1.1
Lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården
1 kap. Allmänna bestämmelser
1 §.Lagens syfte. Enligt paragrafen är syftet med lagen att främja och möjliggöra en informationssäker behandling av kunduppgifter som produceras inom social- och hälsovården och av uppgifter som kunden själv producerar om sitt välbefinnande samt att föreskriva om de enhetliga och allmänna principer och krav som ska iakttas vid behandling av kunduppgifter och av uppgifter om välbefinnande. Behandling av kunduppgifter och uppgifter om välbefinnande behövs enligt artikel 9.2 (h) i den allmänna dataskyddsförordningen för medicinsk diagnostisering, för tillhandahållande av hälso- och sjukvård, behandling eller social omsorg eller för förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstaternas lagstiftning.
I och med lagförslaget kan kunduppgifterna och de uppgifter om välbefinnande som kunden själv producerar utnyttjas på ett helhetsmässigt sätt inom social- och hälsovårdsservicen. Bestämmelser om användning av kunduppgifter för sekundära ändamål finns i lagen om sekundär användning av personuppgifter inom social- och hälsovården.
De kunduppgifter som producerats inom social- och hälsovården och de uppgifter om välbefinnande som kunden själv producerar ska kunna användas så effektivt som möjligt av de yrkesutbildade personerna inom social- och hälsovården. I fråga om kunduppgifterna beaktar lagförslaget dataskyddet för känsliga kunduppgifter och kraven på informationssäkerheten. I och med lagen främjas informationsutbytet mellan kunden och de yrkesutbildade personerna inom social- och hälsovården samt kundens möjligheter att få information om behandlingen av sina kunduppgifter.
2 §.Tillämpningsområde. I paragrafen föreslås bestämmelser om lagens tillämpningsområde. Enligt paragrafen ska lagen tillämpas på den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och av de uppgifter som kunden själv producerar om sitt välbefinnande. Lagen ska tillämpas när en offentlig eller privat tillhandahållare ordnar eller producerar social- och hälsovård.
Med elektronisk behandling av kunduppgifter avses att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda, avföra och förstöra kunduppgifter elektroniskt samt att vidta andra åtgärder som gäller kunduppgifter.
Med uppgifter om välbefinnande avses de uppgifter som en person producerar själv om sitt välbefinnande samt de uppgifter som registreras i datalagret för egna uppgifter. En person ska i syfte att främja välbefinnandet ha möjlighet att registrera och använda uppgifterna om välbefinnande utan att vara i kontakt med ett servicesystem inom social- och hälsovården.
3 §.Definitioner. I paragrafen definieras de centrala begrepp som används i lagen.
I 1 punkten definieras begreppet kund. Med kund avses en sådan klient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen. Det är ändamålsenligt att använda bara en term för de personer som använder antingen socialvårdstjänster eller hälso- och sjukvårdstjänster eller bägge, eller tjänster som produceras av socialvården och hälso- och sjukvården gemensamt. Om lagens bestämmelser tillämpas endast på hälso- och sjukvården ska termen patient användas, vilket avser endast en patient som avses i patientlagen.
I 2 punkten definieras begreppet kundhandling. Inom socialvården avses enligt klientlagen och klientuppgiftslagen (lagen om klienthandlingar inom socialvården, 254/2015) med klienthandling en handling enligt 5 § 1 och 2 mom. i offentlighetslagen (lagen om offentlighet i myndigheternas verksamhet, 621/1999), som innehåller klientuppgifter om en klient eller någon annan enskild. På motsvarande sätt avses enligt 2 § 5 punkten i patientlagen med journalhandling inom hälso- och sjukvården handlingar eller tekniska dokument som används, uppgörs eller inkommer i samband med att en patient får vård eller vården ordnas och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga uppgifter. Enligt 2 § i förordningen om journalhandlingar innefattar journalhandlingarna patientjournalen och därtill hörande patientuppgifter och handlingar, samt uppgifter eller handlingar som gäller medicinsk undersökning av dödsorsak, liksom även andra uppgifter och handlingar som uppkommit i samband med att en patients vård ordnas och genomförs eller som erhållits någon annanstans ifrån. I denna lag avser kundhandling enligt 2 punkten både en klienthandling som avses i klientlagen och klienthandlingslagen inom socialvården och en journalhandling som avses i patientlagen och förordningen om journalhandlingar.
Enligt 3 punkten avses med kunduppgift en personuppgift som avses i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, som gäller en patient och som ingår i en i patientlagen avsedd journalhandling inom hälso- och sjukvården och i en i klientlagen eller klienthandlingslagen avsedd klienthandling inom socialvården.
Enligt 12 § i patientlagen avses med klientuppgifter sådana uppgifter för ordnande, planerande, tillhandahållande och uppföljande av vården av en patient vilka antecknas i journalhandlingar av en yrkesutbildad person inom hälso- och sjukvården och sådana personuppgifter som ingår i en journalhandling som avses i förordningen om journalhandlingar samt sådana i 3 § 6 punkten i klientuppgiftslagen avsedda personuppgifter inom socialvården som har antecknats eller som enligt klientuppgiftslagen ska antecknas i en klienthandling inom socialvården.
Enligt paragrafens 4 punkt avses i enlighet med den gällande lagen med servicehändelse ordnandet eller genomförandet av en enskild tjänst mellan en tillhandahållare av hälso- och sjukvårdstjänster och en patient. Termen servicehändelse enligt definitionen ska användas i de bestämmelser i denna lag som ska tillämpas på hälso- och sjukvård. En servicehändelse kan till exempel vara ett enskilt besök inom öppenvården eller den specialiserade sjukvården samt de undersökningar och åtgärder och den kommunikation som tidsmässigt och innehållsmässigt anknyter till besöket. En servicehändelse kan också vara en vårdperiod på en institution och de åtgärder, undersökningar och konsultationer som anknyter till den. Dessutom kan en servicehändelse vara till exempel ett ärende som sköts elektroniskt eller en telefonkontakt.
Enligt 5 punkten avses med serviceuppgift ett uppgiftsområde inom socialvården där man behandlar klientuppgifter. Institutet för hälsa och välfärd har med stöd av 22 § i klienthandlingslagen inom socialvården meddelat en föreskrift om serviceuppgifterna inom socialvården. Serviceuppgifterna inom socialvården består av basservice för barnfamiljer, basservice för den arbetsföra befolkningen, basservice för den äldre befolkningen, familjerättsliga tjänster, barnskydd, funktionshinderservice och missbrukarvård. En serviceuppgift består av ett urval serviceuppgifter som är avsedda för en viss klientgrupp. Vissa tjänster inom socialvården kan ingå i flera serviceuppgifter.
I paragrafens 6 punkt definieras informationssystem. Definitionen baserar sig på den definition av informationssystem som finns i 3 § i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011), nedan informationsförvaltningslagen. Definitionen har dock kompletterats så att det med informationssystem i den föreslagna lagen avses sådana dataprogram och informationshanteringssystem för behandling av klientuppgifter som är avsedda uttryckligen för användningen av den serviceproduktion som riktar sig till kunderna inom social- och hälsovården. Enligt den definitionen består de informationssystem som avses i bestämmelserna av till exempel patientdatasystem och av de program som används i de laboratorie- och röntgensystem där patientuppgifter behandlas. De dataprogram som styr anordningars funktioner och som inte behandlar kunduppgifter hör däremot inte till de informationssystem som avses i lagen. Inte heller allmänna program såsom textbehandlings- eller kalkylprogram eller program för personal- eller ekonomiförvaltning hör till de informationssystem som avses i lagen. De informationssystem som avses i lagen omfattar även de förmedlingstjänster som används för att förmedla kunduppgifterna inom social- och hälsovården till de i lagen avsedda riksomfattande informationssystemtjänster som Folkpensionsanstalten ska upprätthålla. Med informationssystem avses dessutom de applikationer som används av yrkesutbildade personer inom social- och hälsovården för att se uppgifter om välbefinnande.
I paragrafens 7 punkt avses med informationssystemets miljö den tekniska, organisatoriska och fysiska miljö där en eller flera tjänstetillhandahållare använder ett informationssystem eller en informationssystemtjänst vid produktionen av social- och hälsovårdstjänster och behandlingen av kunduppgifter.
I paragrafens 8 punkt avses med tjänstetillhandahållare i denna lag anordnare eller producenter både av socialtjänster och av hälsotjänster.
I lagstiftningen om hälsovård avses enligt 2 § 4 punkten i patientlagen med tjänstetillhandahållare en verksamhetsenhet inom hälso- och sjukvården. Enligt 7 § 2 punkten i lagen om företagshälsovård (1383/2001) avses med tillhandahållare en arbetsgivare eller en yrkesutbildad person inom hälso- och sjukvården som är självständig yrkesutövare.
I lagstiftningen om socialvården avses enligt 3 § 2 punkten i klienthandlingslagen med tillhandahållare en myndighet som ordnar, producerar eller lämnar socialvård eller socialservice, eller en sådan serviceproducent som avses i lagen om privat socialservice (922/2011).
Enligt definitioner i övrig lagstiftning hör även bland annat hälso- och sjukvården inom försvarsmakten och hälso- och sjukvården för fångar till de instanser eller personer som producerar social- och hälsovård.
I paragrafens 9 punkt avses med tjänsteanordnare en tjänstetillhandahållare som i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som han eller hon har rätt till enligt lag eller ett myndighetsbeslut. Med tjänsteanordnare avses dessutom en privat tjänsteproducent som är skyldig att se till att kunden får sådana tjänster som han eller hon har rätt till enligt ett avtal eller konsumentskyddsbestämmelserna.
I paragrafens 10 punkt avses med tjänsteproducent en tjänstetillhandahållare som i egenskap av tjänsteanordnare producerar själv eller på basis av ett avtal med tjänsteanordnaren socialtjänster och/eller hälsotjänster.
I paragrafens 11 punkt definieras bedömningsorganet för informationssäkerhet. Enligt bestämmelsen avses med bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som Transport- och kommunikationsverket med stöd av lagen om bedömningsorgan för informationssäkerhet (1405/2011) har godkänt att utföra bedömningar av överensstämmelse med kraven i fråga om informationssystem. De allmänna förutsättningarna för godkännande av ett bedömningsorgan för informationssäkerhet anges i 5 § i ovannämnda lag. Bedömningsorganet ska dessutom ha god sakkunskap om de krav på informationssystem inom social- och hälsovård som det föreskrivs om i 33 § i lagförslaget. Bedömningsorganet för informationssäkerhet har till uppgift att kontrollera om det informationssystem som ska anslutas direkt till Folkpensionsanstaltens riksomfattande informationssystemtjänster uppfyller informationssäkerhetskraven och de väsentliga kraven för dataskydd.
Bedömningsorganet för informationssäkerhet kan vara ett privat företag eller en myndighet. För att kunna bli ett bedömningsorgan för informationssäkerhet måste det lämnas en särskild ansökan, och om organet uppfyller kraven enligt lagen om bedömningsorgan för informationssäkerhet och kunduppgiftslagen ska detta påvisas genom det förfarande som avses i 5 § i lagen om bedömningsorgan för informationssäkerhet. I praktiken betyder detta att Mätteknikcentralens nationella ackrediteringsenhet (Finnish Accreditation Service, FINAS) har konstaterat att bedömningsorganets kompetens är tillräcklig enligt vad som föreskrivs i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). Efter detta kan Kommunikationsverket utse bedömningsorganet för uppdraget enligt vad som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.
I paragrafens 12 punkt definieras informationssystems interoperabilitet. Med interoperabilitet avses i den föreslagna lagen två eller flera informationssystems förmåga att utbyta information och att använda sådan information. Definitionen motsvarar den definition i 3 § 4 punkten i informationsförvaltningslagen enligt vilken informationssystems interoperabilitet avser informationssystemens tekniska interoperabilitet med övriga myndigheters informationssystem när systemen utnyttjar samma information.
I paragrafens 13 punkt definieras begreppet uppgifter om välbefinnande. Med uppgifter om välbefinnande avses de uppgifter om en persons hälsa och välbefinnande som personen registrerar själv, som inte ingår i kunduppgifterna och som personen själv för in i det datalager för egna uppgifter som nämns i 14 punkten. Dessa uppgifter om välbefinnande kan till exempel bestå av olika uppföljnings-, mätnings-, tränings-, bedömnings- eller planeringsuppgifter som gäller välbefinnandet eller hälsan.
I paragrafens 14 punkt definieras begreppet datalager för egna uppgifter. Med datalager för egna uppgifter avses ett inom de riksomfattande informationssystemtjänsterna inrättat riksomfattande elektroniskt datalager för bevaring av sådana uppgifter om hälsa och välbefinnande som personen själv producerar. Personen kan se och radera de uppgifter som han eller hon producerat och om han eller hon så önskar bevilja en yrkesutbildad person inom social- och hälsovården tillstånd att behandla uppgifterna.
I paragrafens 15 punkt definieras välbefinnandeapplikation. Med välbefinnandeapplikation avses en applikation som är kopplad till datalagret för egna uppgifter och som används för att behandla uppgifter om välbefinnande eller, med personens tillstånd, kunduppgifter. Med hjälp av applikationen kan en person producera och registrera sina egna uppgifter om välbefinnande i det datalager för egna uppgifter som nämns i 14 punkten.
I paragrafens 16 punkt definieras arkiveringstjänst. Med arkiveringstjänst avses ett datalager där det bevaras kunduppgifter eller andra uppgifter som behövs inom social- och hälsovården. De uppgifter som registreras i arkiveringstjänsten ska aktivt användas vid kundernas tjänsteproduktion. Till arkiveringstjänsten kan man ansluta godkända informationssystem.
I paragrafens 17 punkt definieras informationshanteringstjänst. Med informationshanteringstjänst avses en riksomfattande informationshanteringstjänst för förvaltning av handlingar som gäller kundens viljeyttringar. Dessa handlingar gäller kundens samtycke till utlämnande av uppgifter, eventuella förbud mot utlämnande av uppgifter samt återtagande av samtycke och förbud. Andra viljeyttringar av kunden är bland annat intressebevakningsfullmakt, vårddirektiv eller kundens vilja att donera organ för vården av en annan människa. I informationshanteringstjänsten kan man producera sammandrag av kunduppgifterna så att en tjänstetillhandahållare kan få tillgång till de kunduppgifter som är viktiga med tanke på tjänsten. Den personuppgiftsansvarige för informationshanteringstjänsten är Folkpensionsanstalten.
I paragrafens 18 punkt avses med producent av en informationssystemtjänst en instans som tillhandahåller eller utför en informationssystemtjänst där kunduppgifter eller uppgifter om välbefinnande behandlas. Producenten av informationshanteringstjänsten ska i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvara för de krav som ställs på informationssystemet. Informationssystemet ska ha rätta funktioner med avseende på åtkomständamålet, tillräckliga dataskyddsegenskaper samt kunna anslutas till det informationsutbyte som sker via de riksomfattande informationssystemtjänsterna. Med en producent av en informationssystemtjänst avses även leverantör av välbefinnandeapplikationer när välbefinnandeapplikationen innefattar egenskaper avsedda för tjänstetillhandahållare och behandling av kunduppgifter.
I 19 punkten avses med tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården.
I paragrafens 20 punkt avses med mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar för produktion av informationssystemtjänster eller anslutning till riksomfattande informationssystemtjänster och som i denna roll har möjlighet att se okrypterade kunduppgifter till exempel i samband med underhåll. Mellanhanden ska ansvara för uppfyllandet av de krav som gäller informationssystemets miljö eller den helhetsservice för informationshantering som erbjuds en tjänstetillhandahållare.
Om det på basis av ett avtal är mellanhanden eller producenten av informationssystemtjänsten som ansvarar för uppfyllandet av de krav som gäller tjänstetillhandahållaren, omfattas mellanhanden eller producenten av informationssystemtjänsten av den registreringsskyldighet som avses i 29 § i denna föreslagna lag. När de sköter sina uppgifter omfattas de liksom tjänstetillhandahållaren dessutom av skyldigheten att utarbeta en informationssäkerhetsplan och att uppdatera den. För att en mellanhand ska godkännas krävs det beroende på de tjänster som den sköter att den har fått en fullmakt av tjänstetillhandahållaren eller Folkpensionsanstalten eller en auditering av de väsentliga informationssäkerhetskrav som gäller mellanhandens verksamhet. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de förfaranden som ska tillämpas vid registrering och vid godkännande av mellanhänder.
I paragrafens 21 punkt avses med certifiering förfarandet för att verifiera att ett informationssystem uppfyller de väsentliga krav som ställs på det för att det ska få användas för produktion. Verifieringen sker genom testning av interoperabiliteten och bedömning av informationssäkerheten. Definitionen omfattar dock inte den certifiering som avses i artikel 42 i EU:s allmänna dataskyddsförordning. Den certifiering som definitionen avser omfattar inte heller sådan bedömning av medicintekniska produkters överenskommelse med kraven som utförs i enlighet medföreskrifterna om medicintekniska produkter (bl.a. direktiv 93/42/EEG; EGTL 1993, L 169; direktiv 2007/47/EG; EGTL 2007, L 247), eftersom de väsentliga kraven främst gäller de krav som uppfylls genom de nationella informationssystemtjänsterna enligt denna lag. I denna lag är det inte fråga om den bedömning och klassificering av produkter i förhållande till föreskrifterna om medicintekniska produkter som tillverkarna av medicintekniska produkter ska utföra med stöd av övriga bestämmelser.
2 kap. Personuppgiftsansvar i fråga om riksomfattande informationssystemtjänster
4 §.Personuppgiftsansvarig i fråga om de riksomfattande informationssystemtjänsterna. Med personuppgiftsansvarig avses i EU:s dataskyddsförordning en fysisk eller juridisk person, en myndighet eller institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten och medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I artikel 25 i dataskyddsförordningen föreskrivs det om den personuppgiftsansvariges ansvar vad gäller skyddet för personuppgifterna. Enligt den ska den personuppgiftsansvarige effektivt vidta de skyddsåtgärder i samband med behandling av personuppgifter som behövs för att behandlingen ska överensstämma med kraven i dataskyddsförordningen och de registrerades rättigheter skyddas. Sådana skyddsåtgärder är till exempel lämpliga tekniska och organisatoriska åtgärder. Den föreslagna paragrafen motsvarar dataskyddsförordningen. Paragrafändringen förändrar inte rådande rättsläge och praxis.
I paragrafens 1 mom. föreskrivs det att Folkpensionsanstalten är personuppgiftsansvarig. Folkpensionsanstalten ska vara personuppgiftsansvarig för den informationssystemtjänst och det datalager för egna uppgifter som hör till de riksomfattande informationssystemtjänsterna. Bestämmelser om informationshanteringstjänsten föreslås i 11 § och bestämmelser om datalagret för egna uppgifter föreslås i 12 §. Det föreslås också att Folkpensionsanstalten ska vara personuppgiftsansvarig för förvaringstjänsten för de riksomfattande informationssystemtjänsternas utlämningsloggregister och för åtkomstloggarna i anslutning till dess egen verksamhet.
De handlingar som registreras i informationshanteringstjänsten handlar om information, förbud, samtycke och andra viljeyttringar som gäller personens riksomfattande informationssystemtjänster, och dessa ska kunna överföras från Omakanta och från tjänstetillhandahållarna inom social- och hälsovården i enlighet med kundens viljeyttringar. Handlingarnas åtkomständamål gäller kundens tjänster och vård samt hanteringen av utlämnandet av kunduppgifterna. Folkpensionsanstalten ska på begäran kunna lämna tjänstetillhandahållaren inom social- och hälsovården de handlingar som gäller hanteringen av utlämnande av uppgifter samt logguppgifterna i anslutning till dem så att man kan utreda om uppgifterna har behandlats på rätt sätt. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret.
Folkpensionsanstalten är personuppgiftsansvarig för datalagret för egna uppgifter på så sätt att uppgifterna om användningen av datalagret för egna uppgifter omfattas av FPA:s personuppgiftsansvar, till exempel uppgifterna om användarna av datalagret för egna uppgifter och om samtycke som getts för utlämnande av uppgifter om välbefinnande samt logguppgifterna om användningen och utlämnandet av uppgifterna om välbefinnande. Tillverkarna av de applikationer och anordningar som är kopplade till datalagret för egna uppgifter ska i enlighet med 7 kap. i lagförslaget ansvara för att applikationerna fungerar på rätt sätt. Den person som använder datalagret för egna uppgifter får själv välja vilka applikationer och anordningar han eller hon använder och vilka uppgifter som ska registreras i datalagret för egna uppgifter. Personen kan också radera sina uppgifter ur datalagret för egna uppgifter. Folkpensionsanstalten ska sörja för att tjänsten fungerar tekniskt så att kunduppgifter och uppgifter om välbefinnande inte kan behandlas eller lämnas ut i strid med lagen via tjänsten samt för att logguppgifterna om användningen och utlämnandet av uppgifter registreras i loggregistret.
I paragrafens 2 mom. föreslås det att varje tjänstetillhandahållare inom social- och hälsovården ska vara personuppgiftsansvarig för de åtkomstlogguppgifter som uppstår i den egna verksamheten.
I paragrafens 3 mom. föreskrivs det om Folkpensionsanstaltens och tjänstetillhandahållarnas gemensamma personuppgiftsansvar. Paragrafen förändrar inte de nuvarande förfarandena för registerföringen av utlämningsloggar. Folkpensionsanstalten och alla tillhandahållare av social- och hälsovårdstjänster är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer in social- och hälsovården.
I artikel 26.1 i EU:s dataskyddsförordning föreskrivs det om det gemensamma personuppgiftsansvaret enligt följande: Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
Folkpensionsanstalten ska ansvara för de skyldigheter för den personuppgiftsansvarige som anges i 6 och 13 § och vara den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Tillhandahållarna av social- och hälsovårdstjänster ska ansvara för de andra skyldigheterna för personuppgiftsansvariga.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten och den självständiga yrkesutbildade person inom hälso- och sjukvården som förskriver ett läkemedel ska vara gemensamt personuppgiftsansvariga för åtkomstloggarna i gränssnittet för professionellt bruk. Gränssnittet för professionellt bruk är avsett för läkarnas tillfälliga bruk och erbjuder läkare möjligheten att beroende på deras rättigheter skriva ut läkemedelsrecept för annat än för professionellt bruk. Eftersom de som använder gränssnittet inte är självständiga yrkesutövare, tjänsteproducenter eller tjänstetillhandahållare, kan de inte ansvara för alla de skyldigheter som gäller den personuppgiftsansvarige. Folkpensionsanstalten är den som verkställer gränssnittet för professionellt bruk, så det är motiverat att båda bär sitt ansvar för de uppgifter som hör till den personuppgiftsansvarige. Den som använder gränssnittet ska ansvara för att de uppgifter som den antecknar är korrekta.
I paragrafens 5 mom. hänvisas det till receptcentret som personuppgiftsansvarig. I lagen om elektroniska recept är avsikten att ändra 14 § så att den motsvarar det gemensamma personuppgiftsansvaret i EU:s dataskyddsförordning.
5 §.Tjänsteproducenters ansvar när de handlar för serviceanordnares räkning. I EU:s dataskyddsförordning föreskrivs det om den personuppgiftsansvariges skyldigheter. Det nationella handlingsutrymme som dataskyddsförordningen medger gör det möjligt att utöka den personuppgiftsansvariges skyldigheter så att de omfattar sådana situationer som de inte direkt med stöd av förordningen skulle tillämpas på. Eftersom dataskyddsförordningen är direkt tillämplig lagstiftning, ska den nationella speciallagstiftningen avgränsas till det nationella handlingsutrymme som förordningen medger. I nationell speciallagstiftning ska med andra ord inte föreskrivas om andra skyldigheter för den personuppgiftsansvarige. Enligt dataskyddsförordningen kan i den nationella lagstiftningen dock fastställas ansvarsområden för den personuppgiftsansvarige.
I denna paragraf föreskrivs om den personuppgiftsansvariges ansvar när tjänster inom social- och hälsovård produceras för serviceanordnares räkning. Tjänsteproducenten är då enligt artikel 28 i dataskyddsförordningen den som behandlar personuppgifter, medan serviceanordnaren är den personuppgiftsansvarige. I artikel 28 i dataskyddsförordningen förutsätts det att den behandling som den som behandlar personuppgifter sköter ska fastställas genom avtal eller genom en annan rättsakt som är bindande. I artikeln anges det innehåll som det ska bestämmas om i handlingen. Den föreslagna lagen är en sådan rättsakt som avses i dataskyddsförordningen. Med stöd av artikel 29 i dataskyddsförordningen åläggs den som behandlar personuppgifter dessutom sådana skyldigheter i fråga om behandling av uppgifter som avviker från artikel 28.
När tjänster inom social- och hälsovård produceras för serviceanordnares räkning, ska tjänsteproducenten enligt 1 mom. 1 punkten ansvara för anteckningen och registreringen av kunduppgifterna för serviceanordnarens räkning och för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen (2 punkten). Bestämmelserna utfärdas med stöd av artikel 28.3 (a) i dataskyddsförordningen. Enligt den punkten ska det i en rättsakt föreskrivas att den som behandlar personuppgifter endast får behandla personuppgifter i enlighet med de dokumenterade anvisningar som ges av den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen.
Enligt 1 mom. 3 punkten ska tjänsteproducenten ansvara för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen. Bestämmelsen utfärdas med stöd av artikel 28.3 (a) och artikel 32.4 i dataskyddsförordningen. Enligt den sistnämnda bestämmelsen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, om inte något annat föreskrivs i lagstiftningen. Bestämmelsen begränsar inte det ansvar som den som behandlar personuppgifter har enligt dataskyddsförordningen, utan genom den åläggs en särskild skyldighet att övervaka behandlingen av uppgifterna i den egna organisationen.
Tjänsteproducenten ansvarar enligt 1 mom. 4 punkten för att kundhandlingarna i original lämnas till serviceanordnaren på så sätt som överenskommits, men de ska dock lämnas utan dröjsmål efter det att kundförhållandet har avslutats. Enligt artikel 28.3 (g) i dataskyddsförordningen kan den personuppgiftsansvarige välja att antingen radera eller återlämna uppgifterna efter att tillhandahållandet av tjänsterna har avslutats, förutom då när det i lagstiftningen krävs att personuppgifterna ska bevaras. Bestämmelser om bevaring av uppgifter inom social- och hälsovården finns bland annat i klienthandlingslagen inom socialvården och i förordningen om journalhandlingar. Därmed ska serviceanordnaren bevara uppgifterna den tid som lagen kräver, och en serviceanordnare kan inte bestämma att de ska raderas.
Enligt 1 mom. 5 punkten ansvarar tjänsteproducenten för tillgodoseendet av de rättigheter hos kunden som det föreskrivs om i dataskyddsförordningen och i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Enligt artikel 28 i dataskyddsförordningen kan den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att hjälpa den personuppgiftsansvarige att tillgodose den registrerades rättigheter. Med tanke på en smidig verksamhet vore det ändamålsenligt att tjänsteproducenten skulle ansvara för tillgodoseendet av de registrerades rättigheter inom de tjänster som denne tillhandahåller för den personuppgiftsansvariges räkning. Vid behov kan det avtalas närmare om ansvaret aktörerna emellan genom ett avtal mellan serviceanordnaren och den som behandlar personuppgifter. I sista hand ska det dock ur ett dataskyddsperspektiv vara den personuppgiftsansvarige som ska ansvara för tillgodoseendet av den registrerades rättigheter, även om det skulle ha avtalats något annat om det avtalsrättsliga ansvaret.
I paragrafens 2 mom. föreskrivs det att skyldigheterna enligt 4 och 5 punkten ska kompletteras till behövliga delar genom avtal mellan tjänsteproducenten och tjänsteanordnaren. Genom avtal avtalas det även om annat sådant som avses i artikel 28 i dataskyddsförordningen. Genom ett sådant ovannämnt avtal ska åtminstone fastställas närmare det objekt för behandlingen som avses i artikel 28.2 och som avser grupperna av registrerade, dvs. de kundgrupper som tillhandahålls tjänster av den som behandlar personuppgifter, samt behandlingstiden. Genom avtal ska även fastställas en del av det som avses i artikel 28.3, men dessa frågor förblir öppna i lagförslaget. Dessa gäller till exempel de i 28.3 (d) avsedda förutsättningarna för användning av ett annat personuppgiftsbiträde.
Dessutom ska uppmärksamhet fästas vid att det även föreskrivs om det som avses i artikel 28.3 i övrig lagstiftning. Artikel 28.3 (b) förutsätter att de som behandlar personuppgifter för ett annat personuppgiftsbiträdes räkning omfattas av tystnadsplikt. Inom annan lagstiftning inom social- och hälsovård föreskrivs det heltäckande om tystnadsplikten, till exempel i patientlagen, lagen om yrkesutbildade personer inom hälso- och sjukvården, klientlagen inom socialvården samt offentlighetslagen. I artikel 28.3 (h) förutsätts det att den som behandlar personuppgifter tillåter auditeringar som utförs av den personuppgiftsansvarige eller en revisor som bemyndigats av den personuppgiftsansvarige. Även i denna lag föreskrivs det om auditering av system för kunduppgifter, och skyldigheterna gäller både den personuppgiftsansvarige och den som behandlar personuppgifter.
3 kap. Utförande av riksomfattande informationssystemtjänster inom social- och hälsovården
6 §.De riksomfattande informationssystemtjänsterna inom social- och hälsovården. I paragrafen föreskrivs det om de informationssystemtjänster som ska skötas centraliserat på riksnivå och som innefattar elektronisk behandling av kunduppgifter. Det föreskrivs dessutom om de instanser som ansvarar för skötseln av dessa tjänster.
Med skötsel av riksomfattande informationssystemtjänster avses alla sådana åtgärder som behövs för att verkställa dessa tjänster så att man genom tjänsterna i fråga kan genomföra den elektroniska bevaringen, användningen och överlåtelsen av kunduppgifter på det sätt som avses i denna lag. De riksomfattande informationssystemtjänsterna är således en del av helheten av social- och hälsotjänster.
I egenskap av den som behandlar personuppgifter är det enligt 1 mom. 1 punkten Folkpensionsanstalten som har skött och som fortfarande för tjänstetillhandahållarnas räkning ska sköta den riksomfattande arkiveringstjänst för kunduppgifter där kundhandlingar bevaras och används (1 punkten). De kundhandlingar som ska bevaras i arkiveringstjänsten är således inte Folkpensionsanstaltens register eller handlingar. Personuppgiftsansvaret ska fortfarande bäras av serviceanordnarna, även om det är Folkpensionsanstalten som sköter ovannämnda uppgifter för deras räkning. Folkpensionsanstalten ska fortfarande ansvara för att arkiveringstjänsten tekniskt fungerar så att inga patientuppgifter via den kan lämnas ut i strid med lag och för att en logguppgift om utlämnandet lagras i loggregistret. Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Folkpensionsanstalten kan inte ge en utomstående instans i uppdrag att bevara uppgifterna, och uppgifterna får inte flyttas ut från Finland. Folkpensionsanstalten får inte heller ge utomstående i uppdrag att behandla eller bevara de i 4 § avsedda register som hänför sig till de riksomfattande informationssystemtjänsterna eller de loggregister som gäller dem. Folkpensionsanstalten kan dock använda underleverantörer eller leverantörer vid produktionen och underhållet av tjänsterna.
Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet.
Folkpensionsanstalten ska också sköta förvaringstjänsten för loggregister (2 punkten). I förvaringstjänsten för loggregister registreras åtkomstlogguppgifter och åtkomstloggarna gällande de riksomfattande informationssystemtjänsterna. I den kan även registreras de åtkomstloggar om användningen av klient- och patientuppgifter som skapas i tjänstetillhandahållarnas verksamhet.
Till de riksomfattande informationssystemtjänsterna hör också gränssnittet för professionellt bruk, dvs. den s.k. Kelain-tjänsten (3 punkten) och medborgargränssnittet (4 punkten). Med hjälp av gränssnittet för professionellt bruk kan läkare skriva ut recept elektroniskt när de utövar sitt yrke som självständiga yrkesutövare utan att vara tjänstetillhandahållare. Med hjälp av medborgargränssnittet kan medborgarna se de kund- och patientuppgifter samt uppgifter om välbefinnande som gäller dem själva. Att sköta ärenden för någon annans räkning ska förutom på basis av vårdnaden även vara möjligt med stöd av fullmakt, vilket gör det möjligt att sköta ärenden för en myndig persons räkning. Via gränssnittet kan man även ge sitt samtycke och meddela förbud samt sköta ärenden med tjänstetillhandahållare inom social- och hälsovård. I framtiden kommer det att vara möjligt att se och hantera uppgifterna om välbefinnande genom medborgargränssnittet.
Det föreslås att datalagret för medborgares egna uppgifter fogas till de riksomfattande informationssystemtjänsterna (5 punkten). Datalagret för egna uppgifter är ett datalager där en person kan skapa och förvalta över sina egna uppgifter till exempel med hjälp av välbefinnandeapplikationer. De välbefinnandeapplikationer som ansluts till produktionsmiljön för datalagret för egna uppgifter ska uppfylla de kriterier som ställts för anslutningen samt med godkänt resultat fullgöra de förfaranden för godkännande som krävs. Kriterierna och förfarandena för godkännandet fastställs av Institutet för hälsa och välfärd. För datalagret för egna uppgifter fastställs en nationell informationsmodell i vilken applikationsutvecklarna kan ge förslag till utökningar som ska godkännas i enlighet med processen för godkännande av en informationsmodell. Välbefinnandeapplikationerna för datalagret för egna uppgifter kan genomföras på många olika sätt och de kan vara antingen www-baserade eller mobilapplikationer. Alla de välbefinnandeapplikationer som kopplas till de riksomfattande informationssystemtjänsterna ska samlas i en applikationskatalog som ska upprätthållas av Folkpensionsanstalten och vars uppgift är att informera medborgarna om vilka applikationer som de kan ta i bruk. Applikationerna kan användas i medborgarens egen mobil eller via webbläsaren som en nättjänst.
Utöver den informationshanteringstjänst (6 punkten) och den förfrågnings- och förmedlingstjänst (9 punkten) som nämns i lagförslaget innefattar arkiveringstjänsterna alla de behövliga lagrings-, registrerings- och informationsförmedlingstjänster och övriga datatekniska lösningar och uppgifter med vilka bevarandet, användningen och överlåtelsen av patientuppgifter och jourhandlingar kan utföras elektroniskt. Med hjälp av förfrågnings- och förmedlingstjänsten kan aktörerna inom social- och hälsovården förmedla intyg, utlåtanden och andra motsvarande handlingar med bilagor till en tredje part.
Till de riksomfattande informationssystemtjänsterna hör dessutom receptcentret (7 punkten) och läkemedelsdatabasen (8 punkten). Kundens recept ska lagras centraliserat i receptcentret.
Dessutom förutsätter utförandet av de riksomfattande informationssystemtjänsterna andra riksomfattande tjänster. De övriga riksomfattande tjänsterna är i enlighet med paragrafens 2 mom. kodtjänsten (1 punkten) och roll- och attributtjänsten (2 punkten).
Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) ska enligt 3 mom. upprätthålla de riksomfattande tjänsterna roll- och attributtjänsten, koderna och centralregistret för yrkesutbildade personer inom social- och hälsovård. Roll- och attributtjänsten baserar sig på uppgifterna i centralregistret för yrkesutbildade personer inom social- och hälsovård. Koderna ska fortfarande användas för att i strukturerad form framföra uppgifter i anslutning till yrkesrättigheter inom social- och hälsovård och deras giltighetstider och begränsningar.
Enligt 2 mom. ska Institutet för hälsa och välfärd ansvara för alla de datastrukturinnehåll som ska upprätthållas via den nationella kodtjänsten inom social- och hälsovården. Folkpensionsanstalten ska fortfarande ansvara för det datatekniska genomförandet av kodservern (CodeServer). Via den nationella kodtjänsten inom social- och hälsovården tillhandahålls sådana datastrukturer som kan utnyttjas i verksamheten och informationssystemen inom social- och hälsovården, till exempel nomenklaturer, klassificeringar, organisationskategorier och bedömningsmätare samt olika datainnehåll. Genom kodtjänsten upprätthålls bland annat åtgärdsklassificeringar, åtgärdsklassificeringar för mun- och tandvården, klassificeringar för radiologiska undersökningar och åtgärder samt nomenklaturer för laboratorieundersökningar, och dessutom motsvarande klassificeringar för strukturerna för socialvårdens klientuppgifter. Även den nationella uppdateringen av klassificeringarna sker i kodtjänsten.
Strukturerna för handlingarna inom socialvården ska hanteras och delas via ett separat redigeringsprogram. Redigeringsprogrammet utvecklas och uppdateras för närvarande av Institutet för hälsa och välfärd. Upprätthållandet och utvecklandet av strukturerna för klienthandlingarna inom socialvården ska vara en del av kodtjänstverksamheten. Dessutom ska varje tjänstetillhandahållare som har anslutit sig till de riksomfattande informationssystemtjänsterna kunna identifieras med hjälp av kodtjänsten.
Enligt 3 mom. ska den myndighet som sköter certifikattjänsten för social- och hälsovården vara Befolkningsregistercentralen. Befolkningsregistercentralen är i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) avsedd certifikatutfärdare för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Beviljandet och återkallandet av yrkescertifikaten inom social- och hälsovården ska vara kopplade till giltighetstiden för den yrkesutbildade personens rätt att utöva yrket. Yrkesutbildade personer inom social- och hälsovården ska vara skyldiga att lämna tillbaka certifikatkortet om certifikatet är återkallat. Om personen har förlorat sin rätt att utöva yrke, ska Befolkningsregistercentralen återkalla certifikaten efter att denna erhållit uppgifterna från Tillstånds- och tillsynsverket för social- och hälsovården, men certifikatkorten blir i praktiken kvar hos innehavarna.
Befolkningsregistercentralen har för skötseln av de uppgifter som nämns i 3 mom. rätt att från de centrala register över yrkesutbildad personal inom hälso- och sjukvården (Terhikki-registret) och socialvården (Suosikki-registret) erhålla sådana uppgifter som behövs vid produktionen av certifikattjänsterna. Befolkningsregistercentralens rätt att erhålla uppgifter gäller de uppgifter i centralregistret över yrkesutbildade personer inom social- och hälsovården som gäller utfärdande och återkallande av certifikat, själva certifikaten, det tekniska underlaget för certifikat och sändande av certifikat. Uppgifterna innefattar bland annat person- och adressuppgifter om yrkesutbildade personer inom social- och hälsovården och uppgifter om beviljande och förlorande av rätt att utöva yrke eller av skyddad yrkesbeteckning inklusive giltighetstider samt registreringsnummer och de identifieringskoder som krävs för att föreskriva läkemedel. Befolkningsregistercentralens rätt att erhålla information är begränsad och gäller inte grunderna för förlorande av rätt att utöva yrke eller begränsningarna av rätt att utöva yrke eller grunderna för denna rätt. Uppgifter får lämnas ut via en informationssäker teknisk anslutning.
I paragrafens 4 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att av Befolkningsregistercentralen få uppgifter om de certifikat som beviljats för användningen eller skötseln av de nationella informationssystemtjänsterna inom hälso- och sjukvården så att verket kan styra och övervaka den hälso- och sjukvård som hör till dess ansvarsområde samt funktionerna i hälso- och sjukvårdssystemen.
7 §.Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs om de riksomfattande informationssystemtjänster som tjänstetillhandahållaren ska ansluta sig till. Anslutningsskyldigheten gäller den riksomfattande arkiveringstjänsten för kunduppgifter, informationshanteringstjänsten och receptcentret. När tjänstetillhandahållaren ansluter sig tar denne i bruk de tjänster och funktioner där handlingar ska förvaras och via vilka tillhandahållaren har rätt att använda kunduppgifterna och uppgifterna om välbefinnande.
I paragrafens 2 mom. föreskrivs det om anslutningsskyldigheten hos tjänstetillhandahållarna inom den privata social- och hälsovården. I regel har tjänstetillhandahållarna inom både den offentliga och den privata social- och hälsovården en absolut anslutningsskyldighet. Genom en omfattande anslutningsskyldighet kan man skapa en heltäckande klientuppgiftssystemhelhet som ger klienten tillgång till uppgifter varhelst och närhelst klienten behöver uträtta ett ärende. På så sätt säkerställs dessutom den riksomfattande interoperabiliteten hos tjänstetillhandahållarnas informationssystem samt möjligheterna att utveckla systemet i fortsättningen.
I paragrafens 2 mom. föreskrivs om undantag från skyldigheten att ansluta sig som användare av riksomfattande informationssystemtjänster. Undantaget gäller de privata yrkesutövarna eller de små tjänsteproducenter som inte har tillgång till ett sådant system för patient- eller klientuppgifter som kan anslutas till de riksomfattande informationssystemtjänsterna.
Även tjänstetillhandahållare inom den offentliga social- och hälsovården i landskapet Åland ska få ansluta sig som användare av riksomfattande informationssystemtjänster. Bestämmelserna om denna överföring av riksförvaltningens uppgifter ska dock utfärdas separat på det sätt som föreskrivs i 32 § i självstyrelselagen för Åland (1144/1991). Om en tjänstetillhandahållare inom den offentliga social- och hälsovården i landskapet Åland vill ansluta sig som användare av informationssystemtjänsterna, ska denne iaktta bestämmelserna i denna lag vid användningen av tjänsterna.
8 §.Handlingar som ska sparas i den riksomfattande arkiveringstjänsten. Om det är möjligt att specificera och identifiera den ursprungliga handling som innehåller kundinformationen, behövs det enligt 1 mom. endast ett original av den elektroniska handlingen med kundinformation som specificeras med en identifikation. De ursprungliga originalen av kundhandlingarna ska förvaras i den riksomfattande arkiveringstjänsten. Den viktigaste identifieringsbeteckning som används i nuläget är organisationernas identifieringsklassificering, nämligen OID-koden enligt ISO-standarden. För att verkställa tjänsten eller av andra motiverade skäl kan det skapas en ny handling eller en kopia av den ursprungliga handlingen av vilken det ska framgå att handlingen är en kopia. Korrigeringar ska alltid göras i den ursprungliga handlingen så att handlingen är otvetydig.
I paragrafens 2 mom. föreskrivs det vilka handlingar som ska förvaras i de riksomfattande informationssystemtjänsterna. Den riksomfattande arkiveringstjänsten ska innehålla alla de färdiga ursprungliga kundhandlingar som har uppkommit efter att tjänstetillhandahållarna har anslutit sig till tjänsterna. De handlingar som har uppkommit före anslutningen till de riksomfattande informationssystemtjänsterna kan förvaras i den riksomfattande arkiveringstjänsten. Det ska även vara möjligt att förvara andra handlingar än de egentliga kundhandlingarna i den riksomfattande arkiveringstjänsten.
I arkiveringstjänsten kan utöver kundhandlingar registreras även bildmaterial och andra handlingar i anslutning till informationshanteringen inom social- och hälsovården samt uppgifter om välbefinnande. Dessa andra handlingar än kund- och klienthandlingar består av handlingar och uppgifter som hänför sig till organisering, styrning, övervakning, verksamhetsbedömning, utveckling och informationshantering inom social- och hälsovården. Andra handlingar som registreras inom social- och hälsovården är till exempel vissa handlingar som skapas inom den prehospitala akutsjukvården. I Finland byggs som ett samarbete mellan flera ministerier och deras inrättningar ett gemensamt fältledningssystem för myndigheterna. Detta informationssystem ska innehålla funktioner för den prehospitala akutsjukvården och socialjouren. I detta informationssystem kan man skapa bland annat skapa en berättelse om den prehospitala akutsjukvården, och eftersom denna är en journalhandling arkiveras den i patientdataarkivet. Med tanke på minimeringen av kostnaderna och överlappande åtgärder är det ändamålsenligt att det gemensamma fältledningssystemet även kan arkivera i den nationella arkiveringstjänsten sådana handlingar inom prehospital akutsjukvård som inte är patientspecifika.
Enligt 3 mom. i paragrafen får bestämmelser om när och i vilken omfattning handlingar senast ska sparas i den riksomfattande arkiveringstjänsten utfärdas genom förordning av social- och hälsovårdsministeriet. I och med detta kan i arkiveringstjänsten i första hand arkiveras sådana handlingar som är viktigast med tanke på de olika funktionerna och informationsutbytet inom social- och hälsovården. På så sätt kan också socialvårdens anslutning till de riksomfattande informationssystemtjänsterna ske stegvis.
Senare då genomförandet av informationssystemtjänsterna har framskridit kan omfattningen av de handlingar som ska lagras i arkivet ökas på ett flexibelt sätt genom att ändra ministeriets förordning parallellt med standardiseringen av datainnehåll och genomförandet av informationssystem.
9 §.Datastrukturerna för informationssystem och kundhandlingar som hänför sig till de riksomfattande informationssystemtjänsterna. I paragrafens 1 mom. föreskrivs det om datastrukturerna för kundhandlingar och kundinformationssystem och om klassificeringen av uppgifter. I paragrafen föreskrivs det om interoperabiliteten hos informationssystemens och kundhandlingarnas datastrukturer. Strukturernas interoperabilitet är en grundförutsättning för att uppgifter ska kunna överlämnas med hjälp av dessa informationssystemtjänster och utnyttjas i de informationssystem som tjänar verksamhetsprocesserna.
Enligt 2 mom. ska de uppgifter som används inom social- och hälsovården kunna avgränsas med hjälp av handlingarnas datastrukturer så att endast sådana uppgifter som behövs för tjänsten i fråga används. Till exempel inom hälso- och sjukvården gäller rätten att få patientuppgifter de personer som deltar i vården av personen i fråga och i uppgifter som gäller denna vård. De får behandla patientuppgifter endast i den omfattning som förutsätts för deras arbetsuppgifter och ansvar. Patientuppgifterna är sekretessbelagda. Verkställandet av integritetsskyddet kan dock i särskilda situationer kräva särskilda skyddsåtgärder. Av den orsaken ska sådana journalhandlingar och patientuppgifter som förutsätter särskilt skydd klassificeras genom en separat begäran om bekräftelse för de patientuppgifter som ska skyddas. Det ska inte vara förbjudet att använda dessa uppgifter om uppgifterna är nödvändiga för vården av patienten. Efter att informationssystemet har tagit emot en begäran om bekräftelse ska dock den som vill använda dessa uppgifter bekräfta att uppgifterna behövs genom en separat bekräftelse. Med dessa uppgifter avses främst uppgifter i sådana journalhandlingar som skapats inom vissa specialområden och av vissa yrkesgrupper, som till exempel psykiatri och psykologi, uppgifter om hud- och könssjukdomar, uppgifter om sexualitet och fertilitet samt uppgifter i fråga om arvsmassa såsom till exempel genetiska uppgifter. Även personalens patientuppgifter kan skyddas på grund av att de kan vara föremål för särskilt intresse.
Genom förordning av social- och hälsovårdsministeriet får det enligt 3 mom. utfärdas närmare bestämmelser om vilka handlingar som ska klassificeras som handlingar som kräver särskilt skydd.
Eftersom Institutet för hälsa och välfärd ansvarar för den praktiska styrningen av den elektroniska informationshanteringen, får det meddela närmare föreskrifter om de väsentliga krav på informationssystem som ska gälla vid genomförandet av de riksomfattande informationssystemtjänsterna. Dessutom fastställer Institutet för hälsa och välfärd informationsinnehållen, begreppsmallarna, verksamhetsprocesserna och datastrukturerna för interoperabiliteten samt de riksomfattande koder som ska användas. För att användningen, överlåtelserna och hanteringen av kundhandlingarna ska kunna verkställas så att kundens dataskydd och uppgifternas interoperabilitet beaktas i tillräcklig grad, måste det finnas tillräckligt detaljerade föreskrifter om uppgifternas klassificering och datastrukturer. Genom enhetliga datastrukturer och uppgiftsklassificeringar kan man säkerställa att man vid de överlåtelser av uppgifter som sker elektroniskt faktiskt överlåter de uppgifter som man avser överlåta och att man inte samtidigt överlåter onödiga uppgifter. När tjänstetillhandahållarna får interoperabla datastrukturer och en enhetlig klassificering av uppgifterna för sina informationssystem möjliggör det ett enhetligt riksomfattande system för överlåtelse och arkivering av uppgifter som kan användas för att överlåta uppgifter elektroniskt till andra tjänstetillhandahållare.
För att Institutet för hälsa och välfärd ska kunna utföra dess uppgifter, särskilt beredningen av föreskrifterna, krävs det att institutet samarbetar aktivt med de instanser som deltar i genomförandet, användningen och standardiseringen av informationssystemtjänsterna.
10 §.Elektronisk underskrift av handlingar. I paragrafens 1 mom. föreskrivs det att handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas med en elektronisk underskrift vid elektronisk behandling, överföring och bevarande av uppgifter.
Enligt paragrafens 2 mom. ska det vid en elektronisk underskrift som görs av en fysisk person användas en sådan avancerad elektronisk underskrift som det föreskrivs om i lagen om stark autentisering och betrodda elektroniska tjänster. Lagen baserar sig på Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen). Tjänster inom elektronisk identifiering och elektroniska signaturer ger medborgarna en möjlighet att använda elektroniska tjänster.
Enligt förordningen avses med stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig eller tillitsnivån hög enligt eIDAS-förordningen. Genom förordningen upprättades ett system för interoperabilitet i elektronisk identifiering med syftet att i framtiden göra det möjligt att med elektroniska identifieringsverktyg som beviljats i en medlemsstat identifiera sig i en annan medlemsstat i sådana offentliga eller privata tjänster som kräver elektronisk identifiering.
Enligt förordningen avses med elektronisk underskrift uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under. En elektronisk underskrift uppstår genom att elektroniska data fogas till varandra på ett sådant sätt att de bildar en unik kombination som gör det möjligt att verifiera undertecknaren. Enkel elektronisk underskrift är ett vitt begrepp. Syftet med enkla elektroniska underskrifter är att identifiera den person som skriver under och att verifiera uppgifter. Det kan röra sig om något så enkelt som att underteckna ett e-postmeddelande med en persons namn, men de egentliga kraven hänför sig till elektroniska underskrifter som görs med godkända anordningar för underskrift baserade på avancerade eller kvalificerade certifikat.
Med avancerad elektronisk underskrift avses en elektronisk underskrift som uppfyller kraven enligt artikel 26 i eIDAS-förordningen. Den elektroniska underskriften ska på ett specificerat sätt vara kopplad till undertecknaren och det ska vara möjligt att med hjälp av den specificera undertecknaren. Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. Den ska dessutom vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas. Lagen om stark autentisering och betrodda elektroniska tjänster kompletterar bestämmelserna om elektronisk underskrift.
Med leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder dem eller ger ut identifieringsverktyg till allmänheten, eller både och. Med certifikat avses ett intyg i elektronisk form som verifierar identiteten eller verifierar identiteten och kopplar ihop autentiseringsuppgifter för en underskrift med en undertecknare och som kan användas vid stark autentisering och elektronisk underskrift. Med certifikatutfärdare avses en fysisk eller juridisk person som tillhandahåller allmänheten certifikat.
11 §.Informationshanteringstjänsten. I paragrafen föreskrivs det om Folkpensionsanstaltens informationshanteringstjänst. I den ska enligt 1 mom. de centrala kunduppgifterna i olika handlingar som gäller kunder samlas in och samordnas och lämnas till yrkesutbildade personer inom social- och hälsovården i sammanställd form. Enligt förslaget får tjänstetillhandahållaren vid ordnande eller produktion av social- eller hälsovård använda de kunduppgifter eller patientuppgifter som finns i informationshanteringstjänsten eller som kan ses via den. Därmed får tjänstetillhandahållarna tillgång till de viktigaste uppgifterna om patienten eller klienten och dennes viljeyttringar via en enda tjänst. Via informationshanteringstjänsten kan klientuppgifter inom socialvården överlåtas för ordnandet och genomförande av socialvård och patientuppgifter inom hälso- och sjukvården överlåtas för genomförande av hälso- och sjukvård. Med kundens samtycke kan klientuppgifter eller patientuppgifter överlåtas mellan socialtjänsterna och hälsotjänsterna.
Via informationshanteringstjänsten kan klienten eller patienten också se sådana uppgifter som är viktiga med tanke på klientens socialvård eller patientens hälso- och sjukvård och andra tjänster i anslutning till vården. En förutsättning för att få visa andra uppgifter än sådana uppgifter som direkt gäller social- och hälsovården är att det föreskrivs särskilt om dessa uppgifter och funktioner i lagstiftningen. Ett exempel på sådana uppgifter och tjänster är det samtycke som hänför sig till biobankverksamheten.
Enligt 2 mom. ska i informationshanteringstjänsten antecknas uppgift om att kunden har getts information (1 punkten), om förbud som en kund har meddelat i fråga om sina kunduppgifter (2 punkten), om en kunds övriga viljeyttringar i anslutning till hälso- och sjukvård eller socialtjänster (3 punkten) och om samtycke som en kund har gett i fråga om sina kunduppgifter (4 punkten).
Bestämmelserna om den information som ska ges till kunden finns i 15 § i den föreslagna lagen och i 4 § i lagen om elektroniska recept. Information som getts tidigare, dvs. s.k. gammal information, ska dock få bevaras och kunna användas vid behov till exempel när man är tvungen att utreda fel.
Enligt propositionen ska kundens förbud registreras i informationshanteringstjänsten. Kunden kan meddela förbud på basis av 17 och 18 § i den föreslagna lagen och 13 § i lagen om elektroniska recept. Man kan bli tvungen att avvika från ett sådant förbud mot utlämnande av uppgifter som en kund har meddelat, om en yrkesutbildad person inom social- eller hälsovården enligt en lagbestämmelse måste lämna ut kunduppgifterna trots förbudet.
Sådana viljeyttringar (3 punkten) som kan registreras i informationshanteringstjänsten är till exempel en persons förbud mot att lösgöra celler, vävnad eller organ för medicinskt bruk efter att personen har avlidit samt personens vårddirektiv. Den föreslagna bestämmelsen betyder dock inte att endast de förbud mot tagande av organ eller de vårddirektiv som har registrerats i informationshanteringstjänsten uttrycker personens vilja. Ett förbud mot tagande av organ eller ett vårddirektiv kan också meddelas på andra sätt, och dessa viljeyttringar är lika giltiga som de förbud eller vårddirektiv som lagrats i informationshanteringstjänsten. Det kan dock vara svårt att bevisa att ett sådant förbud mot tagande av organ eller vårddirektiv existerar i en situation där man måste fatta ett snabbt beslut om att lösgöra ett organ, en vävnad eller celler från en avliden person eller att ge vård till en person som till exempel är medvetslös. Om uppgiften antecknas i informationshanteringstjänsten underlättar det därför i betydande grad genomförandet av till exempel transplantationer eller ordnandet av den vård som patienten behöver.
Bestämmelser om kundens samtycke finns i den föreslagna lagens 19 och 20 § om utlämnande av klient- och patientuppgifter. Det omfattande allmänna samtycke som för närvarande är i bruk inom hälso- och sjukvården slopas i den föreslagna lagen. På basis av samtycke kan klientuppgifter inom socialvården lämnas ut till hälso- och sjukvården och patientuppgifter lämnas ut till socialvården. Bestämmelser om samtycke finns i EU:s allmänna dataskyddsförordning.
Social- och hälsovårdsministeriet får på basis av bemyndigandet i paragrafens 3 mom. utfärda förordning om de centrala uppgifter som ska kunna visas via informationshanteringstjänsten.
12 §.Datalagret för egna uppgifter. I paragrafen föreskrivs det om ett datalager för medborgares egna uppgifter som ska inrättas i samband med de riksomfattande informationssystemtjänsterna för sådana uppgifter om välbefinnande som personen själv producerar och hanterar.
Enligt 1 mom. ska en person med hjälp av välbefinnandeapplikationer eller via medborgargränssnittet själv föra in sina egna uppgifter om välbefinnande i datalagret för egna uppgifter. Personen bestämmer själv hur hans eller hennes uppgifter i datalagret för egna uppgifter ska användas och om de ska avlägsnas. Enligt förslaget ska personen när som helst kunna utplåna, ändra eller avlägsna sina uppgifter i datalagret för egna uppgifter. Om en person avlägsnar uppgifter ut datalagret, försvinner de helt och hållet, med undantag för logguppgifterna i anslutning till användningen av uppgifterna.
I paragrafens 2 mom. föreskrivs det om det samtycke som en person kan ge i fråga om användningen av sina uppgifter om välbefinnande som finns i datalagret för egna uppgifter. För att få behandla de uppgifter om välbefinnande som finns i datalagret för egna uppgifter behövs det ett samtycke av personen i fråga. Enligt propositionen har kunden själv rätt att behandla sina uppgifter om välbefinnande i datalagret utan samtycke. Personens samtycke behövs dock när en yrkesutbildad person inom hälso- och sjukvården eller en välbefinnandeapplikation ska behandla de uppgifter om personens välbefinnande som finns i datalagret. Personen kan ge sitt samtycke till att en tjänstetillhandahållare får utnyttja datalagrets uppgifter om välbefinnande när denna tillhandahåller social- eller hälsotjänster.
Ett sådant samtycke överensstämmer med bestämmelserna om samtycke i artikel 4.1, 4.11 och 7 i EU:s dataskyddsförordning. Folkpensionsanstalten ska i egenskap av administratör och personuppgiftsansvarig för datalagret för egna uppgifter ansvara för det tekniska genomförandet av förfarandet för samtycke.
I ingressen till dataskyddsförordningen är den allmänna regeln den att samtycke alltid bör lämnas genom en entydig bekräftande handling, t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring, som innebär ett medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne. Enligt ingressen ska samtycket ges på ett sätt som tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. I dataskyddsförordningen föreskrivs det dessutom att begäran om samtycke i skriftlig form ska läggas fram i de skriftliga anmälningar som avses i dataskyddsförordningen på ett sätt som klart och tydligt kan särskiljas från de andra frågorna samt i en begriplig och lätt tillgänglig form med användning av klart och tydligt språk. Utöver att samtycket ska vara uttryckligt och otvetydigt måste det ges frivilligt. I dataskyddsförordningen har den personuppgiftsansvarige ålagts bevisbördan för att samtycke finns.
Enligt 2 mom. får tjänstetillhandahållaren behandla sina uppgifter om välbefinnande i datalagret för egna uppgifter i samband med tillhandahållande av social- och hälsotjänster. Detta betyder att en yrkesutbildad person inom social- och hälsovården kan behandla uppgifter om välbefinnande enbart när denna person har en sådan klient- eller vårdrelation med kunden som avses i klient- eller patientlagen. Om en yrkesutbildad person inom social- och hälsovården använder uppgifterna vid tillhandahållande av social- eller hälsotjänster ska personen även ansvara för att de behövliga uppgifter om välbefinnande som påverkar vården eller tjänsten antecknas i klient- eller journalhandlingarna. Dessutom ska uppgifterna i datalagret för egna uppgifter med medborgarens samtycke kunna utnyttjas för forskning.
Exempel på sådana uppgifter om välbefinnande som en person själv kan föra in är blodsocker- och blodtrycksvärden. Hittills har personen vanligtvis antecknat värdena för hand på papper och sedan informerat vårdpersonalen om dem, som för personens vägnar sedan har fört in dem i kunduppgiftssystemet. Även till exempel bilder som har tagits med mobilen eller någon annan digital kamera är uppgifter som kan behövas i vården. Extra arbete undviks då medborgaren själv kan föra in eller automatiskt överföra sina uppgifter direkt i den elektroniska tjänsten där de sedan är tillgängliga även för andra. Detta stöder delvis också medborgarens möjligheter att vårda och ta hand om sig själv. Dessutom får välbefinnandeapplikationerna utöver de uppgifter som personen själv har fört in eller som apparaterna har producerat tillgång även till de klient- och patientuppgifter om personen som har registrerats i de riksomfattande informationssystemtjänsterna.
Den nationella helheten av egenvård formas av resultat från många olika pågående och kommande projekt. Inom ODA-projektet och andra motsvarande projekt för utvecklandet av egenvården har det producerats tjänster som utnyttjar datalagret för egna uppgifter för att erbjuda medborgarna mervärdestjänster, dvs. välbefinnandeapplikationer. Datalagret för egna uppgifter kan utnyttjas genom att utveckla välbefinnandeapplikationer för olika åtkomständamål som till exempel för hantering av kroniska sjukdomar eller för viktkontroll. Det är i huvudsak aktörerna och datorprogramsföretagen inom social- och hälsovården som ansvarar för utvecklandet av välbefinnandeapplikationerna.
I paragrafens 3 mom. föreskrivs det om bevarandet av uppgifterna i datalagret för egna uppgifter. De uppgifter som finns om en person i datalagret för egna uppgifter ska bevaras tills personen avlägsnar dem ur datalagret eller tills 12 år har förflutit från personens död. Bevaringsplikten överensstämmer med författningarna om bevaring av jourhandlingar och således är det möjligt att utnyttja uppgifterna till exempel vid utredning av patientskador.
13 §.Folkpensionsanstaltens ansvar som personuppgiftsbiträde när den förvaltar riksomfattande informationssystemtjänster. Enligt artikel 29 i EU:s dataskyddsförordning får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende och som får tillgång till personuppgifter endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. I paragrafen föreslås det att Folkpensionsanstalten, som är en i dataskyddsförordningen avsett personuppgiftsbiträde samt teknisk ansvarig och personuppgiftsansvarig för en riksomfattande informationssystemtjänst, ska ansvara för tjänsten rent generellt och för dess lagenlighet. Paragrafen motsvarar nuläget.
I paragrafens 1 mom. föreskrivs det att de riksomfattande informationssystemtjänsterna och kunduppgifterna ska vara tillgängliga dygnet runt så att man alltid har tillgång till kunduppgifterna utan att kundsäkerheten äventyras. Med detta avses att alla de tjänstetillhandahållare som har anslutit sig till tjänsten ska ha tillgång till uppgifterna dygnet runt under årets alla dagar inklusive högtider och helger. Reaktionstiden vid behandlingen av uppgifter ska vara sådan att den inte äventyrar kundsäkerheten. Informationssystemtjänsterna ska dessutom ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden. Med funktionsstörning avses till exempel elavbrott eller andra jämförbara funktionella störningar som förhindrar informationsgången. Med undantagsförhållanden avses sådana förhållanden som avses i 2 § i beredskapslagen (1080/1991), till exempel väpnade angrepp som riktas mot Finland, krig eller storolyckor.
I paragrafens 2 mom. ska det finnas en förteckning över Folkpensionsanstaltens ansvar vid förvaltningen av de riksomfattande informationssystemtjänsterna. Folkpensionsanstalten ska ansvara för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver samt använda sin bestämmanderätt i frågor gällande systemets datatekniska funktion (1punkten) samt för användbarheten, integriteten, oförvanskligheten, skyddet, bevarandet och utplåningen i fråga om de kunduppgifter, uppgifter om välbefinnande och andra uppgifter som förs in i de riksomfattande informationssystemtjänsterna. Arkiveringstjänsten ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet. Medborgaren har dock rätt att utplåna och ändra sina egna uppgifter om välbefinnande. Således kan Folkpensionsanstalten inte svara för dessa uppgifters oförvansklighet, integritet och utplåning så som den gör när det gäller kunduppgifterna (2 punkten). Folkpensionsanstalten ska sörja för att de riksomfattande informationssystemtjänster som anstalten ansvarar för utförs så att kunduppgifter eller uppgifter om välbefinnande och andra införda uppgifter lämnas ut i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom social- och hälsovården (3 punkten). Folkpensionsanstalten ska ansvara för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister (4 punkten).
Folkpensionsanstalten har inte bestämmanderätt över kunduppgifterna i arkiveringstjänsten eller rätt att lämna ut dem, om inte något annat föreskrivs. Inte heller i övrigt får kunduppgifter behandlas i större utsträckning än vad som är nödvändigt för förvaltningen. Eftersom Folkpensionsanstalten sköter arkiveringstjänsten för hälsovårdstjänstetillhandahållarnas räkning, ska Folkpensionsanstalten för sin egen del ansvara för den behandling av kunduppgifter som sker med hjälp av dessa informationssystemtjänster. En tjänstetillhandahållare som anslutit sig till de riksomfattande informationssystemtjänsterna ska i egenskap av personuppgiftsansvarig för kunduppgifter ansvara för innehållet i de införda kunduppgifterna och de logguppgifter som anknyter till behandlingen av dem samt för uppgifternas innehåll och riktighet och för att lagen följs när uppgifter lämnas ut eller i övrigt behandlas. Folkpensionsanstalten ska dessutom ansvara för det datatekniska genomförandet av kodservern, med undantag för det termredigeringsprogram som Institutet för hälsa och välfärd ansvarar för (5 punkten). Folkpensionsanstalten ansvarar för förmedlingen av information till befolkningen i frågor som gäller de riksomfattande informationssystemtjänsterna (6 punkten).
I paragrafens 3 mom. förtecknas de rättigheter som gäller Folkpensionsanstalten. Folkpensionsanstalten ska ha rätt att av Tillstånds- och tillsynsverket för social- och hälsovården (Valvira) få de uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för att sköta sina lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (1 punkten). Denna rätt gäller erhållande av information även på andra sätt än via roll- och attributtjänsten. Uppgifterna behövs och ska används bland annat vid loggrapportering och loggövervakning samt för tillgodoseendet av patientens rättigheter att erhålla information. Folkpensionsanstalten ska ha rätt att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt för upprätthållandet av de riksomfattande informationssystemtjänsterna (2 punkten), att utöva beslutanderätt i frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den (3 punkten) samt att lämna ut handlingar som omfattas av dess personuppgiftsansvar och logguppgifter över sådana handlingar till berörda organisationer för uppföljning och tillsyn. Således kan Folkpensionsanstalten lämna ut logguppgifter om handlingar i fråga om samtycke till berörda organisationer samt logguppgifter om behandlingen av uppgifter i informationshanteringstjänsten och i datalagret för egna uppgifter när dessa behövs för dataskyddsutredningar (4 punkten). Folkpensionsanstalten har rätt att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster (5 punkten). Folkpensionsanstalten har rätt att av Befolkningsregistercentralen få den information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna (6 punkten). Sådana uppgifter är till exempel uppgifter som behövs för skötseln av ärenden för annans räkning. Uppgifter får lämnas ut via en informationssäker teknisk anslutning.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten såsom personuppgiftsansvarig ska få lämna ut uppgifter till exempel till tillsynsmyndigheter och andra myndigheter då när mottagaren har en lagstadgad rätt att erhålla uppgifterna. Folkpensionsanstalten ska dessutom få lämna ut handlingar om samtyckeshantering och logguppgifterna om dessa till de myndigheter som ansvarar för styrningen, övervakningen och utvecklandet av de riksomfattande tjänsterna. Folkpensionsanstalten kan dessutom göra och lämna ut sådana sammanställningar över uppgifter i de riksomfattande informationssystemtjänsterna, över handlingars metadata och över logguppgifter som kan vara av betydelse för utvecklingen, uppföljningen och rapporteringen i fråga om av de riksomfattande tjänsterna. Sammanställningarna av uppgifter ska vara sådana att det inte går att identifiera enskilda personer utifrån dem.
I paragrafens 5 mom. föreslås det att de riksomfattande informationssystemtjänsterna ska skyddas i enlighet med statliga myndigheters skyldigheter i fråga om informationssäkerhet enligt vad som föreskrivs i 36 § i offentlighetslagen och i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010). I 36 § i offentlighetslagen föreskrivs det om statsrådets bemyndigande att utfärda förordning bland annat om den säkerhetsklassificering som ska göras av handlingar. Folkpensionsanstalten får inte ge utomstående i uppdrag att behandla eller bevara de register som nämns i denna proposition och som anknyter till organiseringen av de riksomfattande informationssystemtjänsterna eller de loggregister som hänför sig till dessa register.
4 kap. Behandling av kunduppgifter inom social- och hälsovården
14 §.Åtkomsträttigheter till kunduppgifter. Enligt EU:s dataskyddsförordning ska behandling av personuppgifter ha en rättslig grund enligt artikel 6 i förordningen. Det får utfärdas nationell lagstiftning som förtydligar förordningen då när behandlingen av personuppgifterna har sin grund i artikel 6.1 (c) i förordningen enligt vilken behandlingen behövs för att iaktta den personuppgiftsansvariges lagstadgade förpliktelse. Eftersom behandlingen av personuppgifter baserar sig på artikel 6.1 (c) i dataskyddsförordningen har en registrerad ingen sådan rätt att göra invändningar som avses i artikel 21 i dataskyddsförordningen.
I fråga om kunduppgifterna inom social- och hälsovården har den personuppgiftsansvarige en lagstadgad skyldighet att anordna social- och hälsotjänster, och detta utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 (c) i förordningen. Eftersom behandlingen av kunduppgifter bygger på en lagstadgad skyldighet kan närmare lagstiftning om behandlingen av kunduppgifter utfärdas nationellt. Enligt dataskyddsförordningen kan den nationella lagstiftningen innehålla mera detaljerade bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom mera exakta bestämmelser om särskilda krav för behandling av uppgifter och för andra åtgärder, till exempel de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, bevaringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Enligt dataskyddsförordningen ska vid behandling av sådana uppgifter som hör till de särskilda kategorierna av personuppgifter, dvs. känsliga personuppgifter, dessutom något av de krav som anges i artikel 9.2 uppfyllas. I den föreslagna kunduppgiftslagen ska behandlingen behövas bland annat för de ändamål som anges i artikel 9.2 (b) och (h). Enligt artikel 9.2 (b) och h är behandlingen bland annat nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstatens nationella rätt (b) och av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av medlemsstatens nationella rätt (h). Dessutom ska bestämmelsen i artikel 9.3 beaktas, enligt vilken känsliga personuppgifter får behandlas för de ändamål som anges i artikel 9.2 (h), bland annat för medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, om uppgifterna behandlas av eller under ansvar av en person som omfattas av tystnadsplikt. Enligt artikel 9.2 (h) i dataskyddsförordningen förutsätts det dessutom att behandlingen grundar sig på lagstiftning eller på ett avtal med yrkesverksamma på hälsoområdet och att den sker under förutsättning att skyddsåtgärderna är uppfyllda. Dessa skyddsåtgärder ingår i den föreslagna kunduppgiftslagen och innefattar bland annat administrationen av åtkomsträttigheter, förbud mot användning, loggkontroll, certifiering av informationssystem, egenkontrollplaner och informationssäkerhetsplaner.
I artikel 25.2 i dataskyddsförordningen föreskrivs det om att den personuppgiftsansvarige ska säkerställa att det som standard endast behandlas personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, bevaringstiden och deras tillgänglighet. Åtgärderna ska särskilt säkerställa att ett obegränsat antal personer som standard inte kommer åt uppgifterna utan en fysisk persons medverkan.
I paragrafens 1 mom. föreskrivs det om rätten att använda kunduppgifter. Åtkomsträtten skyddar känsliga och sekretessbelagda kunduppgifter mot obehörig behandling. Enligt artikel 9 i EU:s dataskyddsförordning ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.
Enligt den föreslagna paragrafen ska behandlingen i regel grunda sig på de rättigheter som yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Inom hälso- och sjukvården har man använt ett s.k. brett samtycke som begärs av patienten, som ger patienten möjligheten att förbjuda att vissa av hans eller hennes uppgifter lämnas ut. Enligt denna proposition ska grunden för behandlingen av kunduppgifter i regel vara åtkomsträtten och inte längre det allmänna eller breda samtycke som begärs av patienten. Slopandet av detta breda samtycke baserar sig på det krav i EU:s dataskyddsförordning som gäller formen av samtycket. Ett brett samtycke som riktar sig på framtiden uppfyller inte det krav i dataskyddsförordningen på att samtycket ska vara frivilligt, specifikt, informerat och otvetydigt. På basis av det breda samtycket kan kunden inte veta hur hans eller hennes samtycke kommer att användas. Samtycket ska dock fortfarande kunna användas som grund för behandling av kunduppgifter då när samtycket uppfyller de villkor som ställs i EU:s dataskyddsförordning.
I paragrafens 1 mom. föreslås det att yrkesutbildade personer inom hälso- och sjukvården eller andra personer som behandlar kunduppgifter ska få behandla bara sådana kunduppgifter som är nödvändiga för skötseln av en lagstadgad uppgift. Grunden för behandlingen av kunduppgifter är en klient- eller vårdrelation eller en lagstadgad rätt. I socialvårdslagen avses med klient en person som ansöker om eller anlitar socialvård, eller som oberoende av sin vilja tillhandahålls socialvård. I lagen om patientens ställning och rättigheter (785/1992) avses med patient en person som anlitar hälsotjänster eller sjukvårdstjänster eller som annars är föremål för sådana tjänster.
I paragrafens 1 mom. föreslås det att tjänstetillhandahållaren ska bestämma vilken rätt yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har att använda kunduppgifter. Genom åtkomsträttigheterna kan arbetstagarna behandla endast de kundhandlingar som innehållsmässigt anknyter till deras respektive arbetsuppgifter. Varje person som arbetar med kundservice får behandla kundhandlingar endast i den omfattning som förutsätts för hans eller hennes arbetsuppgifter och ansvar.
För att skydda kunduppgifterna har tjänstetillhandahållaren till uppgift att sörja för att kundhandlingarna inom verksamheten endast kan behandlas av de arbetstagare som behöver den för att sköta sina arbetsuppgifter. Rättigheterna hos de personer som arbetar med tekniskt underhåll, övervakning av användning samt hantering av kunduppgifter att använda kunduppgifter ska beviljas i behövlig omfattning. Åtkomsträtten får inte möjliggöra åtkomst till sådana kunduppgifter som inte omfattas av arbetstagarens underhålls- eller övervakningsansvar.
I regel ska en arbetstagare inom socialvården åtkomsträtt till de klientuppgifter som han eller hon behöver i den serviceuppgift som arbetsuppgifterna gäller. Utöver detta kan arbetstagaren beviljas åtkomsträtt till kunduppgifter inom andra serviceuppgifter som han eller hon regelrätt behöver för att utföra sitt arbete. Inom socialvården kan åtkomsträtten även begränsas till sådana socialtjänster som tillhandahålls endast inom en del av en serviceuppgift, till vissa serviceprocesser eller till sådana klienthandlingar som uppkommer bara i vissa serviceuppgifter, om arbetet inte förutsätter behandling av alla de klientuppgifter som anknyter till serviceuppgiften.
I och med ibruktagandet av Kanta-tjänsterna begränsas behandlingen av kunduppgifter genom både beviljande av åtkomsträttigheter och verifiering av samband eller vårdrelation. I paragrafens 1 mom. föreskrivs det att behandlingen av kunduppgifter ska grunda sig på en vårdrelation eller ett samband som har säkerställts datatekniskt. Detta datatekniska säkerställande kan inom hälso- och sjukvården genomföras på basis av de administrativa uppgifterna om patienterna till exempel genom att se till att det innan patientuppgifterna behandlas finns en anteckning i informationssystemet om att kunden har skrivits in på bäddavdelningen eller polikliniken. För att med denna anteckning på ett tillräckligt sätt kunna säkerställa att patienten faktiskt har en klientrelation eller vårdrelation med den som framställt begäran om utlämnande, ska det vara en annan än den som har framställt begäran som har gjort anteckningen. Även övriga administrativa uppgifter om patienter och uppgifter i patientdatasystemet får användas som grund för det tekniska säkerställandet av en vårdrelation. Andra sätt att säkerställa detta via informationssystem är att säkerställa vårdrelationen till exempel genom kundens elektroniska underskrift eller kundens samtycke eller genom någon annan tillförlitlig datateknisk verifiering av att kunden sköter ett ärende med den instans som tillhandahåller tjänsterna. Då när det inte är möjligt att använda något annat datatekniskt sätt för att säkerställa vårdrelationen, ska vårdpersonalen dock kunna behandla sådana patientuppgifter som är nödvändiga. I dessa situationer ska den yrkesutbildade personen inom hälso- och sjukvården meddela den särskilda orsak som ligger som grund för behandlingen av uppgifterna. Sådan behandling som baserar sig på särskilda orsaker förutsätter att tillsynen utvecklas både inom organisationerna inom hälso- och sjukvården och på riksomfattande nivå.
Inom socialvården ska arbetstagarens möjlighet att behandla klientuppgifter begränsas genom verifiering av sammanhanget endast när arbetstagarens arbetsuppgifter gäller klienten i fråga.
I 13 § i lagen om patientens ställning och rättigheter finns en bestämmelse om att patientuppgifterna är sekretessbelagda för de personer som arbetar vid samma verksamhetsenhet inom hälso- och sjukvården, om personen inte deltar i undersökningen eller vården av patienten eller i uppgifter som anknyter till den. Enligt den ovannämnda lagen är de i detta fall utomstående.
I paragrafens 2 mom. föreskrivs det att tjänstetillhandahållaren är förpliktad att föra ett register över de egna användarna av sina kundinformationssystem och kundregister samt deras åtkomsträttigheter. Detta register ska täcka både tidigare och nya uppgifter om användarna.
Enligt dataskyddsförordningen bör sådana personuppgifter som är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna åtnjuta särskilt skydd. Dessutom betonas det i dataskyddsförordningen att avvikelser från förbud mot behandling av särskilda kategorier av personuppgifter kan göras ifall detta baserar sig på unionsrätten eller medlemsstaternas nationella rätt och ifall lämpliga skyddsåtgärder vidtas. Den personuppgiftsansvarige ska genomföra behövliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna från obehörig åtkomst och för att de inte oavsiktligt eller lagstridigt ska utplånas, ändras, utlämnas, överföras eller behandlas lagstridigt på något annat sätt.
De rättigheter som yrkesutbildade personer inom social- och hälsovården har att behandla kunduppgifter bygger på bestämmelser i speciallagar för social- och hälsovården och därför är grunderna för åtkomsträttigheterna för närvarande olika inom socialvården och hälso- och sjukvården. I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd meddelar närmare föreskrifter om de grunder enligt vilka tjänstetillhandahållaren ska bevilja åtkomsträttigheter till kunduppgifter för de yrkesutbildade personerna inom social- och hälsovården och andra personer som behandlar kunduppgifter. Detta möjliggör en harmonisering av grunderna för bestämmandet av åtkomsträttigheterna inom social- och hälsovården till den del det behövs.
Redan i nuläget har Institutet för hälsa och välfärd erfarenhet av detta i och med att institutet bestämmer grunderna för behörigheterna att använda uppgifter inom socialvården på basis av lagen om klienthandlingar inom socialvården. Genom föreskriften om grunderna för bestämmandet av åtkomsträttigheter skyddas de personuppgifter som har registrerats på grundval av en klientrelation från obehörig och lagstridig behandling.
15 §.Information till kunden om riksomfattande informationssystemtjänster I paragrafens 1 mom. föreskrivs det om tjänstetillhandahållarens informationsskyldighet. Eftersom erhållandet av information enligt den valda modellen ska grunda sig på lagen, innebär det att alla uppgifter i tjänstetillhandahållarnas register alltid ska finnas tillgängliga för yrkesutbildade personer inom social- och hälsovården när de behöver dem i sina arbetsuppgifter och kunden inte har förbjudit behandling eller utlämnande av uppgifterna. En praxis som bygger på en lagstadgad rätt att få information och på kundens förbud mot detta innebär ett särskilt stort ansvar vad gäller informationen till patienten.
Enligt propositionen ska tjänstetillhandahållaren ge information om de riksomfattande informationssystemtjänsterna, verksamhetsprinciperna för dem och om de rättigheter hos kunden som anknyter till de riksomfattande informationssystemtjänsterna. Bestämmelser om behandling av kunduppgifter finns i 4 kap. i lagförslaget. Informationen ska ges till kunden så fort som möjligt när kundförhållandet inleds och senast i samband med den första kontakten.
I EU:s dataskyddsförordning föreskrivs det om informerandet i samband med behandling av personuppgifter. Vid informerande ska den förpliktelse i dataskyddsförordningen som gäller tjänstetillhandahållarens skyldighet att ge kunden vissa uppgifter iakttas. Om personuppgifterna erhålls direkt av den registrerade själv ska enligt dataskyddsförordningen informationen ges då när personuppgifterna erhålls. Om personuppgifterna fås från någon annan ska informerandet skötas inom en rimlig tid men senast inom en månad från det att uppgifterna erhölls.
Enligt EU:s dataskyddsförordning är den personuppgiftsansvariga skyldig att avgiftsfritt ge den registrerade information om behandlingen av hans eller hennes personuppgifter. Enligt dataskyddsförordningen ska den personuppgiftsansvarige alltid ge följande uppgifter om behandlingen av personuppgifter:
- kontaktuppgifter till den personuppgiftsansvarige, dennes eventuella företrädare och den dataskyddsansvariga
- syfte och rättslig grund för behandlingen av personuppgifter Om uppgifterna inte fås direkt av den registrerade ska dessutom meddelas vilka kategorier av personuppgifter behandlingen gäller.
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, om dessa utgör grunden för behandlingen
- i tillämpliga fall, vem som ska få personuppgifterna
- huruvida den personuppgiftsansvarige avser att överföra uppgifter till ett tredjeland eller en internationell organisation
Enligt dataskyddsförordningen ska den personuppgiftsansvarige för att säkerställa rättvis och transparent behandling dessutom lämna följande ytterligare information:
- uppgifternas lagringstid eller de kriterier som används för att fastställa denna
- den registrerades rättigheter i fråga om dennes uppgifter, såsom rätten att begära radering av sina personuppgifter, rätten att återkalla sitt samtycke, rätten att inge klagomål och förekomsten av automatiserat beslutsfattande, inbegripet till exempel profilering
- huruvida insamlingen av uppgifter är ett lagstadgat eller avtalsenligt krav
- huruvida personen är skyldig att ge uppgifterna och följderna av att uppgifterna inte lämnas
Den registrerade har enligt dataskyddsförordningen också rätt att få det bekräftat att uppgifterna behandlas eller inte behandlas. Dessutom har den registrerade rätt att få närmare information om behandlingen av uppgifterna, till exempel om syftet med behandlingen och vilka kategorier av personuppgifter behandlingen gäller.
Vid informerandet ska specialgrupperna beaktas särskilt, till exempel barnen. Till barn måste informationen till exempel ges i sådan form och på ett sådant sätt att barnet kan förstå den. Barnet ska ges tydlig information om hans eller hennes rättigheter att begränsa åtkomsten till uppgifterna. Dessutom ska barnet få tillräcklig information om de situationer där vårdnadshavaren ska sköta ärenden elektroniskt för barnets räkning och tillsammans med barnet. Dessutom kan detaljerade anvisningar om informerandet fås av dataskyddsombudet och av den WP29-dataskyddsgrupp som består av EU-medlemsstaternas dataskyddsmyndigheter.
Utöver den information som ska ges personligen till kunden kan det dessutom som det hittills har gjorts ges information till allmänheten om behandlingen av kunduppgifter. Institutet för hälsa och välfärd ska ansvara för sakinnehållet i den information som ges till kunderna, och folkpensionsanstalten ska enligt paragrafens 2 mom. även i fortsättningen ansvara för informationsmaterialet.
16 §.Identifiering av dem som behandlar kunduppgifter. Med tanke på de elektroniska tjänsternas tillförlitlighet och individens rättsskydd är det mycket viktigt att de parter som använder tjänsterna faktiskt är de som de utger sig för att vara. Enligt 1 mom. ska därför kunder, tjänstetillhandahållare och andra parter och deras företrädare som behandlar kunduppgifter samt de datatekniska enheterna identifieras på ett tillförlitligt sätt vid elektronisk behandling av kunduppgifter. Identifieringen kan till exempel ske med en personbeteckning eller med hjälp av ett namn eller någon annan identifieringsuppgift i en handling som används vid verifieringen av identiteten.
Identifieringen av de personer som behandlar kunduppgifter och av tjänstetillhandahållarna, de datatekniska enheterna samt av de riksomfattande informationssystemtjänsterna förutsätter dessutom verifiering. Vid behov ska identiteten kunna verifieras genom en handling från en tillförlitlig och oberoende källa. I en elektronisk tjänst kan verifieringen till exempel ske genom att använda identifieringsverktyg för stark autentisering, som till exempel nätbankskoder eller mobilcertifikat. Befolkningsregistercentralen har haft som lagstadgad uppgift att ansvara för certifikaten inom social- och hälsovården, de personliga certifikaten för elektronisk identifiering och undertecknande och för certifikaten för undertecknande i tjänster och system. Identifieringen och de elektroniska underskrifterna av de yrkesutbildade personerna inom social- och hälsovården och av andra anställda hos tjänstetillhandahållarna genomförs med hjälp av den kontroll av åtkomsträttigheter som sköts av Tillstånds- och tillsynsverket för social- och hälsovårdens certifikattjänster och verksamhetsenheter.
I paragrafens 2 mom. föreslås det att närmare bestämmelser om de tekniska metoderna för identifiering och autentisering får utfärdas genom förordning av social- och hälsovårdsministeriet. Innan förordningen utfärdas ska social- och hälsovårdsministeriet höra Befolkningsregistercentralen till den del det handlar om en sådan uppgift för Befolkningsregistercentralen som avses i 6 § och som gäller att Befolkningsregistercentralen är den i lagen om stark autentisering och betrodda elektroniska tjänster avsedda certifikatutfärdaren för yrkesutbildade personer inom social- och hälsovården och annan personal inom hälso- och sjukvården och apoteken, tjänstetillhandahållare, apotek och organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter.
17 §.Klientens och patientens rätt att förbjuda att egna kunduppgifter lämnas ut. Enligt 1 mom. kan klienten förbjuda att en personuppgiftsansvarig lämnar ut klientuppgifter om honom eller henne till en annan personuppgiftsansvarig inom socialvården via riksomfattande informationssystemtjänster. Klienten har dock inte denna rätt inom de tjänster som den personuppgiftsansvarige ansvarar för, eftersom det då är fråga om användning av klientuppgifter och inte utlämning. På motsvarande sätt föreslås det att en patient ska ha rätt att förbjuda att en personuppgiftsansvarig inom hälso- och sjukvården lämnar ut patientuppgifter om honom eller henne till en annan personuppgiftsansvarig eller ett annat register inom hälso- och sjukvården via riksomfattande informationssystemtjänster.
Dataskyddsförordningen innehåller bestämmelser om rätten att göra invändningar. De registrerades rättigheter följer direkt av dataskyddsförordningen. I fråga om övriga rättigheter kan bestämmelser inte utfärdas på nationell nivå. Enligt artikel 9.4 i den allmänna dataskyddsförordningen får medlemsstaterna dock behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Den rätt att förbjuda användning som föreslås kan anses vara ett sådant villkor eller en sådan begränsning som avses ovan. Dessutom kräver många av de situationer som nämns i artikel 9.2 och där behandling av särskilda kategorier av personuppgifter är möjlig med stöd av nationell lagstiftning att den nationella lagstiftningen innehåller lämpliga skyddsåtgärder.
Valet av en modell med förbud kan motiveras med den princip i dataskyddsförordningen enligt vilken ett samtycke inte är en tillräcklig grund för behandling av personuppgifter, om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Som exempel på sådan betydande ojämlikhet nämner dataskyddsförordningen att den personuppgiftsansvarige är en myndighet och att det därför är osannolikt att samtycke ges frivilligt. Ett brett samtycke som riktar sig på framtiden uppfyller inte heller det krav i dataskyddsförordningen om att samtycket ska vara specifikt, informerat, frivilligt och otvetydigt, eftersom individen inte i praktiken kan veta hur hans eller hennes samtycke kommer att användas.
Det förbud som kan användas som skyddsåtgärd och som beskrivs ovan ska tillämpas på patientuppgifter inom hälso- och sjukvården. Grunden för rätten att förbjuda användningen av klientuppgifter inom socialvården är artikel 86 i EU:s dataskyddsförordning enligt vilken personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av.
Enligt paragranes 1 mom. ger rätten att förbjuda användning klienten en möjlighet att hindra utlämnandet av vissa uppgifter via de riksomfattande informationssystemtjänsterna. Inom socialvården kan klienten förbjuda att klientuppgifterna inom socialvården lämnas ut till en annan personuppgiftsansvarig inom socialvården. Inom hälso- och sjukvården kan patienten förbjuda att patientuppgifter om honom eller henne lämnas ut till en annan personuppgiftsansvarig inom hälso- och sjukvården eller till ett annat register inom hälso- och sjukvården. Bestämmelser om överlåtande av uppgifter mellan socialvården och hälso- och sjukvården finns bland annat i lagen om klientens ställning och rättigheter inom socialvården (812/2000) och i lagen om patientens ställning och rättigheter (785/1992). En vårdnadshavare har inte rätt att meddela ett förbud för en minderårig som vårdnadshavaren har vårdnaden om. Detta baserar sig på 9 § 4 mom. i patientlagen enligt vilket patientens vårdnadshavare eller andra lagliga företrädare inte har rätt att förbjuda sådan vård som behövs för avvärjande av fara som hotar patientens liv eller hälsa. Denna princip tillämpas också inom socialvården där den centrala principen är hänsynen till barnets bästa.
Enligt 2 mom. kan en klient eller en patient meddela förbud för alla sina klient- och patientuppgifter. Förbudet kan dock inte gälla sådana handlingar som anknyter till hanteringen av utlämnande av uppgifter till arkivet. Dessa handlingar gäller till exempel samtycke, förbud, viljan att donera organ eller vårddirektiv. Genom ett förbud kan kunden inte heller förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information.
Enligt 2 mom. kan en klient inom socialvården rikta förbudet till en viss serviceuppgift eller enskild handling/patientjournal. Tjänsterna inom socialvården är uppdelade i sju olika serviceuppgifter. Inom hälso- och sjukvården kan förbudet gälla en servicehändelse. Dessutom kan förbudet gälla en offentlig tillhandahållare av social- och hälsovårdstjänster och dess register samt ett register inom företagshälsovården. Inom den privata social- och hälsovården kan förbudet inte gälla ett register eller en tjänstetillhandahållare. Den företagsverksamhet som bedrivs av de privata tjänstetillhandahållarna är mångfacetterad och därför är det svårt för kunden att förstå vilken instans som är tjänstetillhandahållaren och den personuppgiftsansvarige och till vilken tjänstetillhandahållare förbudet ska riktas. Till exempel en läkarstation kan ha flera självständiga yrkesutövare och företag, och kunden har inte alltid klart för sig när det är fråga om en verksamhet som bedrivs för läkarstationens egen räkning och när verksamheten bedrivs av en annan tjänstetillhandahållare.
I paragrafens 3 mom. föreskrivs det om de konsekvenser som en kunds förbud har för den rätt att få information som gäller yrkesutbildade personer eller myndigheter inom social- och hälsovården. Kundens förbud kan inte förhindra rätten att få information för en yrkesutbildad person eller myndighet inom social- och hälsovården då när deras rätt att få information baserar sig på lag. Till exempel i barnskyddslagen föreskrivs det om när en myndighet inom barnskyddet har rätt att få information trots kundens förbud.
I paragrafens 4 mom. föreskrivs det om behandlingen av uppgifter om hälsotillstånd i särskilda situationer, till exempel när en patient är medvetslös eller i något annat tillstånd som gör att denna inte förmår bedöma betydelsen av förbudet. Ett tidigare meddelat, gällande förbud utgör inget hinder för att uppgifter om hälsotillstånd behandlas eller lämnas ut till en annan personuppgiftsansvarig, om patienten är medvetslös eller annars befinner sig i ett sådant tillstånd att han eller hon inte kan bedöma betydelsen och konsekvenserna av ett förbud eller bedöma ett eventuellt återtagande av förbudet. Detta baserar sig på artikel 6.1 (d) i dataskyddsförordningen enligt vilken behandlingen är lagenlig när den behövs för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen. Behandlingen är enligt artikel 9.2 (c) i dataskyddsförordningen också tillåten om den behövs för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. Den föreslagna bestämmelsen i 4 mom. förändrar gällande praxis för användningen av förbud vid utlämnande av uppgifter inom hälso- och sjukvården i nödsituationer.
I paragrafens 5 mom. konstateras det att förbudet inte kan förhindra en yrkesutbildad persons eller en myndighets på lag grundade och av kundens viljeyttring oberoende rätt att få information vid tillhandahållandet av socialtjänster. Enligt huvudregeln kan de uppgifter som omfattas av ett förbud inte behandlas i socialtjänsterna. I lagstiftningen om socialvården finns det undantag från detta. I klientlagens 17-21 § föreskrivs det att sekretessbelagda uppgifter ska få lämnas ut för att trygga vården av och omsorgen om klienten trots att klienten eller dennes lagliga företrädare har förbjudit utlämnandet av uppgiften. Uppgifter får på de i paragrafen angivna villkoren lämnas ut för klientens vård, omsorg eller utbildning, för ordnande eller tillhandahållande av vård, omsorg eller utbildning eller för tryggande av förutsättningarna för försörjningen.
Enligt 6 mom. ska ett förbud som klienten meddelat gälla tills vidare och kunna återtas när som helst. Efter ett eventuellt återtagande kan klienten meddela förbud på nytt.
18 §.Meddelande av förbud mot behandling av klientuppgifter och patientuppgifter Ett förbud som gäller behandling av klientuppgifter kan enligt 1 mom. meddelas vilken tjänstetillhandahållare som helst som har anslutit sig till en riksomfattande informationssystemtjänst. Tjänstetillhandahållaren ska sända uppgifterna till informationshanteringstjänsten så snabbt som det rimligen är möjligt. Efter att uppgiften har sänts till informationshanteringstjänsten beaktas den automatiskt i informationssystemen. Förbud kan även meddelas via ett medborgargränssnitt. Då registreras uppgiften omedelbart i den informationshanteringstjänst som föreslås i 11 §. Vid återtagande av förbud tillämpas samma bestämmelser som vid meddelandet av förbud. Enligt den kan ett förbud meddelas till vilken tillhandahållare av social- eller hälsovård som helst eller meddelas via ett medborgargränssnitt. Uppgiften om att förbudet har återtagits ska utan dröjsmål sändas till informationshanteringstjänsten.
Ett förbud kan meddelas till informationshanteringstjänsten när som helst. Detta är viktigt bland annat för att en person vid behov ska ha en möjlighet att skydda sina uppgifter eller att återta sitt förbud till exempel på läkarmottagningen, så att de tjänster som kunden behöver kan säkerställas i alla situationer och så att kunden har en möjlighet att skydda sin integritet. Enligt 2 mom. ska på kundens begäran den som tar emot förbudet ge kunden en utskrift av kundens förbudshandling.
För att alla de som meddelar ett förbud ska få adekvat och enhetlig information om förbudets betydelse, föreslås det i 3 mom. dessutom att Folkpensionsanstalten ska utforma en dokumentmall för förbudet. Av förbudshandlingen ska det bland annat framgå att de uppgifter som omfattas av kundens förbud inte får lämnas ut via riksomfattande informationssystemtjänster och att förbudet även gäller i de fall de förbjudna uppgifterna är relevanta med tanke på vården eller omsorgen av kunden, om inte något annat följer av annan lagstiftning. Dessutom ska det framgå när uppgifterna kan lämnas ut trots ett förbud. Eftersom återtagande av förbud omfattas av samma bestämmelser som meddelandet av förbud, ska även detta framgå av Folkpensionsanstaltens dokumentmall.
19 §.Utlämnande av patientuppgifter med hjälp av riksomfattande informationssystemtjänster. I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut patientuppgifter inom hälso- och sjukvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan personuppgiftsansvarig inom hälso- och sjukvården för anordnande, produktion och tillhandahållande av hälso- och sjukvård för patienten.
Enligt 2 mom. får ett sådant utlämnande av patientuppgifter till en annan personuppgiftsansvarig som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att patienten har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 14 § i lagförslaget datatekniskt säkerställas att en vårdrelation mellan patienten och den som har lämnat begäran existerar.
När en personuppgiftsansvarig lämnar ut patientuppgifter till en annan personuppgiftsansvarig ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning som grund för utlämnandet av uppgifterna. En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnande av uppgifterna i fråga, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om patientens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget.
I paragrafens 3 mom. föreskrivs det om personens samtycke i de fall när patientuppgifter lämnas ut till en personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård. Bestämmelser om sekretessbeläggning och utlämnande av patientuppgifter finns i 13 § i patientlagen (785/1992). EU:s dataskyddsförordning möjliggör utlämnande av patientuppgifter med stöd av patientens samtycke. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska vara uttryckligt och särskilt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. En motsvarande möjlighet att lämna ut patientuppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att patientuppgifter får lämnas ut mellan socialvården och hälso- och sjukvården.
Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de patientuppgifter som de behöver. Samtidigt ska dock patienten ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika åtkomständamål.
I paragrafens 4 mom. föreskrivs det om utlämnande av patientuppgifter till patienten via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut.
20 §. Utlämnande av klientuppgifter inom socialvården med hjälp av riksomfattande informationssystemtjänster I paragrafens 1 mom. föreskrivs det om möjligheten att lämna ut klientuppgifter inom socialvården med hjälp av de i 6 § avsedda riksomfattande informationssystemtjänsterna till en annan personuppgiftsansvarig inom socialvården för ordnande, produktion och tillhandahållande av socialvård för klienten.
Enligt 2 mom. får ett sådant utlämnande av kunduppgifter till en annan personuppgiftsansvarig som baserar sig på en begäran utföras med de riksomfattande informationssystemtjänsterna efter det att kunden har informerats på det sätt som avses i 15 § i lagförslaget. Dessutom ska det i enlighet med det som nämns i fråga om 14 § i lagförslaget datatekniskt säkerställas att det finns ett samband mellan kunden och den som har lämnat begäran.
När en personuppgiftsansvarig lämnar ut kunduppgifter till en annan personuppgiftsansvarig ska det finnas en bestämmelse i lag eller ett samtycke enligt EU:s dataskyddsförordning grund för utlämnandet av uppgifterna. En central förutsättning för utlämnande av uppgifter är att kunden inte har förbjudit utlämnandet av sina uppgifter, och detta garanterar såväl det skydd för kundens privatliv som är en grundläggande rättighet som kundens självbestämmanderätt i anknytning till kunduppgifterna. Bestämmelserna om kundens rätt att förbjuda utlämnande av uppgifterna om honom eller henne finns i 17 § i lagförslaget.
I paragrafens 3 mom. föreskrivs det om personens samtycke i de fall när kunduppgifter lämnas ut till en personuppgiftsansvarig inom hälso- och sjukvården för ordnande, produktion och tillhandahållande av hälso- och sjukvård. Bestämmelser om sekretessbeläggning och utlämnande av kunduppgifter finns i 3 kap. i klientlagen. Samtycket ska uppfylla de krav som ställs i EU:s dataskyddsförordning enligt vilken samtycket ska bland annat vara särskilt. Det bör beaktas att det i EU:s dataskyddsförordning ställs olika krav på samtyckets form beroende på om det är fråga om socialvård eller hälso- och sjukvård. En motsvarande möjlighet att lämna ut kunduppgifter kan även tillämpas i de riksomfattande informationssystemtjänsterna så att kunduppgifter får lämnas ut mellan socialvården och hälso- och sjukvården.
Integrationen av socialvården och hälso- och sjukvården är ett av de centrala målen för reformen av social- och hälsovården. Redan nu har socialvården och hälso- och sjukvården många gemensamma tjänster och mångprofessionellt samarbete mellan de olika tjänsterna. Integrationen förutsätter att yrkesutövarna har tillgång till de kunduppgifter som de behöver. Samtidigt ska dock kunden ha rätt att, om inte något annat föreskrivs i lag, bestämma hur mycket och vilka uppgifter som kan lämnas ut mellan socialvården och hälso- och sjukvården för olika åtkomständamål. Bestämmelser om de situationer där kunduppgifter kan lämnas ut utan kundens samtycke finns i socialvårdslagstiftningen.
I paragrafens 4 mom. föreskrivs det om utlämnande av kunduppgifter till kunden via välbefinnandeapplikationer eller medborgargränssnitt. För att få uppgifter till en välbefinnandeapplikation ska klienten ta i bruk applikationen och godkänna att uppgifterna lämnas ut.
21 §.Förmedling av kunduppgifter med hjälp av riksomfattande informationssystemtjänster till aktörer utanför social- och hälsovården. I paragrafen föreskrivs det att det via den förfrågnings- och förmedlingstjänst som hör till de riksomfattande informationssystemtjänsterna kan förmedlas handlingar och andra handlingar som har bifogats till dem för skötseln av en lagstadgad uppgift till den aktör utanför social- och hälsovården som handlingarna har upprättats för. Sådana handlingar är bland annat de intyg och utlåtanden som sänds till en annan instans. I paragrafens 1 mom. föreslås det också att även de handlingar som den mottagande instansen har rätt att få med stöd av lag ska kunna förmedlas med hjälp av förfrågnings- och förmedlingstjänsten.
Det bör påpekas att förfrågnings- och förmedlingstjänsten inte ansvarar för den information som lämnas från en personuppgiftsansvarig till en annan. Det betyder att den personuppgiftsansvarige som ska lämna ut uppgifter ansvarar för att den som får uppgifterna endast får klientuppgifter eller patientuppgifter i den omfattning som mottagaren har rätt att få med stöd av lag eller samtycke. Alltid när uppgifter lämnas ut krävs det övervägande av den personuppgiftsansvariga som lämnar ut uppgifterna och endast de nödvändigaste kunduppgifterna får lämnas ut. Den rätt som mottagaren har att få uppgifter ska basera sig på lag eller på kundens samtycke. Kunduppgifter kan lämnas ut endast i den omfattning mottagaren behöver dem för att sköta sin lagstadgade uppgift.
Exempel på detta är ett A-intyg eller B-intyg lämnas till en arbetsgivare, Folkpensionsanstalten eller ett arbetspensionsinstitut för en patients sjukdagpenning eller ett läkarutlåtande som lämnas till polisen för ansökan om körkort. Andra särskilda handlingar som medvetet har bifogats till ett intyg eller utlåtande, som till exempel en röntgenläkares utlåtande som ligger som grund för läkarens eget utlåtande, kan anslutas till utlåtandet och lämnas ut elektroniskt med det, om den som har skapat handlingen anser att det behövs.
På basis av arbetspensionslagarna har till exempel en arbetspensionsanstalt trots sekretessbestämmelserna och övriga begränsningar av erhållande av information rätt att få sådana uppgifter som den behöver för att avgöra ett ärende och sköta lagstadgade uppgifter. Arbetspensionsanstalternas rätt att få information gäller bland annat pensionstagares journalhandlingar, rehabilitering, hälsotillstånd, vård och arbetsförmåga. Den förfrågnings- och förmedlingstjänst som föreslås i denna paragraf ger den personuppgiftsansvarige inom hälso- och sjukvården möjligheten att bedöma om handlingar kan lämnas till ett arbetspensionsinstitut även om handlingen ursprungligen är avsedd för något annat ändamål. Handlingarna får dock inte innehålla mera information än vad mottagaren har rätt att få enligt lagstiftningen.
I paragrafens 2 mom. föreskrivs om det bemyndigande som Institutet för hälsa och välfärd har att meddela föreskrifter om vilka handlingar som får förmedlas via förfrågnings- och förmedlingstjänsten.
22 §.Användning av e-tjänster och behandling av uppgifter för någon annans räkning. Enligt 1 mom. har en person rätt att för någon annans räkning behandla dennes kund- och välbefinnandeuppgifter i ärendehanteringstjänster. När ett ärende sköts för en annan persons räkning ska detta grunda sig på en fullmakt eller ett förordnande som intressebevakaren har gett med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999). En vårdnadshavare har rätt att behandla sådana uppgifter om en person som vårdnadshavaren har vårdnaden om vilka har sparats i en riksomfattande informationssystemtjänst, om inte något annat följer av 11 § 3 mom. i klientlagen eller 9 § 2 mom. i patientlagen.
En minderårig patient som med hänsyn till ålder och utvecklingsnivå kan fatta beslut om sin vård har enligt patientlagen rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård lämnas ut till vårdnadshavaren eller andra lagliga företrädare. Enligt klientlagen inom socialvården får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. En laglig företrädare har dock rätt att få information enligt vad som föreskrivs i 11 § i lagen om offentlighet i myndigheternas verksamhet.
Den yrkesutbildade person inom social- och hälsovården som antecknar kunduppgifter ska säkerställa att barnet vet och förstår att vårdnadshavaren kan se uppgifterna och att barnet med hänsyn till ålder och utvecklingsnivå har rätt att förbjuda att uppgifter lämnas ut. Barnet ska även informeras om vilka följder ett förbud kan ha. Barnets förbudsrätt ska respekteras, men den yrkesutbildade personen inom social- och hälsovården är skyldig att diskutera med och vägleda barnet i dessa situationer, särskilt om det finns skäl att anta att det är mera skadligt att hemlighålla uppgifterna för vårdnadshavaren än att lämna dem till vårdnadshavaren.
Inom socialvården kan till exempel intresset hos en vårdnadshavare och den minderåriga som vårdnadshavaren har vårdnaden om stå i strid med varandra, och då ska tolkningen följa barnets intresse. I en sådan situation har vårdnadshavaren inte rätt att behandla barnets uppgifter om behandlingen strider mot barnets intresse. Sådana situationer kan uppstå inom socialvården, och särskilt inom barnskyddet. Vårdnadshavarens rätt att behandla uppgifterna om den minderårig som vårdnadshavaren har vårdnaden om kan även begränsas genom tingsrättens beslut.
Utöver den minderårigas förbudsrätt ska vårdnadshavaren inte heller ha rätt att behandla uppgifter om det barn som denne har vårdnaden om ifall det gäller sådana uppgifter i fråga om vilka vårdnadshavaren inte har insynsrätt eller en sådan i offentlighetslagen avsedd rätt för parten att få information. Det kan till exempel vara fråga om en situation där ett litet barn är klient inom barnskyddet och ännu inte förmår förbjuda att uppgifterna lämnas ut till barnets vårdnadshavare och där det trots detta finns en lagenlig grund för att förvägra till exempel vårdnadshavarens insynsrätt till antingen alla eller en del av uppgifterna om barnet. Då kan ovannämnda uppgifter inte ens visas för kunden. Grunderna för förbudet kan dock vara olika för vårdnadshavaren och den minderåriga. Inom hälso- och sjukvården kan det till exempel vara fråga om en situation där barnet berättar för skolhälsovårdaren att det själv eller en familjemedlem har misshandlats eller behandlats illa i hemmet. Barnet vet inte nödvändigtvis att föräldern kan ta del av uppgiften om besöket hos hälsovårdaren via den tjänst som används. Därför är den yrkesutbildade personen inom social- och hälsovården ansvarig för barnets intresse och säkerhet i alla situationer, även när barnet inte med hänsyn till utvecklingsnivån ännu förmår förbjuda insyn i sina uppgifter.
I paragrafens 2 mom. hänvisas det till 10 § 1 mom. i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016). I momentet föreskrivs det om Befolkningsregistercentralens nya register för behörighetstjänsten, om förfarandet för avgivande av fullmakt och andra viljeyttringar i registret och om innehållet i fullmakter och andra viljeyttringar samt om sammanföringen av uppgifterna om avgivaren och säkerställandet av informationshelhetens integritet. För tillhandahållande av behörighetstjänsten för Befolkningsregistercentralen ett register över de fullmakter som avgivits av fysiska personer och för samfunds vägnar samt övriga viljeyttringar. Viljeyttringarna är i fråga om behörigheterna noggrant avgränsade och anknyter till en viss verksamhet eller händelse, och således kan inga öppna fullmakter för rättsligt bistånd avges via tjänsten.
Via behörighetstjänsten kan även uppgifter om fullmakter som andra myndigheter har registrerat och om andra viljeyttringar förmedlas, om den myndighet som har registrerat uppgifterna har beviljat Befolkningsregistercentralen tillstånd till detta och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som ska förmedlas via behörighetstjänsten. När det gäller de register som gäller övriga myndigheters viljeyttringar bygger personuppgiftsansvaret på bestämmelserna om dessa myndigheters verksamhet och det är fortfarande den behöriga myndigheten som bär ansvaret för personuppgifterna och registreringen av viljeyttringarna. Befolkningsregistercentralen ansvarar endast för verksamheten i den förmedlingstjänst som ingår i behörighetstjänsten. Möjligheterna att använda till exempel de viljeyttringar som har avgivits inom social- och hälsovården är ofta begränsade till aktörerna inom dessa sektorer och därför är ett mera allmänt utnyttjande av viljeyttringarna inte möjligt. Syftet med punkten i bestämmelsen är att dessa uppgifter ska tillhandahållas centraliserat för användning via behörighetstjänsten.
23 §. Medborgargränssnitt samt uppgifter och viljeyttringar som visas via det. I paragrafens 1 mom. föreslås det att gränssnittet ska genomföras så att en person kan avge de viljeyttringar som avses i 11 § i lagförslaget samt sköta ärendena i anslutning till sitt kundförhållande och administreringen av sina kunduppgifter och välbefinnandeuppgifter via ett gränssnitt. När det gäller minderårigas förbudsrätt konstateras det att en minderårigs rätt att förbjuda utlämnande av sina uppgifter ska förutsätta en bedömning av den minderårigas mogenhet, och detta är inte möjligt i e-tjänsten.
I paragrafens 2 mom. föreskrivs det att uppgifter som en person ska kunna få via ett medborgargränssnitt till exempel är tidsbeställningsuppgifter, laboratorieresultat, röntgenresultat och andra undersökningsresultat, uppgifter om tider och platser för servicehändelser, uppgifter som är viktiga för vården eller servicen, receptuppgifter, vårdanvisningar, remisser, sammandrag av gjorda behandlingar, utlåtanden om behandlingar, läkarintyg och läkarutlåtanden samt handlingar om socialvården. Till gränssnittet kan dessutom anslutas andra funktioner som möjliggör informationsutbyte och utförande och uppföljning av uppgifter som gäller tjänster, omsorg och vård. En sådan funktion är till exempel förmedling av kunduppgifter mellan en kund och en tjänstetillhandahållare. Gränssnittet ska realiseras så att kundens integritetsskydd inte äventyras.
Trots vad som föreskrivs i 1 mom. ska gränssnittet realiseras så att kunden inte har åtkomst till uppgifterna, om den yrkesutbildade personen inom hälso- och sjukvården vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för tillhandahållandet av en tjänst eller för någon annans rättigheter. När uppgifter visas via gränssnittet ska bestämmelserna om partens rätt att få information i 11 § 2 och 3 mom. i offentlighetslagen beaktas.
Principen enligt offentlighetslagen är att en sökande, överklagande eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (en part), har rätt att av den myndighet som behandlar eller har behandlat ärendet information om sådant innehåll i en offentlig handling som kan påverka eller som eventuellt har påverkat behandlingen av hans eller hennes ärende.
En part eller dennes ombud eller biträde har inte den ovanavsedda rätten till exempel
1) när utlämnande av uppgifter ur handlingen skulle strida mot ett synnerligen viktigt allmänt intresse, ett barns intresse eller ett annat synnerligen viktigt enskilt intresse, eller
2) när det är fråga om en handling som har företetts eller upprättats i samband med förundersökning eller polisundersökning som ännu pågår, om utredningen skulle försvåras av att uppgifter lämnas ut.
Dessutom kan personen via gränssnittet visas utlämningslogguppgifter och åtkomstlogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.
I paragrafens 3 mom. föreskrivs om att uppgifter om en minderårig person får visas via gränssnittet för personen själv och för hans eller hennes vårdnadshavare eller för någon annan laglig företrädare. Uppgifterna kan visas också via välbefinnandeapplikationer som godkänts för datalagret för egna uppgifter. Vid utlämnandet av uppgifterna ska det som i 9 § 2 mom. i patientlagen föreskrivs om en minderårig patients rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd ges till hans eller hennes vårdnadshavare eller någon annan laglig företrädare då beaktas. Dessutom ska bestämmelserna i 11 § 3 mom. i klientlagen beaktas. Enligt bestämmelserna får en minderårig klient med hänsyn till ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till den lagliga företrädaren, om inte detta klart strider mot den minderårigas intresse. Om en minderårig klient eller klientens lagliga företrädare är part i ett socialvårdsärende, har den lagliga företrädaren dock rätt att få uppgifter i enlighet med 11 § i lagen om offentlighet i myndigheternas verksamhet.
Enligt paragrafens 4 mom. kan personens uppgifter visas via gränssnittet för en av honom eller henne befullmäktigad person.
24 §.Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande. Att användningen och utlämnandet av kunduppgifter följs upp är en central förutsättning för tillgodoseendet av kundens rätt till skydd för privatlivet och för övervakningen av uppgifternas användning.
Med uppgifternas användning avses att uppgifter används i den personuppgiftsansvariges egen verksamhet och i verksamhet som bedrivs för dennes räkning. De uppgifter som används är uppgifter som finns i den personuppgiftsansvariges egna kundregister. För användning av dessa uppgifter behövs inte tillstånd och en registrerad kan inte förbjuda användningen av sina uppgifter. Med utlämnande av uppgifter avses att uppgifter lämnas ut till en annan personuppgiftsansvarig eller någon annan utomstående som har rätt att få uppgifterna eller att uppgifter överförs mellan den personuppgiftsansvariges olika register. Med utlämnande avses allt avslöjande av information till utomstående inklusive att ge någon rätt att se uppgifter. Utlämnandet av kunduppgifter inom social- och hälsovården ska ske antingen med kundens samtycke eller med stöd av en bestämmelse i lag som ger denna rätt.
Enligt 1 mom. är tjänstetillhandahållaren skyldig att följa upp hur den egna enheten använder och lämnar ut kunduppgifter. Förpliktelsen att registrera åtkomstloggar gäller även användarna av gränssnitt, till exempel Kelain-tjänsten, dvs. användarna av gränssnittet för professionellt bruk.
I paragrafens 2 och 3 mom. föreskrivs det särskilt om de uppgifter som ska registreras i åtkomstloggregistret och vilka som ska registreras i utlämningsloggregistret. Logguppgifterna om de register som har upprättats för olika åtkomständamål ska registreras separat.
I åtkomstloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, den som har använt kunduppgifter och uppgifter om välbefinnande, åtkomständamålet, åtkomsttidpunkten och andra uppgifter som behövs.
I utlämningsloggregistret förs det in uppgifter om utlämnade kunduppgifter, den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, utlämningsändamålet, mottagaren, utlämningstidpunkten och andra uppgifter som behövs.
Enligt 4 mom. ska Folkpensionsanstalten samla in logguppgifterna om de uppgifter som har registrerats i gränssnittet för professionellt bruk, arkiveringstjänsten och i informationshanteringstjänsten och också om utlämnandet av de uppgifter som har visats via informationshanteringstjänsten. Enligt momentet ska Folkpensionsanstalten samla in logguppgifter bland annat om alla utlämnanden av uppgifter och i samband med detta bland annat tidpunkten för utlämnandet och uppgiftsmottagarna. Uppgifter som kan visas via informationshanteringstjänsten är bland annat vissa sammanställningar av handlingar samt handlingar som ska uppdateras, som till exempel viktiga diagnoser, vaccinationer, medicinering och laboratorieresultat. De tjänstetillhandahållare vilka handlingarna gäller och varifrån uppgifterna har fåtts registreras inte i fråga om ovannämnda uppgifter i informationshanteringstjänstens logg. Vid behov kan logguppgifterna användas för att utreda om utlämnandet har varit ändamålsenligt.
Logguppgifterna om utlämnande av tjänstetillhandahållarens uppgifter i kundhandlingar förs in i den förvaringstjänst för loggregister som är avsedd för detta. Eftersom det utlämnande av kunduppgifter mellan tjänstetillhandahållare inom social- och hälsovården som baserar sig på en begäran ska ske i enlighet med 19 eller 20 § med hjälp av riksomfattande informationssystemtjänster, ska logguppgifterna om utlämnandet finnas i arkiveringstjänsten. I arkiveringstjänsten ska till exempel föras in de logganteckningar som ska göras vid utlämnande av remisser och av vårdrespons samt vid utlämnande som sker till övriga med rätt att använda kunduppgifterna. För att en kund ska kunna få information om att hans eller hennes kunduppgifter har utlämnats med hjälp av det medborgargränssnitt som avses i 23 § ska utlämningslogguppgifterna finnas i den centrala arkiveringstjänsten.
Närmare bestämmelser om uppgifterna om åtkomsträttigheter och logguppgifter samt om bevarandet av dem får enligt 5 mom. utfärdas genom förordning av social- och hälsovårdsministeriet. Föreskrifter får meddelas till exempel om antecknandet av ändringar i uppgifter om åtkomsträttigheter och om bevaringstiderna. Av uppgifterna i användarregistren ska det framgå vem som beviljats åtkomsträtt, för vilket patientregister eller dess del rättigheterna beviljats, omfattningen av åtkomsträtten samt tiden då rätten att se, uppdatera eller använda uppgifterna börjar och slutar. Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras sakinnehåll. Om journalhandlingarnas bevaringstider föreskrivs det i förordningen om journalhandlingar. Avsikten är att i fortsättningen föreskriva om journalhandlingarnas bevaringstider i lag, och att samtidigt även ta in regleringen om bevaringstiderna för logguppgifterna i lag.
25 §.Kundens rätt att få information om behandlingen av sina egna uppgifter. Enligt 1 mom. har en kund för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter rätt att på skriftlig begäran inom skälig tid eller senast inom två månader av tjänstetillhandahållaren med stöd av loggregistret avgiftsfritt få veta vem som har använt eller till vem man har lämnat ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet. Vid beslutspraxis för riksdagens justitieombudsman och statsrådets justitiekansler har tidsfristen på två månader ansetts vara skälig. Dessutom ska kunden ha rätt att av Folkpensionsanstalten få logguppgifter ur informationshanteringstjänsten, receptcentret och datalagret för egna uppgifter, logguppgifter över använda och utlämnade kunduppgifter och uppgifter om välbefinnande samt uppgifter om tidpunkten för användningen eller utlämnandet till den del uppgifterna omfattas av Folkpensionsanstaltens personuppgiftsansvar. De övriga logguppgifterna har kunden rätt att få av tjänstetillhandahållaren.
Kundens rätt att få logguppgifterna är en viktig rätt som ger kunden möjligheten att bedöma om hans eller hennes uppgifter har behandlats lagenligt och korrekt. På basis av rätten att få logguppgifter kan kunden vid behov vidta åtgärder om han eller hon misstänker att uppgifterna har behandlats lagstridigt eller inkorrekt på något annat sätt. Utan denna rätt har kunden i praktiken dåliga möjligheter att säkerställa att hans eller hennes uppgifter behandlas ändamålsenligt. Rätten att få information gäller både åtkomstloggar och utlämningsloggar.
Enligt 2 mom. har kunden inte rätt att få logguppgifter, om den som tar emot begäran om uppgifterna vet att utlämnandet kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter. Enligt huvudregeln har kunden rätt att få endast de logguppgifter som har införts under de två år som föregick begäran. Det är dock möjligt att få uppgifter även från en längre tid, om det finns något särskilt skäl för det. Ett sådant särskilt skäl kan enligt lagen till exempel vara en välgrundad misstanke om att klientuppgifter eller patientuppgifter har behandlats olovligt på ett sätt som kräver att saken utreds. Den föreslagna tidsfristen på två månader beror på att behandlingen av klagomål inom social- och hälsovården delvis är begränsad så att de endast kan gälla händelser från de två åren före klagomålet. En sådan begränsning gäller till exempel de klagomål som anförs hos riksdagens justitieombudsman och Tillstånds- och tillsynsverket för social- och hälsovården. Ett annat skäl bakom tidsfristen är den preskriptionstid för personregisterbrott som avses i 38 kap. 9 § i strafflagen, som också är två år.
Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått. Kunduppgifternas logguppgifter innehåller information med personuppgifter om de som är anställda hos tjänstetillhandahållaren inom social- och hälsovården. Av den orsaken är det motiverat att kunden inte ska ha rätt att använda dessa uppgifter för något annat ändamål än för att utreda eller tillgodose sina rättigheter att behandla sina egna kunduppgifter.
I paragrafens 3 mom. föreskrivs det om ersättning för utlämnande av logguppgifter. Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren eller Folkpensionsanstalten för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. Rätten att få ersättning av kunden för kostnaderna för utlämnandet finns till för att undvika onödiga begäranden om logguppgifter. Med hjälp av den elektroniska förbindelse som avses i 23 § i lagen får det dock inte tas ut någon separat avgift för erhållandet av logguppgifter.
Om tjänstetillhandahållaren eller Folkpensionsanstalten anser att logguppgifterna inte får lämnas ut till kunden, ska denna förvägran meddelas genom ett skriftligt beslut enligt 4 mom. Kunden har rätt att föra ärendet till förvaltningsdomstolen för avgörande.
Om en kund anser att hans eller hennes kunduppgifter har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare som använt eller fått uppgifterna eller Folkpensionsanstalten enligt 5 mom. på begäran ge kunden en utredning om grunderna för användningen eller utlämnandet av uppgifterna och uppge sin motiverade uppfattning huruvida det har varit sakligt motiverat att använda eller lämna ut uppgifterna eller om det förekommit missbruk. Detta är motiverat med tanke på tillgodoseendet av både kundens och den personuppgiftsansvariges rättigheter. Kunden kan då bättre bedöma huruvida det lönar sig att till exempel föra ärendet till polisen för undersökning eller att anföra klagomål hos en besvärsmyndighet.
Om slutledningen av en kunds begäran, eller om det vid den personuppgiftsansvariges egenkontroll har upptäckts att behandlingen av uppgifterna har stridit mot lagen, ska även den personuppgiftsansvarige på eget initiativ vidta behövliga åtgärder. Även tjänstetillhandahållaren ska göra en bedömning av vilka åtgärder den bör vidta. Till exempel kan det åtminstone behövas arbetsrättsliga åtgärder och dessutom beroende på fallet även en eventuell begäran om polisundersökning.
5 kap. Egenkontroll i fråga om informationssäkerhet och dataskydd
26 §. Informationssäkerhetsplan. I paragrafens 1 mom. föreskrivs det om att tjänstetillhandahållaren är skyldig att utarbeta en informationssäkerhetsplan som behandlar frågor som är centrala för organisationens informationssäkerhet och dataskydd samt ibruktagande av informationssystem. Syftet med informationssäkerhetsplanen är att säkerställa att tjänstetillhandahållarens personal behärskar användningen av de informationssystem som de använder och kan beakta de krav som hänför sig till sekretessbelagda kunduppgifter och informationssäkerhet. I informationssäkerhetsplanen ska dessutom beaktas frågor som gäller användarmiljö, underhåll och uppdaterande samt hur genomförandet av planen och egenkontrollen av de saker som omfattas av planen ska arrangeras.
Bestämmelser om egenkontrollplaner ingår i flera lagar om social- och hälsovård, till exempel i hälso- och sjukvårdslagen (1326/2010). Uppgiften om att en informationssäkerhetsplan har utarbetats enligt denna bestämmelse kan ingå i den egenkontrollsplan eller någon annan plan som ska utarbetas på basis av någon annan lag, men informationssäkerhetsplanen kan innehålla sådant som inte bör finnas med i den egenkontrollsplan som är allmänt tillgänglig. I informationssäkerhetsplanen ska finnas omfattande information och utredningar om följande: att de personer som använder informationssystemen har den utbildning som användningen kräver (1 punkten), att det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen (2 punkten), att informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten (3 punkten), att informationssystemen underhålls och uppdateras enligt anvisningar från producenten av informationssystemtjänsten (4 punkten), att miljön är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet (5 punkten), att övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd (6 punkten), att informationssystemen installeras, underhålls och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som krävs (7 punkten), att informationssystem som hör till klass A eller B uppfyller de i 33 § avsedda väsentliga krav som ställs enligt deras åtkomständamål (8 punkten) och att det finns en plan för hur egenkontrollen ska ordnas och genomföras inom tjänstetillhandahållarens verksamhet (9 punkten).
I paragrafens 2 mom. föreslås det att informationssäkerhetsplanen dessutom ska innehålla uppgift om hur de särskilda dataskyddsfrågor som gäller dessa riksomfattande informationssystemtjänster har lösts då när tjänstetillhandahållaren har anslutit sig som användare av de riksomfattande informationssystemtjänsterna. En mellanhand ska utarbeta en informationssäkerhetsplan, och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan för de riksomfattande informationssystemtjänster som den förvaltar. Mellanhand definieras i 3 § 19 punkten i denna proposition.
I paragrafens 3 mom. föreskrivs det att Institutet för hälsa och välfärd vid behov får meddela närmare föreskrifter om de utredningar och krav som ska ingå i den informationssäkerhetsplan som avses i 1 och 2 mom. I detta sammanhang avses således inte planen för egenkontroll, vars åtkomständamål är ett annat än åtkomständamålet för den föreslagna informationssäkerhetsplanen. Planen för egenkontroll är offentlig medan informationssäkerhetsplanen inte är det.
27 §.Genomförande av och ansvar för egenkontroll i fråga om informationssäkerheten. I paragrafens 1 mom. förutsätts det att varje tjänstetillhandahållare inom social- och hälsovården aktivt ska följa upp genomförandet av informationssäkerhetsplanen. Tjänstetillhandahållaren ansvarar för att de ärenden som gäller informationssäkerhet, dataskydd och användning och underhåll av informationssystem kontinuerligt sköts korrekt. Den ansvariga föreståndaren hos varje tjänstetillhandahållare ska meddela skriftliga instruktioner om hur kunduppgifterna ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter. Denna föreståndare ska också se till att en informationssäkerhetsplan som avses i 26 § utarbetas och att den iakttas.
Även Folkpensionsanstalten ska i egenskap av förvaltare av de riksomfattande informationssystemtjänsterna göra upp en informationssäkerhetsplan för underhållet och användningen av dessa tjänster, liksom också de mellanhänder som producerar informationssystemtjänsterna och som kan se kunduppgifterna. Tjänstetillhandahållaren, mellanhänderna och Folkpensionsanstalten ska följa upp genomförandet av sin informationssäkerhetsplan. Dessutom ska varje tjänstetillhandahållare och Folkpensionsanstalten ha ett dataskyddsombud för uppföljnings- och tillsynsuppdraget.
Paragrafens 2 mom. behandlar utnämnandet av dataskyddsombud och är av informativ karaktär. Bestämmelser om utnämnande av dataskyddsombud och om deras uppgifter och ställning finns i dataskyddsförordningen. Enligt den kan en medlemsstat i den nationella lagstiftningen förutsätta att ett dataskyddsombud utnämns även i andra situationer än de som avses i artikel 37.1. Till exempel när det nationella handlingsutrymme som avses i artikel 9 tillämpas kan skyldigheten enligt artikel 36 fungera som skyddsåtgärd.
I kunduppgiftslagen stryks bestämmelsen om utnämning av dataskyddsombud, eftersom kravet följer direkt av EU:s dataskyddsförordning. Enligt social- och hälsovårdsministeriet borde kravnivån och förpliktelserna i fråga om utnämningen av dataskyddsombud kvarstå och motsvara nivån på kraven i kunduppgiftslagen, vilket betyder att det inte finns behov av särskild nationell lagstiftning om detta efter ikraftträdandet av dataskyddsförordningen.
6 kap. Informationssystemens åtkomständamål och ibruktagande
28 §.Informationssystemens åtkomständamål och klassificering. I paragrafen föreskrivs det att producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska utarbeta en beskrivning av informationssystemets åtkomständamål och av hur informationssystemet uppfyller de väsentliga krav som ställs på det. Beskrivningen av ett åtkomständamål ska innehålla de egenskaper hos systemet genom vilka de väsentliga krav som ställs på det enligt dess åtkomständamål uppfylls. Informationssystemet ska ha alla de funktioner för åtkomständamålet som lagarna och andra bestämmelser förutsätter. Till exempel det informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt lagen om elektroniska recept.
I paragrafens 2 mom. föreskrivs det om klassificeringen av informationssystemen, som gäller de informationssystem som ska anslutas till Folkpensionsanstaltens riksomfattande informationssystemtjänster. Social- och hälsovårdens informationssystem och välbefinnandeapplikationer uppdelas enligt deras åtkomständamål och egenskaper i klasserna A och B. Till klass A hör de Kanta-tjänster som förvaltas av Folkpensionsanstalten, till exempel arkiveringstjänsten och kundernas informationshanteringstjänst samt de informationssystem eller informationssystemtjänster som ska anslutas till Kanta-tjänsterna (1 och 2 punkten). Klass A anses också omfatta de förmedlingstjänster som används för att överföra uppgifter i regionala eller lokala informationssystem inom hälso- och sjukvården till de riksomfattande informationssystemtjänsterna. Till klass A hör även de övriga informationssystem vars åtkomständamål förutsätter certifiering. Dessa system kan till exempel innefatta sådana system som tillhandahåller s.k. molntjänster (Saas, PaaS, IaaS) för social- och hälsovårdens informationssystem, om verksamheten innebär betydande risker vad gäller dataskyddet eller informationssäkerheten eller sådana system som uppfyller kriterierna för klass B och vars åtkomständamål är såpass kritiskt att det behövs certifiering eller allmänna ärendehanteringssystem som används inom socialtjänster på motsvarande sätt som ett kunduppgiftssystem och som även kan anslutas till riksomfattande informationssystemtjänster via en teknisk förmedlingstjänst. (4 punkten). Till klass A hör även de välbefinnandeapplikationer som utnyttjar sådana kunduppgifter som har registrerats i Kanta-tjänsterna (3 punkten).
I paragrafens 3 mom. föreslås det att de informationssystem och välbefinnandeapplikationer som inte räknas upp i 2 mom. ovan ska höra till klass B.
Informationssystemen i klass B ska vara sådana som varken direkt eller via en förmedlingstjänst är anslutna till de riksomfattande informationssystemtjänsterna. Till exempel ett laboratoriesystem där uppgifterna registreras i patientuppgifterna i ett patientuppgiftssystem hör till klass B även om patientuppgiftssystemet registrerar laboratorieresultaten senare i Kanta-tjänsternas arkiveringstjänst.
I paragrafens 4 mom. föreslås det att Folkpensionsanstalten ska avgöra på basis av bestämmelserna i 2 och 3 mom. huruvida ett informationssystem hör till klass A eller B i de enskilda fall detta är oklart. Dessutom får Institutet för hälsa och välfärd meddela närmare föreskrifter om klassificeringen av informationssystem och välbefinnandeapplikationer samt om de åtkomständamål och tjänster som kräver certifiering.
29 §.Registrering av informationssystem. Producenten av en informationssystemtjänst ska enligt 1 mom. göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om informationssystem som hör till klass A eller B innan de tas i användning för produktion. Av anmälan ska informationssystemets tillverkare och åtkomständamål framgå, och till anmälan ska det fogas en utredning om att de väsentliga krav som ställs på systemet enligt dess åtkomständamål uppfylls. Bestämmelser om väsentliga ändringar som ska göras i informationssystemet finns i 33 § i lagförslaget. Dessutom ska producenten av en informationssystemtjänst göra en anmälan om att en sådan version av ett informationssystem som är avsedd att användas för produktion inte längre stöds eller att stödet övergått till en annan aktör. Om producenten av en informationssystemtjänst är någon annan än tillverkaren, ska också producenten framgå av anmälan. Välbefinnandeapplikationer behöver inte anmälas till Tillstånds- och tillsynsverket för social- och hälsovården, utan uppgifterna om de välbefinnandeapplikationer som har anslutits till riksomfattande informationssystemtjänster förvaltas av Folkpensionsanstalten.
I paragrafens 2 mom. föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem inom social- och hälsovården som anmäls till verket. Registret ska innehålla uppgifter om de informationssystem i klass A eller B som används för produktion (1 punkten). I registret lagras även uppgifter om resultaten av interoperabilitetstestningen av de informationssystem i klass A som har godkänts för att användas i produktion och den tid resultaten är i kraft (2 punkten) samt om giltighetstiden för det överensstämmelseintyg som utfärdats enligt en bedömning av informationssäkerhet (3 punkten). På basis av registret kan de som anskaffar och använder ett informationssystem kontrollera att de informationssystem som de ska skaffa eller som de använder är ändamålsenliga.
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården vid behov meddela närmare föreskrifter om innehållet i anmälan, giltighetstider, ny anmälan och om de uppgifter som ska antecknas i registret.
30 §.Tagande av informationssystem i användning för produktion. I paragrafens 1 mom. föreslås det att ett informationssystem i klass A eller en välbefinnandeapplikation i klass A ska få användas för produktion och anslutas till riksomfattande informationssystemtjänster när bedömningsorganet för informationssäkerhet har beviljat ett överensstämmelseintyg för detta, dvs. när informationssystemet har certifierats.
Enligt 2 mom. får ett informationssystem som hör till klass A eller B inte tas i användning för produktion, om det inte finns giltiga uppgifter om det i det register som förs av Tillstånds- och tillsynsverket för social- och hälsovården, eller om godkännandet av interoperabilitetstestningen av ett informationssystem som hör till klass A inte längre gäller eller om överensstämmelseintyget för bedömning av informationssäkerheten för ett informationssystem som hör till klass A har gått ut.
31 §.Uppföljning efter ibruktagandet av informationssystem. Att informationssystemet eller välbefinnandeapplikationen fungerar och används korrekt behöver följas upp även efter ibruktagandet. Enligt bestämmelsen ska producenten samt tillverkaren av en välbefinnandeapplikation aktivt genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion. Om uppföljningen visar att det har gjorts betydande avvikelser från uppfyllandet av de väsentliga kraven, ska avvikelserna meddelas till samtliga tjänstetillhandahållare som använder systemet. Samtidigt ska producenten ge anvisningar om de åtgärder som ska vidtas i fråga om avvikelserna. Betydande avvikelser i informationssystem och välbefinnandeappplikationer som hör till klass A ska anmälas till bedömningsorganet för informationssäkerhet och Tillstånds- och tillsynsverket för social- och hälsovården. Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att vid behov underrätta Folkpensionsanstalten och övriga myndigheter om de betydande avvikelser som verket har blivit informerad om.
Producenten av en informationssystemtjänst ska även följa upp eventuella ändringar i fråga om de väsentliga kraven på informationssystemen och vid behov göra de justeringar och korrigeringar i sitt informationssystem som dessa ändringar förutsätter. Bestämmelsen om detta finns i 2 mom. Av informationssystem i klass A förutsätts det dessutom att de ändringar som producenten gör ska meddelas till bedömningsorganet för informationssäkerhet och till Folkpensionsanstalten. På basis av dessa meddelanden kan bedömningsorganet bedöma och vid behov också utreda huruvida de gjorda ändringarna har konsekvenser för informationssäkerheten. I samband med detta föreskrivs det också att det vid behov ska utfärdas ett nytt överensstämmelseintyg eller göras en ny interoperabilitetstestning, om de gjorda ändringarna är betydande eller om de väsentliga kraven på informationssäkerheten har ändrats på så sätt att det förutsätts ett nytt godkännande. Bedömningsorganet för informationssäkerhet ska också följa upp hur informationssystemet överensstämmer med kraven.
På basis av 3 mom. ska producenten av en informationssystemtjänst i minst fem år efter att informationssystemet inte längre användas för produktion bevara de uppgifter som gäller överensstämmelsen med kraven och andra uppgifter som tillsynen kräver. Syftet med bevaringsskyldigheten är att säkerställa att det till exempel i eventuella situationer som i efterhand kräver utredning av dataskyddet fortfarande finns tillräcklig information om informationssystems överensstämmelse och de ändringar som har gjorts i dem. Bestämmelsen gäller alla informationssystem oberoende av deras klass.
På basis av bemyndigandet i 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om vilka avvikelser som enligt lagen ska anses vara betydande och hur anmälningarna om dessa ska göras för användarna av informationssystemen, bedömningsorganet för informationssäkerhet, Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
7 kap. Väsentliga krav på informationssystemen
32 §.Allmänna skyldigheter för producenter och tillverkare av en informationssystemtjänst. I paragrafen föreslås det bestämmelser om de allmänna skyldigheterna för producenter och tillverkare av informationssystemtjänster inom social- och hälsovården. En producent av ett informationssystem ska enligt 1 mom. alltid själv ansvara för planeringen och tillverkningen av ett informationssystem inom social- och hälsovården. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen. Detta ansvar är inte beroende av huruvida producenten genomför dessa åtgärder själv eller anlitar underleverantörer eller andra instanser för dessa tjänster och åtgärder. Begreppet producent av informationssystemtjänst ska i detta sammanhang tolkas brett så att det även avser ett företag eller en person som samlar ihop en informationssystemhelhet av flera olika delar som tillhandahålls kunden. Producenten av en informationssystemtjänst ska också kunna verka för en utländsk tillverkares räkning i egenskap av den instans i Finland som ansvarar för uppfyllandet och verifieringen av kraven.
Enligt 2 mom. är producenten av en informationssystemtjänst skyldig att beskriva informationssystemets åtkomständamål och att ge systemanvändarna sådana uppgifter och anvisningar om informationssystemets ibruktagande, användning för produktion och underhåll som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Dessa uppgifter som följer med informationssystemet får lämnas till tjänstetillhandahållaren på finska, svenska eller engelska. Även de anvisningar och andra uppgifter som är avsedda för social- och hälsovårdspersonal som använder ett informationssystem ska finnas på finska eller svenska.
Utöver vad som anges ovan förutsätts det i 3 mom. att tillverkaren av ett informationssystem och av en välbefinnandeapplikation som hör till klass A ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets åtkomständamål förutsätter, till exempel så som föreskrivs i den förordning som upphäver rådets direktiv 93/42/EEG om medicintekniska produkter. Innan förordningen träder i kraft ska direktivet och den nationella lagstiftningen iakttas. Syftet med kvalitetssystemen är att säkerställa att det inte finns några sådana problem med eller brister hos produkten som beror på planeringen eller genomförandet. Ett ändamålsenligt kvalitetssystem som beaktar åtkomständamålet och beaktar kritiskt innehåll kan dessutom främja avhjälpandet av de brister som har upptäckts.
33 §.Väsentliga krav på informationssystemen. Enligt 1 mom. ska ett informationssystem eller en välbefinnandeapplikation som används vid behandling av kunduppgifter uppfylla de väsentliga krav på funktionalitet, interoperabilitet, informationssäkerhet och dataskydd som ställs enligt systemets åtkomständamål. Kraven ska uppfyllas när informationssystemet används såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.
Enligt 2 mom. ska de informationssystem som tjänstetillhandahållaren använder i fråga om sitt åtkomständamål svara mot tjänstetillhandahållarens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem. De väsentliga kraven gör det möjligt att ställa både allmänna och tjänstespecifika minimikrav på informationshanteringen för de tjänstetillhandahållare som producerar olika typer av tjänster. De olika tjänsternas behov av informationshantering kan då tillgodoses på ett ändamålsenligt sätt eftersom informationssystemlösningarna motsvarar de enskilda tjänsternas behov.
Enligt 3 mom. uppfyller informationssystemet de väsentliga kraven då när det har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet, dataskydd, interoperabilitet och funktionalitet och de bestämmelser och beslut som utfärdats med stöd av lagarna. Kraven ska uppfyllas såväl när informationssystemet används självständigt som när det används tillsammans med anslutningsbara informationssystem. Kraven på informationssäkerhet och dataskydd garanterar att uppgifterna registreras och bevaras oförändrade i alla de olika situationer där de används. Behandlingen och utlämnandet av uppgifterna ska dessutom ske så att sekretessbelagda uppgifter inte kan behandlas av någon annan än de personer som enligt lagstiftningen har rätt att göra detta.
Med interoperabilitet avses informationssystemens förmåga att utbyta information och att använda sådan information. Enligt definitionen ska systemen också ha teknisk och datainnehållsmässig interoperabilitet med de andra informationssystemen inom social- och hälsovården, dvs. vara semantiskt interoperabla, om dessa använder samma uppgifter i sina egna processer. Tack vare datainnehållets interoperabilitet kan datainnehållet tolkas enhetligt i alla organisationer.
Informationssäkerheten hänför sig delvis till den interoperabilitet som behandlas ovan, eftersom syftet med informationssäkerheten är att säkerställa uppgifternas integritet och oförvanskade form och dessutom deras tillgänglighet och användbarhet. Syftet med dataskyddet är att sörja för att konfidentiella och sekretessbelagda klient- och patientuppgifter behandlas endast inom lagstiftningens gränser. Uppgifter ska få behandlas endast av de personer som har rätt till det och användas endast då när det finns en lagenlig grund för användningen.
Kraven på informationssystemens funktionalitet definierar vad informationssystemet gör och hur. Kraven på funktionaliteten innefattar bland annat hur informationssystemet ska kommunicera med dess miljö och hur användarna ska arbeta med informationssystemet. Dessutom innefattar denna funktionalitet informationssystemets användbarhet, dvs. hur lätt och konsekvent användningen av informationssystemet är.
Ett system som kan anses fungera tillsammans med ett annat informationssystem ska vara interoperabelt med de andra informationssystem till vilka det ska anslutas. Interoperabiliteten är en förutsättning för att uppgifterna behandlas korrekt och kan överföras mellan informationssystemen.
Av informationssystem inom social- och hälsovården förutsätts det också att kraven i fråga om funktionaliteten uppfylls. Med funktionalitet avses i detta sammanhang att informationssystemet är lämpligt för det åtkomständamål för vilket det marknadsförs. Det ska kunna realisera alla de funktioner som gäller åtkomständamålet och som förutsätts i lagarna och i de övriga bestämmelserna. Till exempel det informationssystem som används för att göra upp recept ska ha alla de egenskaper som krävs enligt receptlagen. Även informationssystemets användbarhet är en del av funktionaliteten. Detta innebär att användarna av informationssystemet genom de anvisningar och den utbildning som de får ska kunna använda informationssystemet eller programmen på det sätt som tillverkaren har avsett och anvisat. Uppfyllandet av de väsentliga kraven ska i fråga om informationssystemen i klass A dessutom verifieras genom certifiering. Det är producenten av informationssystemtjänsten som ansvarar för verifieringen.
I paragrafens 4 mom. föreskrivs det om normgivningsbemyndiganden. Enligt förslaget ska Institutet för hälsa och välfärd meddela närmare föreskrifter om innehållet i de väsentliga kraven. Föreskrifterna säkerställer att de program och informationssystem som används uppfyller lagarnas krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. Vid beredningen av en föreskrift ska Institutet för hälsa och välfärd höra berörda intressentgrupper i enlighet med principerna om god förvaltningspraxis. I bestämmelsen krävs det dessutom uttryckligen att Institutet för hälsa och välfärd ska höra delegationen för elektronisk informationsadministration inom social- och hälsovården innan institutet meddelar en föreskrift. De väsentliga kraven och föreskrifterna om dem ska godkännas i god tid innan de krav som dessa innehåller träder i kraft. Tillverkarna av informationssystem ska dessutom reserveras en tillräcklig och skälig tid för uppfyllandet av kraven och visandet av överensstämmelsen med kraven. Dessutom får Folkpensionsanstalten meddela föreskrifter om förfarandena för att verifiera att de informationssystem som ska anslutas till Kanta-tjänsterna är interoperabla med Kanta-tjänsterna och de övriga informationssystem som är anslutna till dessa. I praktiken ska detta genomföras genom en gemensam testning av informationssystemen.
34 §.Påvisande av överensstämmelse med kraven. I paragrafens 1 mom. föreskrivs det om det förfarande genom vilket producenten av en informationssystemtjänst ska påvisa att systemet uppfyller de väsentliga kraven. Enligt 1 mom. ska påvisandet av att ett informationssystem i klass A överensstämmer med kraven basera sig på tre olika delområden. Dessa gäller funktionaliteten, interoperabiliteten, dataskyddet och informationssäkerheten.
Kraven på funktionalitet ska påvisas genom att producenten lämnar en utredning om att informationssystemet uppfyller alla de krav som gäller funktionaliteten. Uppfyllandet av kraven på interoperabilitet ska påvisas genom en gemensam testning som organiseras av Folkpensionsanstalten. De närmare bestämmelserna om den gemensamma testningen finns i 35 § i lagförslaget. Uppfyllandet av informationssäkerheten och dataskyddet ska däremot visas genom att bedömningsorganet för informationssäkerhet beviljar ett överensstämmelseintyg på basis av en bedömning av informationssäkerheten. Bedömningen av informationssäkerheten görs i enlighet med lagen om bedömningsorgan för informationssäkerhet och de nya bestämmelser som föreslås i kunduppgiftslagen. Bestämmelserna om informationssäkerhet finns i 36 § i lagförslaget.
I paragrafens 2 mom. föreslås det att överensstämmelsen med kraven i fråga om de informationssystem som hör till klass B ska kunna påvisas genom ett lättare förfarande än det som gäller informationssystemen i klass A. Ett informationssystem i klass B kan tas i bruk efter det att producenten av informationssystemet har gett en skriftlig utredning om att informationssystemet uppfyller de föreskrivna väsentliga kraven. Informationssystemet ska uppfylla de väsentliga krav som ställs enligt dess åtkomständamål, om det har installerats, underhållits och använts på behörigt sätt. En välbefinnandeapplikation i klass B ska uppfylla de förutsättningar för godkännande som Institutet för hälsa och välbefinnande har angivit med stöd av 4 mom. samt bli godkänd i den testning som Folkpensionsanstalten samordnar.
Enligt 3 mom. ska producenten av en informationssystemtjänst ansvara för bedömningen av de väsentliga kraven på funktionalitet hos informationssystem som hör till klass A eller B. Producenten av informationssystemtjänsten ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets åtkomständamål har genomförts i systemet.
Enligt 4 mom. får Institutet för hälsa och välfärd meddela närmare föreskrifter om de förfaranden som ska iakttas vid visande av överensstämmelse med kraven och om innehållet i utredningen. Det förfarande som ska iakttas vid påvisande av överensstämmelsen med kraven innefattar också hur producentens utredning ska delges användarna av informationssystemen och myndigheterna. Institutet för hälsa och välfärd får också meddela föreskrifter om förutsättningarna och förfarandena för godkännande av program som hänför sig till datalagret för egna uppgifter.
Närmare föreskrifter än de som finns i lag behövs särskilt för de utredningar av visande av överensstämmelse med kraven som producenten ska ge för de informationssystem som hör till klass B.
35 §.Interoperabilitetstestning. I 1 mom. föreskrivs det att informationssystem och välbefinnandeapplikationer i klass A ska vara interoperabla med de riksomfattande informationssystemtjänster och övriga informationssystem i klass A som förvaltas av Folkpensionsanstalten. Interoperabiliteten ska påvisas genom interoperabilitetstestning. Genom denna testning påvisas att ett nytt eller ändrat informationssystem är interoperabelt med de övriga informationssystem som är anslutna till de riksomfattande informationssystemtjänsterna.
Interoperabiliteten ska påvisas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. En förutsättning för at få delta i testning är att producenten av informationssystemtjänsten redogör för hur informationssystemet uppfyller alla de krav som gäller informationssystemets funktionalitet. I redogörelsen måste också kunna påvisas att uppfyllandet av kraven på funktionalitet har konstaterats genom åtkomsttest. Tidpunkten för testningen och de praktiska arrangemangen ska fastslås tillsammans med den ansvariga Folkpensionsanstalten.
I paragrafens 2 mom. föreskrivs det att alla de informationssystem i klass A som används för produktion ska genomgå interoperabilitetstestning även i fortsättningen. Syftet med testningen uppfylls inte om det nya informationssystemet endast testas i förhållande till de system som förvaltas av Folkpensionsanstalten. Därför är det viktigt att även de andra informationssystem som redan används i produktionen tas med i testningen. Eftersom informationssystemen utvecklas kontinuerligt, gagnar dessa interoperabilitetstestningar även de äldre system som är med i testningen. Alla informationssystem som används i produktionen behöver dock inte vara med i alla testningar, och därför ska Folkpensionsanstalten bestämma vilka informationssystem som ska tas med i respektive testning. De producenter av informationssystem som deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett positivt yttrande om uppfyllandet av kraven på interoperabilitet när kraven har verifierats.
I paragrafens 3 mom. föreskrivs det att de informationssystem som förvaltas av Folkpensionsanstalten inte behöver genomgå en separat gemensam testning som en del av visandet av uppfyllandet av de väsentliga kraven, med undantag för gränssnittet för professionellt bruk, som ska tas med i den gemensamma testningen. Interoperabiliteten hos de system som förvaltas av Folkpensionsanstalten visas vid de gemensamma testningar som utförs med de andra informationssystemen.
36 §.Bedömning av informationssäkerhet. På basis av förslaget i 1 mom. kan bedömningsorganet för informationssäkerhet utföra uppgifter i anknytning till bedömningen av överensstämmelsen i fråga om de informationssystem och välbefinnandeapplikationer som hör till klass A och bevilja de överensstämmelseintyg som avses i 34 § i lagförslaget. Bedömningen skiljer sig från de övriga bedömningar av informationssäkerhet som görs enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011) eftersom man inom social- och hälsovården endast bedömer de informationssystem och välbefinnandeapplikationer som hör till klass A. Ändamålsenligheten i fråga om de verksamhetslokaler som innehas av en producent eller tillverkare av en informationssystemtjänst eller av en tillverkare eller användare av en välbefinnandeapplikation får dock varken bedömas eller inspekteras. Bedömningen av informationssystemet och det överensstämmelseintyg som baserar sig på den kan beviljas på ansökan av producenten av en informationssystemtjänst eller en tillverkare av en välbefinnadeapplikation. Bedömningen ska göras i enlighet med de väsentliga kraven på informationssystemets åtkomständamål eller omfattningen av de ändringar som gjorts i systemet.
I paragrafens 2 mom. föreskrivs det om beviljandet av överensstämmelseintyg. Om ett sådant informationssystem eller en sådan välbefinnandeapplikation i klass A för vilken det till bedömningsorganet för informationssäkerhet på behörigt sätt har lämnats en ansökan uppfyller de väsentliga kraven, ska bedömningsorganet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett överensstämmelseintyg och en tillhörande kontrollrapport. Innan bedömningsorganet beviljar överensstämmelseintyget ska det dock få ett positivt yttrande av Folkpensionsanstalten om att informationssystemet uppfyller de krav på interoperabilitet som anslutningen till de riksomfattande informationssystemtjänsterna förutsätter. Detta positiva yttrande ska bygga på en utförd interoperabilitetstestning. Systemen har mycket olika åtkomständamål och bedömningen behövs både för de helheter som innehåller en stor mängd data och för de mindre system som är avsedda för särskilda behov. Omfattningen av bedömningen ska dock alltid motsvara systemets åtkomständamål.
I paragrafens 3 mom. föreskrivs det att ett beviljat överensstämmelseintyg är i kraft högst fem år. Bedömningsorganet kan besluta att intyget ska vara i kraft en kortare tid, om det på grund av informationssystemets utvecklingsfas eller en planerad revidering av de väsentliga kraven eller andra motsvarande faktorer är uppenbart att informationssystemet inte kommer att uppfylla de väsentliga kraven i fem år utan betydande ändringar. Bedömningsorganet kan förlänga giltigheten för överensstämmelseintyget. Detta kan göras för högst fem år åt gången. När förlängningen av giltigheten för överensstämmelseintyget bedöms, kan bedömningsorganet kräva att tillverkaren ska lämna alla de uppgifter som förutsätts för bedömningen så att överensstämmelseintyget kan utfärdas och upprätthållas.
Bedömningsorganet för informationssäkerhet ska vid behov göra bedömningar av informationssystemet och dess tillverkare. Utgångspunkten är att bedömningarna i första hand ska basera sig på de anmälningar om ändringar i informationssystemet som tillverkaren har gjort. Dessutom bör de konsekvenser som ändringar i bestämmelser, föreskrifter och anvisningar har för informationssystemet bedömas. Vid behov kan bedömningsorganet också kontrollera informationssystem och deras tillverkare för att säkerställa att tillverkaren tillämpar sådana förfaranden i dess utvecklingsarbete som garanterar att uppfyllandet av de väsentliga kraven på informationssäkerhet är kontinuerligt. Tillverkaren ska lämna en rapport om bedömningen på basis av kontrollerna.
Utöver det som anges ovan ska på utfärdande av överensstämmelseintyg tillämpas de bestämmelser och förfaranden som finns i 9 § i lagen om bedömningsorgan för informationssäkerhet.
37 §.Återkallelse av överensstämmelseintyg. I paragrafens 1 mom. föreskrivs det om de förutsättningar enligt vilka bedömningsorganet ska återkalla ett överensstämmelseintyg som det har beviljat för ett informationssystem eller en välbefinnandeapplikation i klass A. Om bedömningsorganet för informationssäkerhet konstaterar att ett informationssystem eller en välbefinnandeapplikation inte har uppfyllt eller inte längre uppfyller de krav som föreskrivs i lag eller att ett överensstämmelseintyg av någon annan orsak inte borde ha beviljats, ska bedömningsorganet uppmana producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen att avhjälpa bristerna. Det ska fastställas en tidsfrist för avhjälpandet av bristerna. När tiden fastställs ska bedömningsorganet beakta bristens betydelse och omfattning samt den tid som i allmänhet behövs för att avhjälpa bristen i fråga.
I paragrafens 2 mom. föreskrivs det om de åtgärder som bedömningsorganet för informationssäkerhet vidtar om inte producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen avhjälper bristerna inom den tidsfrist som bedömningsorganet har angett. Om de konstaterade bristerna inte avhjälps inom den angivna tidsfristen, ska bedömningsorganet för informationssäkerhet återkalla intyget för en bestämd tid eller helt och hållet eller bevilja ett begränsat intyg. Begränsningen kan till exempel gälla intygets giltighetstid eller de uppgifter för vars behandling systemet får användas. När tidsfristens fastställs ska det beaktas att den tid som ges för att korrigera informationssystemet ska vara rimlig.
Om bedömningsorganet för informationssäkerhet återkallar intyget för en bestämd tid eller helt och hållet eller beviljar ett begränsat intyg, ska behövliga anmälningar till Tillstånds- och tillsynsverket för social- och hälsovården göras. På det sättet verkställs rättsskyddet för producenten av informationstjänsten eller tillverkaren av välbefinnandeapplikationen i enlighet med 45 och 51 § i propositionen då Tillstånds- och tillsynsverket för social- och hälsovården fattar beslut.
Bestämmelser om de skyldigheter och rättigheter som gäller för bedömningsorganet för informationssäkerhet finns i lagen om bedömningsorgan för informationssäkerhet (1405/2011). Den lagen hör till kommunikationsministeriets förvaltningsområde.
38 §.Anmälningsskyldighet för bedömningsorgan för informationssäkerhet. I paragrafens 1 mom. föreskrivs det att bedömningsorganet för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla överensstämmelseintyg som har beviljats, ändrats eller kompletterats eller som har återkallats för viss tid eller helt och hållet eller förvägrats samt om de uppmaningar och begränsningar som avses i 37 § ovan.
I paragrafens 2 mom. föreskrivs det att bedömningsorganet dessutom ska lämna Tillstånds- och tillsynsverket för social- och hälsovården på dess begäran alla de ytterligare uppgifter om informationssystemen och välbefinnandeapplikationerna i klass A som behövs för tillsynen och för vilka bedömningsorganet har beviljat ett överensstämmelseintyg.
8 kap. Styrning och tillsyn
39 §.Styrning, övervakning och uppföljning. I paragrafens 1 mom. föreskrivs det om att social- och hälsovårdsministeriet ansvarar för den allmänna strategiska planeringen och styrningen av de riksomfattande informationssystemtjänsterna samt för beslutsfattandet om totalfinansieringen av betydande informationsadministrationsprojekt. Ministeriets ansvar motsvarar då det ansvar som det även i övrigt har för den riksomfattande planeringen och styrningen av social- och hälsovården. Ministeriets allmänna behörighet inom styrningen innefattar även att sörja för informationssystemens interoperabilitet vid verkställandet av informationsadministrationen inom social- och hälsovården. Den allmänna styrningen och övervakningen av den certifikattjänst som sköts av Befolkningsregistercentralen hör likväl gemensamt till social- och hälsovårdsministeriets och finansministeriets uppgifter.
Enligt 2 mom. ansvarar Institutet för hälsa och välfärd för planeringen och styrningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationsadministrationen i anslutning därtill samt av användningen och utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och de gemensamma datalager som hänför sig till olika förvaltningsområden. Dessutom ansvarar Institutet för hälsa och välfärd för uppföljningen av de uppgifter som hänför sig till dessa.
Den operativa styrningen och styrningen av finansieringen som ska innefattas i behörigheten för Institutet för hälsa och välfärd ska genomföras i enlighet med det beslutsfattande som gäller finansieringen av social- och hälsovårdsministeriets strategiska styrning och tillsyn samt betydande informationsadministrationsprojekt.
I paragrafens 3 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde ska styra och övervaka i enlighet med sin behörighet efterlevnaden av denna lag.
I paragrafens 4 mom. föreskrivs det om tjänstetillhandahållarens rätt att vid behov utreda om dess personals användning och åtkomst till uppgifterna är ändamålsenligt. För uppföljningen och övervakningen av dataskyddet och informationssäkerheten har tjänstetillhandahållaren rätt att få logguppgifter för sina egna kundregister från Folkpensionsanstalten, logguppgifter i anslutning till behandlingen av uppgifter i en informationshanteringstjänst som avses i 11 § i lagförslaget samt logguppgifter för det datalager för egna uppgifter som avses i 12 § i lagförslaget, till den del som anställda hos tjänstetillhandahållaren har haft åtkomst till och behandlat uppgifter i kundens informationshanteringstjänst och i datalagret för egna uppgifter, om det behövs för att utreda om behandlingen av kunduppgifter är lagenlig.
40 §.Övervakning och inspektioner av informationssystem. I paragrafens 1 mom. föreskrivs det att Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja överensstämmelsen med kraven i fråga om informationssystemen inom social- och hälsovården. Tillsynen enligt lagen kompletterar den övriga tillsyn över social- och hälsovården som utövas av Tillstånds- och tillsynsverket för social- och hälsovården och regionförvaltningsverket, vars syfte är att säkerställa att tjänstetillhandahållarna följer bestämmelserna.
Bestämmelser om metoderna för genomförandet av tillsynen finns i 2 mom. Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner i syfte att verkställa tillsynen. För genomförandet av inspektionerna har den som utför en inspektion rätt att få tillträde till alla lokaler där tillverkare och tjänstetillhandahållare eventuellt förvarar uppgifter som är viktiga för bedömningen av informationssystemens överensstämmelse med kraven. Detta kan gälla till exempel tillverkares verksamhetslokaler, arkiv och andra motsvarande utrymmen samt alla de lokaler som används av tjänstetillhandahållarna inom social- och hälsovården. Inspektionsrätten gäller dock inte sådana lokaler som används för permanent boende. Vid en inspektion ska dessutom 39 § i förvaltningslagen (434/2003) iakttas.
Bestämmelser om utförandet av inspektioner finns i 3 mom. För att uppfylla syftet med inspektionen får den utföras utan förhandsanmälan. Den som utför inspektionen har rätt att få se alla de handlingar som behövs för att utföra inspektionen. Inspektören har också rätt att få kopior på de handlingar som denna anser behövs. Det får även tas bilder av de lokaler som inspekteras.
På basis av 4 mom. ska det föras protokoll över inspektionen. Föremålet för inspektionen ska få en kopia av protokollet inom 30 dagar från det att inspektionen utfördes. På basis av kopian får den som utför inspektionen detaljerade uppgifter om inspektionen och de observationer som har gjorts vid den. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara det ursprungliga protokollet över inspektionen i 10 år från den dag inspektionen avslutades.
41 §.Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem. I paragrafen föreskrivs det att en tjänstetillhandahållare som konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem ska underrätta producenten av informationssystemtjänsten om saken. Om en avvikelse kan innebära en betydande risk för patientsäkerheten, informationssäkerheten eller dataskyddet ska tjänstetillhandahållaren, producenten eller tillverkaren av informationssystemtjänsten eller Folkpensionsanstalten underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Till exempel en tjänstetillhandahållare kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som denna har upptäckt. Även andra instanser eller aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker.
42 §.Rätt att få information. Enligt bestämmelsen har Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna rätt att för tillsynen över informationssystemen inom social- och hälsovården få all nödvändig information av statliga och kommunala myndigheter samt fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut om riksomfattande informationssystem som utfärdats med stöd av denna lag. Informationen ska lämnas till Tillstånds- och tillsynsverket för social- och hälsovården trots sekretessbestämmelserna.
43 §.Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter. Det finns många olika informationssystem inom social- och hälsovården, och produkterna i dem har många invecklade och olika egenskaper. Den inspekterande myndighetens experter kan inte behärska alla olika egenskaper hos informationssystemen. Tillsynen förutsätter dock alltid en experts bedömning och därför föreslås det i 1 mom. att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att från fall till fall använda utomstående experter som biträden vid bedömning av informationssystem. De utomstående experterna får delta i inspektioner enligt denna lag samt undersöka och testa informationssystem, men de får inte utöva offentlig makt eller fatta förvaltningsbeslut. De utomstående experternas uppgift kan således anses vara av biträdande natur.
Enligt 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Dessutom ska regleringen uppfylla de krav i 124 § i grundlagen enligt vilka bemyndiganden ska vara exakt avgränsade, bestämmelserna generellt sett exakta och i övrigt tillbörliga samt enligt vilka de involverade ska vara lämpliga och behöriga.
I paragrafens 2 mom. föreskrivs det om att utomstående experter ska omfattas av förvaltningslagens bestämmelser om tjänstemannajäv och bestämmelserna om straffrättsligt tjänsteansvar när de utför uppgifter enligt denna lag.
I paragrafens 3 mom. föreskrivs det om sekretessen för experter. De utomstående experterna omfattas av samma sekretessbestämmelser som tjänstemännen när de behandlar känsliga klient- och patientuppgifter i sin uppgift. Bestämmelser om sekretessen gällande handlingar inom socialvården, om tystnadsplikten gällande uppgifter inom socialvården samt om förbud mot utnyttjande av information finns i 14 och 15 § i klientlagen inom socialvården. Bestämmelser om sekretess för de uppgifter som ingår i journalhandlingarna finns i 13 § i patientlagen. Sekretessen gäller även efter att experten har slutfört uppgiften. I bestämmelsen föreskrivs också att utomstående experter omfattas av bestämmelserna om tjänstemannajäv.
44 §. Föreläggande att fullgöra skyldigheter. I paragrafen föreslås det att Tillstånds- och tillsynsverket för social- och hälsovården ska ha rätt att kräva att en producent eller tillverkare av en informationssystemtjänst, en tjänstetillhandahållare, en mellanhand eller en Folkpensionsanstalt som underlåtit att fullgöra sin skyldighet enligt denna lag som gäller informationssystemen eller användningen av dem ska uppfylla sin skyldighet enligt lagen. Bestämmelsen behövs för att tillsynsmyndigheten ska ha tillräckligt effektiva metoder för att säkerställa efterlevnaden av lagen. En av tillsynsmyndighetens basuppgifter är att ingripa om lagens bestämmelser inte iakttas. Om myndighetens uppmaning inte följs, ska Tillstånds- och tillsynsverket för social- och hälsovården ha en möjlighet att ålägga den berörda att iaktta lagen inom en viss tid. Bestämmelsen omfattar alla de förpliktelser i lagen som gäller informationssystem eller användningen av dem.
45 §.Skyldigheter avseende informationssystem som är i bruk. Om ett informationssystem inte uppfyller de väsentliga kraven, ska producenten eller tillverkaren i regel ta intitiativ för att vidta korrigerande åtgärder. Utöver detta har Tillstånds- och tillsynsverket för social- och hälsovården enligt 1 mom. i den föreslagna bestämmelsen en möjlighet att i samband med den i 40 § avsedda tillsynen och inspektionen av informationssystemen ålägga producenten eller tillverkaren av en informationssystemtjänst att avhjälpa de brister som gäller de informationssystem som används för produktion, om det finns skäl att misstänka att producenten eller tillverkaren inte annars vidtar de åtgärder som behövs för att korrigera informationssystemet.
Enligt 2 mom. får Tillstånds- och tillsynsverket för social- och hälsovården förbjuda användningen av ett informationssystem, om det inte har korrigerats inom den tidsfrist som Tillstånds- och tillsynsverket för social- och hälsovården har angett och om systemet äventyrar klientsäkerheten eller patientsäkerheten. Förbudsrätten gäller även de situationer där sekretessen för de klientuppgifter och patientuppgifter som ska hemlighållas äventyras. Förbudet kan vara i kraft tills den egenskap som äventyrar säkerheten eller dataskyddet har korrigerats. Folkpensionsanstalten kan dessutom stänga förbindelsen till de riksomfattande informationssystemtjänster som den förvaltar över, om det finns en risk för att ett system som är anslutet till dem eller en organisation som använder dem kan äventyra den behöriga funktionen hos de riksomfattande informationssystemtjänsterna. I dessa situationer påminner Folkpensionsanstaltens verksamhet om faktisk förvaltningsverksamhet. I dessa eventuellt mycket brådskande och avvikande situationer fattar Folkpensionsanstalten dock inte förvaltningsbeslut. Ifall Folkpensionsanstalten stänger åtkomsten till sina riksomfattande informationssystemtjänster, ska Folkpensionsanstalten anmäla detta till tillsynsmyndigheten, dvs. till Tillstånds- och tillsynsverket för social- och hälsovården. Bestämmelser om detta finns även i en lag som har samband med genomförandet Europeiska unionens av direktiv om nät- och informationssäkerhet (RP 192/2017 rd). I den propositionen konstateras det att den gällande klientuppgiftslagen inte behöver ändras eftersom lagen uppfyller kraven i direktivet. Då föreslagna 2 mom. i denna paragraf inte ändrar bestämmelsen jämfört med den gällande klientuppgiftslagen överensstämmer även detta förslag med direktivet om informationssäkerhet.
Enligt 3 mom. kan Tillstånds- och tillsynsverket för social- och hälsovården ålägga producenten av informationssystemet eller en av denne befullmäktigad representant att informera om förbud och förelägganden som gäller användningen av informationssystemet i produktion. Tillstånds- och tillsynsverket för social- och hälsovården kan även bestämma hur informerandet ska ske och den tid inom vilken det ska informeras om saken. Syftet med förpliktelsen är att säkerställa att tjänstetillhandahållarna känner till bristerna i informationssystemen och begränsningarna i fråga om användningen.
9 kap. Särskilda bestämmelser
46 §.Delegationen för elektronisk informationsadministration inom social- och hälsovården. Enligt paragrafen finns i anslutning till social- och hälsovårdsministeriet delegationen för elektronisk informationsadministration inom social- och hälsovården, som ska sköta behandlingen av principfrågor som gäller elektronisk informationshantering inom social- och hälsovården, utförandet av de riksomfattande informationssystemtjänster som avses i 6 § och förenhetligande och utveckling av tjänsteanvändarnas informationssystem. Syftet med delegationen är att trygga möjligheterna för användarna av riksomfattande tjänster att påverka i sådana frågor som är viktiga för dem vid genomförandet av de riksomfattande informationssystemtjänsterna. Närmare bestämmelser om delegationens uppgifter och sammansättning får utfärdas genom förordning av statsrådet. Genom förordning ska särskilt utfärdas bestämmelser om de uppgifter för delegationen som är av betydelse för de olika parterna, som till exempel om deltagandet i beredningen av bestämmelser, anvisningar och förelägganden i anknytning till genomförandet av informationssystem, främjandet av interoperabiliteten hos tjänsteanvändarnas informationssystem och av utvecklandet av dem samt uppföljningen av genomförandet av riksomfattande informationssystemtjänster och uppföljningen av ekonomi, andra resurser och användaravgifter.
47 §.Avgifter. I paragrafens 1 mom. föreskrivs det att användningen av de riksomfattande informationssystemtjänster som sköts av Folkpensionsanstalten och Befolkningsregistercentralen och som avses i 6 § är avgiftsbelagd för tjänstetillhandahållarna. Avgifterna inom den kommunala hälso- och sjukvården tas ut enligt sjukvårdsdistrikt hos samkommunen för sjukvårdsdistriktet. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgiften ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. De avgifter som tas ut för Befolkningsregistercentralens prestationer anges i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den.
I paragrafens 2 mom. föreslås det att Folkpensionsanstalten och Befolkningsregistercentralen årligen ska lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för åtkomstavgifterna för det följande året.
I paragrafens 3 mom. föreslås det att producenten av en informationssystemtjänst ska ansvara för de kostnader som orsakas av påvisandet av överensstämmelsen med kraven. Folkpensionsanstalten har rätt att ta ut en avgift för den gemensamma testning som avses i 35 § till ett självkostnadsvärde enligt 6 § 1 mom. i lagen om grunderna för avgifter till staten. Registrering och införande av en i 29 § i denna lag avsedd anmälan i ett offentligt register hos Tillstånds- och tillsynsverket för social- och hälsovården är avgiftsbelagt. Avgifterna bestäms genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och i bestämmelser som utfärdats med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.
48 §.Straffbestämmelser. I paragrafen föreskrivs det om att det för brott mot skyldigheterna enligt vissa bestämmelser i den föreslagna lagen ska dömas ut böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, Straff för gärningarna eller försummelserna förutsätter uppsåtlighet eller grov oaktsamhet. Genom straffbestämmelsen betonas att de personer som har åtkomst till kunduppgifter kan behandla uppgifterna endast när de har kundens samtycke till det eller någon annan uttrycklig rätt som baserar sig på lag.
Straffbestämmelsen gäller bestämmelserna i lagens 2–5 kap. Dessa kapitel gäller behandling av kunduppgifter, utlämnande av patientuppgifter samt skötseln av de riksomfattande informationssystemtjänsterna. Brottsrubriceringen är förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården när uppgifter används och är tillgängliga i strid med de ovannämnda bestämmelserna.
Den som uppsåtligen eller av grov oaktsamhet bryter mot identifieringsskyldigheten i 16 §, lämnar ut sökuppgifter i strid med 25 §, lämnar ut kunduppgifter utan kundens samtycke enligt 19–21 § eller utan att en bestämmelse i lag tillåter det eller försummar sin skyldighet att informera enligt 15 § och på så sätt äventyrar kundens integritetsskydd eller hans eller hennes rättigheter i övrigt ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter.
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen (39/1889) och för personregisterbrott i 9 § i det kapitlet. Till straff för brott mot sekretess döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.
49 §.Handräckning av polisen. I den föreslagna paragrafen föreskrivs det om polisens skyldighet att ge Valvira handräckning om det behövs för att utföra en inspektion. I praktiken torde handräckning behövas endast om den instans som ska inspekteras motsäger sig utförandet av inspektionen eller på något annat sätt försöker försvåra utförandet av inspektionen.
50 §.Vite. Enligt förslaget kan skyldigheterna i lagen förenas med vite i enlighet med vad som föreskrivs i viteslagen (1113/1990). Dessutom föreslås det att Valvira får meddela föreläggande för den som beslutet avser, om Valviras beslut inte iakttas. Motsvarande bestämmelser finns i lagen om produkter och utrustning för hälso- och sjukvård. Vite och hot om tvångsutförande är sinsemellan alternativa regleringsmöjligheter. I praktiken är hotet om tvångsutförande främst ett teoretiskt alternativ därför att de utomstående aktörerna inte har möjlighet att korrigera eller ändra informationssystemet.
51 §.Ändringssökande. I paragrafen föreskrivs om sökande av ändring i beslut som fattats av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av den föreslagna lagen. I regel söks enligt 1 mom. ändring hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).
Enligt 2 mom. får ändring i ett beslut som har meddelats i samband med en inspektion inte sökas utan att det först begärs omprövning hos tillstånds- och tillsynsverket. I beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat på grund av en begäran om omprövning söks ändring hos förvaltningsdomstolen. Förfarandet motsvarar vad som föreskrivs till exempel i lagen om produkter och utrustning för hälso- och sjukvård och i läkemedelslagen (393/1987).
I 49 § i förvaltningslagen (434/2003) föreskrivs det om begäran om omprövning och besvärsförbud. Enligt den paragrafen får omprövning begäras av den som ett beslut avser eller den vars rätt, skyldighet eller fördel direkt påverkas av beslutet. I 46 § i förvaltningslagen föreskrivs det bland annat om att det samtidigt med beslutet ska ges en anvisning om begäran om omprövning. Enligt 3 mom. ska de beslut som fattas av Tillstånds- och tillsynsverket för social- och hälsovården med stöd av lagen ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
10 kap. Ikraftträdande- och övergångsbestämmelser
52 §.Ikraftträdande. Lagen föreslås träda i kraft den 1 mars 2019.
Genom lagen upphävs lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården.
53 §.Övergångsbestämmelser. Syftet med den nya kunduppgiftslag som föreslås är att förtydliga den elektroniska behandlingen av kunduppgifter inom social- och hälsovården, men så att lagens bestämmelser i huvudsak baserar sig på den gällande lagen. Övergångsbestämmelserna garanterar bland annat att socialvården får tillräckligt tid för att ta i bruk de riksomfattande informationssystemtjänsterna.
I paragrafens 1 mom. föreslås det att tjänstetillhandahållarna inom den offentliga socialvården ska ansluta sig till arkiveringstjänsten för kunduppgifter inom de riksomfattande informationssystemtjänsterna senast från och med den 1 januari 2023 och tjänstetillhandahållarna inom den privata socialvården senast från och med den 1 januari 2025. De privata tjänstetillhandahållare som producerar tjänster för en offentlig tjänstetillhandahållares räkning ska följa samma tidtabell för anslutningen som de offentliga tjänstetillhandahållarna.
I paragrafens 2 mom. föreskrivs det om de rättigheter enligt 14 § som gäller användningen av kunduppgifter. Det föreslås att skyldigheten att datatekniskt säkerställa ett samband inom socialvården ska gälla senast från och med den 1 januari 2021 eller senast från det att klienthandlingar inom socialvården lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Till övriga delar ska paragrafen träda i kraft då lagen träder i kraft.
I paragrafens 3 mom. föreslås det att den rätt som klienten eller patienten enligt 17 § i lagförslaget har att förbjuda utlämnande av sina kunduppgifter ska tillämpas senast då kundhandlingar ska lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten. Inom hälso- och sjukvården ska bestämmelsen tillämpas genast då lagen har trätt i kraft, eftersom det redan nu lämnas ut patientuppgifter. Inom socialvården är förbudsrätten bunden till ibruktagandet av funktionen för utlämnandet av klienthandlingarna inom socialvården.
I paragrafens 4 mom. föreslås det att 18 § om meddelande av förbud ska tillämpas inom socialvården från och med den 1 januari 2021 eller i fråga om klienthandlingarna inom socialvården senast då sådana handlingar lämnas ut från den arkiveringstjänst som avses i 6 § 1 mom. 1 punkten.
I 5 mom. föreslås det att lagens 20 § ska tillämpas senast den 1 januari 2021. I den paragrafen föreskrivs det om utlämnande av klientuppgifter inom socialvården från de riksomfattande informationssystemtjänsterna.
Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.