ska göras vid utlämnande av remisser och av vårdrespons samt vid utlämnande som sker till övriga med rätt att använda kunduppgifterna. För att en kund ska kunna få information om att hans eller hennes kunduppgifter har utlämnats med hjälp av det medborgargränssnitt som avses i 23 § ska utlämningslogguppgifterna finnas i den centrala arkiveringstjänsten. Dessutom görs det möjligt att föra in logguppgifter om användning i förvaringstjänsten för loggregister.
Närmare bestämmelser om förvaringstiden för logguppgifter får enligt 5 mom. utfärdas genom förordning av social- och hälsovårdsministeriet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras sakinnehåll. Bestämmelser om journalhandlingarnas förvaringstider finns i förordningen om journalhandlingar. Avsikten är att i fortsättningen föreskriva om journalhandlingarnas förvaringstider i lag. Samtidigt tas även regleringen om förvaringstiderna för logguppgifterna in i lag.
26 §. Kundens rätt att få information om behandlingen av sina egna uppgifter. Enligt 1 mom. har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har lämnat ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Vid beslutspraxis för riksdagens justitieombudsman och statsrådets justitiekansler har tidsfristen på två månader ansetts vara skälig. Det föreslås att regleringen ska avvika från tidsfristerna enligt 14 § i offentlighetslagen, eftersom logguppgiftsutredningar i praktiken kräver mycket tid. Så är fallet i synnerhet om logguppgifter begärs från flera olika system och för lång tid och om logginformationsinnehållet varierar mycket.
Dessutom ska kunden ha rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, viljeyttringstjänsten, receptcentret och informationsresursen för egna uppgifter, logguppgifter över använda och utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. De övriga logguppgifterna har kunden rätt att få av tjänstetillhandahållaren.
Kundens rätt att få logguppgifterna är en viktig rätt som ger kunden möjligheten att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. Rätten att få information gäller både användningsloggar och utlämningsloggar.
Enligt 2 mom. har kunden inte rätt att få logguppgifter, om den som tar emot begäran om uppgifterna vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Enligt huvudregeln har kunden rätt att få endast de logguppgifter som har införts under de två år som föregick begäran. Det är dock möjligt att få uppgifter även från en längre tid, om det finns något särskilt skäl för det. Ett sådant särskilt skäl kan enligt lagen till exempel vara en välgrundad misstanke om att klientuppgifter eller patientuppgifter har behandlats olovligt på ett sätt som kräver att saken utreds. Den föreslagna tidsfristen på två månader beror på att behandlingen av klagomål inom social- och hälsovården delvis är begränsad så att de endast kan gälla händelser från de två åren före klagomålet. En sådan begränsning gäller till exempel de klagomål som anförs hos riksdagens justitieombudsman och Tillstånds- och tillsynsverket för social- och hälsovården. Ett annat skäl bakom tidsfristen är den preskriptionstid för personregisterbrott som avses i 38 kap. 9 § i strafflagen, som också är två år.
Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. Kunduppgifternas logguppgifter innehåller information med personuppgifter om de som är anställda hos tjänstetillhandahållaren inom social- och hälsovården. Av den orsaken är det motiverat att kunden inte ska ha rätt att använda dessa uppgifter för något annat ändamål än för att utreda eller tillgodose sina rättigheter att behandla sina egna kunduppgifter.
I paragrafens 3 mom. föreskrivs det om ersättning för utlämnande av logguppgifter. Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. Rätten att få ersättning av kunden för kostnaderna för utlämnandet finns till för att undvika onödiga begäranden om logguppgifter. Med hjälp av det medborgargränssnitt som avses i 24 § i lagen får det dock inte tas ut någon separat avgift för erhållandet av logguppgifter. Den föreslagna regleringen motsvarar den etablerade specialreglering i förhållande till offentlighetslagen som ingick i klientuppgiftslagen, som nu föreslås bli upphävd, och i den upphävda personuppgiftslagen.
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska denna förvägran meddelas genom ett skriftligt beslut enligt 4 mom. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen (1050/2018). I enlighet med 25 § i dataskyddslagen får dataombudsmannens och biträdande dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen.
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten enligt 5 mom. på begäran ge kunden en utredning om grunderna för användningen eller utlämnandet av uppgifterna och uppge sin motiverade uppfattning huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Detta är motiverat med tanke på tillgodoseendet av både kundens och den personuppgiftsansvariges rättigheter. Kunden kan då bättre bedöma huruvida det lönar sig att till exempel föra ärendet till polisen för undersökning eller att anföra klagomål hos en besvärsmyndighet.
Om slutledningen av en kunds begäran, eller om det vid den personuppgiftsansvariges egenkontroll har upptäckts att behandlingen av uppgifterna har stridit mot lagen, ska även den personuppgiftsansvarige på eget initiativ vidta nödvändiga åtgärder. Även tjänstetillhandahållaren ska göra en bedömning av vilka åtgärder den bör vidta. Till exempel kan det åtminstone behövas arbetsrättsliga åtgärder och dessutom beroende på fallet även en eventuell begäran om polisundersökning.
5 kap. Egenkontroll av informationssäkerhet och dataskydd
27 §.Informationssäkerhetsplan. I paragrafens 1 mom. föreskrivs det om att en tjänstetillhandahållare, en mellanhand och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan som behandlar frågor som är centrala för organisationens informationssäkerhet och dataskydd samt ibruktagande av informationssystem. Syftet med informationssäkerhetsplanen är att säkerställa att tjänstetillhandahållarens, mellanhandens och Folkpensionsanstaltens personal behärskar användningen av de informationssystem som de använder och kan beakta de krav som hänför sig till sekretessbelagda kunduppgifter och informationssäkerhet. I informationssäkerhetsplanen ska dessutom beaktas frågor som gäller användarmiljö, underhåll och uppdaterande samt hur genomförandet av planen och egenkontrollen av de saker som omfattas av planen ska arrangeras. Med informationssystemets miljö avses den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsovårdstjänster och behandlingen av kunduppgifter samt behandlingen av uppgifter om välbefinnande.
I 13 § i informationshanteringslagen föreskrivs det om informationshanteringsenheters skyldigheter att säkerställa informationssäkerhet, vilket också ska beaktas i informationshanteringsenheternas verksamhet. I denna lag föreslås att alla tillhandahållare av social- och hälsovårdstjänster ska vara skyldiga att ha en informationssäkerhetsplan, vilket säkerställer enhetliga förfaranden för såväl offentliga som privata tjänstetillhandahållare. Dessutom säkerställs att mellanhänder och Folkpensionsanstalten tillämpar motsvarande förfaranden.
Bestämmelser om egenkontrollplaner ingår i flera lagar om social- och hälsovård, till exempel i hälso- och sjukvårdslagen (1326/2010). Uppgiften om att en informationssäkerhetsplan har utarbetats enligt denna bestämmelse kan ingå i den egenkontrollsplan eller någon annan plan som ska utarbetas på basis av någon annan lag, men informationssäkerhetsplanen kan innehålla sådant som inte bör finnas med i den egenkontrollsplan som är allmänt tillgänglig. I in- formationssäkerhetsplanen ska finnas omfattande information och utredningar för att säkerställa att följande krav uppfylls: att de som använder informationssystemen har den utbildning som användningen kräver (1 punkten), att det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen (2 punkten), att informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten (3 punkten), att informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten (4 punkten), att informationssystemens driftsmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet (5 punkten), att övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd (6 punkten), att informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs (7 punkten), att informationssystem som avses i 29 § uppfyller i 34 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål (8 punkten) och att det finns en plan för hur egenkontrollen ska ordnas och genomföras inom tjänstetillhandahållarens verksamhet (9 punkten).
I paragrafens 2 mom. föreslås det att informationssäkerhetsplanen dessutom ska innehålla uppgift om hur de särskilda dataskyddsfrågor som gäller dessa riksomfattande informationssystemtjänster har lösts då när tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna.
I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd får meddela närmare föreskrifter om de utredningar som ska ingå i den informationssäkerhetsplan som avses i 1 och 2 mom. och om kraven på dem.
28 §.Genomförande av och ansvar för egenkontroll av informationssäkerheten. I paragrafens 1 mom. förutsätts det att varje tjänstetillhandahållare inom social- och hälsovården aktivt ska följa upp genomförandet av informationssäkerhetsplanen. Tjänstetillhandahållaren ansvarar för att de ärenden som gäller informationssäkerhet, dataskydd och användning och underhåll av informationssystem kontinuerligt sköts korrekt och för att dataskyddet och informationssäkerheten tillgodoses i anslutning till den tjänst som tillhandahålls. Den ansvariga föreståndaren hos varje tjänstetillhandahållare ska meddela skriftliga instruktioner om hur kunduppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter och se till att en informationssäkerhetsplan som avses i 27 § utarbetas och att den iakttas.
I 2 mom. föreskrivs det om tjänstetillhandahållarens rätt att vid behov utreda om personalen har använt och läst uppgifter på korrekt sätt. För uppföljning och tillsyn ska tjänstetillhandahållaren ha rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i den informationshanteringstjänst som avses i 11 § och i den viljeyttringstjänst som avses i 12 § i detta lagförslag samt i 13 § i lagförslaget avsedda logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig.
Enligt 3 mom. ska mellanhänderna och Folkpensionsanstalten följa upp genomförandet av de egna informationssäkerhetsplanerna.
Paragrafens 4 mom. behandlar utnämnandet av dataskyddsombud och är av informativ karaktär. Bestämmelser om utnämnande av dataskyddsombud och om deras uppgifter och ställning finns i dataskyddsförordningen. Enligt den kan en medlemsstat i den nationella lagstiftningen förutsätta att ett dataskyddsombud utnämns även i andra situationer än de som avses i artikel 37.1. Till exempel när det nationella handlingsutrymme som avses i artikel 9 tillämpas kan skyldigheten enligt artikel 36 fungera som skyddsåtgärd.
I kunduppgiftslagen stryks bestämmelsen om utnämning av dataskyddsombud, eftersom kravet följer direkt av EU:s dataskyddsförordning. Enligt social- och hälsovårdsministeriet borde kravnivån och förpliktelserna i fråga om utnämningen av dataskyddsombud kvarstå och motsvara nivån på kraven i kunduppgiftslagen, vilket betyder att det inte finns behov av särskild nationell lagstiftning om detta efter ikraftträdandet av dataskyddsförordningen.
6 kap. Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande
29 §.Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering. I paragrafen föreskrivs det att producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Beskrivningen av ett användningsändamål ska innehålla de egenskaper hos systemet genom vilka de väsentliga krav som ställs på det enligt dess användningsändamål uppfylls.
I paragrafens 2 mom. föreskrivs det om klassificeringen av informationssystemen, som gäller de informationssystem som ska anslutas till Folkpensionsanstaltens riksomfattande informationssystemtjänster. Social- och hälsovårdens informationssystem och välbefinnandeapplikationer uppdelas enligt deras användningsändamål och egenskaper i klasserna A och B. Till klass A hör de Kanta-tjänster som förvaltas av Folkpensionsanstalten, till exempel arkiveringstjänsten och kundernas informationshanteringstjänst, viljeyttringstjänsten samt de informationssystem och välbefinnandeapplikationer som behandlar kunduppgifter och som ska anslutas till Kanta-tjänsterna (1 och 2 punkten). Klass A anses också omfatta de förmedlingstjänster som används för att överföra uppgifter i regionala eller lokala informationssystem inom hälso- och sjukvården till de riksomfattande informationssystemtjänsterna. Till klass A hör även de övriga informationssystem vars användningsändamål förutsätter certifiering. Dessa system kan till exempel innefatta sådana system som tillhandahåller s.k. molntjänster (Saas, PaaS, IaaS) för social- och hälsovårdens informationssystem, om verksamheten innebär betydande risker vad gäller dataskyddet eller informationssäkerheten eller sådana system som uppfyller kriterierna för klass B och vars användningsändamål är såpass kritiskt att det behövs certifiering eller allmänna ärendehanteringssystem som används inom socialtjänster på motsvarande sätt som ett kunduppgiftssystem och som även kan anslutas till riksomfattande informationssystemtjänster via en teknisk förmedlingstjänst. Också välbefinnandeapplikationer som ansluts till informationsresursen för egna uppgifter är sådana system. (3 punkten).
I paragrafens 3 mom. föreslås det att de informationssystem som inte räknas upp i 2 mom. ovan ska höra till klass B.
Informationssystemen i klass B ska vara sådana som varken direkt eller via en förmedlingstjänst är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientuppgiftssystem hör till klass B även om patientuppgiftssystemet registrerar laboratorieresultaten senare i Kanta-tjänsternas arkiveringstjänst.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska avgöra på basis av bestämmelserna i 2 och 3 mom. huruvida ett informationssystem hör till klass A eller B i de enskilda fall detta är oklart. Dessutom får Institutet för hälsa och välfärd meddela närmare föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer.
30 §.Registrering av informationssystem och välbefinnandeapplikationer. Producenten av en informationssystemtjänst ska enligt 1 mom. göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem innan de tas i användning för produktion. Tillverkaren av en välbefinnandeapplikation ska på motsvarande sätt göra en anmälan om en välbefinnandeapplikaiton. Av anmälan ska informationssystemets och välbefinnandeapplikationens tillverkare och användningsändamål framgå, och till anmälan ska det fogas en utredning om att de väsentliga krav som ställs på systemet enligt dess användningsändamål uppfylls. Bestämmelser om väsentliga krav som ställs på informationssystemet finns i 33 § i lagförslaget. Dessutom ska producenten av en informationssystemtjänst göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion inte längre stöds eller att en annan aktör har övertagit ansvaret för informationssystemet. Att stödet för en version av datasystemet upphört betyder till exempel att producenten av informationssystemtjänsten inte längre utvecklar versionen i fråga och inte tillhandahåller tekniskt stöd för driftenav den. Om producenten av en informationssystemtjänst är någon annan än tillverkaren, ska också producenten framgå av anmälan.
I paragrafens 2 mom. föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem inom social- och hälsovården och välbefinnandeapplikationer som anmäls till verket. Registret ska innehålla uppgifter om de informationssystem och välbefinnandeapplikationer som används för produktion (1 punkten). I registret lagras även uppgifter om resultaten av interoperabilitetstestningen av de informationssystem och välbefinnandeapplikationer i klass A som har godkänts för att användas i produktion (2 punkten) samt om giltighetstiden för det intyg som utfärdats enligt en bedömning av informationssäkerhet (3 punkten). Dessutom ska registret innehålla information om en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion, medan avvikelsen varar. På basis av registret kan de som anskaffar och använder ett informationssystem kontrollera att de informationssystem som de ska skaffa eller som de använder är ändamålsenliga.
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården vid behov meddela föreskrifter om innehållet i anmälan, giltighetstider, ny anmälan och om de uppgifter som ska antecknas i registret.
31 §.Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster. I paragrafens 1 mom. föreslås det att ett informationssystem eller en välbefinnandeapplikation i klass A ska få användas för produktion och anslutas till riksomfattande informationssystemtjänster när systemet eller applikationen har genomgått den av Folkpensionsanstalten koordinerade interoperabilitetstestningen och när bedömningsorganet för informationssäkerhet har beviljat ett intyg över bedömning av informationssäkerhet, dvs. när informationssystemet eller välbefinnandeapplikationen har certifierats i enlighet med 35 §.
Enligt 2 mom. får ett informationssystem eller en välbefinnandeapplikation inte tas i användning för produktion, om det inte finns giltiga uppgifter om systemet eller applikationen i det i 30 § 2 mom. avsedda register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om intyget som gäller bedömning av informationssäkerheten har gått ut.
32 §.Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer. Att informationssystemet fungerar och används korrekt behöver följas upp även efter ibruktagandet. Enligt bestämmelsen ska producenten av en informationssystemtjänst aktivt genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Om uppföljningen visar att det har gjorts betydande avvikelser från uppfyllandet av de väsentliga kraven, ska avvikelserna meddelas till samtliga tjänstetillhandahållare som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Samtidigt ska producenten och välbefinnandeapplikationens tillverkare ge anvisningar om de åtgärder som ska vidtas i fråga om avvikelserna. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
Producenten av en informationssystemtjänst ska även ge akt på eventuella ändringar i de väsentliga krav ställs på informationssystemen och vid behov justera och korrigera informationssystemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen. Bestämmelsen om detta finns i 2 mom. Av informationssystem och välbefinnandeapplikationer i klass A förutsätts det dessutom att de ändringar som producenten gör ska meddelas till bedömningsorganet för informationssäkerhet och till Folkpensionsanstalten. På basis av dessa meddelanden kan bedömningsorganet bedöma och vid behov också utreda huruvida ändringarna har konsekvenser för informationssäkerheten. I samband med detta föreskrivs det också att det vid behov ska utfärdas ett nytt intyg över bedömning av informationssäkerhet eller göras en ny interoperabilitetstestning, om ändringarna är betydande eller om de väsentliga kraven på informationssäkerheten har ändrats på så sätt att ett nytt godkännande förutsätts.
På basis av 3 mom. ska producenten av en informationssystemtjänst i minst fem år efter att informationssystemet eller välbefinnandeapplikationen inte längre användas för produktion bevara de uppgifter som gäller interoperabilitet och informationssäkerhet och andra uppgifter som tillsynen kräver. Syftet med bevaringsskyldigheten är att säkerställa att det till exempel i eventuella situationer som i efterhand kräver utredning av dataskyddet fortfarande finns tillräcklig information om informationssystems och välbefinnandeapplikationers överensstämmelse samt om de ändringar som har gjorts i dem. Bestämmelsen gäller alla informationssystem oberoende av klass.
På basis av bemyndigandet i 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om vilka avvikelser som enligt lagen ska anses vara betydande och hur anmälningarna om dessa ska göras till användarna av informationssystemen och välbefinnandeapplikationerna, bedömningsorganet för informationssäkerhet, Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
7 kap. Väsentliga krav på informationssystem och välbefinnandeapplikationer
33 §.Allmänna skyldigheter för tillverkare av informationssystem och välbefinnandeapplikationer och producenter av infomationssystemtjänster. I paragrafen föreslås det bestämmelser om de allmänna skyldigheterna för producenter och tillverkare av informationssystemtjänster för social- och hälsovården. Begreppet producent av informationssystemtjänst ska i detta sammanhang tolkas brett så att det även avser ett företag eller en person som samlar ihop en informationssystemhelhet av flera olika delar som tillhandahålls kunden. Producenten av en informationssystemtjänst ska också kunna verka för en utländsk tillverkares räkning i egenskap av den instans i Finland som ansvarar för uppfyllandet och verifieringen av kraven. En producent av ett informationssystem ska enligt 1 mom. alltid själv ansvara för planeringen och tillverkningen av ett informationssystem för social- och hälsovården. Detta ansvar är inte beroende av huruvida producenten genomför dessa åtgärder själv eller anlitar underleverantörer eller andra instanser för dessa tjänster och åtgärder. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen.
Enligt 2 mom. ska producenten av en informationssystemtjänst utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om applikationen.
Enligt 3 mom. får dessa uppgifter som följer med informationssystemet lämnas till tjänstetillhandahållaren på finska, svenska eller engelska. De anvisningar och andra uppgifter som är avsedda för social- och hälsovårdspersonal som använder ett informationssystem ska finnas på finska eller svenska.
Utöver vad som anges ovan förutsätts det i 4 mom. att tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter, till exempel så som föreskrivs i den förordning som upphäver rådets direktiv 93/42/EEG om medicintekniska produkter. Innan förordningen träder i kraft ska direktivet och den nationella lagstiftningen iakttas. Syftet med kvalitetssystemen är att säkerställa att det inte finns några sådana problem med eller brister hos produkten som beror på planeringen eller genomförandet. Ett ändamålsenligt kvalitetssystem som beaktar användningsändamålet och beaktar kritiskt innehåll kan dessutom främja avhjälpandet av de brister som har upptäckts.
34 §.Väsentliga krav på informationssystemen och välbefinnandeapplikationer. Enligt 1 mom. ska ett informationssystem eller en välbefinnandeapplikation som används vid behandling av kunduppgifter uppfylla de väsentliga krav på funktionalitet, interoperabilitet, informationssäkerhet och dataskydd som ställs enligt systemets användningsändamål. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.
Kraven på informationssäkerhet och dataskydd garanterar att uppgifterna registreras och bevaras oförändrade i alla de olika situationer där de används. Behandlingen och utlämnandet av uppgifterna ska dessutom ske så att sekretessbelagda uppgifter inte kan behandlas av någon annan än de personer som enligt lagstiftningen har rätt att göra detta.
Med interoperabilitet avses informationssystemens förmåga att utbyta information och att använda sådan information. Enligt definitionen ska systemen också ha teknisk och datainnehållsmässig interoperabilitet med de andra informationssystemen inom social- och hälsovården, dvs. vara semantiskt interoperabla, om dessa använder samma uppgifter i sina egna processer. Tack vare datainnehållets interoperabilitet kan datainnehållet tolkas enhetligt i alla organisationer. Ett system som kan anses fungera tillsammans med ett annat informationssystem ska vara interoperabelt med de andra informationssystem till vilka det ska anslutas. Interoperabiliteten är en förutsättning för att uppgifterna behandlas korrekt och kan överföras mellan informationssystemen.
Informationssäkerheten hänför sig delvis till den interoperabilitet som behandlas ovan, eftersom syftet med informationssäkerheten är att säkerställa uppgifternas integritet och oförvanskade form och dessutom deras tillgänglighet och användbarhet. Syftet med dataskyddet är att sörja för att konfidentiella och sekretessbelagda klient- och patientuppgifter behandlas endast inom lagstiftningens gränser.
Kraven på informationssystemens funktionalitet definierar vad informationssystemet gör och hur. Kraven på funktionaliteten innefattar bland annat hur informationssystemet ska kommunicera med dess miljö och hur användarna ska arbeta med informationssystemet. Denna funktionalitet innefattar dessutom informationssystemets användbarhet.
Enligt 2 mom. ska de informationssystem som tjänstetillhandahållaren använder till sitt användningsändamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. De väsentliga kraven gör det möjligt att ställa både allmänna och tjänstespecifika minimikrav på informationshanteringen hos de tjänstetillhandahållare som producerar olika typer av tjänster. De olika tjänsternas behov av informationshantering kan då tillgodoses på ett ändamålsenligt sätt eftersom informationssystemlösningarna motsvarar de enskilda tjänsternas behov.
Enligt 3 mom. uppfyller ett informationssystem de väsentliga kraven då när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet, dataskydd, interoperabilitet och funktionalitet och de bestämmelser och beslut som utfärdats med stöd av lagarna.
Av informationssystem inom social- och hälsovården förutsätts det också att kraven på funktionalitet uppfylls. Med funktionalitet avses i detta sammanhang att informationssystemet är lämpligt för det användningsändamål för vilket det marknadsförs. Det ska kunna realisera alla de funktioner som gäller användningsändamålet och som förutsätts i lagarna och i de övriga bestämmelserna. Till exempel ett informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt receptlagen. Även informationssystemets användbarhet är en del av funktionaliteten. Detta innebär att användarna av informationssystemet genom de anvisningar och den utbildning som de får ska kunna använda informationssystemet eller programmen på det sätt som tillverkaren har avsett och anvisat.
I paragrafens 4 mom. föreskrivs det om normgivningsbemyndiganden. Enligt förslaget ska Institutet för hälsa och välfärd meddela närmare föreskrifter om innehållet i de väsentliga kraven. Föreskrifterna säkerställer att de informationssystem och välbefinnandeapplikationer som används uppfyller lagarnas krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Vid beredningen av en föreskrift ska Institutet för hälsa och välfärd höra berörda intressentgrupper i enlighet med principerna om god förvaltning. De väsentliga kraven och föreskrifterna om dem ska godkännas i god tid innan de krav som dessa innehåller träder i kraft. Producenterna av informationssystemtjänster samt tillverkarna av informationssystem och välbefinnandeapplikationer ska dessutom reserveras en tillräcklig och skälig tid för uppfyllandet av kraven och visandet av överensstämmelsen med kraven.
35 §.Påvisande av överensstämmelse med kraven. I paragrafens 1 mom. föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska påvisa att informationssystemet eller välbefinnandeapplikationen uppfyller de väsentliga kraven. Enligt 1 mom. ska påvisandet av att ett informationssystem eller en välbefinnandeapplikation i klass A överensstämmer med kraven basera sig på tre olika delområden. Dessa gäller funktionalitet, interoperabilitet samt dataskydd och informationssäkerhet. Producenten av ett informationssystem och tillverkaren av en välbefinnandeapplikation ansvarar för certifieringen av informationssystemet eller välbefinnandeapplikationen.
Kraven på funktionalitet ska påvisas genom att producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämnar en utredning om att informationssystemet eller välbefinnandeapplikationen uppfyller alla de krav som gäller funktionaliteten. Uppfyllandet av kraven på interoperabilitet ska påvisas genom en gemensam testning som organiseras av Folkpensionsanstalten. De närmare bestämmelserna om den gemensamma testningen finns i 35 § i lagförslaget. Uppfyllandet av informationssäkerheten och dataskyddet ska däremot visas genom att bedömningsorganet för informationssäkerhet beviljar ett intyg på basis av en bedömning av informationssäkerheten. Bedömningen av informationssäkerheten görs i enlighet med lagen om bedömningsorgan för informationssäkerhet och de nya bestämmelser som föreslås i kunduppgiftslagen. Bestämmelserna om informationssäkerhet finns i 37 § i lagförslaget.
I paragrafens 2 mom. föreslås det att överensstämmelsen med kraven i fråga om de informationssystem som hör till klass B ska kunna påvisas genom ett lättare förfarande än det som gäller informationssystemen i klass A. Ett informationssystem i klass B kan tas i bruk efter det att producenten av informationssystemet har gett en skriftlig utredning om att informationssystemet uppfyller de föreskrivna väsentliga kraven. Informationssystemet ska uppfylla de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, underhållits och använts på behörigt sätt.
Enligt 3 mom. ska producenten av en informationssystemtjänst svara för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem. Producenten av informationssystemtjänsten ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet.
Enligt 4 mom. får Institutet för hälsa och välfärd meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Det förfarande som ska iakttas vid påvisande av överensstämmelsen med kraven innefattar också hur producentens utredning ska delges användarna av informationssystemen och myndigheterna. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden med vilkas hjälp det kan verifieras att informationssystem som ansluts till Kanta-tjänsterna är interoperabla med Kanta-tjänsterna och andra informationssystem som anslutits till dem. I praktiken genomförs detta genom samtestning av informationssystemen.
Närmare föreskrifter än de som finns i lag behövs särskilt för de utredningar av påvisande av överensstämmelse med kraven som producenten ska ge för de informationssystem som hör till klass B.
36 §.Interoperabilitetstestning. I 1 mom. föreskrivs det att informationssystem och välbefinnandeapplikationer i klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga informationssystem i klass A som förvaltas av Folkpensionsanstalten. Interoperabiliteten ska påvisas genom interoperabilitetstestning. Genom denna testning påvisas att ett nytt eller ändrat informationssystem är interoperabelt med övriga informationssystem som är anslutna till de riksomfattande informationssystemtjänsterna.
Interoperabiliteten ska påvisas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. En förutsättning för att få delta i testning är att producenten av informationssystem- tjänsten eller tillverkaren av välbefinnandeapplikationen redogör för hur informationssystemet uppfyller alla krav som gäller funktionalitet. I redogörelsen måste också kunna påvisas att uppfyllandet av kraven på funktionalitet har konstaterats genom användningstest. Tidpunkten för testningen och de praktiska arrangemangen ska fastslås tillsammans medFolkpensionsanstalten, som ansvarar för testningen.
I paragrafens 2 mom. föreskrivs det att alla informationssystem i klass A som används för produktion ska genomgå interoperabilitetstestning även i fortsättningen. Syftet med testningen uppfylls inte om det nya informationssystemet endast testas i förhållande till de system som förvaltas av Folkpensionsanstalten. Därför är det viktigt att även andra informationssystem som redan används i produktionen tas med i testningen. Eftersom informationssystemen utvecklas kontinuerligt, gagnar dessa interoperabilitetstestningar även de äldre system som är med i testningen. Alla informationssystem som används i produktionen behöver dock inte vara med i alla testningar, och därför ska Folkpensionsanstalten besluta vilka informationssystem som ska tas med i respektive testning. De producenter av informationssystem som deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllandet av kraven på interoperabilitet när kraven har verifierats.
I paragrafens 3 mom. föreskrivs det att de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten inte behöver genomgå en separat gemensam testning som en del av påvisandet av uppfyllandet av de väsentliga kraven, med undantag för gränssnittet för professionellt bruk, som ska tas med i den gemensamma testningen. Interoperabiliteten hos de system som förvaltas av Folkpensionsanstalten påvisas vid de gemensamma testningar som utförs med de andra informationssystemen.
37 §.Bedömning av informationssäkerhet. På basis av förslaget i 1 mom. kan bedömningsorganet för informationssäkerhet utföra uppgifter i anknytning till bedömningen av överensstämmelsen i fråga om de informationssystem och välbefinnandeapplikationer som hör till klass A och bevilja de intyg över bedömning av informationssäkerhet som avses i 35 § i lagförslaget. Bedömningen skiljer sig från de övriga bedömningar av informationssäkerhet som görs enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011) eftersom man inom social- och hälsovården endast bedömer de informationssystem och välbefinnandeapplikationer som hör till klass A. Ändamålsenligheten i fråga om de verksamhetslokaler som innehas av en producent, tillverkare eller användare av ett informationssystem får dock varken bedömas eller inspekteras. Bedömningen av informationssystemet och det intyg som baserar sig på den kan beviljas på ansökan av producenten av en informationssystemtjänst.
I paragrafens 2 mom. föreskrivs det om beviljandet av intyg över bedömning av informationssäkerhet. Om ett sådant informationssystem eller en sådan välbefinnandeapplikation i klass A som berörs av en ansökan som lämnats till bedömningsorganet för informationssäkerhet på behörigt sätt uppfyller de väsentliga kraven på informationssäkerhet, ska bedömningsorganet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport.
I lagen slopas kravet på att Folkpensionsanstalten ska lämna ett positivt yttrande om interoperabilitet innan bedömningsorganet för informationssäkerhet ger producenten av informationssystemtjänsten intyg. Informationssystemet får dock tas i användning för produktion först när både yttrandet om interoperabilitet och intyget över informationssäkerhetskrav har erhållits och systemet registrerats i Valviras register. Genom ändringen klarläggs certifieringsprocessen och aktörernas ansvar så att bedömningsorganen för informationssäkerhet och deras intyg i fortsättningen fokuseras uttryckligen på verifiering av kraven på informationssäkerhet.
I praktiken ska verifiering av informationssäkerhetskraven dock förutsätta att informationssäkerhetskraven bedöms först i fråga om en sådan version av informationssystemet som utifrån den av Folkpensionsanstaltens samordnade interoperabilitetstestningen håller på att tas i användning för produktion och anslutas till de riksomfattande informationssystemtjänsterna. Om informationssäkerheten bedöms i fråga om tidigare versioner, är det möjligt att systemet ändras under interoperabilitetstestningen på ett sätt som förutsätter ny bedömning. Situationen med tanke på förnyande och underhåll av intyget över informationssäkerhet klarläggs av att ett positivt yttrande om interoperabilitet inte är ett absolut villkor för utfärdande av intyg, eftersom det kan bli nödvändigt att förnya intyg över informationssäkerhet också när inga ändringar som förutsätter interoperabilitetstestning har företagets i systemet.
Omfattningen av bedömningen ska dock alltid motsvara systemets användningsändamål. Bedömning av informationssäkerhet kan i enlighet med finansministeriets informationssäkerhetsanvisning för applikationsutveckling VAHTI 1/2013 Sovelluskehityksen tietoturvaohje innehålla förutom administrativ och arkitekturauditering även teknisk auditering, där det verifieras tekniskt att informationssäkerhetskontrollen fungerar. I synnerhet välbefinnandeapplikation som behandlar klient- och patientuppgifter bör genomgå teknisk auditering, eftersom de inte är en del av den lagstadgade verksamheten för tillhandahållarna av social- och hälsovårdstjänster, och sålunda inte omfattas av tjänstetillhandahållarnas egenkontroll eller tillsynen över social- och hälsotjänster. Med hjälp av teknisk informationssäkerhetsauditering är det möjligt att säkerställa att klient- och patientuppgifter behandlas informationssäkert och samtidigt görs det möjligt för medborgarna att använda olika välbefinnandeapplikationer som det säkerställts att är informationssäkra i syfte att främja välbefinnandet.
I paragrafens 3 mom. föreskrivs det att ett beviljat intyg över bedömning av informationssäkerhet är i kraft högst tre år. Bedömningsorganet kan besluta att intyget ska vara i kraft en kortare tid, om det på grund av informationssystemets eller välbefinnandeapplikationens utvecklingsfas eller en planerad revidering av de väsentliga kraven eller andra motsvarande faktorer är uppenbart att informationssystemet eller välbefinnandeapplikationen inte kommer att uppfylla de väsentliga informationssäkerhetskraven i tre år utan betydande ändringar. Bedömningsorganet kan förlänga giltigheten för intyget. Detta kan göras för högst tre år åt gången. När förlängningen av giltigheten för intyget bedöms, kan bedömningsorganet kräva att producenten av informationssystemet eller tillverkaren av välbefinnandeapplikationen ska lämna alla de uppgifter som förutsätts för bedömningen så att intyget kan utfärdas.
Utöver det som anges ovan ska på utfärdande av intyg över bedömning av informationssäkerhet tillämpas de bestämmelser och förfaranden som finns i 9 § i lagen om bedömningsorgan för informationssäkerhet.
38 §.Anmälningsskyldighet för bedömningsorgan för informationssäkerhet. I paragrafens 1 mom. föreskrivs det att ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla överensstämmelseintyg som har beviljats, ändrats eller kompletterats eller förvägrats.
I paragrafens 2 mom. föreskrivs det att bedömningsorganet dessutom ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all ytterligare information som behövs för tillsynen över de informationssystemen och välbefinnandeapplikationerna för vilka bedömningsorganet har beviljat ett intyg över bedömning av informationssäkerhet.
8 kap. Styrning och tillsyn
39 §.Styrning, övervakning och uppföljning. I paragrafens 1 mom. föreskrivs det att soci- al- och hälsovårdsministeriet ansvarar för den allmänna strategiska planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, de riksomfattande informationssystemtjänsterna och informationshanteringen i an- slutning därtill samt för totalfinansieringen av informationshanteringsprojekt som hänför sig till utvecklandet av riksomfattande informationssystemtjänster och andra sådana projekt som social- och hälsovårdsministeriet ansvarar för. Dataombudsmannen ansvarar dock för tillsynen över att behandlingen av personuppgifter är lagenlig. Ministeriets ansvar motsvarar då det ansvar som det även i övrigt har för den riksomfattande planeringen och styrningen av social- och hälsovården. Ministeriets allmänna behörighet inom styrningen innefattar även att sörja för informationssystemens interoperabilitet vid verkställandet av informationshanteringen inom social- och hälsovården. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Myndigheten för digitalisering och befolkningsdata hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter.
Enligt 2 mom. ansvarar Institutet för hälsa och välfärd för planeringen, styrningen och uppföljningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden.
I paragrafens 3 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde ska styra och övervaka i enlighet med sin behörighet efterlevnaden av denna lag.
40 §.Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja överensstämmelsen med kraven i fråga om informationssystemen för social- och hälsovården. Tillsynen enligt lagen kompletterar den övriga tillsyn över social- och hälsovården som utövas av Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket, vars syfte är att säkerställa att tjänstetillhandahållarna följer bestämmelserna.
Bestämmelser om metoderna för genomförandet av tillsynen finns i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner i syfte att verkställa tillsynen. För genomförandet av inspektionerna har den som utför en inspektion rätt att få tillträde till alla lokaler där tillverkare av informationssytem, producenter av informationssystemtjänster, mellanhänder och tjänstetillhandahållare eventuellt förvarar uppgifter som är viktiga för bedömningen av informationssystemens överensstämmelse med kraven. Detta kan gälla till exempel tillverkares verksamhetslokaler, arkiv och andra motsvarande utrymmen samt alla de lokaler som används av tjänstetillhandahållarna inom social- och hälsovården. Inspektionsrätten gäller dock inte sådana lokaler som används för permanent boende. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas. Om den som ska inspekteras invänder mot inspektionen eller annars försöker försvåra den har tillsynsmyndigheten rätt att få handräckning av polisen på det sätt som föreskrivs i 9 kap. 1 § 1 mom. i polislagen (872/2011).
Bestämmelser om utförandet av inspektioner finns i 3 mom. För att uppfylla syftet med inspektionen får den utföras utan förhandsanmälan. Den som utför inspektionen har rätt att få se alla de handlingar som behövs för att utföra inspektionen. Inspektören har också rätt att få kopior på de handlingar som denna anser behövs. Det får även tas bilder av de lokaler som inspekteras.
På basis av 4 mom. ska det föras protokoll över inspektionen. Föremålet för inspektionen ska få en kopia av protokollet inom 30 dagar från det att inspektionen utfördes. På basis av kopian får den som utför inspektionen detaljerade uppgifter om inspektionen och de observationer som har gjorts vid den. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara det ursprungliga protokollet över inspektionen i 10 år från den dag inspektionen avslutades.
41 §. Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem. I paragrafen föreskrivs det att en tjänstetillhandahållare som konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem ska underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten, tillverkaren av informationssystemet, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Till exempel en tjänstetillhandahållare kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som denna har upptäckt. Även andra instanser eller aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker.
Om tjänstetillhandahållaren eller en annan aktör konstaterar dataskyddsavvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denna underrätta dataombudsmannen om saken.
42 §.Rätt att få information. Enligt bestämmelsen har Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna rätt att för tillsynen över informationssystemen inom social- och hälsovården få all nödvändig information av statliga och kommunala myndigheter samt fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut om riksomfattande informationssystem som utfärdats med stöd av denna lag. Informationen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna.
43 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Det finns många olika informationssystem inom social- och hälsovården, och produkterna i dem har många invecklade och olika egenskaper. Den inspekterande myndighetens experter kan inte behärska alla olika egenskaper hos informationssystemen. Tillsynen förutsätter dock ofta en experts bedömning och därför föreslås det i 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att från fall till fall anlita utomstående experter som biträden vid bedömning av informationssystem. De utomstående experterna får delta i inspektioner enligt denna lag samt undersöka och testa informationssystem, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur.
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga. I enlighet med grundlagsutskottets senare praxis är det inte längre nödvändigt att på grund av 124 § i grundlagen ta in den hänvisning till allmänna förvaltningslagar som ingick i den tidigare klientuppgiftslagen i lagar om överföring av offentliga förvaltningsuppgifter, eftersom de allmänna förvaltningslagarna med stöd av sina bestämmelser om tillämpningsområde, myndighetsdefinition eller kraven för en enskild att tillhandahålla språkliga tjänster också tillämpas på enskilda när de fullgör offentliga förvaltningsuppgifter (se t.ex. GrUU 5/2014 rd, s. 4, GrUU 23/2013 rd, s. 3/II, GrUU 10/2013 rd, s. 2/II, GrUU 37/2010 rd, s. 5/I, GrUU 13/2010 rd, s. 3/II, GrUU 42/2005 rd, s. 3/II).
Utomstående experter har möjlighet att se sekretessbelagda kunduppgifter när de inspekterar informationssystem, om inspektionen inte kan utföras korrekt utan tillgång till sekretessbelagda uppgifter. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen ochbestämmelser om sekretess för de uppgifter som ingår i journalhandlingar finns i 13 § i patientlagen. Enligt bestämmelserna i fråga gäller sekretessen även efter att experten har slutfört uppgiften. Enligt 2 § 1 mom. i klientlagen tillämpas lagen emellertid bara på socialvård som ordnas av myndigheter och av privata, om inte något annat bestäms i den nämnda lagen eller någon annan lag. Enligt 1 § i patientlagen gäller lagen i fråga patienternas ställning och rättigheter inom hälso- och sjukvården, om inte något annat stadgas i lag. Dessa lagar innehåller bestämmelser om sekretess och tystnadsplikt för anordnare och tillhandahållare av social- och hälsovård som ska tillämpas i första hand i förhållande till offentlighetslagen. Experter som avses i 43 § i kunduppgiftslagen eller Valvira har ändå inte i uppgift att ordna social- och hälsovård och dessa bestämmelser tillämpas således inte på deras verksamhet med stöd av bestämmelserna om lagens tillämpningsområde.
Enligt 2 § 1 mom. i offentlighetslagen bestäms det i offentlighetslagen om rätten att ta del av myndigheternas offentliga handlingar samt om tystnadsplikt för den som är verksam vid en myndighet, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling och bestäms om myndigheternas skyldigheter för att lagens syfte skall nås. Enligt lagens 4 § 2 mom. gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. Lagens tillämpning på privata är beroende av bland annat om deras offentliga uppgifter innebär utövning av offentlig makt. I 23 § 1 mom. i offentlighetslagen föreskrivs om tystnadsplikt i fråga om sekretessbelagda uppgifter för den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag. Enligt 2 mom. gäller vad som bestäms i 1 mom. om tystnadsplikt i fråga om sekretessbelagda uppgifter även bland annat den som verkar på uppdrag av en myndighet eller den som är anställd hos den som utför ett myndighetsuppdrag.
Med stöd av vad som anförts ovan kan det anses att klient-, patient- och offentlighetslagens sekretessbestämmelser inte blir tillämpliga på experter som avses i 43 § i kunduppgiftslagen med stöd av de nämnda författningarnas bestämmelser om tillämpningsområde. Däremot blir offentlighetslagens 23 § om tystnadsplikt tillämplig på utomstående experter som sköter uppgifter på uppdrag av Valvira. Det rekommenderas emellertid att Valvira ingår uppdragsavtal med utomstående experter som Valvira anlitar, där man också kommer överens om sekretess och tystnadsplikt. Utomstående experter bör dessutom avge en utfästelse om sekretess och tystnadsplikt.
44 §.Föreläggande att fullgöra skyldigheter. I paragrafen föreslås det att om en producent eller tillverkare av en informationssystemtjänst, en tjänstetillhandahållare, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag som gäller informationssystemen eller användningen av dem har Tillstånds- och tillsynsverket rätt att kräva att skyldighet enligt lagen ska uppfyllas. Bestämmelsen behövs för att tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att säkerställa efterlevnaden av lagen. En av tillsynsmyndighetens basuppgifter är att ingripa om lagens bestämmelser inte iakttas. Om myndighetens uppmaning inte följs, ska Tillstånds- och tillsynsverket för social- och hälsovården ha en möjlighet att ålägga den berörda att iaktta lagen inom en viss tid. Bestämmelsen omfattar alla de förpliktelser i lagen som gäller informationssystem eller användningen av dem. I dataskyddsärenden är dock dataombudsmannen behörig med stöd av dataskyddslagen.
45 §.Skyldigheter avseende informationssystem som är i bruk. Om ett informationssystem inte uppfyller de väsentliga kraven, ska producenten eller tillverkaren i regel ta intitiativ för att vidta korrigerande åtgärder. Utöver detta har Tillstånds- och tillsynsverket för social- och häl sovården enligt 1 mom. i den föreslagna bestämmelsen en möjlighet att i samband med den i 40 § avsedda tillsynen och inspektionen av informationssystemen ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa de brister som gäller de informations- system som används för produktion av tjänster, om det finns skäl att misstänka att producenten eller tillverkaren inte annars vidtar de åtgärder som behövs för att korrigera informationssystemet.
Enligt 2 mom. får Tillstånds- och tillsynsverket för social- och hälsovården förbjuda användningen av ett informationssystem, om det inte har korrigerats inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har angett och om systemet äventyrar klientsäkerheten eller patientsäkerheten. Förbudsrätten gäller även de situationer där sekretessen för de klientuppgifter och patientuppgifter som ska hemlighållas äventyras. Förbudet kan vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Folkpensionsanstalten kan dessutom stänga förbindelsen till de riksomfattande informationssystemtjänster som den förvaltar, om det finns en risk för att ett system som är anslutet till dem eller en organisation som använder dem kan äventyra den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården ålägga producenten av informationssystemet eller en av denne befullmäktigad representant att informera om förbud och förelägganden som gäller användningen av informationssystemet för produktion av tjänster. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma hur informerandet ska ske och den tid inom vilken det ska informeras om saken. Syftet med förpliktelsen är att säkerställa att tjänstetillhandahållarna känner till bristerna i informationssystemen och begränsningarna i fråga om användningen.
9 kap. Särskilda bestämmelser
46 §.Samarbete som gäller elektronisk informationshantering inom social- och hälsovården. Enligt paragrafen ska social- och hälsovårdsministeriet se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag. Avsikten är också att utveckla den verksamhet som bedrivs i samarbete så att den styr verksamheten på ett strategiskt och föregripande sätt. De som använder de riksomfattande informationssystemtjänsterna och andra intressegrupper ska ha möjlighetatt påverka i sådana frågor som är viktiga för dem vid utvecklingen och genomförandet av de riksomfattande informationssystemtjänsterna. Frågor som är väsentliga vid utvecklingen av informationssystemtjänsterna är till exempel deltagandet i beredningen av bestämmelser, anvisningar och förelägganden i anknytning till genomförandet av informationssystem, prioriteringen av utvecklingen av riksomfattande informationssystem, främjandet av interoperabiliteten hos tjänsteanvändarnas informationssystem och av utvecklandet av dem samt uppföljningen av genomförandet av riksomfattande informationsystemtjänster och uppföljningen av ekonomi, andra resurser och användaravgifter. Bestämmelsen binder inte sättet att ordna samarbetet. För att främja samarbetet och tjänsteanvändarnas samt andra intressegruppers påverkningsmöjligheter kan social- och hälsovårdsministeriet sammankalla arbetsgrupper eller andra samarbetsorgan.
Statsrådet kan tillsätta delegationer eller andra samarbetsorgan som behövs för det samarbete som avses i 1 mom. När statsrådet tillsätter ett samarbetsorgan kan statsrådet samtidigt besluta om delegationens eller samarbetsorganets uppgifter, mandatperiod och medlemmar.
I 3 mom. föreslås att Folkpensionsanstalten ska se till att det i anslutning till produktionsverksamheten som gäller riksomfattande informationssystemtjänster har ordnats samarbetsformer och samarbetsförfaranden med tjänstetillhandahållare, apotek och andra samarbetspartner inom produktionsverksamheten, dvs. leverantörer av klient- och patientdatasystem och apotekssystem, regionala IKT-tjänsteproducenter, förmedlare och andra myndigheter. Ändringen främjar samarbetet med samarbetspartner i anslutning till produktionsverksamheten och ökar transparensen och öppenheten i verksamhet som finansieras med avgifter enligt 47 § 1 mom.
47 §.Avgifter. I paragrafens 1 mom. föreskrivs det att användningen av de riksomfattande informationssystemtjänster som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata och som avses i 6 § är avgiftsbelagd för tjänstetillhandahållarna. Avgifterna inom den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den.
I paragrafens 2 mom. föreslås det att Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata årligen ska lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för åtkomstavgifterna för det följande året. Dessutom ska Folkpensionsanstalten lämna en uppskattning av investeringsplanerna för de följande fyra åren. På så vis blir det möjligt att fördela kostnaderna för investeringar i anslutning till förvaltandet av tjänsterna över flera år och säkerställa att kostnaderna för ett enskilt år inte blir oskäligt höga för tjänstetillhandahållaren. I anskaffningsskedet kan investeringar finansieras ur statsbudgeten och genom avskrivningar faktureras tjänstetillhandahållarna och apoteken retroaktivt, vilket gör det möjligt att fördela kostnaderna över flera år. Det ska vara möjligt att utfärda avgiftsförordningen för flera år åt gången, vilket gör det möjligt för tjänstetillhandahållarna och apoteken att förutsäga avgifterna. I momentet föreslås dessutom att Folkpensionsanstalten årligen ska lämna den delegation som nämns i 46 § ett sammandrag över produktionsverksamheten som gäller riksomfattande informationssystemtjänster och över uppgifter som hänför sig till skötseln av riksomfattande informationssystemtjänster samt över användningen av tjänster.
I paragrafens 3 mom. föreslås det att producenten av en informationssystemtjänst ska svara för de kostnader som orsakas av påvisandet av överensstämmelsen med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för den gemensamma testning som avses i 36 § till ett självkostnadsvärde enligt 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 30 § i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagt. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.
48 §.Straffbestämmelser. I paragrafen föreskrivs det om att det för brott mot skyldigheterna enligt vissa bestämmelser i den föreslagna lagen ska dömas ut böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag.
I 1 mom. föreslås det att vissa sätta att bryta mot lagens materiella bestämmelser ska vara straffbara med brottsrubriceringen förseelse mot bestämmelserna om behandling av kunduppgifter inom social- och hälsovården.
Straffbestämmelsen i förslaget till 1 mom. är av så kallad blancotyp, där brottsrekvisiten utgörs av den materiella bestämmelse som överträds och av själva straffbestämmelsen brottsrekvisit. Den straffrättsliga legalitetsprincipen ställer följande villkor för straffbestämmelser av blancotyp: 1) det finns relevanta hänvisnings- och bemyndigandekedjor mellan bestämmelserna, 2) den materiella beteendenorm som det är straffbart att överträda är skriven så att den är noggrant avgränsad, 3) själva straffbestämmelsen innehåller någon slags karakterisering av den straffbara gärningen och 4) beteendenormerna innehåller en hänvisning till att gärningen är straffbar.
Det första gärningssättet är enligt 1 mom. 1 punkten i den föreslagna paragrafen brott mot identifieringsskyldigheten i 17 § i lagförslaget. I 17 § 2 mom. i lagförslaget ingår ett bemyndigande att utfärda förordning. I 1 mom. 1 punkten hänvisas inte till det, utan till det som förskrivs ”i 17 §”, varvid straffbart kan vara brott mot uttryckligen den skyldighet som beskrivs i den aktuella lagbestämmelsen.
Det andra gärningssättet som är straffbart är enligt 1 mom. 2 punkten om kunduppgifter lämnas ut i strid med 20-22 § i lagförslaget utan kundens samtycke eller utan att en bestämmelse i lag tillåter det.
Det tredje gärningssättet är enligt 1 mom. 3 punkten brott mot informationsskyldigheten enligt 16 § 1 mom. i lagförslaget.
Vid sidan av villkoren för respektive gärningssätt förutsätter straffbarhet dessutom att förfarandet äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt. Det är fråga om brottsrekvisit som förutsätter så kallad konkret risk, vilket i princip är ett motiverat sätt att begränsa straffbarhet.
Straff för gärningarna eller försummelserna förutsätter uppsåtlighet eller grov oaktsamhet. Genom straffbestämmelsen betonas att de personer som har åtkomst till kunduppgifter kan behandla uppgifterna endast när de har kundens samtycke till det eller någon annan uttrycklig rätt som baserar sig på lag.
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om straff för brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. i 5 § i den lagen.
49 §.Vite. Enligt förslaget kan skyldigheterna i lagen förenas med vite i enlighet med vad som föreskrivs i viteslagen (1113/1990). Motsvarande bestämmelser finns i lagen om produkter och utrustning för hälso- och sjukvård.
50 §.Ändringssökande. Enligt 1 mom. får ändring i ett beslut som har meddelats i samband med en inspektion inte sökas utan att det först begärs omprövning hos tillstånds- och tillsynsverket. Därefter konstateras som en informativ hänvisning att bestämmelser om begäran om omprövning finns i förvaltningslagen (434/2003). Det är inte nödvändigt att föreskriva särskilt om den myndighet som behandlar begäran om omprövning eller om tidsfristen för omprövningsbegäran när den är 30 dagar, eftersom dessa överensstämmer med huvudregeln i 7 a kap. om omprövningförfarande i förvaltningslagen, och det är skäl att i mån av möjlighet undvika överlappande reglering med de allmänna bestämmelserna.
I 49 § i förvaltningslagen föreskrivs det om begäran om omprövning och besvärsförbud. Enligt den paragrafen får omprövning begäras av den som ett beslut avser eller den vars rätt, skyldighet eller fördel direkt påverkas av beslutet. I 46 § i förvaltningslagen föreskrivs det bland annat om att det samtidigt med beslutet ska ges en anvisning om begäran om omprövning.
I 2 mom. föreskrivs det om sökande av ändring i beslut som Tillstånds- och tillsynsverket för social- och hälsovården fattat med stöd av den föreslagna lagen genom att av informativa orsaker hänvisa till lagen om rättegång i förvaltningsärenden (808/2019). Den lagen reglerar som allmän lag besvär över förvaltningsärenden, och i enlighet med dess 6 § får ett förvaltningsbeslut överklagas genom besvär. Sålunda är det inte nödvändigt att konstatera detta separat om beslut om Tillstånds- och tillsynsverket för social- och hälsovården i 50 § i den föreslagna kunduppgiftslagen. Uttrycket i 6 § i lagen om rättegång i förvaltningsärenden täcker också beslut som fattats med anledning av omprövningsbegäran. I 107 § i lagen om rättegång i förvaltningsärenden föreskrivs det att förfarandet med besvärstillstånd ska vara huvudregel. Förfarandet motsvarar också det som föreskrivs i till exempel lagen om produkter och utrustning för hälso- och sjukvård.
Enligt 3 mom. ska de beslut som fattas av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av lagen ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.
10 kap. Ikraftträdande- och övergångsbestämmelser
51 §.Ikraftträdande. Lagen föreslås träda i kraft den 1 april 2021.
Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården.
52 §.Övergångsbestämmelser. Syftet med den nya kunduppgiftslag som föreslås är att förtydliga den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, men så att lagens bestämmelser i huvudsak baserar sig på den gällande lagen. Övergångsbestämmelserna garanterar bland annat att socialvården får tillräckligt tid för att ta i bruk de riksomfattande informationssystemtjänsterna. Verkställigheten av lagen förutsätter också andra ändringar i både de riksomfattande informationssystemtjänsterna och i klient- och patientdatasystemen. Dessutom förutsätter lagen att Institutet för hälsa och välfärds föreskrifter och rutiner utvecklas bl.a. när det gäller de väsentliga kraven på och certifieringsförfarandet för välbefinnandeapplikationer. Övergångsbestämmelser tryggar tillräcklig tid att förbereda sig på dessa ändringar.
I paragrafens 1 mom. föreslås det att tjänstetillhandahållarna inom den offentliga socialvården ska ansluta sig till arkiveringstjänsten för kunduppgifter inom de riksomfattande informationssystemtjänsterna senast från och med den 1 september 2024 och tjänstetillhandahållarna inom den privata socialvården senast från och med den 1 januari 2026. De privata tjänstetillhandahållare som producerar tjänster för en offentlig tjänstetillhandahållares räkning ska följa samma tidtabell för anslutningen som de offentliga tjänstetillhandahållarna.
I paragrafens 2 mom. föreskrivs det om möjligheterna att lämna ut uppgifter om välbefinnande från informationsresursen för egna uppgifter till tillhandahållare av social- och hälsovårdstjänster med stöd av en persons samtycke senast den 1 juni 2023. Övergångstiden behövs både för att genomföra informationsresursen för egna uppgifter och för att genomföra de användargränssnitt som yrkesutbildade personer inom social- och hälsovården behöver för att behandla uppgifter om välbefinnande.
Dessutom föreskrivs det i 2 mom. att förbud som riktas till företagshälsovården i 18 § 2 mom. tillämpas senast den 1 juni 2023. Möjligheten att rikta förbud till den privata företagshälsovårdens register är en ny egenskap, och övergångstiden möjligggör tillräcklig tid att företa ändringar i informationssystemen.
I 2 mom. föreskrivs det också att 20 § 2 mom. om utlämnande av patientuppgifter inom hälso- och sjukvården till tjänstetillhandahållare inom socialvården och 21 § 2 mom. om utlämnande av klientuppgifter inom socialvården till tjänstetillhandahållare inom hälso- och sjukvården tillämpas senast den 1 juni 2023.
I paragrafens 3 mom. föreslås det att den rätt som klienten eller patienten enligt 18 § i lagförslaget har att förbjuda utlämnande av sina kunduppgifter ska tillämpas utom i fråga om förbud som gäller register inom företagshälsovården senast då kundhandlingar ska lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Inom hälso- och sjukvården ska bestämmelsen tillämpas genast då lagen har trätt i kraft, eftersom det redan nu lämnas ut patientuppgifter. Inom socialvården är förbudsrätten bunden till ibruktagandet av funktionen för utlämnandet av klienthandlingarna inom socialvården.
I paragrafens 4 mom. föreslås det att 19 § om meddelande av förbud ska tillämpas inom socialvården från och med den 1 juni 2022 eller i fråga om klienthandlingarna inom socialvården senast då sådana handlingar lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten.
I paragrafens 5 mom. föreslås det att lagen 20 § 4 mom. om utlämnande av patientuppgifter inom hälso- och sjukvården till kunden via en välbefinnandeapplikation ska tillämpas senast den 1 december 2022.
I paragrafens 6 mom. föreslås det att lagens 20 § 1 och 3 mom. ska tillämpas senast den 1 juni 2022. I den paragrafen föreskrivs det om utlämnande av klientuppgifter inom socialvården från de riksomfattande informationssystemtjänsterna.
I paragrafens 7 mom. föreslås det att lagens 21 § 4 mom. om utlämnande av klientuppgifter inom socialvården till kunden via en välbefinnandeapplikation ska tillämpas senast den 1 december 2024. Då ska alla tillhandahållare av offentliga socialvårdstjänster vara anslutna till de riksomfattande informationssystemtjänsterna som användare, så klientuppgifter inom socialvården ska vara tillgängliga för kunderna i välbefinnandeapplikationer i hela landet. Övergångsbestämmelsen säkerställer dessutom tillräcklig tid att genomföra behövliga ändringar i de riksomfattande informationssystemtjänsterna i förhållande till övriga ändringar som denna lag och lagen om sekundär användning förutsätter.
Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.