RIKSDAGENS SVAR 10/2014 rd

RSv 10/2014 rd - RP 219/2013 rd

Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården och lagen om elektroniska recept

Ärende

Regeringen har till 2013 års riksmöte överlämnat sin proposition med förslag till lagar om ändring av lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården och lagen om elektroniska recept (RP 219/2013 rd).

Beredning i utskott

Social- och hälsovårdsutskottet har i ärendet lämnat sitt betänkande (ShUB 1/2014 rd).

Beslut

Nu församlade riksmöte har antagit följande lagar:

Lag

om ändring av lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården

I enlighet med riksdagens beslut

ändras i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) 2 § 3 mom., 3 § 7 och 8 punkten, 5 § 2 mom., 14 § 1 mom., 14 a § 3 och 4 mom., 17—19 §, 20 § 4 och 5 mom. och 22 §,

av dem 2 § 3 mom., 20 § 4 och 5 mom. och 22 § sådana de lyder i lag 981/2010, 3 § 8 punkten sådan den lyder i lag 928/2011 samt 14 § 1 mom., 14 a § 3 och 4 mom. samt 17 och 19 § sådana de lyder i lag 1227/2010, samt

fogas till 3 §, sådan den lyder delvis ändrad i lagarna 1227/2010 och 928/2011, en ny 6 punkt i stället för den 6 punkt som upphävts genom lag 1227/2010, samt nya 9 och 10 punkter, till 16 §, sådan den lyder delvis ändrad i lagarna 981/2010 och 1227/2010, ett nytt 5 mom. i stället för det 5 mom. som upphävts genom lag 981/2010 samt till lagen nya 5 a—5 c kap. och nya 20 a—20 h § som följer:

2 §

Tillämpningsområde

- - - - - - - - - - - - - - - - - - -

Om inte något annat följer av denna eller någon annan lag tillämpas på behandlingen av klientuppgifter vad som bestäms i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, personuppgiftslagen (523/1999), lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om stark autentisering och elektroniska signaturer (617/2009), lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) och arkivlagen (831/1994) eller i bestämmelser som utfärdats med stöd av dem. Vid behandlingen av klientuppgifter och ordnande av tjänster och funktioner enligt denna lag ska dessutom iakttas vad som föreskrivs i språklagen (423/2003) och med stöd av den. Om det informationssystem där hälso- och sjukvårdens klient- och patientuppgifter behandlas är en sådan utrustning för hälso- och sjukvård som avses i lagen om produkter och utrustning för hälso- och sjukvård (629/2010) till-lämpas på informationssystemet även den lagen och kraven i enlighet med den.

3 §

Definitioner

I denna lag avses med

- - - - - - - - - - - - - - - - - - -

6) informationssystem en programvara eller ett system för elektronisk behandling av klientuppgifter inom socialvården eller hälso- och sjukvården som används för lagring och uppdatering av klient- eller journalhandlingar och uppgifter i dem samt dataregister eller datalager bestående av insamlade uppgifter som förvaltas med hjälp av automatisk databehandling och som tillverkaren uttryckligen har planerat för behandlingen av klient- eller journalhandlingar inom socialvården eller hälso- och sjukvården och uppgifterna i dem; med informationssystem avses dessutom sådan förmedlingsservice varmed klientuppgifter inom socialvården eller hälso- och sjukvården förmedlas till de riksomfattande informationssystemtjänster enligt 14 § 1 mom. som Folkpensionsanstalten förvaltar,

7) tillhandahållare av hälso- och sjukvårdstjänster en verksamhetsenhet för hälso- och sjukvård enligt 2 § 4 punkten i patientlagen, en arbetsgivare enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) samt en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare,

8) tillhandahållare av socialvårdstjänster en myndighet som ordnar sådan socialvård som avses i 3 § 2 punkten i klientlagen, en offentlig producent av socialservice och en serviceproducent enligt lagen om privat socialservice (922/2011),

9) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem, samt

10) interoperabilitet informationssystems tekniska och innehållsliga förmåga att fungera tillsammans med övriga informationssystem när systemen utnyttjar samma information.

5 §

Uppföljning av användning och utlämnande

- - - - - - - - - - - - - - - - - - -

En tillhandahållare av tjänster ska för uppföljningen särskilt för varje klientregister samla in logguppgifter om all användning och om varje utlämnande av klientuppgifter i ett loggregister. I användningsloggregistret lagras uppgifter om använda klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter används, vem som har använt klientuppgifterna, användningsändamålet och användningstidpunkten. I utlämningsloggregistret lagras uppgifter om utlämnade klientuppgifter, den tillhandahållare av tjänster vars klientuppgifter utlämnas, vem som lämnat ut klientuppgifterna, utlämningsändamålet, mottagaren och utlämningstidpunkten. Folkpensionsanstalten ska samla in motsvarande information om utlämnande av uppgifter som lagrats i och visats via patientens informationshanteringstjänst som avses i 14 a §.

- - - - - - - - - - - - - - - - - - -

14 §

Riksomfattande informationssystemtjänster

För tillhandahållarna av hälso- och sjukvårdstjänster sköter Folkpensionsanstalten en arkiveringstjänst för förvaringen och användningen av journalhandlingar samt som en del av tjänsten, för utlämnandet av journalhandlingar, en katalogtjänst och patientens informationshanteringstjänst. I arkiveringstjänsten får det utöver journalhandlingarna lagras även andra handlingar som anknyter till ordnandet av hälso- och sjukvården och till informationshanteringen. Folkpensionsanstalten sköter dessutom inom ramen för de riksomfattande informationssystemtjänsterna förvaringen av utlämningsloggregistren som en del av arkiveringstjänsten, det medborgargränssnitt som avses i 19 § och den tjänst genom vilken de riksomfattande informationssystemtjänsterna kan användas via internet och med mobila apparater med hjälp av telekommunikationsnät. Folkpensionsanstalten kan även ha hand om andra riksomfattande tjänster som anknyter till social- och hälsovårdens informationshantering enligt vad som särskilt föreskrivs om dem någon annanstans, samt sköta förvaringen av användningsloggregistren. Folkpensionsanstalten får vid behov meddela anvisningar om de tekniska konfigurationer och de definitioner för meddelandetrafiken som realiseringen av de ovannämnda riksomfattande informationssystemtjänsterna kräver.

- - - - - - - - - - - - - - - - - - -

14 a §

Patientens informationshanteringstjänst

- - - - - - - - - - - - - - - - - - -

Via patientens informationshanteringstjänst kan även sådana uppgifter som är viktiga med tanke på patientens hälso- och sjukvård eller anknytande tjänster visas. Bestämmelser om vilka uppgifter som är sådana viktiga uppgifter som ska visas via informationshanteringstjänsten får utfärdas genom förordning av social- och hälsovårdsministeriet. Sådana uppgifter vars utlämnande patienten förbjudit med stöd av 10—12 § får dock inte visas via informationshanteringstjänsten.

Folkpensionsanstalten är registerförare för patientens informationshanteringstjänst. Folkpensionsanstalten ansvarar för tillgängligheten och integriteten i fråga om uppgifterna i informationshanteringstjänsten, datainnehållets oföränderlighet samt för förvaring och utplåning av uppgifterna. Den som lagrar uppgifter i patientens informationshanteringstjänst ansvarar för att uppgifterna är korrekta och för att felaktiga uppgifter som finns i tjänsten rättas. Vid rättelse av felaktiga uppgifter i informationshanteringstjänsten ska 29 § i personuppgiftslagen tillämpas. Om en felaktig uppgift är baserad på en anteckning som gjorts av en tillhandahållare av hälso- och sjukvårdstjänster ska yrkande om rättelse riktas till den tillhandahållare som gjort den felaktiga anteckningen.

16 §

Ansvar vid skötseln av informationssystemtjänsterna

- - - - - - - - - - - - - - - - - - -

Folkpensionsanstalten kan upprätta och lämna ut sammanställningar över sådan beskrivande information om uppgifterna i arkiveringstjänsten som kan ha betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Dessutom kan Folkpensionsanstalten på de grunder som anges i 13 § 2—5 mom. i patientlagen lämna ut sådana uppgifter enligt 14 a § 2 mom. i denna lag om en patients viljeyttringar som finns i patientens informationshanteringstjänst.

17 §

Information till patienten

Tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig till de riksomfattande informationssystemtjänsterna ska informera patienten om de riksomfattande informationssystemtjänsterna, om deras allmänna verksamhetsprinciper och om patientens rättigheter i fråga om dem. Informationen ska lämnas före den första servicehändelsen eller i samband med den. Dessutom ska patienten informeras om vem som ordnar informationssystemtjänsterna, förutsättningarna för utlämnande av patientuppgifter, skyddet av informationen och om andra omständigheter i samband med behandlingen av uppgifter som är av betydelse för patienten.

Tillhandahållaren av hälso- och sjukvårdstjänster ska informera patienten personligen, skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen ges på annat sätt än skriftligen ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i patientens informationshanteringstjänst som avses i 14 a §. Om patienten redan har fått informationen, får undantag göras från upplysningsplikten i enlighet med 24 § i personuppgiftslagen.

Vid behov får närmare bestämmelser om förfarandet i fråga om sätten att informera och om informationens innehåll utfärdas genom förordning av social- och hälsovårdsministeriet.

18 §

Klientens rätt att få uppgifter

Bestämmelser om klientens rätt att kontrollera uppgifter i klientregistret och om tillgodoseendet av denna rätt finns i 26—28 § i personuppgiftslagen.

För utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina klientuppgifter har en klient rätt att på grundval av en skriftlig begäran utan dröjsmål av tillhandahållaren av socialvårdstjänster och hälso- och sjukvårdstjänster på grundval av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har utlämnat uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Klienten har motsvarande rätt att av Folkpensionsanstalten få information om utlämnande av uppgifter som lagrats i och som visas via patientens informationshanteringstjänst som avses i 14 a §. Klienten har dock inte rätt att få logguppgifter, om den som lämnar ut logguppgifter vet att utlämnandet av logguppgifterna kan medföra allvarlig fara för klientens hälsa eller vård eller för någon annans rättigheter. Klienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Klienten får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit.

Om en klient för andra gången begär logguppgifter som gäller samma tidsperiod kan tillhandahållaren av tjänster eller Folkpensionsanstalten ta ut en skälig ersättning för lämnandet av dessa logguppgifter, som inte får överstiga de direkta kostnaderna för lämnandet av informationen. För tillträde till logguppgifter med hjälp av den elektroniska förbindelse som avses i 19 § får dock ingen separat avgift tas ut.

Om en klient anser att hans eller hennes klientuppgifter har använts eller lämnats ut utan tillräckliga grunder ska den tillhandahållare av tjänster som använt eller fått uppgifterna eller Folkpensionsanstalten på begäran ge klienten en utredning om grunderna för användningen eller utlämnandet av uppgifterna.

19 §

Medborgargränssnitt

Patienten ges med hjälp av ett medborgargränssnitt följande uppgifter som gäller honom eller henne och som är lagrade i den riksomfattande arkiveringstjänsten:

1) uppgifter om samtycken och förbud samt utlämningslogguppgifter, med undantag för utlämnarens och mottagarens personuppgifter samt de utlämningslogguppgifter som patienten enligt 27 § 1 mom. 14 punkten i personuppgiftslagen inte har rätt att få,

2) uppgifter om organdonationsförbud, livstestamenten och patientens övriga viljeyttringar som gäller hälso- och sjukvården eller organdonation som införts i patientens informationshanteringstjänst,

3) uppgifter om tid och plats för servicehändelser, uppgifter som är viktiga med tanke på vården, uppgifter om läkemedelsordinationer och vårdföreskrifter, och

4) remisser, sammandrag av den vård som getts, slutgiltiga utlåtanden om vården samt läkarintyg och läkarutlåtanden.

Med hjälp av medborgargränssnittet kan patienten också ges uppgifter om tidsbeställningar samt laboratorieresultat, diagnostiska avbildningsresultat och andra motsvarande undersökningsresultat. Till medborgargränssnittet får, utöver de funktioner som nämns i 1 mom., dessutom anslutas andra funktioner som möjliggör informationsåtkomst för patienten och gör det möjligt att genomföra och följa upp uppgifter som i övrigt anknyter till vården och hälso- och sjukvården.

Oberoende av 1 och 2 mom. ska gränssnittet realiseras så att patienten inte har åtkomst till de uppgifter vilkas utlämnande en yrkesutbildad person inom hälso- och sjukvården bedömer kunna medföra allvarlig fara för patientens hälsa eller vård eller någon annans rättigheter.

Medborgargränssnittet ska realiseras så att patienten genom gränssnittet kan meddela sådana samtycken som avses i 11 § och sådana förbud som avses i 12 § samt förmedla organdonationsförbud, livstestamenten och andra viljeyttringar som gäller hälso- och sjukvården. När gränssnittet realiseras ska det dessutom säkerställas att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får utlämnas genom gränssnittet till patienten och till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Vid utlämning av uppgifterna ska det som i 9 § 2 mom. i lagen om patientens ställning och rättigheter föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Åtkomsten till uppgifter genom medborgargränssnittet påverkar inte patientens rätt till insyn enligt personuppgiftslagen.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om innehållet i de uppgifter som gäller åtkomst till information, genomförande och uppföljning av vård och om anslutningen av uppgifterna till medborgargränssnittet samt om hur uppgifterna visas över medborgargränssnittet och hur rätten till åtkomst till uppgifter genomförs i fråga om vårdnadshavaren till eller en laglig företrädare för en minderårig patient.

5 a kap.

Väsentliga krav på informationssystemen och hur kraven verifieras

19 a §

Väsentliga krav

Informationssystem som används för behandling av klient- och patientuppgifter inom socialvården samt hälso- och sjukvården ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.

Ett informationssystem uppfyller de väsentliga kraven då det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av lagarna samt följer nationella föreskrifter om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om informationssystemet är lämpligt för sitt ändamål och det med systemet går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser vid behandlingen av klient- och patientuppgifter, om behandlingen överensstämmer med sitt syfte och om informationssystemets kapacitet är den som tillverkaren meddelat. Kraven ska uppfyllas såväl vid användningen av informationssystemet självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om innehållet i de väsentliga kraven. Innan föreskrifterna meddelas ska Institutet för hälsa och välfärd höra delegationen för elektronisk informationsadministration inom social- och hälsovården. Dessutom får Folkpensionsanstalten utfärda föreskrifter om de förfaranden som ska iakttas vid verifieringen av interoperabiliteten i fråga om sådana informationssystem som ska kopplas till hälso- och sjukvårdens riksomfattande informationssystemtjänster, nedan hälsoarkivstjänster, som avses i denna lag eller i lagen om elektroniska recept.

19 b §

Klassificering

Social- och hälsovårdens informationssystem indelas enligt användningsändamål och egenskaper i klasserna A och B. Till klass A hör de hälsoarkivstjänster som förvaltas av Folkpensionsanstalten samt de informationssystem som är avsedda att anslutas till hälsoarkivstjänsterna antingen direkt eller via en teknisk förmedlingstjänst. Till klass A hör också den förmedlingsservice som avses i 3 § 6 punkten. Övriga informationssystem hör till klass B.

Om det är oklart vilken klass ett informationssystem hör till ska Institutet för hälsa och välfärd besluta om vilken klass informationssystemet hör till.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om klassificeringen av informationssystem.

19 c §

Allmänna skyldigheter för tillverkare av informationssystem

Tillverkaren ansvarar för planeringen, tillverkningen och klassificeringen av informationssystem för social- och hälsovården, oberoende av om åtgärderna utförs av tillverkaren själv eller av någon annan för dennes räkning.

I samband med informationssystemet ska tillverkaren ge systemanvändarna sådana uppgifter och anvisningar om informationssystemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. De uppgifter och anvisningar som följer med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska dock finnas på finska och svenska.

Dessutom ska tillverkaren ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet.

19 d §

Verifiering av överensstämmelse med kraven

Överensstämmelse med kraven för informationssystem som hör till klass A ska verifieras med en utredning av tillverkaren om att systemet uppfyller alla krav på funktionalitet utifrån godkänd samtestning och överensstämmelseintyg av ett bedömningsorgan för informationssäkerhet.

Överensstämmelse med kraven för informationssystem som hör till klass B ska verifieras genom tillverkarens skriftliga utredning om att systemet uppfyller de väsentliga kraven enligt 19 a § om det har installerats och underhållits på behörigt sätt och används för avsett ändamål

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska iakttas vid verifieringen av överensstämmelse med kraven och om innehållet i utredningen.

19 e §

Samtestning

Ett informationssystem som hör till klass A ska vara interoperabelt med de riksomfattande informationssystemtjänsterna och de övriga informationssystemen som är anslutna till dem. Interoperabiliteten ska visas vid en samtestning som utförs av Folkpensionsanstalten. En förutsättning för samtestning är att tillverkaren av informationssystemet lämnar Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av samtestningen ska avtalas med Folkpensionsanstalten.

Ett informationssystem av klass A som har tagits i användning för produktion ska delta i de samtestningar för andra informationssystem som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna för att säkerställa att informationssystemen är interoperabla. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i samtestningen. Tillverkarna av de informationssystem som deltar i samtestningen svarar själva för de kostnader som samtestningen föranleder.

Med avvikelse från 1 mom. utförs ingen separat samtestning av de centrala informationssystem som Folkpensionsanstalten förvaltar.

19 f §

Ibruktagande av informationssystem

Informationssystem som hör till klass A får tas i användning för produktion och anslutas till hälsoarkivstjänsterna när ett bedömningsorgan för informationssäkerhet har utfärdat ett överensstämmelseintyg för systemet. Informationssystem som hör till klass B får tas i användning för produktion efter det att tillverkaren av systemet har lämnat den skriftliga utredning som avses i 19 d §.

Tillverkaren ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som ska tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och användningsändamål framgå. Dessutom ska tillverkaren göra en anmälan om informationssystem som inte längre används för produktion. Tillstånds- och tillsynsverket ska föra ett offentligt register över de informationssystem för social- och hälsovården som har anmälts till verket.

Tillstånds- och tillsynsverket för social- och hälsovården får meddela närmare föreskrifter om innehållet i anmälan och vilka uppgifter som ska antecknas i registret.

19 g §

Uppföljning efter ibruktagandet

Tillverkaren ska genom ett uppdaterat och systematiskt förfarande följa upp och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Anmälan om betydande avvikelser från de väsentliga kraven för informationssystemet ska göras till alla tillhandahållare av tjänster som använder systemet. Dessutom ska bedömningsorganet för informationssäkerhet och Tillstånds- och tillsynsverket för social- och hälsovården underrättas om betydande avvikelser i fråga om informationssystem som hör till klass A.

Tillverkaren av informationssystemet ska dessutom ge akt på förändringar i de väsentliga kraven som ställs på informationssystem och justera systemen i enlighet med förändringarna. Bedömningsorganet för informationssäkerhet ska underrättas om ändringar i informationssystem som hör till klass A. Överensstämmelseintyget ska förnyas om betydande ändringar har gjorts i informationssystemet eller om de väsentliga kraven har förändrats.

Tillverkaren ska bevara uppgifter om överensstämmelse med kraven och övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet inte längre används för produktion.

Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och hur anmälningar om sådana ska göras.

5 b kap.

Tillhandahållare av tjänster samt egenkontroll

19 h §

Plan för egenkontroll

Tillhandahållare av socialvårdstjänster och tillhandahållare av hälso- och sjukvårdstjänster ska utarbeta en plan för egenkontroll med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. Av planen ska det framgå hur följande frågor som anknyter till användningen av systemen säkerställs:

1) de som använder informationssystemen har den utbildning och erfarenhet som användningen kräver,

2) i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av informationssystemen,

3) informationssystemen används enligt tillverkarens anvisningar,

4) informationssystemen underhålls och uppdateras enligt tillverkarens anvisningar,

5) miljön är lämplig för ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet,

6) övriga anslutna informationssystem och andra system äventyrar inte informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd, samt

7) informationssystemen installeras, underhålls och uppdateras endast av personer med den yrkesskicklighet och kompetens som krävs.

Om en tillhandahållare av tjänster har anslutit sig som användare av hälsoarkivstjänsterna ska det av planen för egenkontroll också framgå hur man har tillgodosett kraven på en informationssäker användning av dessa riksomfattande tjänster. Dessutom ska den som producerar förmedlingsservice enligt 3 § 6 punkten upprätta en plan för egenkontroll för förmedlingsservicen och Folkpensionsanstalten ska upprätta en plan för de hälsoarkivstjänster som den sköter.

Tillhandahållare av tjänster, producenter av förmedlingsservice och Folkpensionsanstalten ska följa upp att planen för egenkontroll genomförs.

Institutet för hälsa och välfärd får vid behov meddela närmare föreskrifter om de i 1 och 2 mom. avsedda utredningar och krav som ska tas in i planen för egenkontroll.

19 i §

Meddelande om avvikelser

Om en tillhandahållare av socialvårdstjänster och en tillhandahållare av hälso- och sjukvårdstjänster konstaterar betydande avvikelser när det gäller tillgodoseendet av de väsentliga kraven på ett informationssystem, ska denne underrätta informationssystemets tillverkare om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska också Tillstånds- och tillsynsverket för social- och hälsovården underrättas.

5 c kap.

Bedömning av informationssystemens överensstämmelse

19 j §

Godkännande av bedömningsorgan för informationssäkerhet

På godkännandet av och verksamheten vid ett bedömningsorgan för informationssäkerhet till-lämpas i övrigt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.

19 k §

Bedömning av informationssystemen

Överensstämmelsen av de informationssystem inom social- och hälsovården som hör till klass A ska bedömas i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I bedömningen av informationssäkerheten enligt denna lag ingår emellertid varken bedömning eller inspektion av vare sig tillverkarens eller användarens verksamhetsställen. Bedömningen av överensstämmelse görs på ansökan av informationssystemets tillverkare.

Om ett informationssystem som hör till klass A uppfyller förutsättningarna för överensstämmelse med kraven och Folkpensionsanstalten på basis av samtestning har gett ett positivt yttrande om uppfyllelsen av kraven på interoperabilitet, ska bedömningsorganet för informationssäkerhet utifrån sin bedömning av överensstämmelsen med kraven ge tillverkaren ett överensstämmelseintyg och en tillhörande kontrollrapport. Överensstämmelseintyget är giltigt i högst fem år. Den tid som intyget är i kraft kan förlängas med högst fem år i sänder. Bedömningsorganet för informationssäkerhet får avkräva tillverkaren alla uppgifter som behövs för bedömningen i syfte att upprätta överensstämmelseintyget och hålla det i kraft. På utfärdande av intyget tillämpas i övrigt vad som föreskrivs i 9 § i lagen om bedömningsorgan för informationssäkerhet.

Bedömningsorganet för informationssäkerhet ska vid behov, med iakttagande av hemfriden, göra inspektioner och bedömningar för att säkerställa att tillverkaren i sitt utvecklingsarbete till-lämpar förfaranden som säkerställer informationssystemets överensstämmelse med kraven, och ge tillverkaren en utvärderingsrapport. Bedömningsorganet för informationssäkerhet ska beakta resultaten av de bedömnings- och granskningsåtgärder som gjorts under produktionstiden för informationssystemet.

19 l §

Återkallelse av överensstämmelseintyg

Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i eller med stöd av denna lag eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska organet uppmana tillverkaren av informationssystemet att avhjälpa bristerna. Bedömningsorganet får återkalla intyget för viss tid eller helt och hållet eller bevilja intyget med begränsningar, om inte tillverkaren avhjälper bristerna inom den tid som organet satt ut. När tidsfristens längd bestäms ska det beaktas att en skälig tid behövs för att ändra informationssystemet.

19 m §

Anmälningsskyldighet för bedömningsorgan för informationssäkerhet

Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården samt Folkpensionsanstalten om alla överensstämmelseintyg som har utfärdats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats. Dessutom ska bedömningsorganet för informationssäkerhet på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information i ärendet.

20 §

Styrning, övervakning och uppföljning

- - - - - - - - - - - - - - - - - - -

Tillhandahållare av socialvårdstjänster och av hälso- och sjukvårdstjänster, Folkpensionsanstalten, Tillstånds- och tillsynsverket för social- och hälsovården och Befolkningsregistercentralen ska följa och övervaka att det dataskydd och den datasäkerhet som hänför sig till deras service förverkligas. Om någon har behandlat klientuppgifter i strid med lagen, ska den behöriga tillhandahållaren av tjänster samt Folkpensionsanstalten på eget initiativ vidta behövliga åtgärder. För uppföljningen och övervakningen har tillhandahållaren av tjänster rätt att få logguppgifter för sina egna patientregister från Folkpensionsanstalten samt logguppgifter i anslutning till behandlingen av uppgifter i patientens informationshanteringstjänst som avses i 14 a §, till den del som anställda hos tillhandahållaren har haft åtkomst till och behandlat uppgifter i patientens informationshanteringstjänst.

Den ansvariga föreståndaren för en verksamhetsenhet för socialvård eller hälso- och sjukvård ska meddela skriftliga instruktioner om hur klientuppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av klientuppgifter. Den ansvariga föreståndaren ska också se till att den plan för egenkontroll som avses i 19 h § utarbetas och iakttas. Dessutom ska varje tillhandahållare av tjänster och Folkpensionsanstalten ha en dataskyddsansvarig för uppföljnings- och övervakningsuppgifter.

20 a §

Tillsyn och inspektioner av informationssystem

Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens överensstämmelse med kraven.

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Under en inspektion ska dessutom iakttas vad som i 39 § 1 mom. i förvaltningslagen (434/2003) föreskrivs om genomförande av inspektion.

Vid en inspektion ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.

Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. Inspektionen anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter att inspektionen utförts.

20 b §

Rätt att anlita utomstående sakkunniga

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående sakkunniga för bedömning av informationssystems överensstämmelse med kraven. Utomstående sakkunniga får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna kräver.

Utomstående sakkunniga får inte utan tillstånd röja vad de på grund av sin ställning, sitt uppdrag eller sitt arbete har fått veta om en persons hälsotillstånd, sjukdom eller handikapp eller om social- eller hälsovårdsåtgärder som avser personen eller andra motsvarande omständigheter. Tystnadsplikten kvarstår efter det att uppdraget har upphört. På utomstående sakkunniga som utför uppgifter enligt denna lag till-lämpas förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar.

20 c §

Handräckning av polisen

Bestämmelser om handräckning av polisen finns i polislagen (872/2011).

20 d §

Föreläggande att fullgöra skyldigheter

Om någon tillverkare av informationssystem för social- eller hälsovården, tillhandahållare av socialvårdstjänster eller av hälso- och sjukvårdstjänster, producent av förmedlingsservice eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården utfärda ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.

20 e §

Skyldigheter avseende informationssystem som är i bruk

När Tillstånds- och tillsynsverket för social- och hälsovården meddelar beslut om informationssystem med stöd av 20 d § får verket samtidigt ålägga tillverkaren att avhjälpa brister i informationssystem som används för produktion.

Om ett informationssystem kan äventyra dataskyddet eller klient- eller patientsäkerheten och bristerna inte har avhjälpts inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har satt ut, får verket förbjuda användningen av informationssystemet till dess att den egenskap som äventyrar säkerheten har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till hälso- och sjukvårdens riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användarorganisation äventyrar den behöriga funktionen för de riksomfattande informationssystemtjänsterna.

Tillstånds- och tillsynsverket för social- och hälsovården får ålägga tillverkaren eller en befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om beslut som gäller användningen av informationssystemet för produktion.

20 f §

Vite

Ett föreläggande som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat eller ett beslut som verket har fattat med stöd av detta kapitel kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).

20 g §

Rätt att få uppgifter

Tillstånds- och tillsynsverket för social- och hälsovården har rätt att avgiftsfritt och trots sekretessbestämmelserna för tillsynen över social- och hälsovårdens informationssystem få nödvändiga uppgifter av statliga och kommunala myndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller de bestämmelser och beslut om social- och hälsovårdens informationssystem som utfärdats med stöd av lagen.

20 h §

Ändringssökande

Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag får överklagas hos förvaltningsdomstolen enligt vad som föreskrivs i förvaltningsprocesslagen (586/1996). Ett beslut av förvaltningsdomstolen får överklagas genom besvär hos högsta förvaltningsdomstolen, om högsta förvaltningsdomstolen beviljar besvärstillstånd.

Ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården meddelat i samband med en inspektion får inte överklagas genom besvär. Omprövning av beslutet får begäras hos Tillstånds- och tillsynsverket för social- och hälsovården inom 30 dagar från det att inspektionen avslutats. Till beslutet ska fogas anvisningar om begäran om omprövning hos verket. Åtgärderna i beslutet ska vidtas trots begäran om omprövning. Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med anledning av begäran om omprövning får överklagas genom besvär enligt 1 mom.

Beslut och förelägganden som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat med stöd av denna lag ska iakttas även om de överklagats, om inte besvärsmyndigheten bestämmer något annat.

22 §

Avgifter

Användningen av de riksomfattande informationssystemtjänster som avses i 14 § och som administreras av Folkpensionsanstalten och Befolkningsregistercentralen är avgiftsbelagd för tillhandahållare av tjänster. Den kommunala social- och hälsovårdens avgifter tas ut per sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms trots 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar beloppet av kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för Befolkningsregistercentralens prestationer bestäms i lagen om grunderna för avgifter till staten och med stöd av den.

Folkpensionsanstalten och Befolkningsregistercentralen ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en bedömning av de totalkostnader som ligger till grund för användningsavgifterna för det följande året.

Tillverkare av informationssystem ansvarar för kostnaderna för verifieringen av överensstämmelse med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för sådan samtestning som avses i 19 e § till sådant självkostnadsvärde som avses i 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 19 f § i denna lag avsedd anmälan i offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagd. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i och med stöd av lagen om grunderna för avgifter till staten. Bestämmelser om avgifter som gäller godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.

_______________

Denna lag träder i kraft den                                    20     .

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

För informationssystem som hör till klass A krävs överensstämmelseintyg enligt denna lag senast den 1 januari 2015. Före det får ett informationssystem som saknar överensstämmelseintyg genom Folkpensionsanstaltens beslut anslutas till de riksomfattande informationssystemtjänsterna för en tid av högst två år. Om ett informationssystem som hör till klass A har anslutits till de riksomfattande informationssystemtjänsterna före denna lags ikraftträdande får informationssystemet användas utan överensstämmelseintyg till utgången av den tidsfrist som fastställts i samband med anslutningen. Om tidsfristen löper ut under 2014 får informationssystemet dock genom beslut av Folkpensionsanstalten användas i högst två år.

Informationssystem som hör till klass B ska uppfylla de väsentliga krav som anges i 19 a §, om de tas i bruk den 1 januari 2017 eller därefter. Ett informationssystem av klass B som tagits i bruk före det ska bringas i överensstämmelse med de väsentliga kraven, om informationssystemet ändras väsentligt och det ändrade informationssystemet tas i bruk den 1 januari 2017 eller därefter. Om ett serviceavtal som avser ett informationssystem som hör till klass B har ingåtts före denna lags ikraftträdande och upphör den 1 januari 2017 eller därefter, ska informationssystemet emellertid ändras så att det överensstämmer med de väsentliga kraven räknat från det serviceavtalet upphör.

Folkpensionsanstalten ska genomföra den tjänst som avses i 14 § 1 mom. och som innebär att riksomfattande informationssystemtjänster kan användas med hjälp av internet och tele-kommunikationsnät senast den 1 januari 2017.

De som ska ha en plan för egenkontroll enligt 19 h § är

1) Folkpensionsanstalten samt tillhandahållare av tjänster och producenter av förmedlingsservice som har anslutit sig till de riksomfattande informationssystemtjänsterna när denna lag träder i kraft, senast den 1 januari 2015,

2) de som efter ikraftträdandet av denna lag ansluter sig till de riksomfattande informationssystemtjänsterna för hälso- och sjukvården från och med anslutningen; om anslutningen sker senast den 1 januari 2015 ska planen dock finnas senast vid nämnda tidpunkt, och

3) andra tillhandahållare av tjänster som använder socialvårdens samt hälso- och sjukvårdens informationssystem senast den 1 april 2015.

Tillstånds- och tillsynsverket för social- och hälsovården ska ha ett sådant offentligt register över social- och hälsovårdens informationssystem som avses i 19 f § 2 mom. senast den 31 december 2016.

_______________

Lag

om ändring av lagen om elektroniska recept

I enlighet med riksdagens beslut

upphävs i lagen om elektroniska recept (61/2007) 8 §,

ändras 2 §, 3 § 1 och 4—7 punkten, 4, 5, 9 och 10 §, 12 § 1 mom., 13 och 14 §, rubriken för 15 § och 15 § 1 mom. 2 punkten och 4 mom., 16 § 3 mom., 17 §, 19 § 2 mom., 22 § 2 mom., 23 §, 24 § 4 och 5 mom., 25 § och 28 § 1 mom.,

av dem 10 och 13 § sådana de lyder delvis ändrade i lag 436/2010, 15 § 1 mom. 2 punkten sådan den lyder i lag 781/2009, 24 § 4 och 5 mom. och 28 § 1 mom. sådana de lyder i lag 1229/2010 och 25 § sådan den lyder i lag 982/2010, samt

fogas till 3 §, sådan den lyder delvis ändrad i lag 436/2010, nya 8 och 9 punkter, till 11 § ett nytt 2 mom., till 12 § ett nytt 4 mom., till lagen en ny 16 a §, till 20 § ett nytt 2 mom., varvid det nuvarande 2 mom. blir 3 mom., till 22 §, sådan den lyder delvis ändrad i lag 781/2009, ett nytt 3 mom. samt till lagen nya 22 a, 22 b och 23 a § som följer:

2 §

Lagens tillämpningsområde

Denna lag innehåller bestämmelser om elektroniska recept.

Om inte något annat följer av denna lag, ska vid uppgörandet, expedieringen och behandlingen av elektroniska recept iakttas vad som någon annanstans bestäms om patientens ställning och rättigheter, patientens språkliga rättigheter, förskrivning och expediering av läkemedel, behandling av personuppgifter, offentlighet i myndigheternas verksamhet, elektronisk kommunikation och elektroniska signaturer.

3 §

Definitioner

I denna lag avses med

1) elektroniskt recept en läkemedelsordination som uppgjorts med en databehandlingsanordning och som med hjälp av datanät överförs till receptcentret,

- - - - - - - - - - - - - - - - - - -

4) receptcenter en databas som består av elektroniska recept som insänts av läkemedelsförskrivarna, av recept som apoteken har lagrat på grunder som nämns i 12 §, av uppgifter om läkemedel som överlåtits till patienter av tillhandahållarna av hälso- och sjukvårdstjänster på grunder som anges i 23 § och av expedieringsuppgifter i anslutning till recepten,

5) receptarkiv den databas till vilken uppgifterna i receptcentret överförs när förvaringstiden enligt denna lag har gått ut,

6) läkemedelsdatabas en databas med sådana uppgifter om läkemedel, priset på och ersättningen för läkemedel, utbytbara läkemedel samt ersättningsgilla salvbaser och kliniska näringspreparat och andra grupper av preparat som angetts genom förordning av social- och hälsovårdsministeriet, vilka behövs för förskrivningen och expedieringen av läkemedel,

7) elektronisk signatur data i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska data och som används som en metod för verifiering av undertecknarens identitet och säkerställande av att elektroniska meddelanden hålls oförändrade,

8) HCI-läkemedel läkemedelspreparat

a) som i försäljningstillståndet klassificeras som HCI-läkemedel,

b) som nämns i den förteckning över HCI-läkemedel som Säkerhets- och utvecklingscentret för läkemedelsområdet har fastställt, och

c) vilkas huvudsakligen verksamma ämnen nämns i den av Säkerhets- och utvecklingscentret för läkemedelsområdet fastställda förteckningen över sådana läkemedelssubstanser som får expedieras endast mot recept och som i förteckningen i fråga försetts med prefixet Z, ZA, P och PA, och

9) narkotiska läkemedel läkemedel som innehåller sådana ämnen som hör till förteckning I, II eller IV i 1961 års allmänna narkotikakonvention enligt 3 § 1 mom. 1 punkten underpunkt a i narkotikalagen (373/2008), sådana ämnen som hör till förteckning I eller II i 1971 års konvention om psykotropa ämnen enligt 3 § 1 mom. 1 punkten underpunkt b i narkotikalagen och sådana ämnen som avses i 3 § 1 mom. 5 punkten underpunkt e i narkotikalagen.

4 §

Information till patienten

Innan ett elektroniskt recept görs upp ska patienten informeras om elektroniska recept och patientens rättigheter i anslutning till sådana. Dessutom ska patienten informeras om de riksomfattande informationssystemtjänster som hänför sig till elektroniska recept, om de allmänna principerna för hur tjänsterna fungerar och om anordnaren av informationssystemtjänster, om villkoren för utlämnande av receptuppgifter, om skydd av uppgifterna samt om andra för patienten relevanta omständigheter i anslutning till behandlingen av uppgifterna.

Tillhandahållaren av hälso- och sjukvårdstjänster ska informera patienten personligen, skriftligt eller muntligt. Informationen får också ges med hjälp av en elektronisk tjänst som specificerar patienten. Om informationen inte ges skriftligt ska patienten också kunna få den skriftligt. En anteckning om att information har getts ska göras i patientens informationshanteringstjänst som avses i 16 a §. Om patienten redan har fått den information som nämns ovan, kan informationsskyldigheten frångås enligt 24 § i personuppgiftslagen (523/1999).

Närmare bestämmelser om informationsförfarandet och om informationens innehåll får utfärdas genom förordning av social- och hälsovårdsministeriet.

5 §

Uppgörande av recept

Recept ska göras upp elektroniskt. Om det på grund av en teknisk störning inte är möjligt att göra en elektronisk förskrivning får ett recept också göras upp skriftligt eller förskrivas per telefon. Ett recept kan likaså göras upp skriftligt eller förskrivas per telefon på begäran av ett apotek, om apoteket inte kan expediera ett elektroniskt recept på grund av en teknisk störning. Dessutom kan ett recept göras upp skriftligt eller förskrivas per telefon om läkemedelsbehandlingen brådskar och det på grund av exceptionella förhållanden eller av någon annan särskild orsak är omöjligt att göra upp ett elektroniskt recept.

En undertecknad, skriftlig kopia av det elektroniska receptet kan lämnas ut för köp av läkemedel som sker utomlands. Om en kopia av receptet lämnas ut för köp av läkemedel utomlands ska elektronisk expediering av receptet samtidigt förhindras tekniskt. En patient som behöver ett elektroniskt recept för en utlandsresa får ges en kopia av det expedierade receptet styrkt med läkemedelsförskrivarens eller apotekets signatur.

På ett skriftligt recept och ett telefonrecept ska orsaken till att receptet inte gjorts upp elektroniskt anges. Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om grunderna för skriftliga recept eller telefonrecept och deras innehåll, om läkemedel som får förskrivas på detta sätt och om receptkopior som lämnas ut för köp av läkemedel utomlands eller för utlandsresor.

9 §

Patientanvisning

Patienten ska ges en separat anvisning (patientanvisning) om det elektroniska receptet. En patientanvisning behöver emellertid inte ges om patienten inte befinner sig på läkemedelsförskrivarens mottagning när receptet görs upp. En patientanvisning behöver inte heller ges om det är omöjligt av tekniska skäl eller om ett elektroniskt recept har gjorts upp med mobil utrustning. Av patientanvisningen ska åtminstone framgå patientens namn och födelsetid, läkemedelspreparatets namn och läkemedelssubstansen samt dess styrka och läkemedelsform, ändamål och dosering, mängden läkemedel, receptets kod, kontaktuppgifterna för läkemedelsförskrivaren eller verksamhetsenheten för hälso- och sjukvård, datumet då receptet gjorts upp och uppgifter om ett förbud enligt 13 §, om patienten har meddelat ett sådant. I patientanvisningen kan uppgifter om alla läkemedel som förskrivits samtidigt antecknas. Dessutom kan patienten ges en sammanställning av de recept som finns i receptcentret.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om innehållet i patientanvisningen och sammanställningen samt om på vilka grunder en patientanvisning inte behöver ges till en patient.

10 §

Rättelse, makulering och förnyelse av recept

Om ett recept som finns i receptcentret är felaktigt får den behandlande läkemedelsförskrivaren göra behövliga rättelser i receptet. Dessutom får den provisor och den farmaceut som expedierar läkemedlet på apoteket föra in behövliga tekniska rättelser i samband med expedieringen. Om receptets innehåll är otydligt eller bristfälligt måste läkemedelsförskrivarens muntliga samtycke till rättelsen erhållas.

I samförstånd med patienten får den behandlande läkemedelsförskrivaren och läkemedelsexpedieraren makulera ett oexpedierat eller delvis expedierat recept som finns i receptcentret. Den som gjort upp ett recept och den provisor eller farmaceut som lagrat ett recept som avses i 12 § 4 mom. får dock makulera receptet utan patientens samtycke, om receptet har gjorts upp på basis av avsiktligt felaktiga uppgifter som lämnats av patienten eller under tvång. Recept makuleras dessutom när den person som fått receptet har dött.

Ett elektroniskt recept förnyas genom att ett nytt recept görs upp utifrån det recept som lagrats i receptcentret. Patienten, eller på patientens begäran apoteket, får be läkemedelsförskrivaren eller en verksamhetsenhet för hälso- och sjukvården förnya receptet. Den som har rätt till förskrivning av läkemedlet får emellertid på medicinska grunder, eller när ett recept har gjorts upp på basis av avsiktligt felaktiga uppgifter som lämnats av patienten eller under tvång, förhindra att ett recept som har lagrats i receptcentret förnyas.

När ett recept rättas eller makuleras eller dess förnyelse förhindras enligt 1—3 mom., ska till receptet fogas en motivering av åtgärden. Rättelse och makulering samt förhindrande av förnyelse av ett recept ska signeras elektroniskt.

Närmare bestämmelser om rättelse, makulering, förnyelse och förhindrande av förnyelse av ett elektroniskt recept samt om anteckningar i anknytning till dessa får utfärdas genom förordning av social- och hälsovårdsministeriet.

11 §

Apotekets rätt att få uppgifter

- - - - - - - - - - - - - - - - - - -

Apoteket har rätt att för expedieringen av läkemedlet få uppgifter om receptet, även om patienten har meddelat ett förbud som avses i 13 § 1 eller 3 mom., om den som köper läkemedlet visar upp patientanvisningen om receptet eller en utskriven sammanställning av patientanvisningen.

12 §

Expediering av elektroniska recept

När ett läkemedel expedieras på basis av ett elektroniskt recept ska den som köper läkemedlet på ett tillförlitligt sätt visa att han eller hon har rätt att ta emot det. Om patienten saknar personbeteckning kan läkemedlet expedieras endast om patientanvisningen visas upp på apoteket.

- - - - - - - - - - - - - - - - - - -

Om ett recept har gjorts upp skriftligt eller förskrivits per telefon på grund av en sådan teknisk störning som avses i 5 § 1 mom., ska apoteket lagra receptet och anslutande expedieringsuppgifter i receptcentret när receptet expedieras eller, om en teknisk störning hindrar omedelbar lagring, så snart som möjligt. Den som har antecknats som läkemedelsförskrivare i ett recept har oberoende av vårdrelation rätt att från receptcentret få uppgifter om vilka recept som av ett apotek har lagrats i receptcentret med anteckning om att han eller hon är läkemedelsförskrivare. Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om lagring av skriftliga recept och telefonrecept samt expeditionsuppgifter i receptcentret och om de sökfunktioner med vilka en läkemedelsförskrivare kan få uppgifter om recept som apoteken lagrat i receptcentret.

13 §

Patientens rätt att bestämma om utlämnande av uppgifter

Uppgifter som finns om en patients recept i receptcentret och receptarkivet, expeditionsuppgifterna om dem och begäran om förnyelse får lämnas ut till en verksamhetsenhet för hälso- och sjukvård eller socialvård och till läkemedelsförskrivaren i syfte att ordna med och ge patienten hälso- och sjukvård, om denne har gett sitt skriftliga samtycke till det enligt 14 §. Samtycket gäller tills vidare och omfattar alla uppgifter i receptcentret och receptarkivet. Patienten har dock rätt att förbjuda att de recept som han eller hon preciserat utlämnas till de ovannämnda enheterna eller personerna och apoteken. Såväl samtycke som förbud får återtas när som helst. Samtycke och förbud samt återkallande av dessa kan meddelas till vilken som helst verksamhetsenhet för hälso- och sjukvård eller socialvård som har anslutit sig till elektroniska recept eller till läkemedelsförskrivare som är självständiga yrkesutövare och har anslutit sig till elektroniska recept. Samtycke och förbud samt återtagande av dessa kan också ske genom det användargränssnitt som avses i 17 §.

Om en myndig patient på grund av psykisk störning, utvecklingsstörning eller någon annan omständighet inte själv kan fatta beslut om sin egen vård får patientens lagliga företrädare, en nära anhörig eller någon annan närstående person lämna samtycke enligt 1 mom. Patientens lagliga företrädare, en nära anhörig eller någon annan närstående person har inte rätt att återta samtycke eller förbjuda utlämnande.

Om en minderårig patient på det sätt som avses i 7 § 1 mom. i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen, med beaktande av sin ålder och utvecklingsnivå själv kan fatta beslut om sin vård, kan han eller hon också besluta om samtycke till och förbud mot utlämnande enligt 1 mom. i denna paragraf. I annat fall kan samtycke lämnas av en minderårig patients vårdnadshavare eller lagliga företrädare. En minderårigs vårdnadshavare eller lagliga företrädare har inte rätt att återta samtycke eller förbjuda utlämnande. En minderårig som avses i 9 § 2 mom. i patientlagen har dessutom rätt att förbjuda att uppgifter i ett elektroniskt recept lämnas ut till den minderåriges vårdnadshavare eller andra lagliga företrädare.

Oberoende av 1 mom. får

1) uppgifter som avses i 1 mom. lämnas ut, om det i lag uttryckligen föreskrivs om utlämnande av eller rätt att få sådana uppgifter,

2) till förskrivare av HCI-läkemedel och narkotiska läkemedel lämnas ut uppgifter om alla HCI-läkemedel och narkotiska läkemedel som förskrivits till en viss patient samt expedieringsuppgifter om dem,

3) till en verksamhetsenhet för hälso- och sjukvård eller socialvård eller till en läkemedelsförskrivare vilka svarar för förnyelse av recept lämnas ut uppgifter om det recept som en patient bett att få förnyat,

4) till en läkemedelsförskrivare under den tid en vårdrelation pågår, lämnas ut uppgifter om de recept som han eller hon lagrat i receptcentret och expeditionsuppgifter om dem samt, oberoende av vårdrelationen, uppgifter om de recept som lagrats i receptcentret av apotek med stöd av 12 § 3 mom. för vilka han eller hon antecknats som läkemedelsförskrivare och om de expeditionsuppgifter som gäller dessa recept,

5) till en verksamhetsenhet för hälso- och sjukvård eller socialvård eller till en yrkesutbildad person inom hälso- och sjukvården lämnas ut uppgifter om recept som har lagrats i receptcentret och expeditionsuppgifter om dem i sådana brådskande fall som avses i 8 § i patientlagen; om utlämnande av receptuppgifter har förbjudits enligt 1 mom. får uppgifter lämnas ut endast om patienten särskilt har meddelat att de dock får lämnas ut i sådana fall, och

6) till teknisk personal hos tillhandahållare av hälso- och sjukvårdstjänster som ansvarar för verksamheten med elektroniska recept, till teknisk personal hos Folkpensionsanstalten och hos informationssystemets leverantör, lämnas ut uppgifter i den omfattning det krävs för att åtgärda störningar och problemsituationer.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om det förfarande med samtycke och förbud som avses i 1—3 mom. och om genomförandet av den rätt att få uppgifter och om sådant klarläggande av den tekniska personalens rättigheter som avses i 4 mom. 6 punkten.

14 §

Samtyckes- och förbudsdokument

Patienten ska underteckna ett dokument varav framgår hans eller hennes samtycke till eller förbud mot utlämnande av information från receptcentret. Av samtyckesdokumentet ska de uppgifter om elektroniska recept som nämns i 4 § samt betydelsen av samtycke eller förbud framgå. Förbudsdokumentet ska innehålla utredning om att de uppgifter som förbudet gäller inte får utnyttjas vid hälso- eller sjukvård även om de skulle vara relevanta med tanke på vården, om inte förbudet återtas eller är förenat med en reservation för situationer som avses i 8 § i patientlagen. Folkpensionsanstalten utarbetar mallar för samtyckes- och förbudsdokument. Den som tar emot ett samtycke eller ett förbud ska ge en kopia av dokumentet till den som meddelat samtycket eller förbudet. Då patienten meddelar samtycke eller förbud genom det användargränssnitt som avses i 17 § ska han eller hon få motsvarande information genom gränssnittet. Om samtycke ges av någon annan än patienten i en situation som avses i 13 § 2 eller 3 mom., ska den som ger samtycket underteckna samtyckesdokumentet.

Den som tar emot ett samtycke eller förbud eller ett återtagande av dem ska förvara det undertecknade dokumentet för Folkpensionsanstaltens räkning eller lagra en kopia av ursprungshandlingen i den riksomfattande informationssystemtjänsten. I fråga om förvar av dokumenten gäller vad som med stöd av 12 § 2 mom. i patientlagen föreskrivs om förvar av journalhandlingar. Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om den tekniska metod med vilken kopian ska tas och lagras i den riksomfattande informationssystemtjänsten.

15 §

Utlämnande av uppgifter till myndigheter och för vetenskaplig forskning

Utan hinder av sekretessbestämmelserna och andra bestämmelser om användningen av uppgifterna får Folkpensionsanstalten i egenskap av registeransvarig, utöver vad som föreskrivs någon annanstans i lagstiftningen, på begäran också med hjälp av en teknisk anslutning från receptcentret och receptarkivet

- - - - - - - - - - - - - - - - - - -

2) till Säkerhets- och utvecklingscentret för läkemedelsområdet lämna ut det recept som förskrivits för ansökan om specialtillstånd enligt 21 f § i läkemedelslagen (395/1987), sådana uppgifter som behövs för vägledning i trygg och ändamålsenlig användning av läkemedel samt sådana uppgifter om recept och expediering av dem som behövs för övervakning enligt läkemedelslagen och narkotikalagen,

- - - - - - - - - - - - - - - - - - -

Folkpensionsanstalten får lämna ut uppgifter från receptcentret och receptarkivet för vetenskaplig forskning i enlighet med 28 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). Utlämnandet kräver dock alltid tillstånd av Institutet för hälsa och välfärd.

- - - - - - - - - - - - - - - - - - -

16 §

Patientens rätt till information

- - - - - - - - - - - - - - - - - - -

Patienten har rätt att på begäran utifrån logguppgifter få veta vem som har behandlat eller haft åtkomst till sådan information om honom eller henne som lagrats i receptcentret, receptarkivet eller i patientens informationshanteringstjänst. Patienten har dock inte rätt att få logguppgifter, om den som lämnar ut logguppgifter vet att utlämnandet av logguppgifterna kan medföra allvarlig fara för patientens hälsa eller vård eller för någon annans rättigheter. Patienten har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Klienten får inte för något annat ändamål använda eller vidareutlämna logguppgifter som han eller hon erhållit. Folkpensionsanstalten ska lämna ut uppgifterna utan dröjsmål. Det får inte tas ut någon avgift för utlämnandet av uppgifterna. Om patienten ber om samma uppgifter på nytt ska information som baserar sig på samma logguppgifter lämnas bara om det finns grundad anledning till det med hänsyn till tillgodoseendet av patientens intressen eller rättigheter. För uppgifter som lämnas ut på nytt får Folkpensionsanstalten ta ut en avgift som inte får överstiga kostnaderna för utlämnande av uppgifterna.

- - - - - - - - - - - - - - - - - - -

16 a §

Patientens informationshanteringstjänst

I patientens informationshanteringstjänst som avses i 14 a § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården lagras uppgifter om patientens samtycken och förbud samt om den information som lämnats ut till patienten. Det är också möjligt att genom informationshanteringstjänsten få åtkomst till uppgifter om recept som har lagrats i receptcentret och receptarkivet samt till expedieringsuppgifter om dem i den utsträckning som föreskrivs i 13 § i denna lag. Uppgifterna får användas för att förskriva läkemedel till patienten och för att ordna och ge hälso- och sjukvård för patienten.

17 §

Medborgargränssnitt

Med hjälp av medborgargränssnittet ges en patient uppgifter om patientens recept som finns lagrade i receptcentret och receptarkivet, rättelse- och expedieringsanteckningar i dem, uppgifter om samtycken och förbud samt logguppgifter om utlämnande, med undantag för personuppgifter om den som fått uppgifter och sådana logguppgifter om utlämnande som patienten enligt 16 § 3 mom. inte har rätt att få.

Genom gränssnittet kan patienten dessutom

1) ta emot sådan information som avses i 4 §,

2) meddela och återkalla sådant samtycke som avses i 13 § och meddela och återkalla förbud som avses i den paragrafen, och

3) framställa en i 10 § avsedd förnyelsebegäran.

Gränssnittet kan dessutom kompletteras med andra funktioner än de som nämns i 1 mom. som gör det möjligt att tillgodose patientens rätt till information samt att genomföra och följa upp läkemedelsvården.

Medborgargränssnittet ska realiseras så att patientens integritetsskydd inte äventyras. Uppgifter om minderåriga patienter får lämnas ut genom gränssnittet till patienten och till hans eller hennes vårdnadshavare eller någon annan laglig företrädare. Vid utlämning av uppgifterna ska det som i 9 § 2 mom. i lagen om patientens ställning och rättigheter föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Åtkomsten till uppgifter genom gränssnittet påverkar inte patientens rätt till insyn enligt personuppgiftslagen.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om de i 2 mom. avsedda funktionerna, om hur uppgifter visas över medborgargränssnittet och om hur rätten till åtkomst till uppgifter genomförs i fråga om vårdnadshavaren till eller en laglig företrädare för en minderårig patient.

19 §

Förvaring av uppgifterna

- - - - - - - - - - - - - - - - - - -

Efter den tid som anges i 1 mom. överförs uppgifterna i receptcentret till ett separat receptarkiv. Bestämmelserna om rätt att få uppgifter i 11 § gäller inte uppgifterna i receptarkivet. Uppgifterna förvaras i receptarkivet i 20 år.

20 §

Den datatekniska hanteringen av elektroniska recept

- - - - - - - - - - - - - - - - - - -

Folkpensionsanstalten ska dessutom genomföra en gränssnittstjänst som gör det möjligt att göra upp och hantera recept över internet och med mobila apparater som använder telefon- och telekommunikationsnät.

- - - - - - - - - - - - - - - - - - -

22 §

Läkemedelsdatabas

- - - - - - - - - - - - - - - - - - -

Även uppgifter om andra grupper av preparat som förskrivs genom elektroniskt recept än de som anges i 1 mom. kan registreras i läkemedelsdatabasen.

Genom förordning av social- och hälsovårdsministeriet får vid behov närmare bestämmelser utfärdas om det detaljerade datainnehållet i läkemedelsdatabasen, om preparatgrupper som eventuellt införs i läkemedelsdatabasen och om hur uppgifter meddelas till Folkpensionsanstalten.

22 a §

Godkännande och ibruktagande av informationssystem och programvara

Innan de informationssystem som används vid uppgörande och expediering av elektroniska recept och den programvara som stöder systemen samt receptcentret och läkemedelsdatabasen tas i bruk ska de kontrolleras eller utvärderas för att säkerställa sekretessen i fråga om patientuppgifter, dataskyddet och interoperabiliteten på det sätt som föreskrivs i 3, 19 a—19 g, 20 a—20 h och 22 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården.

22 b §

Egenkontroll

Verksamhetsenheter, apotek och självständiga yrkesutövare som gör upp elektroniska recept samt Folkpensionsanstalten och leverantörerna av tjänsterna för förmedling av klientuppgifter ska utarbeta en plan för egenkontroll för att säkerställa dataskyddet och sekretessen i fråga om patientuppgifter, följa verksamheten och anmäla avvikelser så som föreskrivs i 19 h och 19 i § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården.

23 §

Läkemedel som lämnas ut inom socialvården eller hälso- och sjukvården

Uppgifter om läkemedel som en verksamhetsenhet för socialvård eller hälso- och sjukvård lämnar ut till en patient får lagras i receptcentret. Vid lagring av uppgifter om dessa läkemedel ska det i tillämpliga delar iakttas vad som i denna lag i övrigt föreskrivs om elektroniska recept.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om hur läkemedel som lämnats ut till patienter inom socialvården eller hälso- och sjukvården ska lagras i receptcentret.

23 a §

Gränsöverskridande elektroniska recept

Ett elektroniskt recept som uppgjorts någon annanstans än i Finland får godkännas och expedieras av ett apotek som är verksamt i Finland, även om receptet inte fyller alla de krav som i denna lag ställs på elektroniska recept. En förutsättning för godkännande är dock att receptet uppfyller de krav som godkänts i Europeiska unionen eller mellan Europeiska unionens och Europeiska ekonomiska samarbetsområdets medlemsstater och att receptet förmedlas till ett finländskt apotek genom en utländsk och en finländsk nationell kontaktpunkt som certifierar receptets riktighet. Med patientens samtycke kan ett elektroniskt recept enligt denna lag på motsvarande sätt förmedlas för expediering annanstans än i Finland. En förutsättning för att receptet ska lämnas ut till utlandet är att utlämnandet sker via Finlands och mottagarlandets nationella kontaktpunkt.

Folkpensionsanstalten är i Finland nationell kontaktpunkt mellan receptcentret, apoteken och den utländska nationella kontaktpunkten. Folkpensionsanstalten är registeransvarig för information som lagras hos den nationella kontaktpunkten.

Genom förordning av social- och hälsovårdsministeriet får närmare bestämmelser utfärdas om

1) minimiinnehållet i elektroniska recept som uppgjorts någon annanstans än i Finland och om förmedlingen av receptet till ett apotek,

2) hur överlåtelsen av elektroniska recept ska ske till den nationella kontaktpunkten i en annan stat och om det samtycke av patienten som krävs för överlåtelsen, och

3) lagring och hantering av de logguppgifter som gäller behandlingen av gränsöverskridande elektroniska recept.

24 §

Styrning, uppföljning och övervakning

- - - - - - - - - - - - - - - - - - -

Den registeransvarige för receptcentret ska följa och övervaka att dataskyddet i anslutning till de tjänster som den registeransvarige tillhandahåller tillgodoses så som föreskrivs i denna lag, i personuppgiftslagen och någon annanstans i lagstiftningen. Dessutom ska verksamhetsenheterna för hälso- och sjukvård, verksamhetsenheterna för socialvård och apoteken följa och övervaka att uppgifterna i receptcentret kan läsas och behandlas endast av dem som är behöriga enligt denna lag och att uppgifterna läses och behandlas på de grunder som anges i denna lag. Den registeransvarige, verksamhetsenheterna och apoteken ska på eget initiativ vidta behövliga åtgärder, om någon lagstridigt har läst, använt eller lämnat ut uppgifter som finns i receptcentret. För uppföljningen och övervakningen har verksamhetsenheterna för hälso- och sjukvård, verksamhetsenheterna för socialvård och apoteken rätt att få logguppgifter av Folkpensionsanstalten till den del anställda vid verksamhetsenheten eller apoteket i fråga har läst och behandlat uppgifter i receptcentret.

Den registeransvarige, den ansvariga föreståndaren för en verksamhetsenhet för hälso- och sjukvård eller en verksamhetsenhet för socialvård och apotekaren ska meddela skriftliga anvisningar om behandlingen av klientuppgifter och om de förfaranden som ska iakttas samt sörja för att de anställda har tillräcklig sakkunskap och kompetens när patientuppgifter behandlas. Dessutom ska den registeransvarige, verksamhetsenheterna för hälso- och sjukvård, verksamhetsenheterna för socialvård och apoteket ha en utnämnd dataskyddsansvarig för uppföljnings- och övervakningsuppgiften.

25 §

Avgifter

För lagring av elektroniska recept och expedieringsuppgifterna om dem, för certifiering enligt denna lag samt för användning av uppgifterna i receptcentret, receptarkivet och läkemedelsdatabasen tas det ut en avgift som motsvarar kostnaderna för serviceproduktionen. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. Avgiften tas ut av Folkpensionsanstalten. Avgifter som hänför sig till den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Bestämmelser om avgifter som tas ut för Befolkningsregistercentralens prestationer enligt 14 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården finns i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den.

Folkpensionsanstalten och Befolkningsregistercentralen ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en bedömning av de totalkostnader som ligger till grund för det följande årets användningsavgifter.

28 §

Övergångsbestämmelse

I fråga om verksamhetsenheter för privat hälso- och sjukvård och självständiga yrkesutövare som är verksamma i deras lokaler träder skyldigheten enligt 5 § att göra upp elektroniska recept i kraft den 1 januari 2015. Dessutom får recept till och med den 1 januari 2017 göras upp skriftligt, per telefon eller per telefax i landskapet Åland och av tillhandahållare av socialvårdstjänster, andra läkare och tandläkare än de som är självständiga yrkesutövare enligt 23 § 1 mom. och privata tjänsteleverantörer som gör upp högst 5 000 recept om året. Trots 5 § har en patient som så önskar rätt att i stället för ett elektroniskt recept få ett recept skriftligt, per telefon eller per telefax till och med den 1 januari 2017. Från och med den 1 januari 2015 gäller rätten dock inte de HCI-läkemedel och narkotiska läkemedel som avses i 3 § 8 och 9 punkten.

- - - - - - - - - - - - - - - - - - -

_______________

Denna lag träder i kraft den                                    20     .

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

Med avvikelse från bestämmelserna i 4 § 2 mom. i denna lag ska anteckning om information som getts en patient inte göras i informationshanteringstjänsten utan i stället i patientjournalen till och med den 1 januari 2017.

De ändringar i rättelse, makulering och förnyelse av recept som avses i 10 § ska införas senast den 1 januari 2015.

Med avvikelse från 12 § 4 mom. har apotek inte skyldighet att lagra skriftliga recept och telefon- och telefaxrecept i receptcentret före den 1 januari 2017.

De datatekniska lösningar som gör det möjligt för patienter att i enlighet med 13 § 1 mom. utöva sin förbudsrätt ska införas så att patienterna kan meddela ett förbud via det gränssnitt som avses i 17 § senast den 1 januari 2015. Förbudet ska senast den 1 januari 2017 kunna meddelas via ett informationssystem som en tillhandahållare av hälso- och sjukvårdstjänster använder.

Folkpensionsanstalten ska genomföra den gränssnittstjänst som avses i 20 § 2 mom. senast den 1 januari 2017.

Senast den 1 januari 2015 ska informationssystem och programvaror som använts före lagens ikraftträdande för att göra upp och expediera elektroniska recept motsvara bestämmelserna i 22 a § i denna lag. Före det får informationssystem som inte har överensstämmelseintyg genom beslut av Folkpensionsanstalten anslutas till receptcentret för en tid av högst två år. Om ett informationssystem har anslutits till receptcentret före denna lags ikraftträdande, får systemet användas utan överensstämmelseintyg till utgången av den tid som bestämts vid anslutningen.

_______________

Helsingfors den 4 mars 2014