Siirry esitykseen
HE 246/2022
Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen käsittelystä sekä siihen liittyviksi laeiksi
StVM 48/2022 vp HE 246/2022 vp
Esityksessä ehdotetaan säädettäväksi uusi laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä. Samalla kumottaisiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki ja sosiaalihuollon asiakasasiakirjoista annettu laki sekä muissa laeissa oleva asiakastietojen käsittelyä koskeva sääntely, joka sisältyy uuteen lakiin. Lisäksi esityksessä ehdotetaan tehtäväksi uuden lain johdosta välttämättömät muutokset 34:een lakiin.
Uusi laki sisältäisi keskeisen sosiaali- ja terveydenhuollon asiakastietojen ja asiakirjojen käsittelyä sekä sosiaali- ja terveydenhuollon tietojärjestelmiä koskevan sääntelyn.
Sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskeva sääntely päivitettäisiin kokonaisuudessaan yhteensopivaksi EU:n yleisen tietosuoja-asetuksen kanssa. Asiakastietojen ja asiakasasiakirjojen käsittelyä koskevaa sääntelyä yhtenäistettäisiin sosiaali- ja terveydenhuollon välillä. Asiakastietojen luovutuksia koskevaa sääntelyä selkiytettäisiin niin, että se olisi asiakkaiden ja ammattihenkilöiden kannalta yksinkertaisempaa ja ymmärrettävämpää. Lääkemääräys määriteltäisiin potilasasiakirjaksi, ja esityksellä mahdollistettaisiin valtakunnallisen lääkityslistan toteuttaminen reseptikeskukseen.
Terveyden ja hyvinvoinnin laitoksesta annettuun lakiin ehdotetaan muutoksia, jotka edistäisivät valtakunnallisten tietojärjestelmäpalvelujen hyödyntämistä Terveyden ja hyvinvoinnin laitoksen tiedonkeruissa. Lisäksi siihen sekä kliinisestä lääketutkimuksesta annettuun lakiin ehdotetaan muutokset, jotka mahdollistaisivat Terveyden ja hyvinvoinnin laitoksen hallussa olevien potilasta koskevien tietojen luovuttamisen lääketutkimukseen.
Esitys liittyy vuoden 2023 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.
Lait on tarkoitettu tulemaan voimaan 1.1.2024. Lakiin ehdotetaan useita siirtymäsäännöksiä riittävän toimeenpanoajan turvaamista varte.
Tarve uudistaa ja yhtenäistää sosiaali- ja terveydenhuollon tiedonhallintaa koskevia säädöksiä on tunnistettu jo pitkään. Sekä sosiaali- ja terveydenhuollon palvelunantajat että valvontaviranomaiset ovat tuoneet esille nykyiseen sääntelyyn liittyviä haasteita ja puutteita. Myös eduskunnassa tiedonhallintasääntelyn kokonaisuuden haasteet ja vaikeaselkoisuus on eri lakiehdotusten käsittelyjen yhteydessä tuotu esille. Lain sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021, jäljempänä asiakastietolaki) hyväksymisen yhteydessä eduskunta hyväksyi lausuman, jonka mukaan eduskunta edellyttää hallituksen kiirehtivän sosiaali- ja terveydenhuollon tiedonhallintaa koskevan sääntelyn kokonaisuudistuksen valmistelua.
Osana kokonaisuudistusta luodaan edellytykset valtakunnallisten tietojärjestelmäpalveluiden kautta toteutettavalle valtakunnalliselle lääkityslistalle. Tarve yhtenäiselle ja ajantasaiselle potilaan lääkehoitoa tukevalle lääkityslistalle on tuotu esille useissa selvitystyöryhmissä viimeisen vuosikymmenen ajan. Valtakunnallinen lääkityslista tukee rationaalista lääkehoitoa, jonka edistäminen on osa hallitusohjelman tavoitteita.
Kokonaisuudistusta on valmisteltu sosiaali- ja terveysministeriössä virkatyönä. Valmistelun aikana on pidetty työkokouksia eri sidosryhmien kanssa, tavoitteena selvittää toimijoiden näkemyksiä muutostarpeisiin ja –ehdotuksiin.
Esityksessä sääntely on jaettu erillisiin henkilötietojen käsittelyä ja tietojärjestelmiä käsitteleviin osiin. Lisäksi sääntely on jaksoteltu keskeisten asiakokonaisuuksien mukaisiin lukuihin. Keskeisiä asiakokokonaisuuksia henkilötietojen käsittelyn osassa ovat asiakastietojen käsittely, asiakirjojen käsittelyn yleiset periaatteet ja kirjaamista koskeva sääntely sekä asiakastietojen luovuttamista ja tiedonsaantioikeuksia koskeva sääntely. Tietojärjestelmiä koskeva osa sisältää säännökset valtakunnallisista tietojärjestelmäpalveluista, tietoturvan ja tietosuojan omavalvonnasta, tietojärjestelmien käyttöönotosta ja olennaisista vaatimuksista sekä tietojärjestelmien valvonnasta.
Esitykseen sisältyy muita yksittäisiä lainmuutoksia, joissa pääasiallisesti päivitetään viittauksia sosiaali- ja terveydenhuollon tiedonhallintaan liittyviin säädöksiin. Sosiaalihuollon asiakkaan asemasta ja oikeuksista annetusta laista (812/2000) sekä potilaan asemasta ja oikeuksista annetusta laista (785/1992) esitetään kumottavaksi tiedonhallintaan liittyvä sääntely.
Luonnos oli lausuttavana lausuntopalvelussa 21.1.-18.3.2022. Lausuntonsa antoi 111 tahoa. Lisäksi järjestettiin täydentävä lausuntokierros 31.3.-14.4.2022 valtakunnallisen lääkityslistan edellyttämistä muutoksista asiakastietolakiin ja sähköisestä lääkemääräyksestä annettuun lakiin. Lääkityslistan edellyttämistä muutoksista järjestettiin myös kuulemistilaisuus 28.3.2022.
Kaikki lausunnot ovat saatavilla osoitteessa www.stm.fi/hankkeet tunnuksella STM017:00/2021.
Sosiaali- ja terveydenhuollon tiedonhallinnan kannalta keskeisiä kansallisia yleislakeja ovat henkilötietojen suojaan, asiakirjojen käsittelyyn sekä tunnistamiseen ja sähköiseen asiointiin liittyvät säädökset. Perusta henkilötietojen käsittelyä koskevalla sääntelylle tulee Suomen perustuslaista (731(2019) ja yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetusta Euroopan parlamentin ja neuvoston asetuksesta (EU 2016/679), jäljempänä tietosuoja-asetus. Erityisesti tietosuoja-asetuksen vaatimukset koskevat hyvin laajasti tiedonhallinnan eri osa-alueita.
2.1.1 Henkilötietojen suoja
Suomen perustuslaissa (731/1999) säädetään oikeudesta yksityiselämän suojaan. Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilö-tietojen suojasta säädetään tarkemmin lailla. Yksityiselämän suoja merkitsee erityisesti sitä, että henkilöillä on oikeus elää elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp). Perustuslain (731/1999) 10 §:n 1 momentin mukaisesti henkilötietojen suojasta säädetään tarkemmin lailla. Tämän lisäksi lainsäätäjän liikkumavaraa rajoittaa perustuslakivaliokunnan käytäntö, jonka mukaan henkilötietojen sääntelyä on tarkasteltava perustuslain 10 §:n yksityiselämän suojan kannalta. Säädettäessä henkilötietojen suojasta tarkemmin lailla, tulee valiokunnan käytännön mukaisesti kiinnittää huomiota yksityiselämän suojan piiriin ja turvata oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden näkökulmasta. Tärkeinä sääntelykohteina on pidetty muun muassa henkilötietojen rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä ja niiden sallittuja käyttötarkoituksia. Laintasoisen sääntelyn lisäksi on edellytetty sääntelyn olevan kattavaa ja yksityiskohtaista (PeVL 14/2018 vp, PeVL 1/2018 vp, PeVL 13/2016 vp). Arkaluonteisten tietojen on katsottu sisältyvän yksityiselämän suojan ytimeen (PeVL 37/2013 vp).
Perustuslakivaliokunta on lausuntokäytännössään katsonut perustuslain 10 §:n 1 momentin edellyttävän myös henkilörekisteriin otettavien tietojen säilytysajoista säätämistä lailla (mm. PeVL 14/1998 vp, PeVL 25/1998 vp, PeVL 14/2018 vp, PeVL 4/2021 vp). Perustuslakivalio-kunnan käytännön perusteella säilytysaikaa koskevan sääntelyn tulee laintasoisuuden lisäksi olla kattavaa ja yksityiskohtaista, sisältäen aikamääreen.
Perustuslain lisäksi henkilötietojen suoja on turvattu myös EU:n perusoikeuskirjassa. EU:n perusoikeuskirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Perusoikeuskirjassa tunnustettuja oikeuksia voidaan perusoikeuskirjan 52 artiklan mukaan rajoittaa vain lailla ja oikeuksien olennaista sisältöä on tällöinkin noudatettava. Lisäksi rajoitusten on oltava suhteellisuusperiaatteen mukaisia.
Henkilötietojen käsittelyn kannalta keskeistä sääntelyä sisältyy erityisesti Euroopan unionin tietosuojasääntelyyn. Tietosuoja-asetus tuli voimaan 24.5.2016 ja sen soveltaminen alkoi 25.5.2018. Tietosuoja-asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn ja se on sellaisenaan voimassa olevaa oikeutta.
Yleinen tietosuoja-asetus edellyttää henkilötietojen käsittelyn olevan laillista ja asianmukaista. Lainmukaista henkilötietojen käsittely on silloin, kun käsittely perustuu asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään asetuksessa tai lainsäädännössä. Asetuksen 9 artikla koskee erityisiä henkilötietoryhmiä koskevaa käsittelyä. Artiklan mukaan erityisiä henkilötietoryhmiä ovat tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettiset tai biometriset tiedot henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot sekä luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot. Terveyttä koskevia tietoja ovat yleisen tietosuoja-asetuksen mukaan kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn terveyden tilasta. Erityisiä henkilötietoryhmiä koskeva käsittely on 9 artiklan 1 kohdan mukaan kiellettyä. 9 artiklan 1 kohtaa ei kuitenkaan sovelleta, jos jokin 2 kohdan alakohdista soveltuu.
EU:n yleisen tietosuoja-asetuksen voimaantultua perustuslakivaliokunta on tarkastellut aikaisempaa kantaansa henkilötietojen sääntelystä. Lausunnossa PeVL 14/2018 vp valiokunta katsoo, että henkilötietojen suoja tulee turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla ja on lähtökohtaisesti riittävää, että sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunta korosti lausunnossaan, että jatkossa tulee rajata kansallisella erityislainsäädännöllä säätäminen vain välttämättömään tietosuoja-asetuksen kansallisen liikkumavaran puitteissa. Tämän pidättyväisen tarkastelun lisäksi on kuitenkin huomioitava EU:n yleisen tietosuoja-asetuksen riskiperustainen lähestymistapa, jolloin voidaan katsoa yksityiskohtaisemman sääntelyn olevan perustellumpaa niissä tapauksissa, joissa riski luonnollisen henkilön oikeuksille ja vapauksille on korkea. Tämän on katsottu olevan merkityksellistä erityisesti arkaluonteisten tietojen käsittelyn kohdalla.
Tietosuojalailla (1050/2018) täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta. Se on henkilötietojen käsittelyyn sovellettava yleislaki, jota sovelletaan rinnakkain tietosuoja-asetuksen kanssa. Laissa säädetään oikeusperusteesta henkilötietojen käsittelylle, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamisesta lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista. Tietosuojalain 34 §:ssä säädetään rajoituksista rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle. Sen 1 momentin 2 kohdan mukaan rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolla taikka rekisteröidyn tai jonkun muun oikeuksille. 35 §:ssä säädetään vaitiolovelvollisuudesta. Pykälän mukaan joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Tietosuojalain sääntelystä voidaan poiketa erityislainsäädännöllä, jos poikkeaminen on mahdollista tietosuoja-asetuksen kansallisen liikkumavaran puitteissa (HE 9/2018 vp).
2.1.2 Asiakirjojen käsittely
Julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019, jäljempänä tiedonhallintalaki) sovelletaan sen 3 §:n 1 momentin mukaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Lain 2 §:n 5 kohdan mukaan tietoaineistolla tarkoitetaan asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn, julkisuuslaissa tarkoitetun viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta. Tiedonhallintalakia sovelletaan siten julkisessa sosiaali- ja terveydenhuollossa siltä osin kuin erityislainsäädännössä ei toisin säädetä. Tiedonhallintalaki sisältää sääntelyä myös tietoturvallisuudesta, kuten tietoaineistojen turvallisuudesta ja käyttöoikeuksista.
Laissa viranomaistoiminnan julkisuudesta (621/1999, jäljempänä julkisuuslaki), säädetään oikeudesta saada tieto viranomaisten julkisista asiakirjoista sekä viranomaisessa toimivan vaitiolovelvollisuudesta, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista samoin kuin viranomaisten velvollisuuksista julkisuuslain noudattamiseksi.
Julkisuuslain 5 §:n mukaan asiakirjalla tarkoitetaan julkisuuslaissa kirjallisen ja kuvallisen esityksen lisäksi sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla. 5 §:n 2 momentissa määritellään erikseen viranomaisen asiakirja, joka on viranomaisen hallussa oleva asiakirja, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa. Säännöksessä on määritelty myös asiakirjat, joita ei pidetä viranomaisen asiakirjoina.
Julkisuuslain 6 luvun 22 §:ssä säädetään asiakirjasalaisuudesta, jonka mukaan viranomaisen asiakirja on pidettävä salassa, jos se on säädetty salassa pidettäväksi julkisuuslaissa tai jossain muussa laissa. Salassa pidettävä asiakirja on myös sellainen, jonka viranomainen on lain nojalla määrännyt salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus. Salassa pidettävää viranomaisen asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa muullakaan tavalla sivullisen käytettäväksi tai nähtäväksi.
Asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta, sosiaalihuollon palvelusta tai henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta ovat salassa pidettäviä viranomaisen asiakirjoja julkisuuslain 24 §:n 1 momentin 25 kohdan mukaan.
Asiakirjojen arkistointiin liittyvä yleislainsäädäntö on keskitetty arkistolakiin (831/1994). Lain 6 §:n mukaan arkistoon kuuluvat asiakirjat, jotka ovat saapuneet arkistonmuodostajalle sen tehtävien johdosta tai syntyneet arkistonmuodostajan toiminnan yhteydessä. 6 §:n 2 momentin mukaisesti laissa tarkoitetaan asiakirjalla kirjallista tai kuvallista esitystä taikka sellaista sähköisesti tai muulla vastaavalla tavalla aikaansaatua esitystä, joka on luettavissa, kuunneltavissa tai muutoin ymmärrettävissä teknisin apuvälinen. Arkistointilain ja sen nojalla annettavilla päätöksillä on merkitystä erityisesti asiakirjojen ja tietojen pysyvään säilyttämiseen. Arkistolain 8 §:n 3 momentin mukaisesti arkistolaitos määrää, mitkä asiakirjat tai asiakirjoihin sisältyvät tiedot säilytetään pysyvästi. Muista säilytysajoista säädetään tai määrätään erikseen.
2.1.3 Tunnistaminen ja sähköinen asiointi
Osapuolten luotettava tunnistaminen on keskeinen edellytys tietoturvalliselle henkilötietojen käsittelylle. Sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annettiin Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 (jäljempänä eIDAS-asetus). Tässä asetuksessa perustettiin sähköisen tunnistamisen yhteentoimivuusjärjestelmä, jonka tavoitteena on mahdollistaa tulevaisuudessa se, että toisessa jäsenvaltiossa myönnetyillä sähköisillä tunnistamisvälineillä voidaan tunnistautua toisen jäsenvaltioiden julkisiin tai yksityisiin sähköistä tunnistamista vaativiin palveluihin. EU:n laajuinen sähköisen tunnistamisen yhteentoimivuusjärjestelmä on edellyttänyt EU:n tasolla sähköisen tunnistamisen yhteisten varmuustasojen määrittelyn. Sähköisen tunnistamisen järjestelmällä tarkoitetaan eIDAS-asetuksessa sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnolliselle henkilölle, oikeushenkilölle tai oikeushenkilöä edustaville luonnollisille henkilöille. eIDAS-asetuksessa säädetään sähköisen allekirjoituksen tai leiman varmenteen ja validoinnin vaatimuksista, niiden tarjonnan vaatimuksenmukaisuuden arvioinnista sekä hyväksynnästä hyväksyttynä luottamuspalveluna, eri tasoisista sähköisistä allekirjoituksista tai leimoista ja eräiltä osin oikeusvaikutuksista. Laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) säädetään eIDAS-asetuksen säännösten noudattamisen valvonnasta ja annetaan eIDAS-asetusta täydentäviä säännöksiä.
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain lisäksi myös muut lait vaikuttavat vahvaan sähköiseen tunnistamiseen ja sähköisiin allekirjoituksiin. Tällaisia lakeja ovat erityisesti laki sähköisestä asioinnista viranomaistoiminnassa (13/2003), väestötietojärjestelmää ja Digi- ja väestötietoviraston tarjoamia varmennepalveluita koskeva laki (661/2009) sekä julkisuuslaki. Lakia vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista sovelletaan vahvaan sähköiseen tunnistamiseen, sähköisiin allekirjoituksiin sekä niihin liittyvien palveluiden tarjoamiseen palveluntarjoajille ja yleisölle. Se sisältää säännökset muun muassa toimien oikeusvaikutuksista, henkilötietojen käsittelystä, vahvasta sähköisestä tunnistamisesta, sähköisestä allekirjoituksesta ja valvovista viranomaisista.
Sähköisen tunnistamisen ja sähköisen allekirjoituksen palvelut antavat osaltaan kansalaisille mahdollisuuden käyttää sähköisiä palveluja. Julkiset ja kaupalliset sähköiset palvelut, joissa tarvitaan henkilön vahvaa tunnistamista lisääntyvät. Suomessa vahvan sähköisen tunnistamisen ja sähköisen allekirjoituksen varmennepalvelujen tarjoamista ja laatua säännellään lailla.
Laki sähköisestä asioinnista viranomaistoiminnassa sisältää säännökset viranomaisten ja näiden asiakkaiden oikeuksista, velvollisuuksista ja vastuista sähköisessä asioinnissa. Muutoin viranomaisasiointiin sovelletaan, mitä asian vireillepanosta, päätöksen tiedoksiannosta, viranomaisten toiminnan julkisuudesta, henkilötietojen käsittelystä, tiedonhallinnasta, asiakirjojen arkistoinnista, asian käsittelyssä käytettävästä kielestä ja asian käsittelystä säädetään.
Lailla digitaalisten palvelujen tarjoamisesta (306/2019) pantiin kansallisesti täytäntöön Euroopan parlamentin ja neuvoston direktiivi julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta. Laissa säädettään viranomaisten sekä muiden julkista hallintotehtävää hoitavien velvollisuudesta tarjota digitaalisia palveluja hallinnon asiakkaille sekä tähän liittyvistä velvollisuuksista. Lailla pyritään edistämään digitaalisten palvelujen laadukasta ja tietoturvallista tarjoamista julkisella sektorilla sekä parantamaan yhteiskunnan erityisryhmien edellytyksiä selvitä omatoimisesti julkisen sektorin digitaalisten palvelujen käytöstä. Laissa säädetään keinoista, joilla digitaalisten palvelujen saavutettavuutta edistetään sekä varmistetaan saavutettavuusvaatimusten tehokas toimeenpano.
Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista (571/2016) puolestaan sisältää säännökset julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista ja niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilö- ja muiden tietojen käsittelystä. Kyseisiä tukipalveluita ovat mm. palvelutietovaranto, tunnistuspalvelut, asiointivaltuuspalvelu sekä viestinvälityspalvelu. Lisäksi laissa säädetään oikeudesta ja velvollisuudesta käyttää yhteisiä sähköisen asioinnin tukipalveluja sekä tukipalvelujen käytön edellytyksistä.
Nykytila
Sosiaali- ja terveydenhuollon tiedonhallintaan liittyvä sääntely sisältää muiden muassa sosiaalihuollon asiakasasiakirjoja ja potilasasiakirjoja, lääkemääräyksiä, henkilötietojen käsittelyä sekä valtakunnallisia tietojärjestelmäpalveluita koskevat säädökset. Sosiaalihuollon asiakastietoja ja asiakirjoja koskevaa sääntelyä on laissa asiakkaan asemasta ja oikeuksista (812/2000, jäljempänä asiakaslaki) ja laissa sosiaalihuollon asiakasasiakirjoista (254/2015, jäljempänä asiakasasiakirjalaki). Potilastietoja koskevaa sääntelyä on laissa potilaan asemasta ja oikeuksista (785/1992, jäljempänä potilaslaki) sekä sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista (298/2009, jäljempänä potilasasiakirja-asetus). Valtakunnallisista tietojärjestelmäpalveluista ja asiakastietojen sähköisestä käsittelystä säädetään laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021, jäljempänä asiakastietolaki tai voimassa oleva asiakastietolaki). Lääkemääräyksistä säädetään laissa sähköisestä lääkemääräyksestä (61/2007, jäljempänä lääkemääräyslaki).
Sosiaali- ja terveydenhuollon tiedonhallinnassa keskeisessä roolissa ovat asiakas- ja potilasasiakirjat ja niihin sisältyvät asiakasta ja potilasta koskevat henkilötiedot. Asiakas- ja potilasasiakirjoissa korostuu asiakas- ja potilastietojen arkaluontoisuuteen liittyvät piirteet erityisesti tietosuojan ja tietoturvan näkökulmasta. Tietosuojan ja tietoturvan lisäksi potilaan ja asiakkaan hoidon ja huollon kannalta on elintärkeää varmistaa tietojen eheys, tiedonkulku ja turvallinen käsittely.
Sosiaali- ja terveydenhuollossa käsitellään henkilötietoja erityisesti niiden ensisijaiseen käyttötarkoitukseen eli tarkoitukseen, jota varten tiedot on kerätty. Sosiaalihuollon asiakastietoja käytetään ensisijaisesti asiakkaan sosiaalipalvelun järjestämisen ja toteuttamisen käyttötarkoituksiin. Potilastietoja käytetään potilaan terveyden- ja sairaudenhoidon järjestämisen ja toteuttamisen käyttötarkoituksiin. Lääkemääräyksiä käytetään lisäksi lääkkeen toimittamiseen apteekista. Ensisijaisen käyttötarkoituksen lisäksi henkilötietoja voi olla tarve käsitellä myös toissijaisissa käyttötarkoituksissa, kuten tietojohtamisen ja tutkimuksen tarkoituksissa. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, jäljempänä toisiolaki), sisältää henkilötietojen toissijaisia käyttötarkoituksia koskevat säännökset ja täydentää tältä osin yleisen tietosuoja-asetuksen sääntelyä.
Nykytilan arviointi
Sosiaali- ja terveydenhuollon tiedonhallintaa koskeva lainsäädäntö on hajautunut useisiin säädöksiin ja lainsäädäntöä on valmisteltu eri aikoina. Sosiaali- ja terveydenhuollon asiakas- ja potilastietoa käsittelevää lainsäädäntöä on esimerkiksi asiakastietolaissa, asiakaslaissa, potilaslaissa, laissa sosiaalihuollon asiakasasiakirjoista sekä asetuksentasoisissa säädöksissä. Säädösten soveltamisalat vaihtelevat. Osa säädöksistä soveltuu kaikkeen sosiaali- ja terveydenhuollon toimintaan, kun taas esimerkiksi asiakastietolain sääntelyä sovelletaan vain sähköiseen asiakastiedon käsittelyyn. Merkittävä osa sosiaali- ja terveydenhuollon tietoaineistosta on nimenomaan henkilötietoja ja sovellettavaksi tulevat myös tietosuojaan liittyvät säädökset. Aihepiiriin kytkeytyvää lainsäädäntöä on myös substanssilainsäädännössä. Lainsäädäntöpohja on epäyhtenäinen eikä se kaikilta osin vastaa esimerkiksi tietosuoja-asetuksen vaatimuksia henkilötietojen käsittelylle. Yhtenäinen ja ajantasainen lainsäädäntö on edellytys toimivalle tiedonhallinnalle, tiedolla johtamiselle ja tiedon hyödyntämiselle. Lisäksi teknologian kehityksen täysimittainen hyödyntäminen on nostanut esiin uudenlaisia sääntelytarpeita.
Pirstaleisen lainsäädännön soveltaminen käytännössä sosiaali- ja terveydenhuollossa on osoittautunut haastavaksi ja monimutkaiseksi. Sosiaali- ja terveydenhuollon ammattihenkilön voi olla haastavaa ymmärtää hajautunutta lainsäädäntöä, mikä taas voi johtaa moniin käytännön ongelmiin ja siihen ettei säännöksiä sovelleta oikein. Sääntelyn pirstaleisuuteen ja vaikeaselkoisuuteen on kiinnittänyt huomioita myös perustuslakivaliokunta (mm. PeVL 4/2021 vp).
Asiakastietolain uudistamisen yhteydessä saatujen lausuntojen perusteella sääntelyn yhtenäistäminen koettiin yhdeksi keskeiseksi keinoksi edistää tiedonhallintaa. Esimerkiksi Apotti Oy:n toimittamassa selvityksessä katsottiin, että säännökset koskien potilastietojen ja sosiaalihuollon asiakastietojen käsittelyä tulisi yhdenmukaistaa, jolloin molempia tietojoukkoja koskisivat samanlaiset luovutus-, salassapito- ja säilytysaikavelvoitteet. Samassa selvityksessä katsottiin, että tietojen joustavan käsittelyn saavuttaminen vaatii tiedonhallinnan kokonaisuudistuksen.
Jotta sääntely olisi selkeää soveltajille, tulee myös käytettävien käsitteiden olla selkeitä. Toimiva tiedonhallinta edellyttää erilaisten käsitteiden määrittelyä ja käsitteiden yhtenäistämistä, jotta tiedonhallinnan kokonaisuus olisi mahdollisimman yhteentoimivalla pohjalla. Nykyisessä lainsäädännössä käytetään useita eri käsitteitä. Osa käsitteistä on samoja useammassa säädöksessä, mutta käsitteiden määritelmät voivat silti erota toisistaan. Esimerkiksi organisaatiorakenteita kuvaavat käsitteet kuten palvelunantaja, toimintayksikkö ja palveluyksikkö sekä asiakirjan, tiedon ja arkistoinnin käsitteet ovat sellaisia käsitteitä, joiden määritelmät aiheuttavat käytännön haasteita. Lainsäädäntö on muodostunut pitkän ajan kuluessa ja käsitemäärittely on tehty aina jokaisen lain näkökulmasta erikseen. Tämä on osaltaan lisännyt sääntelykokonaisuuden vaikeaselkoisuutta. Kuten Voutilainen ja Muukkonen 1 https://www.edilex.fi/artikkelit/23164.pdf tutkimuksensa perusteella toteavat, asiakas- ja potilastietojen käsittelyä koskevan käsitejärjestelmän sekavuus ja osittainen systematisoimattomuus johtavat osaltaan siihen, ettei sääntely muodosta selkeää systemaattista kokonaisuutta.
Myös potilaalle määrättyä lääkitystä sääntelevä lainsäädäntö on hajaantunut. Lääkemääräysten lainsäädäntö on erillään muusta potilasasiakirjalainsäädännöstä eikä lääkemääräyksiä luokitella potilasasiakirjoiksi. Lääkemääräyksistä, niihin liittyvistä oikeuksista sekä lääkemääräyksiin tehtävistä merkinnöistä sekä reseptikeskuksesta säädetään lääkemääräyslaissa. Potilasasiakirjoista ja niihin tehtävistä merkinnöistä säädetään potilaslaissa ja potilastiedon arkistosta asiakastietolaissa. Lääkemääräysten ja potilasasiakirjamerkintöjen rekisterinpito, säilytysajat, käyttöoikeudet ja tietojen luovutuksia koskeva asiakkaan tiedollisen itsemääräämisoikeuden kokonaisuus on määritelty eri tavoin. Tämä hankaloittaa yhtenäisen kuvan saamista potilaalle määrätyistä lääkkeistä sekä niiden käytöstä vaarantaen potilasturvallisuutta.
Kuten aiemmin on todettu, henkilötietojen käsittelystä tulisi säätää lailla, eivätkä tiedonhallintasäädökset sosiaali- ja terveydenhuollossa kaikin osin vastaa edellytettyä. Kyseessä on suurimmilta osin arkaluontoisten ja salassa pidettävien henkilötietojen käsittelyä koskeva lainsäädäntö, josta lailla tarkemmin säätäminen on lausuntokäytännön valossa välttämätöntä. Lailla säätämiseen liittyvät kehittämistarpeet liittyvät potilasasiakirjoja koskeviin säädöksiin, jotka ovat nykyisin asetuksentasoisia. Lisäksi on tunnistettu asioita, joista sääntely puuttuu kokonaan.
2.3.1 Sosiaali- ja terveydenhuollon asiakastiedot
Nykytila
Sosiaali- ja terveydenhuollon asiakas- ja potilastietojen käsittelyn keskeiset periaatteet sisältyvät asiakas- ja potilaslakiin koskien kaikkea asiakas- ja potilastietoa riippumatta siitä, onko kyse paperisista vai sähköisistä asiakirjoista vai muista asiakas- ja potilastiedoista.
Potilastietojen salassapidosta säädetään potilaslain 13 §:ssä. Sen 2 momentin mukaan potilasasiakirjoihin sisältyviä tietoja ei saa antaa sivulliselle ilman potilaan kirjallista suostumusta. Sivullisella tarkoitetaan muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon ja siihen liittyviin tehtäviin osallistuvia henkilöitä. Sosiaalihuollon asiakastietojen salassapidosta säädetään asiakaslain 14 §:ssä siten, ettei salassa pidettävää asiakirjaa tai sen kopiota tai tulostetta saa näyttää eikä luovuttaa sivulliselle. Asiakaslain 15 §:ssä säädetään vaitiolovelvollisuudesta ja hyväksikäyttökiellosta. Sen mukaan sosiaalihuollon järjestäjän tai tuottajan taikka niiden palveluksessa oleva tai sosiaalihuollon luottamustehtävää hoitava ei saa paljastaa salassa pidettävää tietoa eikä muuta sosiaalihuollon tehtävässä toimiessaan tietoonsa saamaa seikkaa, josta on säädetty vaitiolovelvollisuus.
Asiakaslaissa on salassapidon lakkaamisen osalta viittaus julkisuuslain 31 §:ään, jonka mukaan viranomaisen julkisuuslain 24 §:n 1 momentin 24-32 kohdassa salassa pidettäväksi säädetyn asiakirjan salassapitoaika on 50 vuotta sen henkilön kuolemasta, jota asiakirja koskee, tai 100 vuotta, jos kuolemasta ei ole tietoa. Potilaslaissa ei ole viittausta julkisuuslakiin eikä myöskään erillistä sääntelyä salassapidon määräaikaisuudesta.
Sosiaali- ja terveydenhuollon järjestämisestä annetun lain (612/2021) 58 §:ssä on hyvinvointialueiden rekisterinpidon yhteydessä sääntelyä myös yksityisten palveluntuottajien oikeudesta saada asiakastietoja hyvinvointialueen rekistereistä. Vastaava sääntely on myös sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämistä Uudellamaalla annetussa laissa (615/2021).
Sosiaali- ja terveydenhuollossa on ollut asiakastietojen sähköistä käsittelyä koskevaa sääntelyä, eli asiakastietolaki vuodesta 2007 lähtien (159/2007). Lakia on uudistettu, ja uusi asiakastietolaki tuli voimaan 1.11.2021. Uusi laki pohjautuu pääosin aikaisempaan asiakastietolakiin. Lain tarkoituksena on edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Lakia sovelletaan kaikkeen sähköiseen asiakastietojen käsittelyyn sosiaali- ja terveydenhuollon palveluiden järjestämisen ja tuottamisen käyttötarkoituksissa.
Keskeinen osa asiakastietojen käsittelyn vaatimuksia on rekisteröityjen oikeuksien toteutuminen. Rekisteröidyn oikeuksista säädetään tietosuoja-asetuksessa. Asiakastietolaissa säädetään asiakastietojen käsittelyn edellytyksistä sekä suojatoimista, joilla turvataan rekisteröidyn oikeuksia. Asiakastietojen käsittelyn edellytykseksi on säädetty asiakastietojen käsittelyn osapuolten tunnistaminen sekä tietoteknisesti varmistettu hoito- tai asiakassuhde tai muu lakiin perustuva oikeus. Laissa säädetään myös käyttöoikeudesta asiakastietoon, ja lain 15 §:n perusteella sosiaali- ja terveysministeriö antaa asetuksen siitä, mitä tietoja sosiaali- ja terveydenhuollon ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt saavat sosiaali- ja terveydenhuollon palveluissa työtehtävissään käsitellä. Lisäksi asiakastietolaissa säädetään valtakunnallisten tietojärjestelmäpalveluihin tallennettujen tietojen rekisterinpitäjyydestä.
Nykytilan arviointi
Sekä asiakas- että potilaslaissa määritellään sosiaalihuollon asiakastiedot ja potilastiedot salassa pidettäviksi, ja kielletään niiden luovuttaminen sivulliselle. Sivullisen määritelmä on kuitenkin poikkeava, koska potilaslaissa sivullisiksi katsotaan kaikki muut kuin toimintayksikössä ja sen lukuun toimivissa toimintayksiköissä potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvat. Asiakaslaissa puolestaan ei ole tarkemmin määritelty, mitä sivullisella tarkoitetaan.
Toimintayksiköllä tarkoitetaan potilaslaissa esimerkiksi kunnan terveyskeskusta ja muita kunnan toimintayksiköitä, jotka hoitavat kansanterveyslain mukaisia tehtäviä, erikoissairaanhoitolain (1062/1989) mukaista sairaalaa ja siitä erillään olevaa sairaanhoidon toimintayksikköä sekä muuta sairaanhoitopiirin kuntayhtymän päättämää hoitovastuussa olevaa kokonaisuutta sekä yksityisestä terveydenhuollosta annetusta laissa (152/1990) tarkoitettua terveydenhuollon palveluja tuottavaa yksikköä. Hallituksen esityksen yksityiskohtaisten perustelujen mukaan terveydenhuollon toimintayksikköjä ovat esimerkiksi kansanterveyslaissa tarkoitetut terveyskeskukset, erikoissairaanhoitolaissa tarkoitetut sairaalat ja sairaaloista erillään olevat sairaanhoidon toimintayksiköt, Helsingin yliopistollisesta keskussairaalasta annetussa laissa tarkoitetut toimintayksiköt ja yksityisestä terveydenhuollosta annetussa laissa tarkoitetut terveydenhuollon palveluja tuottavat yksiköt. Sote-uudistuksen yhteydessä annettu HE 56/2021 vp (niin sanottu sote100-ehdotus) sisältää potilaslain toimintayksikön määritelmään muutoksen, jonka mukaisesti toimintayksiköllä tarkoitettaisiin hyvinvointialueen terveydenhuollon toimintayksiköitä, jotka hoitavat sosiaali- ja terveydenhuollon järjestämisestä annetun lain mukaisia terveydenhuollon tehtäviä. Hyvinvointialueella olisi siten useita toimintayksiköitä. Sote-uudistuksen yhteydessä ei kuitenkaan ole tarkemmin määritelty, mitä toimintayksiköllä tarkoitetaan esimerkiksi suhteessa palveluyksikköön tai toimipisteisiin.
Koska toimintayksikön käsite on potilaslaissa keskeinen sivullisen määritelmän ja edelleen potilastietojen luovutuksia koskevan sääntelyn osalta, on sitä arvioitava myös suhteessa muihin salassapitoon ja tietojen luovutusta koskevaan sääntelyyn. Julkisuuslaissa keskeinen käsite on viranomainen, eli asiakirjat käsitetään viranomaisen asiakirjaksi ja tietojen luovuttamista tapahtuu viranomaisten välillä. Sosiaali- ja terveydenhuollossa viranomainen on taas esimerkiksi sosiaali- ja terveydenhuollon järjestämisestä vastaava viranomainen, joka toimii myös järjestämisvastuulleen kuuluvassa toiminnassa syntyvien asiakas- ja potilasasiakirjojen rekisterinpitäjänä. Terveydenhuoltolain (1326/2010) 9 §:ssä, jossa säädetään sairaanhoitopiirin yhteisestä potilasrekisteristä, rinnastetaan toimintayksikkö ja rekisterinpitäjä toisiinsa.
Sosiaali- ja terveydenhuollon toimintaympäristö on kehittynyt vuosien mittaan, ja palveluiden järjestämisvastuita on siirtynyt usein kuntayhtymien vastuulle siten, että palvelunjärjestäjä vastaa sekä perusterveydenhuollosta että erikoissairaanhoidosta. Palveluiden järjestämisestä vastaava julkisen sosiaali- ja terveydenhuollon palvelunantajan viranomainen toimii asiakas- ja potilastietojen rekisterinpitäjänä, ja se näyttäisi voivan jakautua jakautua useisiin toimintayksiköihin.
Yksityisten terveyspalveluiden osalta potilaslaki määrittää toimintayksikön palveluja tuottavaksi palveluyksiköksi, mutta laissa yksityisestä terveydenhuollosta palveluyksikköä ei sinänsä määritellä. Myös yksityisissä terveyspalveluissa saattaisi siten saman palvelunjärjestäjän toiminnassa olla useita toimintayksiköitä, jolloin potilaslain mukaisesti saman palvelunjärjestäjänkin toiminnassa tietojen luovuttamisen eri toimintayksiköiden välillä edellyttäisi potilaslain mukaista suostumusta.
Nykyinen sääntelykokonaisuus on kuitenkin käytännössä johtanut tulkintaan, jonka mukaan palvelunjärjestäjällä eli rekisterinpitäjällä on vain yksi toimintayksikkö. Muiden muassa valtakunnallisten tietojärjestelmäpalvelujen toiminnallisuudet on toteutettu tämän tulkinnan mukaisesti.
Asiakastietojen käsittelyä koskevan sääntelyn nykytilan yksi haaste on sääntelyn jakautuminen eri säädöksiin siten, että osa sääntelystä koskee vain sähköistä käsittelyä. Asiakastietolakiin sisältyvä asiakastietojen käsittelyn edellytyksiä ja suojatoimia koskeva sääntely on vastikään vahvistettu uuden asiakastietolain yhteydessä, joten sitä ei ole syytä tässä yhteydessä muuttaa. Sääntely sisältyy osin jo aiemmin voimassa olleeseen asiakastietolakiin esimerkiksi käsittelijöiden tunnistamisen ja hoitosuhteen tietoteknisen varmistamisen osalta. Osin sääntely on uutta, ja esimerkiksi sosiaali- ja terveysministeriön asetuksella säädettävien käyttöoikeuksien toimeenpano on vielä kesken. Näiltä osin säädösten jatkokehittämistä on syytä harkita jatkossa sitä mukaa kun toimeenpanosta kertyy kokemuksia.
2.3.2 Sosiaali- ja terveydenhuollon asiakasasiakirjat
Nykytila
Sosiaalihuollon asiakasasiakirjalaki sekä potilaslaki ja sen nojalla annettu sosiaali- ja terveysministeriön asetus potilasasiakirjoista sisältävät keskeiset säädökset asiakasasiakirjoihin kirjaamisesta ja asiakirjojen käsittelyn vaatimuksista. Potilasasiakirjoista ja sosiaalihuollon asiakasasiakirjoista säädetään omissa säädöksissään. Lääkemääräyksiin sisältyvien potilastietojen kirjaamisesta säädetään sosiaali- ja terveysministeriön asetuksessa lääkkeen määräämisestä (1088/2010). Lääkemääräys on perinteisesti ollut potilaalle itselleen lääkkeen ostamista varten annettava asiakirja, joten potilasasiakirjoihin on ollut tarpeen kirjata määrättyä lääkettä koskevat tiedot.
Potilaslain 12 §:n 2 momentin mukaan potilasasiakirjojen laatimisesta sekä niiden ja 1 momentissa tarkoitettujen näytteiden ja mallien säilyttämisestä sekä käyttötarkoituksen perusteella määräytyvistä säilytysajoista säädetään tarkemmin sosiaali- ja terveysministeriön asetuksella. Edellä mainittuja saa säilyttää sosiaali- ja terveysministeriön asetuksella säädetyn säilytysajan jälkeenkin, jos se on välttämätöntä potilaan hoidon järjestämisen ja toteuttamisen kannalta. Asiakirjojen säilyttämisestä pysyvästi säädetään 3 momentin mukaan arkistolaissa. Sosiaalihuollon asiakasasiakirjojen säilytysajoista säädetään asiakasasiakirjalain liitteessä.
Nykytilan arviointi
Potilasasiakirjojen ja sosiaalihuollon asiakasasiakirjojen sääntely on nykytilanteessa toimialakohtaista, vaikka asiakirjojen käsittelyn perusvaatimukset liittyen esimerkiksi kirjaamisvelvoitteeseen, säilyttämisen ja hävittämisen vastuisiin ovat samankaltaiset.
Sekä potilas- että sosiaalihuollon asiakasasiakirjojen osalta on ilmennyt tarvetta tarkentaa, miltä osin sosiaali- ja terveydenhuollossa käsiteltävät asiakasta koskevat tiedot ovat varsinaisesti asiakas- ja potilasasiakirjoille kuuluvia tietoja, ja miltä osin muita tietoja ja asiakirjoja. Muita asiakirjoja ei ole tarkoitettu käsiteltäväksi hoidon tai palvelun järjestämiseen tai tuottamisen käyttötarkoituksissa, ja ne pidetään erillään asiakas- ja potilasrekistereistä. Tällaisia asiakirjoja ovat esimerkiksi muistutukset ja kantelut sekä laskutukseen liittyvät asiakirjat.
Lääkemääräyksistä on ollut aiemmin perusteltua kirjata erilliset merkinnät potilasasiakirjoihin, koska lääkemääräyksiä on tehty potilaalle mukaan annettavalle paperiselle asiakirjalle. Koska nykyisin lääkemääräykset laaditaan sähköisesti ja tiedot ovat saatavilla potilastietojärjestelmiin reseptikeskuksesta, ei ole tarkoituksenmukaista edellyttää lääkäriä kirjaamaan samoja tietoja toiseen kertaan potilasasiakirjoihin. Lääkemääräys voidaan siten sisällyttää osaksi potilasasiakirjoja.
Potilasasiakirjoista säädetään nykyisin asetuksen tasoisesti. Sosiaalihuollon asiakasasiakirjoista säädetään laissa sosiaalihuollon asiakasasiakirjojen sähköisestä käsittelystä (jäljempänä asiakasasiakirjalaki). Laki sisältää sääntelyä myös kirjaamisesta monialaisessa yhteistyössä. Potilasasiakirjojen ja sosiaalihuollon asiakasasiakirjojen käsittelyssä on paljon toimialakohtaisia erityispiirteitä erityisesti kirjattavien tietojen sisällön suhteen, mutta paljon myös asiakirjojen käsittelyn toimialoille yhtäläisiä vaatimuksia.
Laillisuusvalvonnassa on kiinnitetty huomiota sosiaali- ja terveydenhuollon tietojen säilyttämiseen ja siihen liittyviin velvollisuuksiin erityisesti yksityisen palveluntuottajan toiminnan päättymisen yhteydessä. Tietosuojavaltuutettu on kiinnittänyt huomiota esimerkiksi terveydenhuollon potilasasiakirjojen säilyttämiseen. Vuonna 2010 antamassaan ratkaisussa (1820/452/2006, Yksityisvastaanoton potilaskortisto kuolinpesässä) tietosuojavaltuutettu huomauttaa, ettei lainsäädännössä oteta kantaa siihen, missä kuolleen terveydenhuollon ammattihenkilön yksityisvastaanoton potilastiedot tulisi säilyttää. Ratkaisussa tietosuojavaltuutettu myös toteaa, että hän on toivonut useaan kertaan asian tulevan huomioiduksi lainsäädännössä. Samantapaiseen tilanteeseen on kiinnitetty myös apulaisoikeuskanslerin ratkaisussa OKV/5/50/2017. Ratkaisussa todetaan, että ei ole olemassa säännöksiä sosiaali- ja terveydenhuollon paperisten potilasasiakirjojen säilytyksestä tilanteessa, jossa yksityisen palveluntuottajan toiminta päättyy.
Rekisterinpitäjän puuttuminen toiminnan päättymisen jälkeen on ongelmallinen myös sähköisten asiakirjojen osalta. Palvelunantajan omissa tietojärjestelmissä tai tallennusvälineillä oleviin sähköisiin asiakirjoihin liittyy samankaltaisia ongelmia kuin paperisiin asiakirjoihin.
Jos palveluntuottaja olisi toiminta-aikanaan liittynyt valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, liittymisen jälkeen tallennetut asiakirjat näytetään asiakkaalla kansalaisen käyttöliittymässä (Omakanta), ja niitä voidaan luovuttaa valtakunnallisista tietojärjestelmäpalveluista muille palvelunantajille asiakkaan antaman luvan mukaisesti. Kuitenkaan muilla kuin rekisterinpitäjällä ei ole mahdollisuutta esimerkiksi tehdä asiakirjoihin korjauksia tai vastata muista rekisterinpitäjän velvoitteista. Jos valtakunnallisiin tietojärjestelmäpalveluihin on tallennettu asiakirjoja ajalta ennen palvelunantajan varsinaista liittymistä tietojärjestelmäpalvelujen käyttäjäksi (niin sanottu vanhojen tietojen arkistointi), asiakirjoja ei ole tallennettu luovuttamisen ja kansalaisen käyttöliittymässä näyttämisen mahdollistavien tietorakenteiden mukaisesti. Kyseisiä asiakirjoja ei siten voi näyttää kansalaiselle Omakanta-palvelussa eikä myöskään luovuttaa muille palvelunantajille.
Rekisterinpitäjyyteen liittyvää sääntelyä puuttuu myös organisaatioiden muutostilanteista sekä julkisen että yksityisten palvelunantajien osalta. Käytännössä ongelmallista on ollut määrittää, mikä taho toimii rekisterinpitäjänä erilaisten yritysjärjestelyjen, kuten sulautumisten ja liiketoimintakauppojen jälkeen. Myös työterveyshuollon asiakirjojen rekisterinpidon määrittyminen työnantajan vaihtaessa työterveyshuollon palveluntuottajaa on ollut epäselvä.
Kansallisarkisto on nostanut sekä asiakastietolain hallituksen esityksestä HE 212/2020 sosiaali- ja terveysvaliokunnalle että sote-uudistuksen hallituksen esityksestä HE 241/ 2020 vp sivistysvaliokunnalle antamissaan lausunnossa esille tarpeen täydentää lainsäädäntöä yleisen edun mukaisen arkistokäyttötarkoituksen osalta. Nykyisessä sääntelyssä ei ole määritelty, mikä taho vastaa asiakas- ja potilasasiakirjojen yleisen edun mukaisesta säilyttämisestä, joten sääntelyn täydentäminen on perusteltua.
2.3.3 Sosiaalihuollon asiakasasiakirjat
Nykytila
Asiakaslaissa tarkoitetaan asiakirjalla viranomaisen ja yksityisen järjestämään sosiaalihuoltoon liittyvää, julkisuuslain 5 §:n 1 ja 2 momentissa mainittua asiakirjaa, joka sisältää asiakasta tai muuta yksityistä henkilöä koskevia tietoja. Asiakasasiakirjalaki sisältää säännökset sosiaalihuollon asiakasasiakirjoista, niihin kirjattavista tiedoista ja niiden käsittelystä. Lain tarkoituksena on edistää sosiaalihuollon asiakastietojen tarkoituksenmukaista käsittelyä ja hyödyntämistä, yhtenäistää asiakasasiakirjoja ja niiden tietosisältöjä sekä edistää sosiaalihuollon asiakasasiakirjojen sähköisen arkiston muodostamista (HE 345/2014 vp). Sääntely koskee sekä julkisen että yksityisen sosiaalihuollon palvelunantajien asiakasasiakirjoja riippumatta siitä, mille alustalle ne on tallennettu.
Asiakasasiakirjalain 3 §:n 1 momentin 6 kohdan mukaan asiakastieto on asiakassuhteessa saatua henkilötietoa, joka on kirjattu tai on asiakasasiakirjalain mukaan kirjattava sosiaalihuollon asiakasasiakirjaan. Sosiaalihuollon ammattihenkilöt sekä muut asiakastyöhön osallistuvat henkilöt ovat lain 4 §:n mukaan velvollisia kirjaaman tarpeelliset ja riittävät tiedot määrämuotoisina asiakirjoina ja tallettamaan ne 5 §:n mukaisesta. 5 §:ssä annetaan Terveyden ja hyvinvoinnin laitokselle toimivalta antaa tarkemmat määräykset sosiaalihuollon asiakasasiakirjojen rakenteista ja asiakasasiakirjoihin merkittävistä tiedoista. Asiakasasiakirjalain 3 luku sisältää sääntelyn asiakasasiakirjoihin kirjattavista tiedoista.
Nykytilan arviointi
Sosiaalihuollon asiakasasiakirjoihin kirjattavia asiakastietoja koskeva sääntely on kohtalaisen uutta. Terveyden ja hyvinvoinnin laitos on laatinut asiakasasiakirjoja koskevat määrittelyt asiakasasiakirjalain sääntelyn perusteella, ja sosiaalihuollon ammattihenkilöille on järjestetty sääntelyyn perustuen merkittävä määrä kirjaamisvalmennusta. Sääntelyä ei ole tarpeen tässä yhteydessä merkittävästi muuttaa.
2.3.4 Potilasasiakirjat
Nykytila
Potilaslain 4 luku sisältää säännökset potilasasiakirjoista ja hoitoon liittyvästä materiaalista. Lain 12 §:n mukaisesti terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot.
Potilasasiakirja-asetuksessa säädetään tarkemmin potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä. Asetuksen 2 §:n 1 momentin mukaan potilasasiakirjoihin kuuluvat potilaskertomus ja siihen liittyvät potilastiedot tai asiakirjat sekä lääketieteelliseen kuolemansyyn selvittämiseen liittyvät tiedot tai asiakirjat samoin kuin muut potilaan hoidon järjestämiseen ja toteuttamisen yhteydessä syntyneet tai muualta saadut tiedot ja asiakirjat. Sähköiset potilasasiakirjat tallennetaan valtakunnalliseen arkistointipalveluun teknisinä tallenteina, jotka muodostuvat yhteen asiakastietolain 3 §:n 5 kohdassa tarkoitetun palvelutapahtuman samassa tietoteknisessä tallennusmuodossa olevista merkinnöistä ja joilla on sama säilytysaika.
Nykytilan arviointi
Potilasasiakirjoihin kirjattavia tietoja koskeva sääntely on potilasasiakirja-asetuksessa, ja se on osittain hyvin yksityiskohtaista. Lisäksi on tunnistettu tarve selkiyttää potilasasiakirjoista käytettäviä käsitteitä, kuten jatkuva potilaskertomus ja merkinnät. Myös erilaisten laitteiden tuottamien tietojen kirjaamista asiakirjoille tulisi kehittää johtuen teknologisten ratkaisujen käyttöönotosta ja hyödyntämisen mahdollisuuksista terveydenhuollon toiminnassa.
2.3.5 Lääkemääräykset
Nykytila
Potilaslain 12 § momentti sisältää säännökset terveydenhuollon ammattihenkilön velvollisuudesta tehdä tarpeelliset merkinnät potilasasiakirjoihin hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi. Potilasasiakirja-asetuksen mukaan lääkemääräykset tulee merkitä potilaskertomukseen.
Terveydenhuollon ammattihenkilöistä annettu laki (559/1994, jäljempänä ammattihenkilölaki) sisältää säännökset oikeudesta määrätä lääkkeitä ja oikeudesta rajattuun lääkkeenmääräämiseen. Ammattihenkilölain nojalla annettu asetus lääkkeen määräämisestä (1088/2010) sisältää säännöksiä lääkkeen määräämisestä sekä lääkemääräykseen liittyvistä kirjauksista. Lääkemääräyslaki sisältää säännökset sähköisen lääkemääräyksen laatimisesta, tietosisällöstä, tallentamisesta reseptikeskukseen, lääkemääräyksen toimittamisesta sekä lääkemääräyksiin liittyvistä oikeuksista.
Nykytilan arviointi
Tietoa potilaalle määrätystä lääkityksestä ja sen muutoksista tallennetaan lääkemääräyslain mukaisina lääkemääräyksinä reseptikeskukseen ja potilasasiakirja-asetuksen mukaisina potilaskertomukseen tehtävinä merkintöinä potilasasiakirjoihin, jotka tallennetaan potilastiedon arkistoon. Kirjauksia tehdään osin päällekkäisinä ja osin myös irrallaan toisistaan. Lääkitysmuutoksia tallennetaan terveydenhuollossa potilasasiakirjoihin, kun taas lääkehoidon toteuttamisen kannalta oleellisia lääkkeiden toimitustietoja tallennetaan vain reseptikeskukseen.
2.3.6 Kirjaaminen monialaisessa yhteistyössä
Nykytila
Myös kirjaamisesta monialaisesta yhteistyössä on erillistä sääntelyä asiakasasiakirjalaissa. 7 §:ssä säädetään sosiaali- ja terveydenhuollon asiakastietojen kirjaamisestä sosiaalihuollon toimintayksikön sisäisessä yhteistyössä ja 8 §:ssä asiakastietojen kirjaamisesta organisaatioiden välisessä monialaisessa yhteistyössä.
Kun sosiaalihuollon toimintayksikössä sosiaali- ja terveydenhuollon henkilöstö toteuttaa sosiaalipalvelua yhdessä, asiakkaasta laaditaan yhteinen toteuttamiskertomus ja lisäksi voidaan laatia yhteinen asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Asiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin, ja palvelun toteuttamiseen osallistuvilla ammattihenkilöillä tulee olla pääsy tehtävässään tarvitsemiinsa asiakasasiakirjoihin. Terveydenhuollon ammattihenkilön on kuitenkin tehtävä potilasasiakirjoihin merkinnät terveyden- ja sairaanhoitoa koskevista potilastiedoista, ja potilasrekisteriin voidaan tallentaa myös kopio asiakassuunnitelmasta.
Organisaatioiden väliseen monialaiseen yhteistyöhön osallistuvat henkilöt saavat 8 §:n mukaan salassapitosäännösten estämättä kirjata edustamansa organisaation asiakkaan asian hoitamiseksi tarpeelliseksi asiakastiedot, sekä tallentaa yhteistyön perusteella laaditun asiakassuunnitelman, muistion tai vastaavan asiakirjan.
Nykytilan arviointi
Kirjaaminen monialaisessa yhteistyössä on asiakasasiakirjalain säännösten perusteella mahdollista ainoastaan sosiaalihuollon toimintayksiköissä. Sosiaalihuollon toimintayksiköillä on tarkoitettu toimintayksiköitä, joissa pääasiallinen annettava palvelu on sosiaalihuoltolain (1301/2014) mukaista sosiaalipalvelua. Käytännön toiminnassa rajanveto on kuitenkin haastavaa, koska sosiaali- ja terveydenhuollon ammattihenkilöt työskentelevät yhdessä hyvin monenlaisissa palveluissa ja palveluyksiköissä. Sääntelyssä lähtökohtana on, että yhteiset asiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin ja tarvittaessa kopioidaan terveydenhuollon potilasrekisteriin.
2.4.1 Asiakastietojen luovuttaminen palvelunantajien välillä
Nykytila
Salassa pidettäviä sosiaalihuollon asiakastietojen antamisesta säädetään asiakaslain 16 § ja 17 §:ssä. Lain 16 §:n mukaan salassa pidettävästä asiakirjasta saa antaa tietoja asiakkaan nimenomaisella suostumuksella tai niin kuin laissa erikseen säädetään. Jos suostumusta ei voi saada tai asiakas tai laillinen edustaja nimenomaisesti kieltää luovuttamisen, saa asiakirjasta 17 §:n mukaan antaa salassapitovelvollisuuden estämättä sellaisia tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi. Tietojen antaminen edellä mainitussa tilanteessa on kuitenkin sallittua vain, jos 1) se, jota asiakirja koskee, on hoidon tai huollon ilmeisessä tarpeessa terveytensä, kehityksensä tai turvallisuutensa vaarantumisen vuoksi eikä hoidon tai huollon tarvetta muutoin voida selvittää taikka hoidon tai huollon toimenpiteitä toteuttaa, 2) tieto on tarpeen lapsen edun vuoksi tai 3) tieto on tarpeen asiakkaan välttämättömien etujen ja oikeuksien turvaamiseksi eikä asiakkaalla itsellään ole edellytystä arvioida asian merkitystä. Lisäksi salassa pidettävien tietojen antaminen asiakkaan suostumuksesta riippumatta muille viranomaisille tai sosiaalietuuksia käsittelevälle laitokselle on mahdollista eräissä 18 §:n tarkoittamissa tilanteissa.
Potilaslain 13 §:n mukaan potilastietoja saa luovuttaa sivulliselle, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa nimenomaisesti säädetty. 13 §:n 3 momentin 3 kohdan mukaisesti potilastietoja on mahdollistaa luovuttaa potilaan tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle, jos potilaalla ei ole mielenterveydenhäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.
Terveydenhuoltolain 9 §:ssä säädetään sairaanhoitopiirin yhteisestä potilasrekisteristä. Sääntelyn perusteella kukin sairaanhoitopiirin alueen terveydenhuollon toimintayksikkö on edelleen omien potilasasiakirjojensa rekisterinpitäjä, mutta sääntely mahdollistaa toisten toimintayksikköjen potilastietojen käytön sen jälkeen, kun potilasta on informoitu yhteisrekisteristä. Potilaalla on oikeus kieltää tietojensa luovutus yhteisrekisterissä. Säännös on esitetty kumottavaksi sosiaali- ja terveydenhuollon uudistamista koskevan ns. sote100-kokonaisuuden yhteydessä (HE 56/2021).
Asiakastietolain luovutusäännökset puolestaan koskevat valtakunnallisten tietojärjestelmäpalveluiden välityksellä tehtäviä sosiaalihuollon asiakastietojen luovutusta sosiaalihuollon palvelunantajien välillä sekä terveydenhuollon potilastietojen luovutusta terveydenhuollon palvelunantajien sekä terveydenhuollon palvelunantajan eri rekisterien välillä. Aiemmin terveydenhuollon potilastietojen luovutusten perusteena on ollut asiakkaan antama laaja suostumus, joka on koskenut kaikkia valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja potilastietoja. Asiakastietolaissa luovutusten käsittelyperusteena on laki, ja lisäksi luovutus edellyttää asiakkaan antamaa luovutuslupaa. Lisäksi potilastietojen luovutus on mahdollista potilaslain 13 §:n 3 momentin 3 kohdan mukaisissa tilanteissa potilaan tajuttomuuden tai vastaavan syyn johdosta taikka muun luovutukseen oikeuttavan laissa säädetyn perusteen perusteella. Sosiaalihuollon asiakastietoja saa luovuttaa ilman luovutuslupaa, jos luovutukseen on laissa säädetty peruste. Luovutuslupa vastaa vaikutuksiltaan aiempaa laajaa suostumusta. Lisäksi asiakkaalla on oikeus kieltää tietojensa luovutus palvelunantajien ja rekisterien välillä.
Nykytilan arviointi
Asiakastietojen luovutuksista on sääntelyä useissa eri laeissa, ja kuten aiemmin on todettu, sääntely on muodostunut soveltajien kannalta haasteelliseksi. Sääntelyä on kehitetty eri laeissa erilaisiin toimintaympäristöihin ja luovutustilanteisiin. Perussääntely on kuitenkin asiakas- ja potilaslaeissa, ja niiden mukaisesti luovuttaminen edellyttää pääsääntöisesti asiakkaan antamaa suostumusta. Erikseen säädetään tilanteista, joissa luovuttaminen on mahdollista ilman asiakkaan suostumusta.
Terveydenhuollon potilastietoja on luovutettu valtakunnallisista tietojärjestelmäpalveluista jo vuodesta 2013 lähtien. Palvelunantajien välisten luovutusten määrä on kasvanut vuosien mittaan, ja kevään 2021 tilastotietojen perusteella hakuja tehdään lähes 3 miljoonaa kuukausittain.
Asiakastietolaki mahdollistaa sosiaalihuollon asiakastietojen luovuttamisen sosiaalihuollon palvelunantajien välillä valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Luovutusten aloittamisen siirtymäaikaa on 1.1.2023 saakka, joten luovutuksista ei vielä ole kokemuksia.
2.4.2 Asiakastietojen luovuttaminen sosiaali- ja terveydenhuollon välillä
Sosiaali- ja terveydenhuollon välillä asiakastietoja voi luovuttaa asiakas- ja potilaslakien mukaisesti asiakkaan antaman suostumuksen perusteella. Muilta osin potilaslain 13 §:n 3 momentti mahdollistaa tietojen luovuttamisen ainoastaan terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle joko suullisen tai asiayhteydestä ilmenevän suostumuksen perusteella, tai ilman suostumusta, jos potilaalla ei ole mielenterveydenhäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida suostumuksen merkitystä, eikä potilaalla ole laillista edustajaa tai suostumusta ei voi saada tajuttomuuden vai vastaavan syyn takia.
Kansanterveyslain (66/1972) 2a luku sisältää säännökset niin sanotusta kotihoidon kokeilu-laista, jonka perusteella kokeiluun osallistuvat kunnat ja kuntayhtymät voivat järjestää sosiaalihuoltolain 17 §:n 1 momentin 3 kohdassa tarkoitetut kotipalvelut ja terveydenhuoltolain 25 §:ssä tarkoitetut kotisairaanhoidon tehtävät yhdistettyinä kotihoidoksi. Kotihoidon asiakaan terveyden- ja sairaanhoitoa koskevien asiakirjojen osalta sovelletaan kansanterveyslain 13 f §:n 1 momentin mukaan potilasasiakirjoja koskevia säädöksiä ja muiden kotihoidon asiakirjojen osalta sosiaalihuollon asiakasasiakirjoja koskevia säännöksiä. 13 f §:n 2 momentin mukaan kotihoidon toimintayksikön henkilöstöllä on oikeus käyttää tehtäviensä edellyttämällä tavalla kotihoidon rekisteritietoja. 13 g § sisältää sääntelyn terveyskeskuksen oikeudesta salassapitosäännösten estämättä saada ja käyttää kotihoidon potilaan kotihoidon potilas- ja asiakasasiakirjatietoja, kun kotihoidon potilas on hoidettavana kunnan tai kuntayhtymän terveyskeskuksessa. Tiedonsaantioikeudessa on eroja riippuen siitä, onko kotihoidon järjestämisestä vastaava toimielin kansanterveystyön vai joku muu toimielin. Vastaavasti säädetään kotihoidon toimintayksikön oikeudesta terveyskeskuksen potilastietoihin. Kokeiluun liittyvä sääntely on voimassa 31.12.2022 saakka.
Asiakastietolain 20 §:n 2 momentti ja 21 §:n 2 momentti mahdollistavat sosiaalihuollon asiakastietojen luovuttamisen valtakunnallisista tietojärjestelmäpalveluista terveydenhuollon palvelunantajille, ja terveydenhuollon potilastietojen luovuttamisen sosiaalihuollon palvelunantajille. Näissä luovutuksissa luovutusperusteena on tietosuoja-asetuksen mukainen suostumus. Siirtymäaika kyseisten luovutusten toimeenpanolle on 1.1.2024.
Nykytilan arviointi
Asiakastietojen luovuttamista koskevan sääntelyn jakautuminen useisiin säädöksiin aiheuttaa haasteita myös sosiaali- ja terveydenhuollon välisiin asiakastietojen luovutuksiin. Sääntelyssä ei ole erikseen huomioitu sosiaalihuollon palveluiden yhteydessä annettaviin terveydenhuollon palveluihin liittyvien potilastietojen luovutuksen mahdollisuutta, mikä on käytännössä osoittautunut ongelmalliseksi.
Asiakas- ja potilaslakeihin sisältyvää sääntelyä ei myöskään ole aiemmin päivitetty vastaamaan tietosuoja-asetuksen vaatimuksia. Asiakastietolaki laajentaa mahdollisuuksia asiakastietojen luovuttamiseen valtakunnallisten tietojärjestelmäpalvelujen välityksellä myös sosiaali- ja terveydenhuollon palvelunantajien välillä siten, että luovutukset perustuvat tietosuoja-asetuksen mukaiseen suostumukseen. Näiden uusien luovutusmahdollisuuksien soveltamisesta ei ole vielä ehtinyt kertyä kokemuksia, koska siirtymäaikaa luovutusten aloittamiseen on 1.1.2024 saakka.
Sosiaali- ja terveydenhuollon palvelunantajat ovat tuoneet esille tarvetta nykyistä laajempaan luovutusmahdollisuuteen ilman asiakkaan suostumusta erityisesti sosiaali- ja terveydenhuollon välisen tiedonvaihdon osalta. Näkemyksiä on esitetty sekä aiemman asiakastietolakiin liittyneen, rauenneen HE 300/2018 vp sekä uuden HE 212/2020 vp yhteydessä. Ongelmalliseksi on nähty sosiaali- ja terveydenhuollon tietojen erillisyys. Lausunnonantajat ovat nostaneet esiin erityisesti moniammatilliseen yhteistyöhön liittyvät haasteet sekä sen, että tietojen saumaton liikkuvuus on tae asiakas- ja potilasturvallisuudelle. Konkreettisina ehdotuksina asiantilan parantamiselle on esitetty muun muassa sosiaali- ja terveydenhuollon tietojen käyttötarkoituksien tarkistamista sekä niiden tietojoukkojen kartoittamista, joiden puuttuminen voi muodostaa merkittäviä riskejä potilasturvallisuudelle, jos niitä ei ole saatavilla (Apotti Oy:n selvitys).
Sosiaali- ja terveydenhuollon tietointegraatioon liittyvät haasteet liittyvät erityisesti moniammatilliseen yhteistyöhön. Lainsäädäntö velvoittaa sosiaali- ja terveydenhuollon henkilöstöä toimimaan monialaisessa yhteistyössä niissä tilanteissa, kun asiakkaan tilanne sitä edellyttää. Sosiaalihuoltolain 41 §:n mukaan palvelutarpeen arvioinnin käynnistäneen työntekijän on oltava yhteydessä muiden alojen viranomaisiin, jos asiakas tarvitsee palveluja tai muuta tukea sekä sosiaalihuollosta että muilta viranomaisilta. Palvelujen tulee monialaisessa yhteistyössä muodostaa asiakkaan edun mukainen kokonaisuus. Osittain vastaavasti säädetään terveydenhuoltolaissa. Tiedonhallintaan liittyvää lainsäädäntöä on pidetty tällaisen monialaisen yhteistyön näkökulmasta hankalana. Koiviston ja Tiiringin (2020) toimittaman monialaisen palvelutarpeen tunnistamista käsittelevän selvityksen 2 http://urn.fi/URN:ISBN:978-952-287-908-0 johtopäätöksissä todettiin, että asiakas- ja potilasjärjestelmien hyödyntämistä hankaloittavat lainsäädännön ja tietosuojan asettamat rajoitteet. Selvityksessä katsottiin, että esteitä tulisi purkaa tavalla, jolla mahdollistettaisiin sosiaali- ja terveydenhuollon tietojen hyödyntäminen entistä paremmin monialaisen palvelutarpeen tunnistamisessa (s. 98).
Sosiaali- ja terveydenhuollon potilastietojen käsittelyä koskevien säännöksien on katsottu sopivan huonosti erityisesti uusiin palvelujen järjestämis- ja toteuttamistapoihin sekä sosiaali- ja terveydenhuollon yhteispalveluihin. Aiheeseen on kiinnitetty huomiota myös laillisuusvalvonnassa. Tietosuojavaltuutettu viittaa ratkaisussaan sosiaalihuollon asiakastietojen ja terveydenhuollon potilastietojen käsittelystä palveluohjauksessa (1044/41/2012) tekemiinsä lainsäädännön selkeyttämistä koskevaan aloitteeseen sosiaali- ja terveysministeriölle (1777/02/09). Tietosuojavaltuutettu huomauttaa, että asia on tullut useaan otteeseen esiin toimiston työssä.
Sosiaalihuollon palveluissa kirjattavien potilastietojen näkyminen terveydenhuollon toimijoille ja vastaavasti terveydenhuollon potilastiedon näkyminen sosiaalihuollon toimijoille ovat molemmat ammattilaisten tunnistamia ongelmia. Tietojen erillisyydestä ja erottelusta eri rekistereihin johtuu myös se, että tiedon ei koeta säilyvän ehyenä ja kokonaisuuden hahmottaminen on koettu vaikeaksi.
2.4.3 Potilastietojen luovuttaminen ulkomaille
Nykytila
Potilaslain 13 §:n 3 momentin 3 kohdan mukaan välttämättömiä potilastietoja voidaan luovut-taa myös ulkomaiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle, jos potilaalla ei ole mielenterveyden häiriö, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, tai jos suostumusta ei voi saada potilaan tajuttomuuden tai vastaavan syyn vuoksi. Muissa potilaslain säännöksissä ei erikseen mainita tietojen luovuttamista ulkomaisille toimintayksiköille, mutta sinänsä niitä ei rajata pois 1 momentin säännöksestä, jonka perusteella potilastietoja voidaan kirjallisen suostumuksen perusteella luovuttaa sivullisille.
Potilaiden oikeuksien soveltamisesta rajat ylittävässä terveydenhuollossa annetun direktiivin (2011/24/EU, potilasdirektiivi) lähtökohtana on, että potilas saa hakea vapaasti terveyspalveluja toisesta EU/ETA-valtiosta ja Sveitsistä. Potilaalla on oikeus korvaukseen toisessa valtiossa saamastaan hoidosta samojen perusteiden mukaisesti, kuin jos hoito olisi annettu potilaan kotimaassa. Direktiivi velvoittaa hyväksymään toisessa EU/ETA-valtiossa tai Sveitsissä kirjoitetut lääkemääräykset, jos lääkkeellä on myyntilupa siinä maassa, jossa lääkettä aiotaan hankkia. Suomessa direktiivi on pantu toimeen lailla rajat ylittävästä terveydenhuollosta (1201/2013).
Perustuslakivaliokunta on antanut lausunnon 42/2020 vp koskien tartuntatautilain väliaikaista muuttamista (HE 225/2020 vp) siten, että mahdollistetaan tartuntaketjujen katkaisua tehostavan mobiilisovelluksen eli Koronavilkun rajat ylittävä yhteentoimivuus muiden EU- ja Eta-maissa sekä Sveitsissä kehitettyjen sovellusten kanssa. Valiokunnan mielestä Koronavilkun tietojen luovuttamisen osalta oli varmistettava, ettei toisessa valtiossa käytössä olevassa tietojärjestelmässä tallenneta puhelinten sijaintitietoja ja kohtaamistietoja taikka käytetä tietoja tartuntatautilain 43 c §:n 1 momentin vastaisiin tarkoituksiin, kuten poliisitutkintaan, esitutkintaan tai oikeudenkäyntiin. Lisäksi valiokunta edellytti, että sääntelyssä varmistetaan suostumuksen perustuminen riittävään tietoon myös eri käyttötarkoitusten ja esimerkiksi tietojen luovutusten suhteen. Valiokunta painotti, että sovelluksen käyttäjille on suostumuksen antamisen perustaksi annettava selkeät ja kattavat tiedot siitä, mitä sovelluksen rajat ylittävän yhteentoimivuuden hyödyntäminen tarkoittaa henkilötietojen käsittelyn kannalta.
EU:ssa on kehitetty ja otettu käyttöön potilasyhteenvetoa, jota voitaisiin luovuttaa valtioiden välillä silloin, kun potilas hakeutuu käyttämään toisen valtion terveyspalveluita. Potilasyhteenveto sisältää perustiedot potilaan terveydestä nykyhetkellä sekä joitakin tietoja terveyshistoriasta. Suomi on saanut EU:lta rahoitusta potilasyhteenvetopalvelun rakentamiseen. Euroopan komissio tuottaa palvelun, jonka avulla välitetään potilastietoja valtioiden välillä.
Nykytilan arviointi
Koska kansalaisilla on potilasdirektiivin perusteella oikeus hakeutua toisen valtion terveydenhuollon palveluiden käyttäjäksi, on perusteltua edistää myös keskeisten potilastietojen saatavuutta valtioiden välillä. Tietojen luovuttaminen Suomesta muihin valtioihin edellyttää kuitenkin lainsäädäntöä, jossa määritellään tietojen luovuttamisen perusteet. Muissa valtioissa luovutusten perusteet vaihtelevat. Joissain valtioissa luovuttaminen on mahdollista lain perusteella (esim. Espanja ja Viro), joissain edellytetään tietosuoja-asetuksen mukaista suostumusta. Luovutusperusteiden erilaisuus aiheuttaa haasteita soveltamisessa, jos luovuttavassa valtiossa edellytetään suostumusta, mutta vastaanottavassa valtiossa luovuttaminen tehdään lain perusteella. Lähtökohtaisesti olisi sovellettava kohdemaan lainsäädäntöä, mutta luovuttaminen olisi mahdollista kuitenkin ainoastaan lähtömaan säädösten perusteella.
Terveydenhuoltoon liittyvien tietojen luovuttamisesta muihin valtioihin oli kyse myös Koronavilkkua koskevassa lainsäädännössä. Vaikka Koronavilkun tapauksessa kyse ei ollut potilastietojen luovuttamisesta, Koronavilkku perustuu kuitenkin edellä mainittuun rajat ylittävän terveydenhuollon direktiiviin. Perustuslakivaliokunnan lausunnon 42/2020 vp linjauksia voidaan siten pitää merkittävänä myös potilastietojen luovuttamisen näkökulmasta.
Kun potilastietoja luovutetaan toiseen EU-valtioon, on käsittelyssä noudatettava tietosuoja-asetusta. Tietosuoja-asetuksen V luvussa on säädökset henkilötietojen siirrosta kolmansiin maihin. Lähtökohtaisesti tietosuoja-asetuksen vaatimuksia on noudatettava myös silloin, kun tietoja siirretään kolmansiin maihin. Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan osalta, jonka katsotaan tarjoavan tämän tasoista suojaa.
Nykytila
Valtakunnallisista tietojärjestelmäpalveluista eli Kanta-palveluista ja niihin liittyvistä Kansaneläkelaitoksen velvoitteista ja oikeuksista sekä valtakunnallisten tietojärjestelmäpalvelujen rekisterinpidosta säädetään asiakastietolaissa, samoin palvelunantajien velvollisuudesta liittyä ja tallentaa asiakasasiakirjansa valtakunnallisiin tietojärjestelmäpalveluihin. Asiakastietolaissa säädetään myös valtakunnallisten tietojärjestelmäpalvelujen maksullisuudesta palvelunantajille. Valtakunnallisia tietojärjestelmäpalveluita ovat asiakastietolain 6 §:n mukaan valtakunnallinen asiakastietojen arkistointipalvelu, lokirekisterien säilytyspalvelu, ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn, kansalaisen käyttöliittymä eli Omakanta, omatietovaranto, tiedonhallintapalvelu, tahdonilmaisupalvelu, reseptikeskus, lääketietokanta sekä kysely- ja välityspalvelu. Lisäksi laissa on sääntely Digi- ja väestötietoviraston vastuulle kuuluvasta varmentamisen tehtävästä sekä Terveyden ja hyvinvoinnin laitoksen kansalliseen koodistopalveluun liittyen.
Nykytilan arviointi
Valtakunnallisiin tietojärjestelmäpalveluihin liittyvä sääntely on vastikään hyväksytty eduskunnassa osana asiakastietolakia, mutta tämän lakiehdotuksen yhteydessä on tunnistettu tarve päivittää ja täsmentää sääntelyä eräiden palveluiden osalta.
Valtakunnallisen asiakastietojen arkistointipalvelun käsite on ongelmallinen, koska se luo mielikuvaa asiakirjojen arkistoinnista eikä aktiivisesta käsittelystä sosiaali- ja terveydenhuollon järjestämisen ja tuottamisen käyttötarkoituksissa.
Omatietovarannossa olevien hyvinvointitietojen tietosuoja-asetuksen mukaista käsittelyperustetta on syytä tarkentaa. Asiakas päättää itse käyttämiensä hyvinvointisovellusten liittämisestä omatietovarantoon. Hyvinvointitietojen luovuttaminen sosiaali- ja terveydenhuollon palvelunantajille on mahdollista asiakkaan antaman, tietosuoja-asetuksen mukaisen suostumuksen perusteella. Asiakastietolain hallituksen esityksen yksityiskohtaisissa perusteluissa todetaan, että suostumus on käsittelyperuste ainoastaan tietojen luovuttamiselle eikä muulle henkilötietojen käsittelylle. Toisen puolesta asiointia koskevan sääntelyn yhteydessä perusteluissa kuitenkin todetaan omatietovarannon olevan tietoyhteiskunnan palvelu, mikä olisi mahdollista ainoastaan silloin, jos henkilötietojen käsittelyperuste olisi suostumus.
Asiakastietolaissa säädetään tietoturvasuunnitelmasta sekä tietoturvallisuuden omavalvonnan toteuttamisesta ja vastuista, tietojärjestelmien ja hyvinvointisovellusten käyttötarkoituksesta ja käyttöönotosta sekä tietojärjestelmien ja hyvinvointisovellusten olennaisista vaatimuksista. Asiakastietolaki on vastikään vahvistettu, eikä uuden sääntelyn toimeenpanosta vielä ole kokemuksia. Joitain tietoturvallisuutta edistäviä, lainsäädäntöä edellyttäviä toimenpiteitä on kuitenkin tunnistettu, esimerkiksi Kansaneläkelaitoksen verkonvalvontaan liittyvän roolin vahvistaminen.
Ehdotettavan lain tavoitteena on selkiyttää ja yhtenäistää sosiaali- ja terveydenhuollon tiedonhallintaan liittyvää sääntelyä siten, että sääntely olisi soveltajille selkeää ja ymmärrettävää, ja että sääntely olisi kokonaisuutena tietosuoja-asetuksen mukaista. Sääntely loisi perustan sosiaali- ja terveydenhuollon tiedonhallinnan sääntelyn jatkokehitykselle. Lisäksi tavoitteena on laatia sääntely tilanteisiin, joista laintasoinen sääntely puuttuu, eli potilasasiakirjojen käsittelyyn sosiaalipalveluiden yhteydessä annettavan terveydenhuollon osalta sekä asiakasasiakirjojen rekisterinpidon ja säilyttämisen vastuisiin palvelunantajan toiminnan päättymisen jälkeen.
Esityksen tavoitteena on parantaa ajantasaista tiedonkulkua sosiaali- ja terveydenhuollon asiakastyössä. Tavoitteena on myös tukea sosiaali- ja terveydenhuollon toimintaa selkiyttämällä ja yhtenäistämällä asiakas- ja potilasasiakirjojen käsittelyyn sekä asiakastietojen luovuttamiseen liittyvää sääntelyä sekä toteuttamalla säädökset sosiaalihuollossa kirjattavien potilastietojen käsittelystä. Monialaiseen yhteistyöhön liittyvää kirjaamisen ja tiedonsaantioikeuden sääntelyä kehitetään. Asiakasasiakirjojen säilytysajat päivitetään huomioiden tietosuoja-asetuksen vaatimukset.
Esityksen tavoitteena on mahdollistaa potilaan lääkemääräyksellä määrättävää, potilaan apteekista ostettavaa lääkitystä koskevan tiedon tallentaminen reseptikeskukseen. Potilaan lääketiedon tallentaminen reseptikeskukseen kokonaisuutena olisi tarkoitus toteuttaa vuoteen 2030 mennessä. Tässä vaiheessa esitetään toteutettavaksi avohuollon lääkitystä koskevien kirjauksien tallentaminen reseptikeskukseen ja valtakunnallisen lääkityslistan muodostaminen niiden perusteella. Reseptikeskuksen lääkitystiedosta voitaisiin koostaa lista potilaan käytössä olevista lääkkeistä. Valtakunnallinen lääkityslista näkyisi yhtenäisenä ja ajantasaisena potilaalle ja potilaan lääkehoitoon osallistuville terveyden- ja sosiaalihuollon ammattihenkilöille, apteekeille ja potilaalle itselleen.
Esitettävät lakimuutokset osaltaan edistävät sosiaali- ja terveyspalveluiden rakenneuudistusta.
Lakiehdotus sisältää asiakastietolakiin sisältyvän sääntelyn. Tässä esityksessä pyritään edelleen selkiyttämään, miltä osin sääntely koskee asiakastietojen käsittelyä ja miltä osin asiakastietojen käsittelyssä käytettäviä tietojärjestelmiä. Lakiehdotus sisältää säännökset myös asiakastietojen rekisterinpidosta ja rekistereistä sekä rekisterinpitäjyyden määräytymisestä palvelunantajien muutostilanteissa, sisältäen myös ehdotukset toimintansa päättäneiden yksityisten palveluntuottajien asiakirjojen säilyttämisen ja rekisterinpidon vastuista siten, että pääsääntöisesti vastuu olisi palveluntuottajan kotikunnan mukaisella hyvinvointialueella.
Esityksen tavoitteena on myös mahdollistaa potilastietojen yhteenvedon luovuttaminen ulkomaiden terveydenhuollon toimintayksiköihin silloin, kun potilas käyttää niiden tuottamia terveydenhuollon palveluita.
Lakiehdotuksessa sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskeva keskeinen sääntely koottaisiin yhteen lakiin ja saatettaisiin kokonaisuudessaan vastaamaan perustuslain ja tietosuoja-asetuksen vaatimuksia.
4.1.1 Asiakastietojen käsittely ja rekisterinpito
Ehdotuksessa pyritään selkiyttämään ja yhtenäistämään asiakastietojen käsittelyn yleisiä vaatimuksia sosiaali- ja terveydenhuollossa. Asiakastietojen käsittelyä koskevat vaatimukset koskisivat sekä asiakirjoilla olevien asiakastietojen käsittelyä että suullista käsittelyä. Potilastietojen käsittelyn sääntelyä ehdotetaan kehitettäväksi niin, että sosiaalihuollon palveluiden yhteydessä tuotettavia potilastietoja käsiteltäisiin samoin kuin terveydenhuollon potilastietoja.
Keskeinen asiakastietojen käsittelyn vaatimus on salassapito ja siihen liittyvä vaitiolovelvollisuus. Salassapitoon liittyen keskeinen on sivullisen määritelmä, jota esitetään yhtenäistettäväksi sosiaali- ja terveydenhuollon välillä. Sivullisella tarkoitettaisiin muita kuin sosiaali- ja terveydenhuollon palvelunjärjestäjän tai apteekin palveluksessa, lukuun tai toimeksiannosta toimivia, asiakkaan palveluun tai hoitoon osallistuvia tahoja.
Esityksessä ehdotetaan rajoitettavaksi rekisteröityjen oikeutta rajoittaa tietojensa käsittelyä. Palvelunjärjestäjä voisi kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, silloin kun tiedon käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka asiakkaan tai jonkun muun oikeuksille.
Ehdotuksessa esitetään säädettäväksi asiakastietojen rekisterinpidosta sekä rekisterinpitäjyyden määräytymisestä palvelunantajien muutostilanteissa ja toiminnan päättyessä. Yksityisen palvelunantajan toiminnan päätyttyä vastuu rekisterinpidosta siirtyisi palvelunantajan kotipaikan mukaiselle hyvinvointialueelle. Kansaneläkelaitos voisi säilyttää ja hoitaa muuta asiakirjojen käsittelyä hyvinvointialueiden lukuun.
4.1.2 Asiakasasiakirjojen käsittely
Asiakas- ja potilasasiakirjojen käsittelyn sääntely yhtenäistettäisiin lukuun ottamatta asiakirjoihin kirjattavien tietojen sisältöä koskevia vaatimuksia. Esityksessä määritellään rekisterit, joihin asiakasasiakirjat tallennetaan. Yhtenäistettävät säännökset liittyvät esimerkiksi asiakirjoissa käytettävään kieleen sekä asiakirjojen laatimisen viiveettömyyden vaatimukseen. Potilasasiakirjojen ja sosiaalihuollon asiakasasiakirjojen sisältöä koskevaa sääntelyä päivitetään ja selkiytetään. Monialaiseen yhteistyöhön liittyvän asiakirjojen kirjaamisen sääntelyä kehitetään niin, että se tukisi nykyistä paremmin yhteistyötä ja tiedonkulkua sosiaali- ja terveydenhuollon välillä. Asiakasasiakirjojen säilytysaikoja ehdotetaan päivitettäväksi.
4.1.3 Valtakunnallisen lääkityslistan toteuttaminen
Esityksessä ehdotetaan, että valtakunnallisissa tietojärjestelmäpalveluissa voitaisiin koostaa lääkityslista reseptikeskukseen tallennetuista potilaan avohuollon lääkitystiedoista. Kattava ja ajantasainen valtakunnallinen lääkityslista mahdollistuu, kun kaikki keskeiset potilaan lääkitystiedot tallennetaan reseptikeskukseen. Osastohoidon osalta tämä toteutuisi myöhemmissä vaiheissa. Lääkemääräys olisi jatkossa potilasasiakirja, eikä ammattihenkilön tarvitse kirjata päällekkäisiä merkintöjä potilaskertomukseen. Jatkossa tieto potilaan lääkehoidosta kirjattaisiin yhteen paikkaan (kertakirjaamisen periaate), josta se olisi sosiaali- ja terveydenhuollon ammattihenkilöiden, apteekin ja potilaan käytettävissä ja ylläpidettävissä. Sairaanhoitajien oikeus tallentaa lääkitysmuutosten tietoja reseptikeskukseen lääkärin vahvistaman potilaan hoitosuunnitelman puitteissa sekä apteekin tiedonsaantioikeuden laajentaminen muihin lääkitystietoihin lääkemääräysten lisäksi sisältyvät esitykseen.
4.1.4 Asiakastietojen luovuttaminen ja tiedonsaantioikeus
Tiedonsaantioikeutta ja asiakastietojen luovuttamista koskeva sääntelykokonaisuus luvussa 8 sisältäisi säännökset sekä tietojen luovuttamisen asiakkaan lähiomaisille että palvelunantajien tiedonsaantioikeuksista ja asiakastietojen luovuttamisesta muille viranomaisille ja tahoille. Palvelunantajien tiedonsaantioikeuksia ja asiakastietojen luovuttamista koskevassa sääntelyssä huomioidaan sekä tietojen saaminen sosiaali- ja terveyspalvelujen välillä että potilastietojen saaminen potilaan terveyspalvelujen järjestämiseksi ja toteuttamiseksi ja sosiaalihuollon asiakastietojen saaminen sosiaalihuollon asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi.
Esityksessä ehdotetaan säädettäväksi palvelunantajien tiedonsaantioikeudesta asiakastietoon tilanteissa, joissa tiedot voidaan saada teknisen rajapinnan avulla. Luovuttamista koskeva sääntelyä jäisi niihin tilanteisiin, joissa palvelunantaja voisi luovuttaa asiakastietoja oma-aloitteisesti tai muun viranomaisen tai ulkomaalaisen toimintayksikön pyynnöstä voisi luovuttaa tietoja. Tiedonsaantioikeus palvelunantajien välillä toteutettaisiin ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Edellytyksenä olisi asiakkaan antamaa lupa, jonka laajuutta voisi rajata kieltojen avulla. Ehdotus sisältäisi potilaslakiin nykyisin sisältyvän sääntelyn potilastietojen luovuttamisesta ilman potilaan antamaa lupaa, jos potilas on tajuton tai vastaavassa tilassa eikä kykene päättämään luvan antamisesta. Vastaavasti säilytettäisiin asiakaslain mukainen sääntely sosiaalihuollon asiakastietojen luovuttamisesta hoidon ja huollon turvaamiseksi. Lisäksi säädettäisiin tiedonsaantioikeudesta sosiaali- ja terveydenhuollon välillä, kun kyse on yhteisen sosiaali- ja terveyspalvelun toteuttamisesta tai tilanteesta, jossa asiakas ei ole kykenevä päättämään luvan antamisesta.
Ehdotuksessa esitetään, että potilastietoja saisi luovuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä muihin EU-/ETA-valtioihin ja Sveitsiin asiakkaan tietosuoja-asetuksen mukaisen suostumuksen perusteella terveydenhuollon järjestämisen ja tuottamisen käyttötarkoituksia varten.
Lisäksi säilytettäisiin sääntely koskien asiakastietojen luovuttamista poliisille, muille viranomaisille ja tahoille. Myös eri viranomaisten ja muiden tahojen velvollisuus luovuttaa tietoja sosiaalihuollon viranomaisille säilytettäisiin, kuitenkin muutettuna sosiaalihuollon viranomaisen tiedonsaantioikeuden muotoon.
4.1.5 Tietojärjestelmät
Tietojärjestelmiä koskeva osuus sisältäisi sääntelyn koskien valtakunnallisia tietojärjestelmäpalveluita, tietoturvallisuuden ja tietosuojan omavalvontaa sekä tietojärjestelmien ja hyvin-vointisovellusten käyttötarkoitusta ja käyttöönottoa, olennaisia vaatimuksia ja valvontaa. Sääntely perustuu asiakastietolain säädöksiin. Tietoturvaan liittyen esitetään Kansaneläkelaitoksen oikeuksia laajennettavaksi verkonvalvontaan ja lokitietoihin kohdistuvaan valvontaan asiakastietojen käsittelyn turvallisuuden parantamiseksi. Sertifiointimenettelyyn ja tietoturvavaatimuksiin esitetään joitain täsmennyksiä. Hyvinvointisovellusten valvontaa esitetään Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtäväksi.
Esityksellä on sekä taloudellisia että yhteiskunnallisia vaikutuksia. Vaikutukset voidaan jakaa välittömiin ja välillisiin vaikutuksiin. Yhteiskunnallisia vaikutuksia voidaan tarkastella kansalaisten, yritysten, sosiaali- ja terveydenhuollon palvelunantajien sekä viranomaisten näkökulmista.
Esityksellä on vaikutuksia väestöön, sosiaali- ja terveydenhuollon palvelunantajiin, apteekkeihin ja ammattihenkilöihin sekä sosiaali- ja terveydenhuollon kansallisiin viranomaisiin, kuten Terveyden ja hyvinvoinnin laitokseen, Kansaneläkelaitokseen ja sosiaali- ja terveysalan lupa- ja valvontavirastoon. Väestöön kohdistuu vaikutuksia sekä sosiaali- ja terveydenhuollon palvelujen asiakkaina että Omakanta-palvelun ja hyvinvointisovellusten potentiaalisina käyttäjinä. Vaikutukset kohdistuvat myös asiakas- ja potilastietojärjestelmien sekä apteekkijärjestelmien toimittajiin ja hyvinvointisovellusten kehittäjiin.
4.2.1 Taloudelliset vaikutukset
Ehdotuksella on välittömiä taloudellisia vaikutuksia sekä valtiontalouteen että sosiaali- ja terveydenhuollon palvelunantajille. Taloudelliset vaikutukset kohdistuvat erityisesti vuosille 2023-2024. Siirtymäsäännösten mukaisesti toimeenpano jakautuu vuosille 2023-2029, mutta siirtymäsäännösten mukaiset ehdotukset ovat pääosin sisältyneet jo voimassa olevaan asiakastietolakiin eikä niissä ole kyse uusista velvoitteista. Ehdotus liittyy vuoden 2023 talousarvioon.
Kustannukset kansallisille viranomaisille
Terveyden ja hyvinvoinnin laitoksen kulut katetaan momentilta 33.03.04. Terveyden ja hyvinvoinnin laitoksen vuosille 2023-2026 arvioima resursointitarve on yhteensä 9,765 milj. euroa, eli vuosittain 2,165 – 2,675 milj. euroa sisältäen toimeenpanon edellyttämät suunnittelu-, seuranta- ja ohjaustehtävät, tietorakenteiden ja tietojärjestelmien olennaisten vaatimusten päivitykset ja muut määrittelytehtävät, valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen laadunvarmistuksen, tietojen harmonisoinnin sekä aineiston luovuttamisen kliiniseen lääketutkimukseen. Suunnittelu-, seuranta- ja ohjaustehtäviin liittyvä resurssitarve on arviolta 5-8 htv vuodessa, tieto- ja vaatimusmäärittelyihin 4-7 htv vuodessa. Laadunvarmistukseen arvioidaan tarvittavan 6 htv vuodessa ja laitoksen rekisteritiedonkeruiden harmonisointiin valtakunnallisten tietojärjestelmäpalvelujen kanssa 2 htv vuodessa.
Kansaneläkelaitoksen valtakunnallisiin tietojärjestelmäpalveluihin liittyvien toteutusten rahoitus katetaan valtion talousarviosta momentilta 33.01.25. Lakimuutosehdotuksista välittömästi johtuva lisärahoitustarve on 10,58 milj. euroa vuosille 2023-2026 jakautuen seuraavasti: 0,41 milj. euroa vuodelle 2023, 4,97 milj. euroa vuodelle 2024, 2,75 milj. euroa vuodelle 2025 ja 2,45 milj. euroa vuodelle 2026. Jatkuvan palvelun ja ylläpitovaiheen kustannuksia katetaan sosiaali- ja terveydenhuollon palvelunantajilta perittävillä käyttömaksuilla.
Kustannukset aiheutuvat seuraavista muutoksista:
arkistointipalveluun ja sosiaali- ja terveydenhuollon organisaatioihin liittyvien käsitteiden päivittäminen edellyttää kaikkien Kansaneläkelaitoksen vastuulla olevien valtakunnallisia tietojärjestelmäpalveluita koskevien dokumenttien ja viestinnällisten aineistojen päivittämistä (määrittelyt, ohjeet, kanta.fi jne). Kustannukset ovat arviolta 130 000 euroa vuosille 2023-2024.
Kanta-palveluita koskevan informoinnin päivittäminen 100 000 euroa vuodelle 2023
Sosiaalihuollon palveluiden yhteydessä annettavan terveydenhuollon potilasasiakirjojen tallentaminen valtakunnallisiin tietojärjestelmäpalveluihin aiheuttaa kustannuksia viestintään, valtakunnallisten tietojärjestelmäpalvelujen liittymisen laajentamiseen, käyttöönottojen tukeen ja koulutuksiin liittyen. Kustannusarvio on 100 000 euroa vuosille 2023-2024.
yksityisten palvelunantajien rekisterinpitäjyyden muutoksista yritysjärjestelyjen yhteydessä aiheutuu muutostarve Kanta-palveluiden tekniseen toteutukseen, kustannusarvio on 200 000 euroa vuodelle 2024, 210 000 euroa vuodelle 2015 ja 215 000 vuodelle 2026. Muutokset voivat kohdistua esimerkiksi yksittäisen palvelun siirtymiseen uuden palvelunantajan vastuulle, jolloin nykyinen palveluyksiköiden siirtymiseen perustuva toteutusmalli ei vastaa tarpeisiin.
lääkemääräysten lääkityslistan toteuttaminen reseptikeskukseen maksaa yhteensä 5,1 milj. euroa, josta vuoden 2023 osuus on 2,5 milj. euroa ja 2,6 milj. euroa vuodelle 2024. Lisärahoitustarve kohdistuu vuoden 2024 osuuteen.
Kansaneläkelaitoksen valvontaan liittyvän tehtävien (verkonvalvonta ja lokeihin kohdistuva valvonta) kustannusarvio on 0,95 milj. euroa vuodelle 2024 ja 1 milj. euroa vuodessa vuosille 2025 ja 2026.
asiakirjojen säilytysaikamuutosten, aktiivikäytöstä poistamisen ja arkistointikelpoiseen muotoon saattamisen sekä hävittämisen toiminnallisuuden kehittäminen maksaa arviolta 1,5 milj. euroa. Arkistoinnilla tarkoitetaan toiminnallisuutta valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen siirtämisestä pois aktiivikäytöstä säilytysajan päättymisen jälkeen. Siltä osin kuin asiakirjoja ei arkistolain nojalla siirretä Kansallisarkistoon, jäävät ne valtakunnallisiin tietojärjestelmäpalveluihin arkistoitavaksi. Asiakirjojen hävitystoiminnallisuutta tulee kehittää hävittämistä koskevan sääntelyn tarkentuessa.
Kanta-palveluiden hyödyntämisen tehostamiseen liittyvä tietokomponenttien kehittäminen 200 000 euroa vuodelle 2023 ja 400 000 euroa vuodessa vuosille 2024-2026.
Sosiaali- ja terveydenhuollon välisen tiedonsaantioikeuden kehittäminen 100 000 euroa vuonna 2024 ja 200 000 euroa vuonna 2025.
Tilastotietojen toimitus sosiaali- ja terveydenhuollon palvelunantajille Kanta-palveluista 600 000 euroa vuonna 2024, ja vuosina 2025 ja 2026 140 000 euroa vuodessa.
Lisäksi potilastietojen yhteenvedon luovuttaminen ulkomaisille palvelunantajille aiheuttaa vuodelle 2023 kustannuksia arviolta 319 000€. Kustannus sisältyy aiemmin hyväksyttyyn kehykseen. Ylläpitokustannukset ovat arviolta 300 000€ vuodessa. Ylläpitokustannuksia ei voi rahoittaa palvelunantajilta perittävillä käyttömaksuilla, koska kyse ei ole suomalaisten palvelunantajien käyttämästä toiminnallisuudesta.
Lisäksi on huomioitava, että valtakunnallisten tietojärjestelmäpalvelujen laajentaminen ja merkityksellisyys asiakastietojen säilyttämisessä ja luovutuksissa edellyttää sekä toiminnallisuuden kehittämistä vastaamaan entistä paremmin asiakkaiden tarpeisiin (esimerkiksi rakenteisten tietojen tehokkaamman hyödyntämisen edellyttämät ratkaisut) ja lakisääteisiin velvoitteisiin (asiakirjojen arkistointi ja tuhoamisen ratkaisut) että investointeja käyttöympäristöihin.
Ylläpitovaiheen kustannukset katetaan sosiaali- ja terveydenhuollon palvelunantajilta perittävillä käyttömaksuilla.
Kustannukset palvelunantajille
Palvelunantajille aiheutuu kustannuksia tietojärjestelmämuutoksista, ammattilaisten kouluttamisesta ja uusien toimintamallien käyttöönotosta sekä asiakkaiden informoinnista. Tietojärjestelmämuutoksiin liittyviä kustannuksia aiheutuu valtakunnallisen lääkityslistan toteutuksesta, sosiaalihuollon palveluiden yhteydessä toteutettavan terveydenhuollon potilasasiakirjojen siirtämisestä potilasrekisteriin ja tallentamisesta valtakunnallisiin tietojärjestelmäpalveluihin sekä potilastietojen ulkomaille luovutuksiin liittyvän suostumusasiakirjan toteuttamisesta. Tietojärjestelmämuutokset toteutetaan osana palvelunantajien käyttämien tietojärjestelmien kehitystyötä. Muutosten laajuus ja kustannukset riippuvat siitä, millaisia tietojärjestelmiä palvelunantaja käyttää ja miten tietojärjestelmän muutostöiden kustannuksista on palvelunantajan ja tietojärjestelmäpalveluntuottajan välisissä sopimuksissa sovittu. Muutosten euromääräisiä vaikutuksia valtakunnallisella tasolla on siten mahdotonta arvioida. Kustannusvaikutuksia pyritään ehdotuksessa kuitenkin lieventämään ehdottamalla uusiin vaatimuksiin siirtymäaikoja. Lisäksi valtakunnallisten tietojärjestelmäpalvelujen laajentaminen ja uudet toiminnallisuudet kasvattavat palvelunantajilta ja apteekeilta perittäviä käyttömaksuja.
Sosiaalihuollon palveluissa kirjattavien potilastietojen käsittelyn muutoksen kustannuksiin vaikuttaa se, käsitelläänkö potilastietoja sellaisessa tietojärjestelmässä, joka jo nykyisin kykenee tallentamaan potilasasiakirjoja valtakunnallisiin tietojärjestelmäpalveluihin, vai pitääkö toiminnallisuus toteuttaa uusiin tietojärjestelmiin. Sosiaalihuollon palveluissa kirjattavien potilastietojen käsittelyyn esitettävä sääntely kuitenkin merkittävästi helpottaa kyseisten potilastietojen käsittelyä muissa terveydenhuollon palveluissa, mikä puolestaan tuottaa kustannushyötyjä tietojen saatavuuden parantumisen sekä erillisten luovutuspyyntöjen ja suostumustenhallinnan poistumisen myötä.
Toimintaan liittyviä kustannuksia aiheutuu asiakkaiden informoinnista. Koska asiakastietojen luovuttamisen sääntely muuttuisi, on asiakkaita informoitava uusista asiakastietojen luovutusten käytännöistä ja valtakunnallisten tietojärjestelmäpalvelujen merkityksestä. Informointi voidaan kuitenkin antaa myös Omakanta-palvelussa, mikä vähentää palvelunantajien ja ammattihenkilöiden informoinnista aiheutuvaa taakkaa. Yhden asiakkaan informointi vaatii arviolta 5-10 minuuttia työaikaa, jos informointi tehdään palvelunantajan toimesta.
Myös potilastietojen ulkomaille luovutuksiin liittyen suostumusten kirjaamisesta aiheutuu lisätyötä. Suostumuksia voi antaa myös Omakanta-palvelussa, ja koska suostumus on tarpeen vain ulkomaille matkustaessa, palvelunantajien työmäärän voi ennakoida jäävän kohtuulliseksi.
Hyvinvointialueille ja Helsingin kaupungille esitetään rekisterinpitäjän vastuita toimintansa päättäneiden yksityisten palvelunantajien asiakirjoista. Esityksen mukaan Kansaneläkelaitos voisi huolehtia asiakirjojen säilytyksestä. Jos Kansaneläkelaitos säilyttäisi asiakirjoja hyvinvointialueiden ja Helsingin kaupungin lukuun, vastaisivat hyvinvointialueet ja Helsingin kaupunki kustannuksista Kansaneläkelaitoksen kanssa sopimallaan tavalla. Asiakirjojen säilyttäminen voi säilyttämisvastuista riippumatta edellyttää tietojärjestelmien kehittämistä sähköisen aineistojen käsittelyn tueksi. Paperiaineistojen säilyttäminen taas edellyttää arkistokelpoisia tiloja sekä henkilötyötä tietopyyntöjen käsittelyyn. Arkistokelpoisia tiloja tarvitaan valtakunnallisesti arviolta 2400 hyllymetriä. Konkurssipesien aineistoja on arviolta 900 hyllymetriä ja työnantajan itse järjestämän työterveyshuollon asiakirjoja 1000 hyllymetriä. Hyvinvointialueille ja Helsingin kaupungille aiheutuisi kuitenkin työtä rekisterinpitäjän velvoitteiden hoitamisesta ja yhteistyöstä Kansaneläkelaitoksen kanssa esimerkiksi asiakkaiden tietopyyntöihin vastaamisessa.
Valtakunnallisten tietojärjestelmäpalveluiden kehittäminen, samoin Kansaneläkelaitoksen tehtävien laajentaminen lokivalvontaan ja verkonvalvontaan lisää ylläpitokustannuksia, mikä kasvattaa palvelunantajilta ja apteekeilta perittävien käyttömaksujen määrää. Verkonvalvontaa kehitetään ja laajennetaan vaiheittain, joten myös kustannukset kehittyvät toiminnan laajentuessa. Käynnistämisvaiheessa työmääräarvio on noin 2,5-3,5 htv eli noin 250 000 – 300 000 euroa vuodessa. Käynnistämisvaiheen jälkeen tarvittava työpanos olisi arviolta 4-7,5 htv eli lisäys käyttömaksuilla katettaviin ylläpitokustannuksiin olisi noin 400 000-750 000 euroa vuodessa. Keskitetty valvonta kuitenkin helpottaisi palvelunantajien valvontataakkaa ja varmistaisi asiakastietojen käsittelyn turvallisuutta tuoden siten myös kustannushyötyjä. Kustannusten suuruus riippuisi kehitettävän palvelun laajuudesta.
Kustannukset apteekeille
Valtakunnallisen lääkityslistan toteuttaminen aiheuttaa kustannuksia myös apteekeille apteekkien henkilöstön kouluttamisen takia. Suomen Apteekkariliiton arvion mukaan koulutuksen kustannukset ovat arviolta miljoona euroa, kun koulutettavaa henkilöstöä on n. 6000 henkilöä. Lääkityslista kuitenkin tuottaa myös kustannushyötyjä. Yksittäisen lääkemääräyksen käsittely apteekissa voi nopeutua enintään 30 sekuntia, mikä mahdollistaisi apteekin toiminnan tehostamista sekä toiminnan suuntautumisen rationaalisen lääkehoidon edistämiseen.
4.2.2 Yhteiskunnalliset vaikutukset
Esityksellä on yhteiskunnallisia vaikutuksia, jotka liittyvät sekä kansalaisten, palvelunantajien ja apteekkien asemaan että muihin viranomaisiin. Arviointiin sisältyy myös tiedonhallintalain 8 §:n 2 momentissa edellyttävä tiedonhallintavaikutusten arviointi.
4.2.2.1 Vaikutukset kansalaisten asemaan
Esityksen tavoitteena on selkiyttää ja yhdenmukaistaa sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskevaa sääntelyä. Tiedonsaantioikeuksia ja asiakastietojen luovutuksia koskevaa sääntelyä selkiytetään ja yhtenäistetään, ja lisätään sääntelyä tiedonsaantioikeudesta sosiaali- ja terveyspalveluiden välillä. Potilastietojen käsittelyn sääntelyä yhtenäistetään niin, että myös sosiaalihuollon palveluiden yhteydessä syntyviä potilastietoja käsitellään samoin kuin muitakin potilastietoja. Siten asiakkaille voidaan arvioida olevan selkeämpää, miten heidän asiakastietojaan käsitellään eri käyttötarkoituksissa. Sosiaalihuollon palveluissa syntyvien potilastietojen käsittelyn muutos mahdollistaa kyseisten potilastietojen tallentamisen valtakunnallisiin tietojärjestelmäpalveluihin ja näyttämisen Omakannassa, mikä parantaa asiakkaan tiedonsaantimahdollisuutta omista tiedoistaan. Vaatimus asiakirjojen tallentamisen viiveettömyydestä nopeuttaa asiakastietojen saatavuutta Omakannan kautta.
Valtakunnallisen lääkityslistan käyttöönotto mahdollistaa potilaan lääkehoidon ajantasaisuuden ja siten parantaa hyvän lääkehoidon onnistumista ja potilasturvallisuutta. Kun päällekkäisiä ja epätarkoituksenmukaisia lääkityksiä voidaan vähentää tai lopettaa, se lisää lääkehoidon turvallisuutta ja säästää tarpeettomia kustannuksia. Lääkehoitoon liittyvät haitat aiheuttavat viidesosan iäkkäiden henkilöiden päivystyskäynneistä. Ajantasainen lääkityslista olisi myös asiakkaan saatavilla Omakanta-palvelussa, millä parannetaan hoitoon sitouttamista. Ajantasainen lääkityslista on myös lääkkeen käyttäjän työkalu kokonaisuuden hallinnassa ja keskustelussa sosiaali- ja terveydenhuollon ammattilaisten kanssa 3.
Asiakastietojen tiedonsaantioikeuden ja luovutusten perusteiden yhtenäistäminen ja palvelunantajien välisen tiedonsaantioikeuden toteuttamisen keskittäminen aiempaa laajemmin valtakunnallisiin tietojärjestelmäpalveluihin selkiyttää tiedonsaannin ja luovutusten kokonaisuutta ja turvaa asiakkaalle mahdollisuuden lupien ja kieltojen avulla hallinnoida asiakastietojensa luovutuksia terveydenhuollossa ja sosiaalihuollossa. Luvilla ja kielloilla ei kuitenkaan voi vaikuttaa lakisääteisiin tiedonsaantioikeuksiin tai velvollisuuksiin luovuttaa tietoja. Lääkehoitoa koskevan kiellon kohdistaminen käytössä olevaan lääkkeeseen yksittäisen lääkemääräyksen sijasta varmistaa asiakkaan tahdon toteutumista, kun jokaista lääkemääräysasiakirjaa ei tarvitse muistaa kieltää erikseen.
Asiakkaan antamasta luvasta riippumatonta tiedonsaantioikeutta ja luovutusta koskeva sääntelyehdotus asiakkaan hoidon ja huollon turvaamiseksi vastaa voimassa olevaa asiakas- ja potilaslakien mukaista sääntelyä, ja turvaa välttämättömien asiakastietojen saatavuuden sosiaali- ja terveydenhuollon toteuttamista varten myös niissä tilanteissa, kun asiakas ei ole kykenevä luovutusluvan antamisesta päättämään. Potilastietojen luovuttaminen ulkomaisille palvelunantajille mahdollistaa keskeisten potilastietojen saatavuuden myös silloin, kun henkilö hakeutuu terveyspalveluiden piiriin ulkomailla esimerkiksi lomamatkan aikana tai oleskellessaan muutoin ulkomailla pidempiä aikoja. Potilastietojen saatavuus parantaa potilasturvallisuutta ja hoidon laatua.
Välttämättömiä asiakastietoja saisi luovuttaa sosiaali- ja terveyspalveluiden välillä ilman asiakkaan antamaa lupaa toteutettaessa yhteistä sosiaali- ja terveyspalvelua sekä tilanteissa, joissa asiakas ei ole kykenevä päättämään luvan antamisesta. Siten varmistetaan, että sosiaali- ja terveyspalveluiden kannalta välttämättömät tiedot ovat luovutettavissa, vaikka asiakas ei itse olisi kykenevä päättämään luvan antamisesta. Muutos turvaa erityisesti heikoimmassa olevien asiakkaiden asianmukaisten sosiaali- ja terveyspalveluiden toteuttamista.
Sääntelyehdotus yksityisten palveluntuottajien asiakirjojen rekisterinpidosta ja säilyttämisestä toiminnan päättymisen jälkeen turvaa asiakkaiden tiedonsaantioikeutta, kun palveluntuottajilla on taho, mihin voivat asiakirjansa toiminnan päättymisen jälkeen toimittaa ja asiakkaille on selvää, mikä taho rekisterinpidosta ja asiakirjojen säilytyksestä vastaa.
Asiakasasiakirjojen säilytysaikojen päivittämisellä on rajattu toisaalta asiakasasiakirjojen säilytysaikaa tietosuoja-asetuksen minimointiperiaatteen mukaisella tavalla sosiaali- ja terveydenhuollon järjestämisen ja toteuttamisen käyttötarkoitusten kannalta, mutta toisaalta huomioiden asiakkaiden tarve saada tietoja omista asiakastiedoistaan pitkänkin aikaa hoidon tai palvelun tai sosiaalihuollon asian päättymisen jälkeen.
Ehdotus sisältää sääntelyä myös valtakunnallisten tietojärjestelmäpalvelujen kansalaisen käyttöliittymästä eli Omakanta-palvelusta ja valtakunnallisiin tietojärjestelmäpalveluihin liitettävistä hyvinvointisovelluksista. Ne lisäävät väestölle yhdenvertaisia mahdollisuuksia käyttää digitalisia palveluita ja ottaa käyttöön hyvinvointia edistäviä sovelluksia. Digitaaliset palvelut ovat kuitenkin vain muita palveluita täydentävä asiointikanava, ja tarvittaessa myös muut asiointikanavat ovat käytettävissä.
4.2.2.2 Lapsivaikutukset
Lapsen oikeuksista säädetään YK:n lapsen oikeuksien sopimuksessa (SopS 59 ja 60/1991), joka on lailla voimaan saatettu ihmisoikeussopimus. Yleissopimuksen 4 artiklan mukaan sopimusvaltiot ovat sitoutuneet ryhtymään kaikkiin tarpeellisiin lainsäädännöllisiin, hallinnollisiin ja muihin toimiin yleissopimuksessa tunnustettujen oikeuksien toteuttamiseksi. Lisäksi alaikäisen potilaan asemasta säädetään laissa potilaan asemasta ja oikeuksista, alaikäisen asiakkaan asemasta säädetään laissa sosiaalihuollon asiakkaan asemasta ja oikeuksista. Sosiaalihuoltolaissa on säädetty lapsen edusta sekä lapsen ja nuoren mielipiteen ja toivomusten huomioon ottamisesta. Lapsioikeudessa tärkeää on huolehtia toisaalta lapsen osallisuuden ja toisaalta lapsen suojelun tasapainosta.
Lapsen asiakastietojen sähköisessä käsittelyssä on aina huomioitava ensisijaisesti lapsen etu, joka käytännössä tarkoittaa sitä, että kaikki lapsen oikeudet huomioidaan täysimääräisesti. YK:n lapsen oikeuksien sopimuksen (LOS) mukaan sääntelyssä on huolehdittava, että se mahdollistaa ja tukee muun muassa lapsen oikeutta osallisuuteen (LOS 12 art), oikeutta tietoon (LOS 13 art), oikeutta yksityisyyteen (LOS 16 art) sekä oikeutta erityiseen suojeluun ja huolenpitoon (mm. LOS 3(2) art ja 19 art). Lapsella on myös oikeus parhaaseen mahdolliseen terveydentilaan (LOS 24 art).
EU:n yleinen tietosuoja-asetus säätelee tietoyhteiskunnan palveluihin liittyvästä lapsen suostumukseen sovellettavista ehdoista. Tietosuoja-asetuksen 8 artiklan 1 kohdassa säädetään ikärajasta, jonka mukaan tietoyhteiskunnan palveluja voidaan tarjota suoraan lapselle ilman lapsen vanhempainvastuunkantajan suotumusta tai valtuutusta. Jäsenvaltiot voivat lainsäädännössään säätää lasta koskevasta ikärajasta, joka ei saa olla alle 13 vuotta eikä yli 16 vuotta.
Sosiaali- ja terveydenhuollon asiakastietojen sääntelyn selkiyttäminen sekä mahdollisuus asiakastietojen sähköiseen käsittelyyn voi parhaassa tilanteessa auttaa toteuttamaan entistä paremmin lasten ja nuorten oikeutta parhaaseen mahdolliseen terveydentilaan, itsemääräämiseen ja yksityisyyteen, sekä parantaa palveluiden saatavuutta ja laatua lapsille ja nuorille. Sosiaali- ja terveydenhuollon asiakastietojen käsittelyssä, samoin kuin kaikessa muussakin sosiaali- ja terveyspalveluissa, ammattihenkilöiden on otettava huomioon lapsen etu iän ja kehitystason mukaisella tavalla. Lapsen etu on huomioitava esimerkiksi siinä, miten lapselle kerrotaan asiakastietojen käsittelystä ja informoidaan valtakunnallisista tietojärjestelmäpalveluista ja mahdollisuuksista vaikuttaa asiakastietojen luovutuksiin.
Ehdotuksessa ei esitetä sellaisia muutoksia, jotka aiheuttaisivat muutoksia lasten ja huoltajien asemaan. Sääntely sisältää kuitenkin useita voimassa olevaan sääntelyyn sisältyviä seikkoja, jotka ovat lasten ja huoltajien kannalta merkityksellisiä.
Esitys sisältää sääntelyn lapsen oikeudesta kieltää potilastietojensa tai sosiaalihuollon asiakastietojensa luovuttaminen huoltajilleen sekä kieltoa ja lapsen päätöskykyä koskevan tiedon kirjaamista koskevan sääntelyn. Kirjaamista ja kirjaamisessa käytettäviä tietojärjestelmiä koskeva sääntelyehdotus ei kuitenkin aiheuta muutoksia siihen, miten lapsen päätöskykyä sosiaali- ja terveydenhuollossa tulee arvioida iän ja kehitystason mukaisesti ja miten lapsi voi kielto-oikeuttaan toteuttaa.
Lasten oikeus päättää asiakastietojen luovutuksista muille palvelunantajille ja viranomaisille vastaa myöskin voimassa olevaa sääntelyä. Terveydenhuollossa hoidostaan päättämään kykenevä lapsi voi päättää myöskin tietojensa luovutuksesta. Huoltajien oikeudet määrittyvät lapsen huollosta ja tapaamisoikeudesta annetun lain mukaisesti, mutta potilastietojen luovutusten osalta huoltajien oikeutta kieltää lapsen tietojen luovutus rajoitetaan samoin kuin asiakastietolaissa siten, ettei huoltaja voi kieltää luovutuksia niin sanotuissa hätätilanteissa, kun kyse on potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi tarpeellisen hoidon antamisesta.
Lasten ja huoltajien kannalta merkityksellistä on myös kansalaisen käyttöliittymää, omatietovarantoa ja puolesta asiointia koskeva sääntely. Lapsilla on mahdollisuus käyttää itsenäisesti kansalaisen käyttöliittymää ja esimerkiksi saada sen avulla tieto omista sosiaali- ja terveydenhuollon asiakastiedoistaan, jos lapselle on hankittu sähköisen asioinnin mahdollistava tunnistautumisväline eli pankkitunnukset, mobiilivarmenne tai sähköisen asioinnin mahdollistava henkilökortti. Huoltajilla on oikeus saada kansalaisen käyttöliittymän avulla lapsensa asiakastiedot, joiden luovuttamista lapsi ei ole kieltänyt. Omatietovaranto, eli valtakunnallisten tietojärjestelmäpalvelujen osio, johon henkilöt voivat itse tallentaa omia hyvinvointitietojaan, on myös lasten käytettävissä. Omatietovaranto ei ole tietoyhteiskunnan palvelu, joten sen käyttämiseen ilman huoltajan suostumusta ei ole ikärajaa. Myös omatietovarannon käyttö edellyttää tunnistautumisvälinettä. Lakiehdotuksen puolesta asiointia koskeva sääntely on luonteeltaan informatiivista, joten lähtökohtaisesti puolesta asiointi on huoltajille mahdollista muussa lainsäädännössä säädetyn mukaisella tavalla.
Lasten oikeudet huomioidaan myös asiakasasiakirjojen säilytysajoissa. Pitkät potilasasiakirjojen säilytysajat mahdollistavat lapsen oikeuden saada lapsuudenaikaiset potilastietonsa myös aikuisena. Sosiaalihuollossa pisimmät säilytysajat esitetään perheoikeudellisten palvelutehtävien, lapsiperheiden palvelutehtävien ja lastensuojelun palvelutehtävien asiakirjoille, joten lapsilla on mahdollista saada niistä tieto myös aikuisiällä.
4.2.2.3 Vaikutukset sosiaali- ja terveydenhuollon palvelunantajien ja apteekkien toimintaan
Ehdotuksella on vaikutuksia sosiaali- ja terveydenhuollon palvelunantajien ja apteekkien toimintaan. Osa ehdotuksista aiheuttaa muutostarpeita palvelunantajien ja apteekkien käyttämiin tietojärjestelmiin sekä toimintakäytäntöihin. Ehdotetuilla muutoksilla on vaikutuksia myös sosiaali- ja terveydenhuollon ammattihenkilöille, jotka käytännössä toteuttavat asiakastietojen kirjaamista ja tiedon luovutuksia. Ehdotus edellyttää riittävän tuen ja koulutuksen ammattihenkilöille. Muutoksia aiheuttaville ehdotuksille esitetään siirtymäaikoja, jotta varmistetaan riittävän pitkä toimeenpanoaika tietojärjestelmämuutoksiin, palvelunantajille tuleviin uusiin velvoitteisiin sekä ammattihenkilöiden koulutuksiin.
Asiakirjojen käsittelyä koskevilla säädöksillä yhtenäistetään asiakirjojen käsittelyn vaatimuksia sosiaali- ja terveydenhuollossa. Potilasasiakirjojen laatimisen ja tallentamisen viiden päivän määräaika poistetaan, ja sen sijaan asiakirjat olisi laadittava ja tallennettava viivytyksettä sen jälkeen, kun asiakirja on valmistunut. Asiakirjat olisivat siten luovutettavissa muille palvelunantajille ilman viiveitä. Muutos aiheuttaa palvelunantajille tarpeen kehittää asiakirjojen laatimisen ja tallentamisen menettelytapoja.
Ehdotuksessa esitetyillä rekisterinpitäjyyttä koskevilla säännöksillä on vaikutusta erityisesti yksityisiin palvelunantajiin. Rekisterinpitäjyys määräytyisi kaikenlaisissa yritysjärjestelyissä toiminnan jatkamisen perusteella. Säädös selkiyttäisi nykytilannetta, ja varmistaisi asiakirjojen yhdenmukaisen käsittelyn erilaisissa muutostilanteissa. Toiminnan päättymisen jälkeisestä rekisterinpitäjyydestä säätämällä varmistetaan, että yksityisellä palvelunantajalla on toimintaa päättäessään tiedossaan viranomainen, jonka hallintaan asiakirjat luovutetaan ja joka niistä ottaa vastuun. Rekisterinpitäjyyden muutokset saattavat aiheuttaa muutostilanteissa myös tietojärjestelmäkustannuksia, jos asiakastietoja säilytetään palvelunantajan omissa tietojärjestelmissä valtakunnallisten tietojärjestelmäpalvelujen lisäksi. Hyvinvointialueille ja Helsingin kaupungille tulisi uusi tehtävä toimintansa päättäneiden palvelunantajien asiakirjojen rekisterinpitäyydestä. Kansaneläkelaitos voisi huolehtia asiakirjojen säilyttämisestä niiden puolesta, mikä edellyttäisi esimerkiksi asiakirjojen vastaanottamisen, säilyttämisen, tuhoamisen ja tietopalvelun menettelytapojen kehittämistä toimivan työnjaon ja käytäntöjen varmistamiseksi. Kansaneläkelaitoksen ja kunkin hyvinvointialueen tai Helsingin kaupungin välille tulisi myös tehdä sopimus.
Ehdotus mahdollistaa valtakunnallisen lääkityslistan toteuttamisen reseptikeskukseen. Ajantasaisen lääkitystiedon ylläpitoon tarvittava työmäärä vähenee asteittain, kun lääkitystiedot saadaan ajantasaisiksi. Pohjois-Pohjanmaan sairaanhoitopiirissä vuonna 2018 toteutetussa tutkimuksessa arvioitiin, että päivystyspotilaiden lääkityslistojen ajantasaistamiseen kuluu asianmukaisesti tehtynä n. 15 min/potilas, josta ajantasainen lääkityslista voisi pitkällä tähtäimellä säästää puolet. Tällä arvioitiin saatavan useiden satojen tuhansien eurojen vuotuista säästöä pelkästään yhdessä organisaatiossa. Lääkityslistasta odotettu hyöty perustuu työmäärän vähenemisen lisäksi lääkehoitoon liittyvien haittatapahtumien vähenemisestä saatavaan terveyshyötyyn sekä järkeistyvällä lääkityksellä saavutettavaan lääkekulutuksen pienenemiseen. Nämä hyödyt lisäksi realisoituvat vain osittain terveydenhuollon organisaatioille. Pääosin hyödyt realisoituvat koko yhteiskunnan tasolla ja tietysti kansalaisille itselleen.
Lääkityslistan käyttöönotto edellyttää muutoksia terveydenhuollon palvelunantajien ja ammattihenkilöiden toimintamalleihin, kuten lääkkeen määräämisen ja kirjaamisen käytäntöihin. Lääkemääräyksen tietoa ei tarvitsisi kirjataan toiseen kertaan potilaskertomukseen, mikä vähentää kirjaamiseen tarvittavaa työaikaa. Uudet toimintamallit sekä tietojärjestelmien muutokset edellyttävät myös koulutusta ensisijaisesti lääkkeen määrääjille, mutta pienemmässä määrässä myös muulle lääkehoitoon osallistuvalle henkilöstölle. Koulutuksen määrään vaikuttaa suuresti käytössä olevan potilastietojärjestelmän toteutukset ja niihin tehtävien muutosten suuruus.
Ehdotus mahdollistaa sosiaalipalveluiden antamisen yhteydessä tuotettavien potilastietojen tallentamisen valtakunnallisiin tietojärjestelmäpalveluihin sekä potilastietojen luovuttamisen terveydenhuollon järjestämisen ja tuottamisen käyttötarkoituksiin muita potilastietoja vastaavalla tavalla. Ehdotus vastaa palvelunantajien esille tuomiin tarpeisiin selkiyttää kyseisten potilastietojen käsittelyä ja parantaa mahdollisuuksia luovuttaa potilastietoja terveydenhuollon käyttötarkoituksiin, mikä parantaa palveluiden laatua ja potilasturvallisuutta sekä tehostaa toimintaa.
Myös monialaisen kirjaamisen sääntelyn tarkoituksena on parantaa tiedonkulkua sosiaali- ja terveydenhuollon välillä sekä tukea yhteistyötä annettaessa palveluita sosiaali- ja terveydenhuollon ammattihenkilöiden yhteistyössä. Monialaisessa yhteistyössä sosiaalihuollon asiakasasiakirjat tallennettaisiin sosiaalihuollon asiakasrekisteriin ja potilasasiakirjat potilasrekisteriin. Kirjaamiskäytäntö aiheuttaa muutoksia erityisesti sosiaalihuollon palveluiden yhteydessä toteutettavien terveyspalveluiden kirjaamiseen, koska nykyisin kyseisissä tilanteissa potilastiedot kuuluvat sosiaalihuollon asiakasrekisterin osarekisteriin. Sosiaalihuollon asiakasasiakirjojen tallentamiseen ehdotus ei aiheuta muutoksia. Tietojärjestelmiin kohdistuvien muutosten laajuus on riippuvainen palvelunantajan käyttämästä tietojärjestelmästä. Jos sosiaali- ja terveydenhuollon yhteisissä palveluissa käytettävässä tietojärjestelmässä ei ole joko sosiaalihuollon tai terveydenhuollon vaadittavia ominaisuuksia, eli tietojärjestelmän käyttötarkoitus ei vastaa yhteistä palvelua, tietojärjestelmää tulee päivittää vastaamaan vaatimuksia tai kyseissä palvelussa tulee ottaa käyttöön vaatimukset täyttävä tietojärjestelmä.
Ehdotuksen mukaan asiakastietojen luovuttaminen palvelunantajien välillä tapahtuisi pääsääntöisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Muulla tavoin asiakastietoja saisi luovuttaa, jos luovuttaminen ei olisi mahdollista valtakunnallisten tietojärjestelmäpalvelujen avulla. Säännös mahdollistaisi potilastietojen luovuttamisen esimerkiksi tilanteissa, joissa yksityisen terveydenhuollon palvelunantajan tiloissa toimii muita palvelunantajia käyttäen samaa tietojärjestelmää tai Uudenmaan maakunnan alueella hyvinvointialueiden, Helsingin kaupungin ja HUS-yhtymän välillä palvelunantajien omia tietojärjestelmiä hyödyntäen, vaikka muutoin palvelunantajien väliset luovutukset hoidettaisiin valtakunnallisten tietojärjestelmäpalvelujen avulla. Asiakastietojen luovutuksia koskeva sääntely edellyttää myös tietosuoja-asetuksen mukaista asiakkaiden informointia henkilötietojen käsittelystä. Informointi voidaan kuitenkin yhdistää myös valtakunnallisia tietojärjestelmäpalveluja koskevaan informointiin, mikä vähentää palvelunantajille aiheutuvaa kuormitusta.
Potilastietojen luovuttaminen ulkomaille asiakkaan antaman suostumuksen perusteella edellyttää, että suostumus voidaan kirjata ja tallentaa palvelunantajien luona. Sääntelyyn sisällytettäisiin myös potilastietojen luovuttaminen kliinisiin lääketutkimuksiin ja muuhun lääketieteelliseen tutkimukseen. Potilastietojen luovuttaminen näihin käyttötarkoituksiin ei sinänsä ole uusi asia, mutta ehdotettu sääntely selkiyttää potilastietojen luovuttamisen käytäntöjä.
Ehdotuksella mahdollistetaan valtakunnallisiin tietojärjestelmäpalveluihin liittyminen myös muille kuin sosiaali- ja terveysministeriön hallinnonalalla toimiville sosiaali- ja terveydenhuollon palvelunantajille, kuten valtion erityiskoulut.
Kansaneläkelaitos voisi palvelunantajien lukuun toteuttaa lokitietoihin ja verkkoliikenteeseen kohdistuvaa valvontaa, mikä osaltaan keventäisi palvelunantajan omaa valvontataakkaa. Lisäksi Kansaneläkelaitokselle ehdotetaan uutta oikeutta valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen tietorakenteiden laadunvalvontaan. Säännöksen tavoitteena on varmistaa tietorakenteiden laatu ja yhteentoimivuus, jotta tietoja olisi tosiasiallisesti mahdollista käyttää esimerkiksi Terveyden ja hyvinvoinnin laitoksen lakisääteisissä tiedonkeruissa ja toisiolain mukaisissa käyttötarkoituksissa kuten tutkimuksessa.
4.2.2.4 Vaikutukset viranomaisten toimintaan
Esityksellä on vaikutuksia sosiaali- ja terveydenhuollon tiedonhallintaa ohjaavaan ja valvoviin viranomaisiin sekä Kansaneläkelaitokseen valtakunnallisten tietojärjestelmäpalvelujen toteuttajana.
Terveyden ja hyvinvoinnin laitokselle on esityksessä useita määräyksenantovaltuuksia, jotka sinänsä perustuvat voimassa olevaan lainsäädäntöön, mutta uuden lain myötä määräykset on tarkistettava ja päivitettävä. Samoin muut Terveyden ja hyvinvoinnin laitoksen vastuulle kuuluvat määrittelyt ja ohjeet tulee päivittää ja huolehtia jatkossakin niiden ajantasaisuudesta. Lain toimeenpano edellyttää myös Terveyden ja hyvinvoinnin laitoksen ohjausta esimerkiksi asiakastietojen ja asiakasasiakirjojen käsittelyn muutosten läpivientiin. Samoin Terveyden ja hyvinvoinnin laitoksen vastuulla on valtakunnallisten tietojärjestelmäpalvelujen käytön seuranta, mikä vaatii jatkuvaa työtä ja seurannan kehittämistä valtakunnallisten tietojärjestelmäpalvelujen laajentuessa ja niitä koskevan lainsäädännön kehittyessä.
Ehdotus sisältää täsmennyksiä Terveyden ja hyvinvoinnin laitoksen tietohallinnon ohjaustehtäviin ja tiedonkeruisiin. Ehdotukset liittyvät eri tietovarannoissa käytettävien tietorakenteiden yhteensovittamiseen sekä valtakunnallisten tietojärjestelmäpalvelujen hyödyntämiseen Terveyden ja hyvinvoinnin laitoksen lakisääteisissä tiedonkeruissa.
Lisäksi ehdotus mahdollistaisi Terveyden ja hyvinvoinnin laitoksen rekisteritietojen luovuttamisen kliinistä lääketutkimusta varten.
Ehdotus sisältäisi Lääkealan turvallisuus- ja kehittämiskeskukselle valtuuden antaa määräyksiä kliinisessä lääketutkimuksessa potilastietojen käsittelyssä käytettävien tietojärjestelmien tietoturvavaatimuksista. Lisäksi asiakastietolain soveltaminen apteekkeihin ja niiden käyttämiin tietojärjestelmiin vaikuttaa keskuksen apteekkien valvontaan liittyviin tehtäviin. Valvontatehtävissä on oltava riittävästi osaamista ja resursseja myös potilastietojen käsittelystä ja siinä käytettävistä tietojärjestelmistä.
Sosiaali- ja terveysalan lupa- ja valvontaviraston tietojärjestelmien valvontaan liittyviä tehtäviä laajennettaisiin hyvinvointisovellusten valvontaan. Koska valtakunnallisiin tietojärjestelmäpalveluihin liitettävien hyvinvointisovellusten kehittäminen ja käyttöönotto ovat vasta alkuvaiheessa, tässä vaiheessa ei ole edellytyksiä arvioida valvontatehtävän pysyviä vaikutuksia viraston työmäärään tai osaamistarpeisiin. Valvontatehtävien laajuutta ja tarvittavan työpanoksen määrää on seurattava aktiivisesti ja varmistettava jatkossa riittävä resurssi, jos lisäresursoinnin tarvetta ilmenee. Tietojärjestelmien valvontaa koskevaan sääntelyyn esitetään joitain muutoksia, joiden tarkoituksena on helpottaa ja selkiyttää viraston valvontatehtävää.
Kansaneläkelaitokselle esitetään uusia tietoturvallisuuteen liittyviä oikeuksia, kuten verkonvalvonta ja lokeihin kohdistuva valvonta. Esitys vahvistaa Kansaneläkelaitoksen roolia sosiaali- ja terveydenhuollon tiedonhallinnan keskeisenä toimijana. Tietojärjestelmien yhteentoimivuuden testaamiseen liittyviä Kansaneläkelaitoksen vastuita täsmennettäisiin niin, että sen olisi annettava todistus yhteentoimivuuden testauksen tuloksista sekä ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Terveyden ja hyvinvoinnin laitokselle sekä tietoturvallisuuden arviointilaitokselle. Ehdotus mahdollistaisi myös sen, että Kansaneläkelaitos voisi tehdä valtakunnallisten tietojärjestelmäpalvelujen käyttöön liittyvää seurantaa ja julkaista palvelunantajien valtakunnallisten tietojärjestelmäpalvelujen käyttöä koskevia tietoja julkisilla internet-sivuilla sekä laatia ja luovuttaa palvelunantajille yhteenvetoja niiden omissa rekistereissä olevien asiakastietojen ja lokitietojen perusteella. Lisäksi Kansaneläkelaitos voisi yhteistyössä Terveyden ja hyvinvoinnin laitoksen kanssa suorittaa valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen tietorakenteiden teknistä laadunvalvontaa.
Lisäksi esityksen mukaan Kansaneläkelaitos voisi huolehtia toimintansa päättäneiden yksityisten palvelunantajien asiakasasiakirjojen säilytyksestä. Kansaneläkelaitos on viime vuosina ottanut säilyttääkseen yksityisten terveydenhuollon palvelunantajien potilasasiakirjoja sosiaali- ja terveysministeriön kanssa tehdyn sopimuksen perusteella. Lainsäädännön myötä säilytystehtävä laajentuisi myös sosiaalihuoltoon sekä erilaisiin sähköisiin aineistoihin, joita ei voi tallentaa valtakunnallisiin tietojärjestelmäpalveluihin. Tehtävä edellyttäisi tiivistä yhteistyötä rekisterinpidosta vastaavien hyvinvointialueiden ja Helsingin kaupungin kanssa. Paperisten asiakirjojen säilyttäminen edellyttää riittäviä arkistointitiloja, ja sähköisten asiakirjojen säilyttäminen edellyttää tietojärjestelmien kehittämistä johtuen sähköisten aineistojen todennäköisestä monimuotoisuudesta. Säilytyksen lisäksi uusia tehtäviä muodostuu myös toimintansa päättäneiden palvelunantajien asiakirjojen tietopalvelusta.
4.2.3 Tietosuojavaikutukset
Tämän lakiehdotuksen mukainen sosiaali- ja terveydenhuollossa tapahtuva henkilötietojen käsittely kuuluu yleisen tietosuoja-asetuksen soveltamisalan piiriin. Tietosuoja-asetus tulee lähtökohtaisesti sovellettavaksi kaikkeen henkilötietojen käsittelyyn, joka kuuluu EU:n lainsäädännön soveltamisalaan, mutta jää luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680, jäljempänä rikosasioiden tietosuojadirektiivi, soveltamisalan ulkopuolelle. Tietosuoja-asetuksen 2 artiklan 2 kohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen (2016/C 202/01, SEU) V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Suomessa tietosuoja-asetuksen soveltamisala on kansallisesti laajennettu tietosuojalaissa koskemaan eräin rajauksin myös sellaista henkilötietojen käsittelyä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa.
Tämän esityksen valmistelun yhteydessä on arvioitu henkilötietojen käsittelyä koskevien säännöksien vastaavuutta EU:n tietosuojalainsäädännön ja sitä täydentävien yleislakien vaatimuksiin. Henkilötietojen käsittelystä on toteutettu tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi, jonka johtopäätökset on sisällytetty esityksen 4.2.3 kappaleeseen.
Tietosuoja-asetuksen 35 artiklan 10 kohdan mukaisesti lainsäätäjä voi osana lainvalmistelutyötä tehdä tietosuojaa koskevan vaikutustenarvioinnin. Vaikka tässä esityksessä on osana lainvalmistelutyötä toteutettu tietosuojaa koskeva vaikutustenarviointi, tulee sosiaali- ja terveydenhuollon asiakastietojen rekisterinpitäjien toteuttaa tietosuojaa koskeva vaikutustenarviointi tietosuoja-asetuksen 35 artiklan edellyttämissä tilanteissa. Sosiaali- ja terveydenhuollon asiakastietojen käsittely koskee laajaa ja arkaluonteista henkilötietojen joukkoa, joiden käsittelystä aiheutuvia riskejä rekisterinpitäjien on mahdollista arvioida tarkemmin omassa toiminnassaan, kun taas tässä esityksessä riskejä on mahdollista arvioida vain yleisellä tasolla.
4.2.3.1 Tietosuoja-asetuksen kansallinen liikkumavara
Tietosuoja-asetus on EU:n jäsenmaissa suoraan sovellettavaa lainsäädäntöä, jonka puitteissa on mahdollista antaa tai pitää voimassa ainoastaan sellaista kansallista lainsäädäntöä, jolla tarkennetaan tai täsmennetään asetuksen säännöksiä. Tietosuoja-asetusta tarkentava kansallinen lainsäädäntö on mahdollista silloin, kun tietosuoja-asetus nimenomaisesti jättää jäsenvaltioille kansallista sääntelyliikkumavaraa.
Kansallista liikkumavaraa voidaan käyttää silloin, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Sääntelyliikkumavaraa sisältyy myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn osalta tietosuoja-asetuksen 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin sekä 4 kohtaan. Tämän lisäksi kansallisella lainsäädännöllä on jossain määrin mahdollista poiketa asetuksen velvoitteista, esimerkiksi kun sovelletaan 23 artiklan rajoituksia tai IX luvun tietojenkäsittelyyn liittyviä erityistilanteita koskevia säännöksiä.
Perustuslakivaliokunta on katsonut lausunnossaan PeVL 14/2018 vp, että henkilötietojen suoja tulee turvata ensisijaisesti yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla ja on lähtökohtaisesti riittävää, että sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunta korosti lausunnossaan, että kansallisella erityislainsäädännöllä säätäminen tulee rajata vain välttämättömään tietosuoja-asetuksen kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Yksityiskohtaisempaa sääntelyä voidaan pitää tarpeellisena esimerkiksi silloin, kun kyse on arkaluonteisten tietojen käsittelystä (PeVL 14/2018 vp, s. 5).
4.2.3.2 Käsittelyn oikeusperusteet ja käsiteltävien henkilötietojen luonne
Henkilötietojen käsittelylle tulee olla tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen oikeusperuste. Tässä lakiehdotuksessa tarkoitettujen sosiaali- ja terveydenhuollon asiakastietojen rekisterinpitäjien lakisääteisenä velvoitteena on järjestää ja toteuttaa sosiaali- ja terveyspalveluja ja käsitellä sosiaali- ja terveyspalvelujen järjestämiseen ja toteuttamiseen liittyviä asiakastietoja, jolloin henkilötietojen käsittelyn oikeusperusteena on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen (6 artiklan 1 kohdan c alakohta). Vaikka yksityisen sosiaali- terveydenhuollontoimijoilla ei ole lakisääteistä velvoitetta järjestää sosiaali- ja terveyspalveluja, henkilötietojenkäsittelyä koskevan lainsäädännön voidaan tästä huolimatta katsoa myös yksityisten toimijoiden kohdalla perustuvan tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan sisältämään kansalliseen liikkumavaraan. Yksityisen tai julkisen sosiaali- tai terveydenhuollon toimijan antaessa sosiaali- tai terveydenhuollon palveluja, sen on noudatettava asiakas- ja potilastietojen käsittelyä koskevaa erityissääntelyä. Toimijoilla ei ole harkinnanvaraa siinä, noudattaako se asiakastietojen käsittelyä koskevaa sääntelyä silloin, kun se antaa sosiaali- tai terveydenhuollon palveluja.
Tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan kansallinen lainsäädäntö voi sisältää yksityiskohtaisempia säännöksiä asetuksen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan nämä erityiset säännökset voivat sisältää yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä, asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitettuja toimenpiteitä. Jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle tulee lisäksi olla tietosuoja-asetuksen 9 artiklan 2 kohdan mukainen peruste. Erityisiä henkilötietoryhmiä ovat tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettiset tai biometriset tiedot henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot sekä luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot. Terveyttä koskevia tietoja ovat tietosuoja-asetuksen mukaan kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn terveydentilasta. Ehdotetussa laissa sosiaali- ja terveydenhuollon erityisiin henkilötietoryhmiin kuuluvien asiakastietojen käsittely on tarpeen 9 artiklan 2 kohdan h alakohdassa esitettyihin tarkoituksiin, eli ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti.
Tietosuojalain 6 §:n 1 momentissa säädetään poikkeuksista tietosuoja-asetuksen 9 artiklan erityisten henkilötietoryhmien käsittelykiellolle. Erityisiä henkilötietoryhmiä voidaan käsitellä 6 §:n 1 momentin mukaan muun muassa kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja (kohta 4) ja kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja (kohta 5).
Erityisten henkilötietoryhmien käsittelyssä on otettava huomioon 9 artiklan 3 kohdan säännös, jonka mukaan henkilötietoja voidaan käsitellä 9 artiklan 2 kohdan h alakohdan esitettyihin tarkoituksiin kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
Lakiehdotuksessa säädetään sosiaali- ja terveydenhuollon asiakastietojen salassapidosta sekä sosiaali- ja terveydenhuollon asiakastietoja käsittelevien henkilöiden vaitiolovelvollisuudesta, joilla täytetään tietosuoja-asetuksen 9 artiklan 3 kohdan ja tietosuojalain 35 §:n edellyttämät vaatimukset ottaen huomion sosiaali- ja terveydenhuollon asiakastietojen arkaluonteisuus. Ehdotetussa laissa säädetään erikseen poikkeuksista salassapitovelvollisuuteen.
Tietosuoja-asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Lakiehdotuksessa tällaisia lisäehtoja ovat esimerkiksi asiakkaan oikeus kieltää asiakastietojensa luovutus sekä tietoturvaan liittyvät sääntelyehdotukset.
4.2.3.3 Suojatoimet
Tietosuoja-asetuksen mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja –vapauksille (johdanto-osa 51). Tietosuoja-asetuksen lähtökohtana on, että tällaisia henkilötietoja ei saa käsitellä, jollei käsittelyä ole nimenomaisesti sallittu tietosuoja-asetuksessa säädetyillä perusteilla. Jos erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykiellosta poiketaan lailla, on poikkeuksista säädettävä nimenomaisesti lainsäädännössä. Erityisten henkilötietoryhmien käsittely edellyttää tietosuoja-asetuksen 9 artiklan 2 kohdan poikkeamisperusteen lisäksi, että jäsenvaltion lainsäädännössä säädetään erityisistä ja asianmukaisista toimenpiteistä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojaamiseksi (johdanto-osa 53). Suojatoimista tulee säännellä myös, jos jäsenvaltion lainsäädännössä rajoitetaan rekisteröityjen oikeuksia tietosuoja-asetuksen 23 artiklan mukaisesti.
Suojatoimen käsitettä ei ole suoraan määritelty tietosuoja-asetuksessa, mutta siihen on viitattu useammassa asetuksen kohdassa. Lisäksi tietosuojalain 6 §:n 2 momentissa on lueteltu suojatoimenpiteitä, joita tulee toteuttaa käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Oleellinen tietosuoja-asetuksen mukainen käsite suojatoimiin liittyen on 25 artiklan mukainen sisäänrakennettu ja oletusarvoinen tietosuoja. Tietosuoja-asetuksen 25 artiklan mukaan rekisterinpitäjän on rekisteröityjen oikeuksien suojaamiseksi ja asetuksen vaatimusten täyttämiseksi käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet. Suojatoimissa tulee ottaa huomioon uusin tekniikka ja toteuttamiskustannukset. Lisäksi huomioon on otettava käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset, sekä käsittelyn aiheuttamat riskit luonnollisten henkilöiden oikeuksille ja vapauksille.
Tietosuoja-asetuksen 25 artiklan 2 kohdassa on säädetty rekisterinpitäjän velvollisuudesta varmistaa se, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja tulee toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä suojatoimenpiteitä ovat 2 momentin mukaan:
1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty;
2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista;
3) tietosuojavastaavan nimittäminen;
4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin;
5) henkilötietojen pseudonymisointi;
6) henkilötietojen salaaminen;
7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi;
9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen;
10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen;
11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet.
Lakiehdotuksessa säädettäviä suojatoimenpiteitä ovat muun muassa asiakastietojen luovutusta koskeva luovutuslupa, käyttöoikeushallinta, asiakas- tai hoitosuhteen tekninen varmistaminen sekä luonnollisten henkilöiden, organisaatioiden ja tietoteknisten laitteiden luotettava tunnistaminen. Suojatoimenpiteiden tarkoituksena on varmistaa, että sosiaali- ja terveyspalveluissa käsitellään vain kulloinkin tarpeellisia henkilötietoja. Lisäksi tarkoituksena on suojata asiakastietoja asiattomalta käsittelyltä ja estää lainvastainen pääsy asiakastietoihin.
Käyttöoikeuksista asiakastietoon säädetään esityksen 9 §:ssä, jonka mukaan käyttöoikeudet perustuvat sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakas- ja potilastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun. Henkilöllä on käyttöoikeus vain työtehtävissään tarvitsemiinsa välttämättömiin asiakastietoihin. Asiakastietojen käsittelyn perusteena on tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä. Palvelunantajan tai muun asiakastietoja käsittelevän rekisterinpitäjän on pidettävä rekisteriä asiakastietojen käsittelyssä käytettävien tietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista. Esityksen 8 §:n mukaan asiakastietojen sähköisessä käsittelyssä asiakastietoja käsittelevät henkilöt, palvelunantajat, tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava luotettavasti.
Lakiehdotuksessa säädetään asiakastietojen käytöstä ja luovutuksesta kerättävistä lokitiedoista ja niiden valvonnasta. Käyttö- ja luovutuslokitietojen keräämisellä ja lokivalvonnalla varmistetaan, että rekisteröity tai muu lokivalvontaa suorittava henkilö voi jälkikäteen tarkastaa, kuka on katsonut hänen tietojaan ja puuttua mahdollisiin väärinkäytöksiin.
Lakiehdotuksen 2 osassa säädetään sosiaali- ja terveydenhuollon tietojärjestelmiä koskevista vaatimuksista. Ehdotuksessa on säännökset tietoturvasuunnitelmista, tietoturvallisuuden omavalvonnan toteuttamisesta, sosiaali- ja terveydenhuollon tietojärjestelmien rekisteröinnistä, tietojärjestelmien käyttöönoton jälkeisestä seurannasta sekä tietojärjestelmille asetettavista olennaisista vaatimuksista, joita ovat muun muassa tietojärjestelmien vaatimustenmukaisuuden osoittaminen ja sertifiointi sekä tietoturvallisuuden arviointi. Lisäksi ehdotuksessa on säännökset sosiaali- ja terveydenhuollon tietojärjestelmien valvonnasta ja tarkastuksesta.
Henkilötietojen salaaminen tai pseudonymisoiminen suojatoimenpiteenä ei ole tietojen ensisijaisen käytön kontekstissa mahdollista, sillä sosiaali- ja terveydenhuollon asiakastietojen tunnisteellinen käsittely ja henkilöiden luotettava tunnistaminen on asiakastyössä välttämätöntä. Asiakastietojen käsittely perustuu lainsäädäntöön ja niitä suojataan ehdotuksessa ja muualla laissa säädettävillä asianmukaisilla suojatoimilla.
4.2.3.4 Käsittelyn tarpeellisuus ja oikeasuhtaisuus
Tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan tietosuojan vaikutustenarvioinnin tulee sisältää arvio käsittelyn tarpeellisuudesta ja oikeasuhteisuudesta sen tarkoituksiin nähden. Henkilötietoja tulee käsitellä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoilla. Käsittelytoimenpiteiden tulee toteuttaa tehokkaasti käsittelyn laillisten tarkoitusten saavuttamista.
Lakiehdotuksen mukaisen sosiaali- ja terveydenhuollon asiakastietojen käsittelyn tarpeellisuus määräytyy sosiaali- ja terveydenhuollon ammattihenkilöiden ja muiden asiakastietoja käsittelevien henkilöiden lakisääteisen velvoitteen perusteella käsitellä tehtäviensä kannalta välttämättömiä asiakastietoja. Ammattihenkilöiden ja muiden asiakastietoja käsittelevien henkilöiden käyttöoikeuksista ja tiedonsaantioikeuksista säädetään rajoittavasti niin, että käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä. Asiakastietojen käsittely on välttämätöntä ammattihenkilöiden ja muiden asiakastietoja käsittelevien henkilöiden lakisääteisten työtehtävien hoitamiselle.
Käsittelyn oikeasuhtaisuutta turvataan rajaamalla käyttöoikeus vain välttämättömiin asiakastietoihin sekä toteuttamalla erilaisia suojatoimenpiteitä henkilötietojen käsittelylle, kuten käyttöoikeushallinta, asiakas- tai hoitosuhteen tekninen varmistaminen, säilytysaikojen määrittely sekä luonnollisten henkilöiden, organisaatioiden ja tietoteknisten laitteiden luotettava tunnistaminen. Ehdotukseen sisältyvillä suojakeinoilla varmistetaan, että sosiaali- ja terveydenhuollon ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt käsittelevät vain työtehtäviensä tai sosiaali- ja terveydenhuollon palvelun mukaisten käyttötarkoitusten kannalta tarpeellisia henkilötietoja.
4.2.3.5 Rekisterinpitäjät
Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietosuoja-asetuksen 4 artiklan 7 kohdassa mahdollistetaan rekisterinpitäjästä tai tämän nimittämistä koskevista erityisistä kriteereistä säätäminen jäsenvaltion lainsäädännön mukaisesti, jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään jäsenvaltion lainsäädännössä.
Rekisterinpitäjästä säätämisessä tulee huomioida, että rekisterinpitäjäksi tulee osoittaa sellainen taho, joka tosiasiallisesti käyttää rekisterinpitäjälle kuuluvaa määräysvaltaa ja voi toteuttaa rekisterinpitäjälle kuuluvat velvoitteet. Rekisterinpitäjän vastuulla on erityisesti varmistaa, että henkilötietojen käsittelytoimet ovat asianmukaisia ja tehokkaita ja sen on voitava osoittaa, että käsittelytoimet ovat tietosuoja-asetuksen mukaisia. Rekisterinpitäjän on kaikessa henkilötietojen käsittelyssä otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvät riskit.
Lakiehdotuksen 3 luvussa säädetään sosiaali- ja terveydenhuollon asiakastietojen rekisterinpidosta. Lakiehdotuksen 13 §:n mukaan julkisessa ja yksityisessä sosiaali- ja terveydenhuollossa palvelunjärjestäjä on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain (1383/2001) 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon. Lääkemääräysten ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen rekisterinpitäjyydestä säädetään lääkemääräyslain 18 §:ssä. Ehdotuksessa säädettäisiin myös rekisterinpitäjän määräytymisestä palvelunantajan muutostilanteissa sekä palvelunantajan toiminnan päättyessä. Ehdotus parantaisi rekisteröityjen oikeuksien toteutumista, sillä rekisteröityjen oikeus asiakastietoihinsa turvattaisiin palvelunantajan toiminnan päättyessä.
Tietosuoja-asetuksen 26 artiklassa säädetään yhteisrekisterinpitäjistä, jotka määrittelevät yhdessä käsittelyn keinot ja tarkoitukset. Kyseisen artiklan mukaan rekisterinpitäjään sovellettavassa unionin tai jäsenvaltion lainsäädännössä voidaan määritellä yhteisrekisterinpitäjien vastuualueet henkilötietojen käsittelyssä. Järjestelyssä on käytävä asianmukaisesti ilmi rekisterin yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Riippumatta järjestelyn ehdoista, rekisteröity voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.
Ehdotuksessa säädetään yhteisrekisterinpitäjyydestä lokirekisterien säilytyspalvelun, tiedonhallintapalvelun ja tahdonilmaisupalvelun osalta, joissa sosiaali- ja terveydenhuollon palvelunantajat ja Kansaneläkelaitos toimivat palveluiden yhteisrekisterinpitäjinä. Kansaneläkelaitos toimii palveluiden tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. Järjestely vahvistaa rekisteröityjen oikeuksia, sillä rekisteröity voisi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan sekä palvelunantajan että Kansaneläkelaitoksen kanssa asioidessaan.
Ehdotuksessa säädetään lisäksi henkilötietojen käsittelijästä tietosuoja-asetuksen 28 ja 29 artiklojen mukaisesti. Tietosuoja-asetuksen 28 artiklassa edellytetään, että henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla. Lakiehdotus toimisi tietosuoja-asetuksen mukaisena oikeudellisena asiakirjana, jossa on säännelty 28 artiklan 3 kohdan mukaisista vaatimuksista. Lisäksi henkilötietojen käsittelijälle asetettaisiin tietosuoja-asetuksen 29 artiklan nojalla 28 artiklasta poikkeavia tietojen käsittelyä koskevia velvoitteita. Velvoitteilla täsmennetään henkilötietojen käsittelijän velvollisuuksia sosiaali- ja terveydenhuollon kontekstissa ja vahvistetaan tietosuojaperiaatteiden ja rekisteröityjen oikeuksien toteuttamista.
4.2.3.6 Rekisteröityjen oikeudet
Rekisteröityjen oikeuksista säädetään tietosuoja-asetuksen 15–22 artikloissa. Rekisteröidyllä on muun muassa oikeus saada tietoa henkilötietojensa käsittelystä ja saada pääsy tietoihin sekä oikeus vaatia, että häntä koskevat virheelliset tiedot oikaistaan. Se, mitä oikeuksia rekisteröity voi kulloinkin käyttää, riippuu siitä, millä tietosuoja-asetuksen 6 artiklan oikeusperusteella kyseessä olevia henkilötietoja käsitellään. Jos henkilötietojen käsittelyperusteena on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, rekisteröidyillä on seuraavat tietosuoja-asetuksen mukaiset oikeudet: oikeus saada informaatiota henkilötietojen käsittelystä (13-15 art.), oikeus saada pääsy tietoihin (15 art.), oikeus oikaista tietoja (16 art.), oikeus rajoittaa tietojen käsittelyä (18 art.) sekä oikeus olla joutumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta (22 art.).
Rekisteröityjen oikeuksia koskevat pyynnöt toteutetaan sosiaali- ja terveydenhuollossa rekisterinpitäjien ohjeiden ja tietosuoja-asetuksen sekä muun tietosuojalainsäädännön mukaisesti. Esityksessä ehdotetaan rajoitettavaksi tietosuoja-asetuksen 18 artiklan mukaista rekisteröidyn oikeutta rajoittaa tietojen käsittelyä. Lakiehdotuksen 12 §:n mukaan palvelunjärjestäjä voisi kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla silloin, kun tiedon käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille. Perustelut kieltäytymiselle ovat samat kuin tietosuojalain 34 §:ssä. Rekisteröidyn rajoittamisoikeuden rajoittaminen perustuu tietosuoja-asetuksen 23 artiklan 1 kohdan i-alakohtaan. Asiakastietoja olisi mahdollista käsitellä rekisteröidyn tekemästä rajoittamispyynnöstä huolimatta, jos tiedon käsittelyn rajoittamisesta voisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.
Lisäksi lakiehdotuksen 11 ja 74 §:ssä rajoitetaan henkilön oikeutta saada pääsy tietoihinsa tilanteissa, joissa tiedon antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Ehdotuksen 11 §:ssä säädetään henkilön oikeudesta saada lokitiedot asiakastietojensa käsittelystä. Ehdotuksen 74 §:ssä säädetään henkilön oikeudesta saada kansalaisen käyttöliittymän välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot. Ehdotuksen 74 §:n 2 momentin mukaan henkilöllä on oikeus saada tiedot lukuun ottamatta sellaisia tietoja, joita henkilöllä ei julkisuuslain 11 §:n 2 momentin, tietosuojalain 34 §:n tai muun lainsäädännön nojalla ole oikeutta saada. Muun lainsäädännön osalta ehdotuksessa viitataan tietosuojalain 34 §:ään, jonka mukaisesti henkilöltä voidaan evätä pääsy tietoihin, joiden antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille. Esityksessä ehdotetaankin, että kansalaisen käyttöliittymä toteutetaan siten, että asiakkaalla ei ole pääsyä niihin tietoihin, joiden luovuttamisesta voisi ammattihenkilön harkinnan mukaan aiheutua vakavaa vaaraa asiakkaan terveydelle, hoidolle taikka jonkun muun oikeuksille.
Rekisteröityjen rajoittamisoikeuksien rajoittaminen on perusteltua potilasturvallisuuden, asiakkaan palveluiden sekä ammattihenkilöiden oikeusturvan varmistamiseksi. Tietojen saatavuus edistää rekisteröidyn oikeuksia sosiaali- ja terveyspalveluissa, kun asiakastietoja käytetään palvelunantajan laissa säädetyn tehtävän hoitamiseksi.
Tietosuoja-asetuksen 15 ja 18 artikloissa ei säädetä suoraan poikkeuksista, joiden perusteella rekisteröityjen oikeuksia voitaisiin rajoittaa kun tietoja käsitellään rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. 18 artiklan 2 kohdan mukaan tietoja saa kuitenkin käsitellä rajoitusoikeuden käyttämisestä huolimatta muun muassa tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.
Tietosuojalain 34 §:ssä säädetään tietosuoja-asetuksen 23 artiklan mukaisesti rajoituksista rekisteröidyn 15 artiklan mukaiseen oikeuteen tutustua hänestä kerättyihin tietoihin. Rekisteröidyllä ei ole 15 artiklan mukaista oikeutta muun muassa, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille. Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 34 §:n 1 momentin mukaan jäisivät tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä olisi oikeus saada tietää muut häntä koskevat tiedot. Rekisteröidylle olisi ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. Jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot olisi annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.
Tietosuoja-asetuksen 23 artiklassa säädetään mahdollisuudesta rajoittaa kansallisella lainsäädännöllä tietosuoja-asetuksen 12–22 artiklassa säädettyjen oikeuksien soveltamisalaa. Tietosuoja-asetuksen 23 artiklan 1 kohdassa säädetään tavoitteista, joiden takaamiseksi rekisteröidyn oikeuksista on sallittua poiketa. Tässä esityksessä 23 artiklan mukainen tavoite, jonka takaamiseksi rekisteröityjen oikeuksia olisi sallittua rajoittaa on 1 kohdan i alakohta; rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet.
Tietosuoja-asetuksen 23 artiklan mukaisissa rajoituksissa on noudatettava keskeisiltä osin perusoikeuksia ja –vapauksia ja lainsäädäntötoimen on oltava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide kyseessä olevan tavoitteen toteuttamiseksi. Tässä esityksessä ehdotettu rekisteröityjen 18 artiklan mukaisten oikeuksien rajoittaminen olisi välttämätön ja oikeasuhtainen toimenpide potilasturvallisuuden varmistamiseksi.
Tietosuoja-asetuksen 23 artiklan 2 kohdassa säädetään vähimmäisvaatimuksista, jotka olisi sisällytettävä tarpeen mukaan lainsäädäntöön, jolla rajoituksista säädetään. Nämä erityiset säännökset koskevat käsittelytarkoitusta, henkilötietoryhmiä, käyttöön otettujen rajoitusten soveltamisalaa, suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin, rekisterinpitäjän määrittämistä, tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset, rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä sekä rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.
Lakiehdotuksessa säädetään henkilötietojen käsittelytarkoituksista ja käsiteltävistä henkilötiedoista, rajoitusten soveltamisalasta, henkilötietojen käsittelyä koskevista suojatoimista, rekisterinpitäjistä, tietojen säilytysajoista ja rekisteröityjen informoinnista. Lakiehdotuksen yhtenä tavoitteena on turvata rekisteröityjen oikeuksien toteutuminen asiakastietojen käsittelyssä sosiaali- ja terveydenhuollossa.
Rekisteröidyn oikeuksien turvaamiseksi ehdotuksessa säännellään muun muassa asiakkaan informoinnista tietojen käsittelystä valtakunnallisissa tietojärjestelmäpalveluissa, asiakkaan oikeudesta määrätä asiakastietojensa luovutuksesta ja kieltää tietojensa luovuttaminen toiselle rekisterinpitäjälle, käyttö- ja luovutuslokitietojen tarkasteluoikeudesta sekä muista rekisteröityjen oikeuksia vahvistavista toimista, kuten sosiaali- ja terveydenhuollon käyttöoikeushallinnasta.
4.2.3.7 Tietosuojaperiaatteet
Tietosuoja-asetuksen 5 artiklassa on lueteltu henkilötietojen käsittelyssä noudatettavat periaatteet. Henkilötietoja tulee käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys) ja ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus). Lisäksi henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista niiden käyttötarkoituksiin (tietojen minimointi) ja niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä (täsmällisyys). Henkilötiedot saa säilyttää muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen) ja niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys ja luottamuksellisuus).
Lainmukaisuus ja kohtuullisuus
Henkilötietojen käsittelyn lainmukaisuus edellyttää, että käsittelylle on tietosuoja-asetuksen mukainen käsittelyperuste. Tämän lakiehdotuksen mukaisen sosiaali- ja terveydenhuollon asiakastietojen käsittelyn oikeusperusteet on lueteltu aiemmin kappaleessa 4.2.3.2. Henkilötietojen käsittelyn lainmukaisuutta varmistetaan lisäksi henkilötietojen suojatoimenpiteillä ja tietosuojaperiaatteiden vaatimusten noudattamisella.
Henkilötietojen käsittelyn asianmukaisuutta ja kohtuullisuutta suhteessa käsittelyn tarkoitukseen toteutetaan rekisteröityjen informoinnilla asiakastietojen käsittelystä sekä sitomalla sosiaali- ja terveydenhuollon ammattihenkilöiden ja muiden asiakastietoja käsittelevien henkilöiden oikeus käsitellä asiakastietoja lakisääteisten tehtävien hoitamista varten tarvittaviin välttämättömiin asiakastietoihin. Käyttöoikeuden määrittely lakisääteisten tehtävien mukaan suojaa rekisteröityjen perusteltuja odotuksia henkilötietojen käsittelystä sosiaali- ja terveydenhuollossa.
Läpinäkyvyys
Läpinäkyvyyden periaate edellyttää, että henkilötietojen käsittelystä kerrotaan rekisteröidylle selkeästi ja ymmärrettävästi. Rekisteröityjen informointiin henkilötietojen käsittelystä kiinnitetään huomiota erityisesti esityksen 68 §:ssä, joka koskee asiakkaan informointia valtakunnallisista tietojärjestelmäpalveluista. Ehdotuksella muutettaisiin asiakastietojen luovuttamisen sääntelyä, mikä asettaa erityisen vastuun informoida asiakkaita uusista tietojen luovutusten käytännöistä. Lakiehdotuksen 68 §:n mukaan palvelunantajan olisi informoitava asiakasta valtakunnallisista tietojärjestelmäpalveluista, niiden toimintaperiaatteista ja valtakunnallisiin tietojärjestelmäpalveluihin liittyvistä asiakkaan oikeuksista. Tiedot olisi annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä. Esityksessä korostetaan annettavien tietojen riittävyyttä.
Tieto henkilölle annetuista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista tallennettaisiin lakiehdotuksen 72 §:n mukaiseen tahdonilmaisupalveluun. Henkilö voisi hallinnoida tietojaan ja tahdonilmaisujaan ehdotuksen 74 §:ssä säädetyn kansalaisen käyttöliittymän avulla. Rekisteröity voisi esimerkiksi antaa suostumuksen ja asettaa luovutuskieltoja käyttöliittymässä. Nämä keinot vahvistavat rekisteröidyn mahdollisuutta valvoa henkilötietojensa suojaa tehokkaasti.
Käyttötarkoitussidonnaisuus
Käyttötarkoitussidonnaisuus edellyttää, että henkilötietojen käsittelyn tarkoitukset on määritelty ennalta ja henkilötietoja kerätään vain tiettyjä, nimenomaisia ja laillisia tarkoituksia varten. Sosiaali- ja terveydenhuollon asiakastietoja tultaisiin tämän lakiehdotuksen mukaisesti käsittelemään ainoastaan lakisääteisten tehtävien hoitamiseksi. Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä muuhun kuin ensisijaiseen käyttötarkoitukseen säädetään toisiolaissa.
Tietojen minimointi ja säilytyksen rajoittaminen
Tietojen minimoinnin periaatteen mukaisesti henkilötietojen tulee olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta. Henkilötietojen käsittelyä rajoitetaan lakiehdotuksessa säätämällä sosiaali- ja terveydenhuollon ammattihenkilön ja muiden asiakastietoja käsittelevien henkilöiden käyttöoikeudesta vain lakisääteisten tehtäviensä edellyttämään välttämättömään asiakastietoon. Asiakastietojen käsittelyn perusteena olisi asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä. Asiakastietojen käsittelyä rajattaisiin toisaalta käyttöoikeuksien määrittelyllä, toisaalta asiayhteyden tai hoitosuhteen todentamisella.
Henkilötietoja tulee säilyttää vain niin kauan kuin ne ovat tarpeen henkilötietojen käyttötarkoitusta varten. Säilytyksen rajoittaminen on yhteydessä tietojen minimoinnin periaatteeseen. Lakiehdotuksessa säädetään tietojen minimoinnin ja säilytysaikojen rajoittamisen periaatteiden mukaisesti sosiaali- ja terveydenhuollon asiakirjojen arvonmääritysten mukaisista säilytysajoista sekä asiakirjojen tuhoamisesta säilytysajan päättymisen jälkeen.
Täsmällisyys
Käsiteltävien henkilötietojen tulee olla käyttötarkoituksen kannalta täsmällisiä ja tiedot on päivitettävä tarvittaessa. Epätarkat ja virheelliset henkilötiedot on täydennettävä ja oikaistava sekä tarpeettomat henkilötiedot poistettava viipymättä. Käsittelyn täsmällisyyttä suojataan lakiehdotuksessa erilaisilla keinoilla, kuten velvollisuudella laatia ja tallentaa asiakasasiakirjat valtakunnallisiin tietojärjestelmäpalveluihin sekä toimittaa lähetteet jatkohoitopaikkaan viipymättä. Ehdotuksen 22 §:n mukaan asiakirjojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa asiakastietojen käsittelyssä, tiedonsiirrossa ja säilytyksessä.
Eheys ja luottamuksellisuus
Eheyden ja luottamuksellisuuden periaate edellyttää, että henkilötietojen käsittelyssä varmistetaan tietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Ehdotuksessa säädettävillä teknisillä ja organisatorisilla toimenpiteillä estetään väärinkäyttö ja lainvastainen pääsy asiakas- ja potilastietoihin. Ehdotuksessa säädettäviä teknisiä ja organisatorisia toimenpiteitä ovat muun muassa käyttöoikeushallinta, asiakas- tai hoitosuhteen tekninen varmistaminen sekä luonnollisten henkilöiden, organisaatioiden ja tietoteknisten laitteiden luotettava tunnistaminen. Näillä keinoilla estetään tietojen saattaminen rajoittamattoman henkilömäärän saataville ja varmistetaan, että käsitellään vain kulloinkin tarpeellisia henkilötietoja.
4.2.3.8 Henkilötietojen käsittelyyn liittyvät riskit
Tämän lakiehdotuksen mukaiseen sosiaali- ja terveydenhuollon asiakastietojen käsittelyyn liittyvät riskit ovat yhteydessä sosiaali- ja terveydenhuollossa käsiteltävien tietojen korostuneeseen arkaluonteisuuteen. Arkaluonteisen potilas- ja asiakastiedon käsittelyn voidaan katsoa olevan yksityisyyden suojan piirin ytimessä. Arkaluonteisia henkilötietoja tulee suojella erityisen tarkasti ottaen huomioon niiden käsittelystä aiheutuvat riskit perusoikeuksille ja –vapauksille.
Sosiaali- ja terveydenhuollon asiakastietojen käsittelystä aiheutuvia riskejä rekisteröidylle voivat aiheuttaa esimerkiksi puutteelliset tietoturvatoimenpiteet, joiden seurauksena tapahtuu henkilötietojen tietoturvaloukkaus. Lisäksi riskejä voivat aiheuttaa käyttöoikeushallinnan ja lokivalvonnan riittämättömyys, jonka seurauksena henkilötietoihin on pääsy luvatta tai henkilötietoja luovutetaan lainvastaisesti. Riskejä voi aiheutua myös tietojärjestelmien häiriöistä ja tietojen saatavuuden vaarantumisesta, joilla voi potentiaalisesti olla vakavia seurauksia potilasturvallisuudelle.
Ehdotuksessa on säädetty useita suojatoimenpiteitä, joiden tarkoituksena on vähentää tai poistaa asiakastietojen käsittelystä aiheutuvia riskejä rekisteröidylle. Suojatoimenpiteet ovat sekä teknisiä että organisatorisia, ja ne koskevat asiakastietoa käsittelevää sosiaali- ja terveydenhuollon henkilöstöä ja tietojärjestelmiä, joilla asiakastietoja käsitellään. Suojatoimenpiteillä on tarkoitus varmistaa henkilötietojen suoja ja rekisteröityjen oikeuksien ja tietosuojaperiaatteiden toteutuminen sosiaali- ja terveydenhuollon asiakastietojen käsittelyssä.
Vaihtoehtona tämän ehdotuksen mukaisen sosiaali- ja terveydenhuollon tiedonhallintasäädösten kokonaisuudistukselle olisi ollut voimassa olevan sääntelyn kehittäminen yksittäisten ongelmakohtien osalta. Koska keskeinen palaute voimassa olevasta lainsäädännöstä on kuitenkin liittynyt sääntelyn pirstaleisuuteen ja vaikeaselkoisuuteen, kokonaisuudistus nähtiin tässä vaiheessa välttämättömäksi. Tässä yhteydessä esitetään toteutettavaksi keskeisen lainsäädännön yhdistäminen ja yhtenäistäminen sekä tarpeellisilta osin päivittäminen vastaamaan nykyistä toimintaympäristöä. Sosiaali- ja terveydenhuollon tiedonhallinnan lainsäädäntöön kohdistuu paljon muitakin kehittämistarpeita, joista osaa ehdotetaan toteutettavaksi myöhemmin. Tällaisia tarpeita ovat esimerkiksi sosiaali- ja terveydenhuollon yhteisten asiakasasiakirjojen säädösperusta, tiedonvaihdon kehittäminen sosiaali- ja terveydenhuollon ulkopuolisten viranomaisten kanssa sekä uuden teknologian hyödyntämiseen liittyvä sääntely.
Esityksen valmistelun yhteydessä tunnistettiin tarve ja tavoite säätää palvelunantajille velvoittavaksi tallentaa käyttölokitietonsa valtakunnallisten tietojärjestelmäpalvelujen lokitietovarantoon. Käyttölokien tallentaminen olisi säädösten perusteella mahdollista jo nyt. Käytännössä toteutus on vasta käynnistymässä, joten edellytyksiä tallennusvelvoitteen säätämiselle ei vielä tässä vaiheessa voi katsoa olevan.
5.2.1 Henkilötietojen käsittely
Euroopan komissio on selvittänyt terveydenhuollon potilastietojen käsittelyn sääntelymalleja jäsenmaissa. Selvityksessä on eritelty käsittelyperusteet terveydenhuollon toiminnan yhteydessä ja tietojen jakamiselle terveydenhuollon palvelunantajien tai terveydenhuollon ammattilaisten välillä.
Selvityksen perusteella tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet vaihtelevat suuresti jäsenmaiden välillä ja joissain maissa käytetään useita käsittelyperusteita. Käsittelyperusteina käytetään sekä suostumusta että 6 artiklan 1 kohdan c) lakisääteisen velvoitteen noudattaminen tai e) yleinen etu alakohtien ja 9 artiklan 2 kohdan h) terveydenhuolto tai i) kansanterveyteen liittyvä yleinen etu alakohtien yhdistelmiä.
Terveydenhuollon toiminnan yhteydessä suostumusta käytetään käsittelyperusteena 12 jäsenmaassa, kuten Ranskassa, Belgiassa, Bulgariassa, Tanskassa ja Saksassa.
Lakisääteisen velvoitteen noudattaminen yhdistettynä 9 artiklan 2 kohdan h) alakohdan mukaiseen terveydenhuoltoon on laajimmin, 21 jäsenmaassa käytetty käsittelyperuste. Yhdeksässä jäsenmaassa lakisääteisen velvoitteen noudattaminen yhdistetään taas 9 artiklan 2 kohdan i) alakohdan mukainen kansaterveyteen liittyvään yleiseen etuun.
Kuudennen artiklan mukainen yleinen etu yhdistetään 12 jäsenmaassa 9 artiklan 2 kohdan h) alakohdan terveydenhuoltoon ja kahdeksassa jäsenmaassa i) alakohdan mukaiseen kansanterveyteen liittyvään yleiseen etuun.
Samoja käsittelyperusteita käytetään myös jaettaessa tietoja terveydenhuollon palvelunantajien ja ammattilaisten välillä. Suostumusta käytetään käsittelyperusteena 17 jäsenmaassa, kuten Suomessa, Ruotsissa, Tanskassa, Saksassa ja Ranskassa. Yhdeksäntoista jäsenmaata käyttää käsittelyperusteena lakisääteisen velvoitteen ja terveydenhuollon yhdistelmää, ja lakisääteisen velvoitteen ja kansanterveyteen liittyvän yleisen edun yhdistelmää seitsemän jäsenmaata. Yleisen edun ja kansanterveyteen liittyvän yleisen edun yhdistelmää käyttää seitsemän jäsenmaata, ja yleisen edun ja terveydenhuollon yhdistelmää kolme maata. Muita yhdistelmiä käytetään neljässä maassa (Saksa, Espanja, Latvia, Itävalta).
5.2.2 Tietojärjestelmät
Seuraavassa on tarkasteltu eräiden merkittävien OECD-maiden potilastietojärjestelmien käyttöönoton tilannetta. Kattavampi kansainvälinen vertailu on tehty toisiolain säätämisen yhteydessä. OECD-maissa on vain harvoja valtakunnallisia potilastietojärjestelmiä. Potilastietojärjestelmien käyttöönottoihin liittyy usein ongelmia, ja ongelmat ovat sitä suurempia, mitä laajemmasta käyttöönotosta on kyse.
Viro
Terveydenhuoltojärjestelmästä Virossa vastaa sosiaaliministeriö ja sen alaiset virastot, kuten Center of Health and Welfare Information Systems (CeHWIS). CeHWIS operoi terveydenhuollon sähköistä järjestelmää, jonka avulla tietoa voidaan välittää ja joka yhdistää palvelunantajat toisiinsa. Järjestelmän kautta myös potilaat näkevät omat terveystietonsa. Potilaat voivat sallia tai kieltää terveydenhuollon palvelunantajien pääsyn tietoihinsa, kun palvelunantajat suunnittelevat tai antavat hoitoa.
Viron digitaalisen järjestelmän selkäranka on X-road, joka otettiin käyttöön vuonna 2008, ja jonka avulla eri järjestelmät kytkeytyvät toisiinsa ja joka mahdollistaa erilaisten julkisten ja yksityisten sähköisten palveluiden toiminnan. Yli 900 organisaatiota käyttää X-roadia tai tuottaa palveluja X-roadin kautta. X-roadia ylläpitää ja hallitsee Information System Authority-niminen virasto and siitä on säädetty laissa. Lainsäädännön mukaan kaikkien palvelunantajien pitäisi välittää terveystiedot sähköiseen järjestelmään ja palvelunantajilla on oikeus käyttää tietoja hoitaessaan potilasta. Reseptitiedot on tallennettu Reseptikeskukseen. Kansalaiset ja palvelunantajat näkevät tiedot digilugu.ee-verkkosivujen kautta. Kansalaiset ja potilaat voivat kirjautua järjestelmään tunnistekortilla tai mobiilitunnisteella ja katsoa omia terveystietojaan, testituloksiaan ja esimerkiksi sairaalakäyntejään. Viron eriytynyt järjestelmä, jossa eri palvelunantajilla on omat järjestelmänsä, joista tieto kulkee keskitettyyn järjestelmään, on osoittautunut haastavaksi yhteentoimivuuden varmistamisen kannalta. Virossa onkin kehitteillä kansallinen ratkaisu, jossa integroidaan terveydenhuollon tietojärjestelmät X-road Middleware -ratkaisun avulla. Suunnitelmana on, että tietojen käyttö on sallittua, ellei potilas sitä erikseen kiellä. Tietoja saa katsella vain potilaaseen hoitosuhteessa oleva ammattilainen.
Viron tarkastusvirasto (The National Audit Office of Estonia) on todennut, että sähköisen terveydenhuollon tavoitteita ei ole saavutettu suunnitelmista huolimatta, koska terveystietoja ei voida käyttää hoidon, tilastoinnin, rekisterien pitämisen tai valvonnan tarkoituksissa. Tavoitteita ei ole saavutettu, koska Viron sosiaaliministeriön strateginen ohjaus terveydenhuollon sähköisen järjestelmän kehittämisessä ja käyttöönotossa ei ole onnistunut. Esimerkiksi vaikka palvelunantajien pitäisi välittää terveystiedot järjestelmään, tätä ei tehdä järjestelmällisesti. Lääkärit eivät tästä syystä käytä järjestelmää päivittäisessä työssään. Tämä johtuu siitä, että toistaiseksi palvelunantajilla ei ole velvoitetta käyttää järjestelmää.
Tanska
Tanskassa terveydenhuollon sähköinen palvelu sundhed.dk on pääasiallinen työkalu tietojenvaihdolle terveydenhuollon palvelunantajien välillä. Asteittainen lähestymistapa täytäntöönpanoon kansallisen IT-strategian ja säädösten avulla on mahdollistanut teknologioiden leviämisen ja niiden pakollisen käytön. Lähes kaikkien palvelunantajien tuottama tieto on saatavilla potilaille sundhed.dk-verkkosivujen kautta, joka koostaa eri palvelunantajien tuottaman potilastiedon. Sairaaloissa tuotettu potilastieto on myös potilaiden saatavilla E-journal-nimisessä palvelussa, joka on sähköinen potilastietorekisteri. Potilastietojen näyttämistä viivästetään kahdella viikolla ja palvelunantajat saavat käsitellä vain hoitamiensa potilaiden tietoja.
Norja
Norjan terveydenhuoltojärjestelmää voidaan kuvailla osittain hajautetuksi. Valtio on vastuussa suurista infrastruktuuriin liittyvistä toimenpiteistä, kuten Norwegian Health Net-workistä, joka perustettiin 2009, ja jonka avulla voidaan välittää potilastietoa terveyden- ja sosiaalihuollon sektoreilla. Norjassa on myös käynnistetty useita kansallisia terveydenhuollon digitalisaation strategioita ja näiden strategioiden käyttöönotto on saamassa vauhtia. Tietotekniikan käyttö Norjan terveydenhuollossa vaihtelee ja on edistyneintä ensisijaisessa terveydenhuollossa. Potilastietojen tallennus on yleinen käytäntö ja sähköinen potilas- ja hallinnollisten tietojen vaihto on myös yleistä. Sähköinen resepti pilotoitiin vuonna 2010 ja otettiin käyttöön koko maassa vuonna 2011. Kaikki julkiset sairaalat ja apteekit liittyivät Norwegian Health Networkiin vuonna 2013.
Ranska
Ranskassa terveydenhuollon sektorin tietotekniikkaa ja –järjestelmiä on kehitetty 1980-luvun lopulta alkaen. Terveydenhuollon strategiassa on erityisesti painotettu tietojärjestelmien yhteentoimivuutta. Ranskassa onkin käytössä sähköinen potilasrekisteri, jonka tarkoituksena on ryhmitellä lääketieteellistä tietoa, jota on kerätty esimerkiksi sairaaloissa. Tämän työn edistämiseksi perustettiin vuonna 2009 virasto, jonka tavoitteena oli edistää järjestelmien yhteentoimivuutta. Sähköisen potilasrekisterin tarkoituksena oli parantaa hoidon laatua ja vähentää hoidon tarvetta. Potilasrekisterin käyttöönotosta päättää potilas. Potilasrekisterin käyttö ei ole edennyt sujuvasti muun muassa tietosuojaan liittyvistä syistä, ja käyttöönotto ei ole ollut kovinkaan laajaa. Vuonna 2016 järjestelmän kehittämisen otti vastuulleen kansallinen vakuutuslaitos ja tämän jälkeen järjestelmän käyttäminen on laajentunut jonkin verran.
Ruotsi
Maakunnilla ja kunnilla on Ruotsissa verrattain suuri vapaus organisoida terveydenhuollon palveluja. Sosiaali- ja terveysministeriö vastaa terveydenhuollon kokonaisuudesta. Alueellinen itsehallinto on johtanut myös siihen, että tietojärjestelmät ovat alueellisia, eivätkä aina yhteentoimivia toistensa kanssa. Eri maakuntien potilastietojärjestelmät ovat tärkeitä tiedonlähteitä. Ruotsissa sairaalat voivat itse valita ja hankkia omat tietojärjestelmänsä. Vuoden 2010 alussa alkoi kansallisella tasolla pyrkimyksiä järjestelmien parempaan yhteentoimivuuteen.
Luonnos hallituksen esitykseksi laiksi sosiaali- ja terveydenhuollon asiakastietojen käsittelystä oli lausuttavana lausuntopalvelussa 21.1.-18.3.2022. Lausuntonsa antoi 111 tahoa. Lisäksi järjestettiin täydentävä lausuntokierros 31.3.-14.4.2022 valtakunnallisen lääkityslistan edellyttämistä muutoksista asiakastietolakiin ja sähköisestä lääkemääräyksestä annettuun lakiin. Lääkityslistan edellyttämistä muutoksista järjestettiin myös kuulemistilaisuus 28.3.2022. Tilaisuuden osallistujille toimitettiin lakiluonnos tutustuttavaksi ennen kuulemistilaisuutta.
Kaikki lausunnot ovat saatavilla osoitteessa www.stm.fi/hankkeet tunnuksella STM017:00/2021.
Ensimmäisen lausuntokierroksen palaute
Lakiehdotuksen tavoitetta keskeisten sosiaali- ja terveydenhuollon tiedonhallintaan liittyvien säännösten yhdistämisestä ja yhtenäistämisestä pidettiin pääsääntöisesti kannatettavana. Lisäksi enemmistö lausunnonantajista piti ehdotuksia selkeinä ja ymmärrettävinä, eikä esitetty muutostarpeita. Seuraavassa yhteenvedossa kuvataan tarkemmin lausuntopalautteissa esitettyä kritiikkiä ja muutostarpeita, joihin lausuntokierroksen jälkeiset muutokset perustuvat.
Lain esitettyä soveltamisalaa koskien kaikkea sosiaali- ja terveydenhuollon asiakastietojen käsittelyä pidettiin liian laajana ja sen arvioitiin aiheuttavat paljon vaikutuksia viranomaisille. Lausunnoissa esitettiin lisäksi runsaasti tarkentamisen tarpeita sekä korjaus- ja muutosehdotuksia eri pykäliin. Lisäksi tuotiin esille tarvetta kattavimmille yksityiskohtaisille pykäläkohtaisille perusteluille sekä esimerkkien lisäämiselle. Vaikutusarviointien puutteellisuuteen kiinnitettiin paljon huomiota. Erityisesti palvelunantajille aiheutuvat taloudelliset vaikutukset arvioitiin suureksi johtuen tietojärjestelmämuutoksista, toimintamallien muuttamisesta sekä asiakkaiden informoinnista.
Lausunnoissa kiinnitettiin myös huomiota lain toimeenpanon edellyttämään tukeen. Lisäksi esitettiin toiveita lakiluonnoksen täydentämisestä koskien esimerkiksi sosiaali- ja terveydenhuollon yhteisiä asiakirjoja ja asiakastietojen luovuttamista muille viranomaisille.
Oikeuskanslerinviraston lausunnossa kiinnitettiin huomiota säätämisjärjestysperustelujen täydentämisen tarpeisiin. Itsemääräämisoikeuden ja tiedollisen itsemääräämisoikeuden sisällön ja toteutumisen arviointia suhteessa esitykseen oli täydennettävä sekä tehtävä arviointia myös lasten erityisen aseman ja heidän tiedollisen itsemääräämisoikeutensa toteutumisen näkökulmasta. Perustuslainmukaisuuden arviointia edellytettiin myös sosiaaliturvaan liittyvän perusoikeuden näkökulmasta. Lisäksi lausunnossa esitettiin lakiehdotuksessa todettavaksi perustuslain 124 § soveltaminen ja sen asettamien vaatimusten täyttyminen, kuten myös lakiesityksen sisältämien asetuksen- ja määräyksenantovaltuuksien perustuslainmukaisuus perustuslain 80 §:n ja perusoikeuksien sisältämien lakitasoista sääntelyä sisältävien sääntelyvaraumien kannalta. Lisäksi todettiin tarve arvioida sekä säännöskohtaisissa että säätämisjärjestysperusteluissa riittävän kattavasti ja seikkaperäisesti merkityksellisten säädösten suhde tietosuoja-asetukseen ja sen sallimaan kansalliseen liikkumavaraan.
Valtionvarainministeriön lausunnossa kiinnitettiin huomiota esimerkiksi lakiehdotuksen laatimiseen talousarviokehyksen puitteissa sekä lakiehdotuksen arviointiin suhteessa tiedonhallintalakiin. Oikeusministeriön lausunnossa kiinnitettiin huomiota tietosuoja-asetuksen sääntelyliikkumavaran käyttöön ja sen perustelemiseen sekä eräiden säännösehdotusten suhteeseen julkisuuslakiin. Lisäksi lausunnossa kiinnitetään huomiota rekisterinpitoon, rekisteröityjen oikeuksien rajoittamista koskevaan ehdotukseen sekä sääntelyyn monimutkaisuuteen rekisteröidyn kannalta. Apulaistietosuojavaltuutetun lausunnossa kiinnitettiin huomioita muiden muassa ehdotetun vaikutusten arviointia koskevan velvoitteen laajuuteen, sivullisen määritelmään muutokseen suhteessa voimassa olevaan sääntelyyn, rekisteröityjen oikeuksien rajoittamista koskevan sääntelyehdotuksen laajuuteen ja oikeasuhtaisuuteen sekä eräiden ehdotusten päällekkäisyyteen tietosuoja-asetuksen kanssa.
Lausuntopalautteen perusteella erityisen vaikeaselkoisena pidettiin asiakastietojen luovutusten kokonaisuutta, samoin organisaatioihin liittyviä palvelunantajan, palvelunjärjestäjän ja palveluntuottajan määritelmiä. Sosiaalihuollon palveluiden yhteydessä annettavan terveydenhuollon potilasasiakirjojen käsittelyyn liittyvää sääntelyä eli potilasasiakirjojen tallentamista potilasrekisteriin kannatettiin. Asiakastietojen käsittelyä koskevan sääntelyn ulottamista hallinnollisiin asiakastietoihin toisaalta pidettiin hyvänä ratkaisuna mutta toisaalta siihen liittyen tunnistettiin myös kustannusvaikutuksia sekä tarkentamisen tarpeita. Yksityisten palvelunantajien lausunnoissa koettiin lakiehdotuksen rakentuvan julkisen sektorin näkökulmasta, ja toivottiin säädettäväksi yhteisrekisterinpitäjyydestä. Sääntelyä pidettiin osin päällekkäisenä tietosuoja-asetuksen kanssa. Toimintansa päättäneiden yksityisten palvelunantajien asiakirjojen säilyttämisen osalta useat lausunnonantajat esittivät, että Kansaneläkelaitos voisi toimia asiakirjojen rekisterinpitäjänä hyvinvointialueiden ja Helsingin kaupungin sijasta. Ehdotusta perusteltiin esimerkiksi sillä, että asiakkaan kannalta olisi selkeämpää, jos vastuu olisi selkeästi yhdellä taholla. Myös toimijoiden kannalta koettiin olevan selkeämpää, että kokonaisvastuu olisi yhdellä taholla.
Sähköisen tunnistamisen ja allekirjoituksia koskevaa sääntelyä esitettiin tarkennettavaksi suhteessa EU-sääntelyyn. Potilasasiakirjoja koskevaa sääntelyehdotuksen todettiin sekä valvontaviranomaisten että eräiden ammattiliittojen lausunnoissa olevan liian yleisellä tasolla. Ehdotuksia asiakasasiakirjojen säilytysaikojen lyhentämisestä kritisoitiin.
Kansaneläkelaitoksen toteuttaman ammattilaisen käyttöliittymän ottamista käyttöön lääkemääräysten laatimisen varajärjestelmänä toisaalta kannatettiin, mutta toisaalta siihenkin liittyen tunnistettiin paljon tarkentamisen tarpeita. Lausuntojen perusteella tarkennettavaa olisi myös Kansaneläkelaitoksen oikeuksien laajentamisessa lokien valvontaan, erityisesti suhteessa rekisterinpitäjien vastuisiin sekä lokivalvonnan käytännön toteutuksessa.
Siirtymäaikoja pidettiin useissa lausunnoissa liian lyhyinä, koska palvelunantajilla on samanaikaisesti hyvinvointialueiden käynnistämiseen liittyviä, tietojärjestelmien uudistamiseen liittyviä tehtäviä.
Ensimmäisen lausuntokierroksen perusteella tehdyt korjaukset
Lakiluonnokseen tehtiin runsaasti korjauksia lausuntopalautteen perusteella. Soveltamisalaa on rajattu pelkästään sosiaali- ja terveyspalveluiden järjestämisen ja tuottamisen käyttötarkoituksiin. Tietosuoja-asetuksen kannassa päällekkäistä sääntelyä on poistettu liittyen asiakirjojen oikaisemiseen, vaikutusten arviointiin ja asiakkaan tiedonsaantioikeuteen. Asiakkaan rajoittamisoikeuksien rajoittamista koskevaa sääntelyehdotusta on tarkennettu. Sääntelyehdotuksia, jossa lausuntopalautteen perusteella olisi vielä tarkennettavaa, on poistettu luonnoksesta. Siten asiakastiedon määritelmä on muutettu vastaamaan nykyistä sääntelyä niin, että asiakastiedolla tarkoitetaan ainoastaan potilasasiakirjoihin, sosiaalihuollon asiakasasiakirjoihin tai muihin sosiaali- ja terveyspalveluissa laadittuihin asiakirjoihin tallennettua tietoa. Myös hallinnollisten asiakirjojen ja hallinnollisten rekisterien sääntelyehdotus on poistettu. Potilasasiakirjoja koskevaa sääntelyä on tarkennettu siten, että se vastaa nykyisen asetustasoisen sääntelyn tasoa. Tunnistamista ja sähköistä allekirjoitusta koskevaa sääntelyä on täsmennetty niin, että ehdotus huomioi nyt paremmin asiaan liittyvän EU-sääntelyyn sekä muun suomalaisen lainsäädännön.
Toimintansa päättäneiden palvelunantajien asiakirjojen säilyttämistä koskevaa ehdotusta, jonka mukaan hyvinvointialueet ja Helsingin kaupunki olisivat rekisterinpitäjiä ja Kansaneläkelaitos voisi säilyttää asiakirjoja niiden lukuun, ei muutettu. Asiakasasiakirjojen rekisterinpidon vastuut edellyttävät sekä sosiaali- ja terveyspalvelujen toiminnan tuntemusta että asiakastietojen käsittelyä koskevan lainsäädännön soveltamista, minkä johdosta edelleen arvioitiin että rekisterinpidon vastuu sopii paremmin hyvinvointialueille ja Helsingin kaupungille.
Asiakastietojen luovuttamista koskevaa sääntelyä on selkiytetty ja muutettu tiedonsaantioikeuden muotoon, kun kyse on oikeudesta tietojen saamiseen sosiaali- ja terveydenhuollossa. Lisäksi on lisätty sääntelyä tiedonsaantioikeuden toteuttamisesta teknisen rajapinnan avulla. Tiedonsaantioikeuden toteuttamista muutoin kuin valtakunnallisten tietojärjestelmäpalvelujen avulla on palautteen perusteella korjattu niin, ettei Sosiaali- ja terveysalan lupa- ja valvontaviraston lupaa edellytetä. Sosiaali- ja terveydenhuollon välistä tiedonsaantioikeutta koskeva sääntely on siirretty omaan pykäläänsä, ja lisätty sääntelyä tilanteisiin, joissa asiakas ei ole kykenevä päättämään luvan antamisesta tietojensa luovutusta varten.
Hyvinvointisovellusten valvontatehtävä lisättiin esitettäväksi Sosiaali- ja terveysalan lupa- ja valvontaviraston vastuulle. Esityksestä on poistettu ehdotus ammattilaisen käyttöliittymän käyttämisestä lääkemääräysten laatimisen varajärjestelmänä.
Täydentävä lausuntokierros valtakunnallinen lääkityslistan edellyttämistä muutoksista
Täydentävän lausuntokierroksen (valtakunnallisen lääkityslistan edellyttämät lainsäädäntömuutokset) lausuntopalautteessa valtakunnallinen, ajantasainen ja yhtenäinen lääkityslista nähdään myönteisenä uudistuksena. Sen todetaan parantavan potilas- ja lääkitysturvallisuutta.
Lausunnoissa asiakastietolain ja lääkemääräyslain todettiin muodostavan selkeän kokonaisuuden. Lausuntojen mukaan oli epäselvää, koskeeko lausuttavana oleva luonnos lääkityslistaa kokonaisuudessaan vai jotakin vaihetta lääkityslistan toteutuksesta. Lausunnoissa pohdittiin myös, muodostuuko lausunnolla oleva lääkityslista ainoastaan avohoidossa annettavista lääkkeistä vai sisältyykö siihen myös osastoilla annettavat lääkkeet. Lainsäädäntöön kaivattiin myös keskeisen käsitteiden, kuten lääkityslista ja käytössä oleva lääke, määrittelemistä.
Kertakirjaamisen periaatetta kannatettiin laajasti. Kertakirjaamisen periaatteen nähtiin parantavan potilasturvallisuutta ja vähentävän terveydenhuollon ammattilaisten työtä. Useissa lausunnoissa tuotiin kuitenkin esille sitä, että lääkemääräyksen tietojen tulisi näkyä reseptikeskuksen lisäksi myös palveluntuottajaorganisaation potilastietojärjestelmissä. Tätä perusteltiin etenkin teknisillä yhteysongelmilla, mutta myös sillä, että potilastietojen ja lääkitystietojen pitäisi muodostaa eheä kokonaisuus. Eheän kokonaiskuvan nähtiin olevan tärkeä muun muassa jälkivalvonnan takia.
Lausuntojen mukaan epäselvää oli, miltä osin asiakastietolakia sovelletaan apteekkitoimintaan ja apteekkien tietojärjestelmiin, kun niissä käsitellään lääkemääräystietoja ja kun lääkemääräystiedot jatkossa ovat potilasasiakirjoja. Erään lausunnon mukaan asiakastietolain soveltamisalaa, määritelmiä ja muutoinkin kokonaisuutta tulisi täsmentää, jotta olisi selvää, miltä osin asiakastietolakia sovelletaan apteekkitoimintaan. Esille nostettiin myös, että esityksessä on tarkennettava vaikutuksia apteekeille ja niiden käyttämille tietojärjestelmille.
Lausunnoissa kannatettiin lääkkeen määrääjän velvollisuutta tarkistaa potilaalle aiemmin määrätyt lääkkeet valtakunnalliselta lääkityslistalta. Ehdotuksen nähtiin parantavan potilas- ja lääkitysturvallisuutta. Myös velvollisuutta tarkistaa potilaalle aiemmin määrätyt pkv- ja huumausainelääkkeet valtakunnalliselta lääkityslistalta kannatettiin. Muutoksen nähtiin vähentävän mahdollisuutta pkv- ja huumausainelääkkeiden väärinkäyttöön. Lausunnoissa pohdittiin muun muassa sitä, missä laajuudessa tarkistaminen tulisi tehdä lääkkeen määräämisen yhteydessä ja miten paljon tarkistaminen veisi resursseja. Todettiin, että tarkistamiseen kuluvan ajan tulisi olla oikeassa suhteessa tarkistamisesta saatavaan hyötyyn nähden. Esille nousi myös se, miten tarkistamista valvottaisiin. Pohdittiin myös sitä, että pkv- ja huumausainelääkkeiden määrääminen tulisi tehdä mahdottomaksi, jos lääkkeen määrääjä ei olisi tarkistanut potilaalle aiemmin määrättyjä pkv- ja huumausainelääkemääräyksiä.
Lausunnoissa kiinnitettiin huomiota siihen, että oikeus muuttaa lääkemääräyksen annostustietoja on ainoastaan sairaanhoitajilla, mutta ei proviisoreilla eikä farmaseuteilla eikä esimerkiksi lähihoitajilla. Muutosta pidettiin yleisesti hyvänä ja käytäntöjä sujuvoittavana. Useissa lausunnoissa korostettiin mahdollistettavien muutosoikeuksien rajaamista sekä sitä, että muutoksien tekoon liittyvät vastuukysymykset tulisi määritellä.
Lääkehoidon lopettamisesta koskevaa merkintää, joka samalla päättäisi lääkemääräyksen voimassaolon, kannatettiin laajasti. Lausunnoissa todettiin, että merkinnän tekeminen olisi edellytys sille, että lääkityslista pysyy ajantasaisena. Lisäksi menettelyn todettiin parantavan lääkitysturvallisuutta ja selkeyttävän lääkityksen kokonaisuuden hallintaa. Lausunnoissa harkittavaksi esitettiin sitä, voisiko lopettamismerkinnän tehdä sairaanhoitajan lisäksi proviisori tai farmaseutti. Lausunnoissa nostettiin esille myös se, että lopettamismerkinnän tekeminen ei kaikissa tilanteissa olisi mahdollista yhteisymmärryksessä potilaan kanssa. Potilas ei välttämättä haluaisi lopettaa lääkehoitoa, vaikka lääkkeen määrääjä pitäisi sitä lääketieteellisesti perusteltuna. Lausunnoissa nostettiin esille myös sitä, kuinka lääkehoito, jota ei ole tarkoitus lopettaa, voidaan tauottaa.
Apteekin tiedonsaantioikeutta lääkityslistasta pääsääntöisesti kannatettiin. Tämän nähtiin parantavan osaltaan lääkitys- ja potilasturvallisuutta ja auttavan muun muassa lääkkeiden mahdollisen väärinkäytön valvonnassa. Ehdotuksen nähtiin myös parantavan apteekkien lääkeneuvonnan laatua.
Useissa lausunnoissa todettiin, että potilaan kielto-oikeus estää terveydenhuollon ammattilaisia näkemästä potilaan lääkehoidon kokonaisuutta ja että kielto-oikeus tulisi poistaa lainsäädännöstä.
Fimea ja Kela nostivat esille, että heidän tiedonsaantioikeuttaan pitäisi laajentaa. Fimea totesi, että 15 §:n 2) kohdan mukaisia Fimean tiedonsaantioikeuksia voisi olla tarpeen täsmentää. Fimean näkemyksen mukaan pykälässä tulisi huomioida laajemmin Fimean tehtävään liittyviä tiedonsaantitarpeita. Myös Kela nosti lausunnossa esille, että tarvitsee laajemmat tiedonsaantioikeudet lääkityslistan hyödyntämiseen muun muassa lääkekorvausten oikeellisuuden valvonnassa.
Täydentävän lausuntokierroksen perusteella tehdyt korjaukset
Lakiluonnokseen tehtiin korjauksia lausuntopalautteen perusteella. Lääkityslistan ja käytössä olevan lääkkeen käsitteet määriteltiin lääkemääräyslain 3 §:ään. Vastaava muutos tehtiin myös esimerkiksi lääkemääräyslain 5 ja 12 §:ään.
Lääkityslistan vaiheittaista toteutusta tarkennettiin hallituksen esityksen yleisiin perusteluihin, kuten myös sitä, että lausuttavana oleva luonnos koskee avohuollon lääkkeistä koottavaa lääkityslistaa. Osastolääkkeiden osalta lääkityslista vaatii lainsäädäntömuutoksia myöhemmin eivätkä ne sisälly tähän esitykseen.
Lääkemääräyksen tiedot tallennetaan jatkossa kertakirjaamisen periaatteen mukaisesti reseptikeskukseen, mutta tiedot tallennetaan samalla paikalliseen potilastietojärjestelmään. Tämä vastaa lausuntopalautetta siltä osin, että lääkemääräystietojen pitää löytyä reseptikeskuksen lisäksi myös potilasasiakirjoista.
Lausuntopalautteen perusteella lopettamismerkinnän tekemisestä poistettiin vaatimus, että se on tehtävä yhteisymmärryksestä potilaan kanssa. Potilasta on kuitenkin lähtökohtaisesti hoidettava yhteisymmärryksessä potilaan kanssa. Lopettamismerkinnän voi tehdä ainoastaan lääkkeen määrääjä eli oikeutta ei lausuntopalautteessa esitetysti laajennettu proviisoreihin ja farmaseutteihin. Palvelunantajan nimeämä sairaanhoitaja, proviisori ja farmaseutti tai apteekissa lääkkeen toimittamiseen oikeutettu voivat tehdä lopettamismerkinnän ainoastaan siirtymäaikana (10 §), mutta lääkehoidon asianmukaisuus ja siten myös lääkityslistan ajantasaisuus ovat lääkkeen määrääjän vastuulla. Lääkehoidon tauottaminen on mahdollista lääkemääräyksen annostustietojen avulla, joten siltä osin esitykseen ei tehty muutoksia.
Sairaanhoitajan oikeutta kirjata lääkemääräyksen annostusmuutoksia laajennettiin lausuntojen perusteella siten, että myös proviisorilla ja farmaseutilla on oikeus tehdä annostusmuutoksia lääkemääräyslain 5 a §:n perusteella. Pykälään täsmennettiin, että kyse on laillistetuista sairaanhoitajista. Terveydenhuollon ammattilaiset, jotka ovat oikeutettuja tekemään muutoksia, haluttiin pitää hyvin rajattuna ja suppeana, joten oikeutta ei laajennettu esimerkiksi lähihoitajiin.
Puhelinmääräyksen voimassaoloa ei muutettu 3 kuukaudesta, koska katsottiin, että puhelinlääkemääräysten tekemisessä muutoinkin on kyse poikkeusmenettelystä ja lääkemääräysten tekeminen puhelimitse on sallittua vain, jos lääkemääräyksiä ei voi teknisen syyn takia tehdä sähköisesti. Pääsääntöisesti lääkkeen määrääjän tulee tehdä lääkemääräys sähköisesti, jolloin lääkemääräyksen voimassaoloaika on pidempi.
Useissa lausunnoissa esitettiin potilaan kielto-oikeuden poistamista. Kielto-oikeudella suojataan potilaan yksityiselämän suojaa ja itsemääräämisoikeutta. Potilaalle määrättyjen lääkkeiden osalta potilas voi määrätä tiedon luovutuksesta kieltojen avulla. Lainsäädäntö ei lääkkeiden osalta edellytä potilaan suostumusta tiedon luovuttamiselle, vaan luovuttaminen terveyden- ja sosiaalihuollon palvelunantajille terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi on lähtökohtaisesti sallittua lääkemääräyslain 13 §:n mukaan. Kielto-oikeuteen ei tehty muutoksia lausuntopalautteen perusteella.
Palvelunantajalla säilyy tiedonsaantioikeus potilaan kiellosta huolimatta 13 §:n 4 momentin 4 kohdan mukaisesti.
Fimean ja Kelan tiedonsaantioikeuksia ei lausuntopalautteen perusteella laajennettu. Fimean ja Kelan tiedonsaantioikeudet on arvioitava laajempana kokonaisuutena.
Apteekkijärjestelmiin liittyvä kuulemistilaisuus
Koska lausuttavana ollut ehdotus lääkemääräyksen ja sen sisältämien tietojen määrittelystä potilasasiakirjaksi ja potilastiedoiksi olisi aiheuttanut apteekkien käyttämiin tietojärjestelmiin vaikutuksia, joita ei ollut kuvattu lausuttavana olleissa lakiluonnoksissa, järjestettiin apteekeille, annosjakelutoimijoille ja näiden käyttämien tietojärjestelmien toimittajille kuulemistilaisuus 16.5.2022. Tilaisuuden jälkeen oli mahdollista lähettää palautetta sähköpostitse. Kuulemistilaisuudessa esiteltiin asiakastietolain ja sen nojalla annettavien määräysten vaikutukset kyseisiin järjestelmiin ja kuultiin osapuolten näkemyksiä asiasta. Saadun palautteen perusteella ehdotuksesta olisi aiheutunut laajasti muutoksia apteekin käyttämiin tietojärjestelmiin. Lisäksi asiasta on käyty keskustelu Sosiaali- ja terveysalan lupa- ja valvontaviraston, Lääkealan turvallisuus- ja kehittämiskeskuksen sekä Terveyden ja hyvinvoinnin laitoksen kanssa.
Asiakastietolain soveltamista apteekkien käyttämiin tietojärjestelmiin on täsmennetty tarkentamalla asiakasasiakirjan määrittelyä siten, että asiakasasiakirjalla tarkoitettaisiin vain lääkkeen toimittamista varten laadittua lääkemääräystä eikä muita apteekissa käsiteltäviä tietoja. Siten asiakastietolaki ei tulisi sovellettavaksi apteekkien toiminnassa muutoin kuin lääkemääräystä toimitettaessa ja toimittamisessa käytettäviin tietojärjestelmiin.
I OSA. Asiakastietojen käsittely ja lain soveltamisala
1 luku Yleiset säännökset
1 §. Lain tarkoitus. Pykälän mukaan lain tarkoituksena olisi yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa. Osa terveyspalveluiden toteuttamista on myös lääkkeen toimittaminen apteekista potilaan lääkehoidon toteuttamiseksi. Asiakastietojen käsittely sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa olisi tarpeen yleisen tietosuoja-asetuksen (2016/679), tietosuoja-asetus, 6 artiklan 1 kohdan c alakohdan mukaan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja 9 artiklan 2 kohdan h alakohdan mukaan lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten jäsenvaltion lainsäädännön perusteella. Tutkimuksen ja tilastoinnin käyttötarkoitukset on määritelty yhteensopiviksi tietosuoja-asetuksessa.
Yhdenmukaisuutta tavoitellaan toisaalta sosiaalihuollon ja terveydenhuollon välille, toisaalta asiakastietojen erilaisten käsittelytapojen välille siten, että sääntely olisi mahdollisimman samankaltaista sosiaali- ja terveydenhuollossa riippumatta siitä missä formaatissa ja millaisilla tietojärjestelmillä asiakastietoa käsitellään.
2 §. Soveltamisala. Pykälässä säädettäisiin lain soveltamisalasta ja suhteesta muuhun lainsäädäntöön. Laissa annettaisiin tietosuoja-asetusta täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa, mukaan lukien lääkkeen toimittaminen apteekeissa. Laissa säädettäisiin myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovellettaisiin tämän lain säännöksiä.
Pykälän mukaan lakia sovellettaisiin sosiaali- ja terveydenhuollon asiakastietojen ja henkilön itsensä tuottamien hyvinvointitietojen käsittelyyn. Lakia sovellettaisiin julkisen ja yksityisen sosiaali- ja terveydenhuollon palvelunantajan järjestäessä taikka toteuttaessa sosiaali- ja terveyspalveluita.
Asiakastietojen käsittelyllä tarkoitetaan asiakastiedon keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, suojaamista, poistamista, tuhoamista sekä muita asiakastietoihin kohdistuvia toimenpiteitä. Asiakastietojen käsittely toteutetaan nykyisin pääosin sähköisesti hyödyntäen erilaisia tietojärjestelmiä, mutta sääntely koskisi myös muita menettelyjä, kuten paperille käsin kirjattavia asiakastietoja.
Hyvinvointitiedoilla tarkoitettaisiin henkilön itsensä tai henkilön käyttämän laitteen tuottamia henkilön terveyttä ja hyvinvointia koskevia tietoja, jotka tallennetaan valtakunnallisten tietojärjestelmäpalvelujen omatietovarantoon.
Tietosuoja-asetuksen mukaan henkilötietojen käsittelyllä tulee olla asetuksen 6 artiklan mukainen oikeudellinen perusta. Kansallinen, asetusta tarkentava lainsäädäntö on mahdollista muun muassa silloin, kun henkilötietojen käsittely perustuu asetuksen 6 artiklan 1 kohdan c alakohtaan, minkä mukaan käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Koska henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan ei rekisteröidyllä ole tietosuoja-asetuksen 21 artiklan mukaista vastustamisoikeutta.
Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpitäjän lakisääteisenä velvoitteena on sosiaali- ja terveyspalvelujen järjestämiseen ja toteuttamiseen liittyvä henkilötietojen käsittely, mikä antaa oikeudellisen perusteen henkilötietojen käsittelylle tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan. Julkisilla palvelunantajilla on lakisääteinen velvoite sosiaali- ja terveyspalvelujen järjestämiseen ja toteuttamiseen. Vaikka yksityisen sosiaali- terveydenhuollon toimijoilla ei ole lakisääteistä velvoitetta järjestää sosiaali- ja terveyspalveluja, henkilötietojen käsittelyä koskevan lainsäädännön voidaan tästä huolimatta katsoa myös yksityisten toimijoiden kohdalla perustuvan tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan sisältämään kansalliseen liikkumavaraan. Yksityisen tai julkisen sosiaali- tai terveydenhuollon toimijan antaessa sosiaali- tai terveydenhuollon palveluja, sen on noudatettava asiakas- ja potilastietojen käsittelyä koskevaa erityissääntelyä. Toimijoilla ei ole harkinnanvaraa siinä, noudattaako se asiakastietojen käsittelyä koskevaa sääntelyä silloin, kun se antaa sosiaali- tai terveydenhuollon palveluja.
Koska asiakastietojen käsittely perustuisi lakisääteiseen velvoitteeseen, voidaan asiakastietojen käsittelystä siten antaa asetusta tarkempaa kansallista lainsäädäntöä. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan kansallinen lainsäädäntö voi sisältää yksityiskohtaisempia säännöksiä asetuksen sääntöjen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, kuten yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä, asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja, käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitettuja toimenpiteitä.
Terveydentilaa koskevat tiedot kuuluvat tietosuoja-asetuksen 9 artiklan mukaan erityisiin henkilötietoryhmiin, joiden käsittely on lähtökohtaisesti kiellettyä. 9 artiklan 2 kohdassa säädetään käsittelyperusteista, joiden perusteella käsittely on mahdollista. Käsittely on mahdollista 9 artiklan 2 kohdan a alakohdan mukaan rekisteröidyn antaman suostumuksen perusteella, c alakohdan perusteella rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, g alakohdan perusteella, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi tai h alakohdan perusteella, kun käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella.
Tässä ehdotuksessa käsittely perustuisi 9 artiklan 2 kohdan h alakohtaa, joten esityksessä on otettava huomioon myös 9 artiklan 3 kohdan säännös, jonka mukaan 9 artiklan 2 kohdan h alakohdan esitettyihin tarkoituksiin voidaan käsitellä arkaluonteisia henkilötietoja, jos tietoja käsittelee tai käsittelystä vastaa salassapitovelvollinen henkilö. Tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohta edellyttää lisäksi, että käsittely tapahtuu lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudatetaan suojatoimia.
Tietosuojalain 6 §:n 1 momentin mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta muun muassa:
- kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja (kohta 4);
- kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja (kohta 5).
Tietosuoja-asetuksen mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti. Lisäksi tietosuoja-asetus tähdentää, että erityisryhmien henkilötietojen käsittelykiellosta voidaan poiketa siinä tapauksessa, kun se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen. Rekisterinpitäjän olisi toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.
Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.
Tietosuoja-asetuksen 25 artiklan 2 kohdassa on säädetty rekisterinpitäjän velvollisuudesta varmistaa se, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Pykälän 2 momentissa lain soveltamisalaa täsmennetään suhteessa muuhun lainsäädäntöön. Momentin mukaan siltä osin kuin asiakastietojen käsittelystä ei säädettäisi ehdotettavassa asiakastietolaissa, säädettäisiin siitä julkisten palvelunantajien osalta julkisuuslaissa, tiedonhallintalaissa, digipalvelulaissa ja sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003). Digitaalisten palvelujen saavutettavuudesta säädetään Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/2102 julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta. Asiakastietojen käsittelyssä ja esitettävän lain mukaisia palveluja ja toimintoja järjestettäessä olisi noudatettava, mitä kielilaissa (423/2003) ja sen nojalla säädetään.
Sekä julkisia että yksityisiä palvelunantajia koskien asiakastietojen käsittelystä säädetään tietosuojalaissa ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019, jäljempänä toisiolaki). Asiakirjojen arkistoinnista säädetään arkistolaissa (831/1994), kuitenkin niin että arkistoinnista käytetään käsitettä pysyvä säilytys. Sähköisen lääkemääräyksen ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen käsittelystä säädettäisiin esitettävän lain lisäksi lääkemääräyslaissa.
Pykälän 3 momentissa lueteltaisiin säädöksiä, joissa säädetään tunnistamisesta ja varmenteista. Näitä säädöksiä ovat sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 910/2014, jäljempänä eIDAS-asetus, vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettu laki (617/2009, jäljempänä tunnistus- ja luottamuspalvelulaki) sekä väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annettu laki (661/2009).
Pykälän 4 momentissa todettaisiin muita lakeja, joiden sääntely koskee tietojärjestelmiä ja hyvinvointisovelluksia sekä niiden valvontaa. Toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetussa Euroopan parlamentin ja neuvoston (EU) 2016/1148 (ns. NIS-direktiivi, verkko- ja tietoturvadirektiivi) säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien ja toimijoiden tietoturvavelvollisuuksista sekä tietoturvahäiriöistä ilmoittamisesta. Direktiivin täytäntöönpanoon liittyvää sääntelyä on eri laeissa, kuten sähköisen viestinnän palveluista annetussa laissa (917/2014). Sähköisen asioinnin tukipalveluista säädetään hallinnon yhteisistä sähköistä asioinnin tukipalveluista annetussa laissa (571/2016, jäljempänä tukipalvelulaki). Jos terveydenhuollon asiakas- ja potilastietoja käsittelevä tietojärjestelmä tai sen osa taikka hyvinvointisovellus on lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/745 sekä kansallisessa lääkinnällisistä laitteista annetussa laissa (719/2021) tarkoitettu lääkinnällinen laite, tietojärjestelmään tai sen osaan taikka hyvinvointisovellukseen sovelletaan myös mainittua EU-asetusta ja lakia ja niiden mukaisia vaatimuksia.
3 §. Määritelmät. Pykälässä on määritelty laissa keskeisesti käytettävät käsitteet.
Pykälän 1 kohdassa määriteltäisiin asiakkaan käsite. Asiakkaalla tarkoitettaisiin laissa sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000), jäljempänä asiakaslaki) tarkoitettua asiakasta sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992, jäljempänä potilaslaki) tarkoitettua potilasta. Asiakaslaissa asiakkaalla tarkoitetaan sosiaalihuoltoa hakevaa tai käyttävää henkilöä. Potilaslaissa potilaalla tarkoitetaan terveyden- ja sairaanhoitopalveluja käyttävää tai muuten niiden kohteena olevaa henkilöä. Siten potilaan määritelmä sisältää myös esimerkiksi neuvolapalveluita ja muita terveydenhuollon palveluita käyttävät henkilöt, joista muista yhteyksissä voidaan käyttää käsitettä asiakas. On tarkoituksenmukaista käyttää yhtä termiä henkilöstä, joka käyttää joko sosiaali- tai terveydenhuollon palveluja tai molempia taikka sosiaali- ja terveydenhuollon yhteistyössä tuottamia palveluja. Mikäli lain säännöksiä sovellettaisiin vain terveydenhuoltoon, käytettäisiin termiä potilas, jolla tarkoitettaisiin yksinomaan potilaslaissa tarkoitettua potilasta.
Pykälän 2 kohdassa määriteltäisiin asiakirjan käsite. Asiakirjalla tarkoitettaisiin kirjallista ja kuvallista esitystä sekä sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla. Asiakirja voi olla asiakirjamuotoisen asiakirjan lisäksi tekninen tallenne tai tietokantaan tallennettu tietojoukko. Asiakirjan määritelmä vastaisi siten julkisuuslain 5 §:n määritelmää asiakirjasta.
Pykälän 3 kohdassa määriteltäisiin asiakasasiakirjan käsite. Asiakasasiakirjalla tarkoitettaisiin asiakirjaa, joka on laadittu tai vastaanotettu tai joka sisältää tietoja asiakkaan sosiaali- tai terveyspalvelujen tarpeen arviointia varten, tarvittavien palvelujen järjestämistä tai toteuttamista varten tai lääkkeen toimittamista varten. Asiakirja voisi siten olla ammattihenkilön kirjaama asiakirja tai terveydenhuollon laitteiden tuottamaa tietoa sisältämä tallenne. Lääkkeen toimittamista varten laaditulla asiakirjalla tarkoitetaan lääkemääräystä. Siten muut apteekin toiminnassa käsiteltävät tiedot eivät kuulu määritelmän piiriin. Tällaisia ovat esimerkiksi annosjakelussa tai lääkelain (395/1987) ja huumausainelain (373/2008) edellyttämissä tehtävissä käsiteltävät tiedot (esimerkiksi luettelo lääkemääräyksistä ja huumausainekirjanpitoaineisto).
Pykälän 4 kohdassa määriteltäisiin potilasasiakirjan käsite. Potilasasiakirjalla tarkoitettaisiin potilasta koskevaa asiakasasiakirjaa.
Pykälän 5 kohdassa määriteltäisiin sosiaalihuollon asiakasasiakirjan käsite. Sosiaalihuollon asiakasasiakirjalla tarkoitettaisiin sosiaalihuollon asiakasta koskevaa asiakasasiakirjaa.
Pykälän 6 kohdassa määriteltäisiin asiakastiedon käsite. Asiakastiedolla tarkoitettaisiin potilastietoa ja sosiaalihuollon asiakastietoa, eli asiakastiedon käsitettä käytetään esitettävässä laissa aina, kun sääntely koskee samankaltaisena sekä potilastiedon että sosiaalihuollon asiakastiedon käsittelyä.
Pykälän 7 kohdassa määriteltäisiin potilastiedon käsite. Potilastiedolla tarkoitettaisiin potilasasiakirjaan ja muuhun terveydenhuollossa laadittuun asiakirjaan sisältyvää potilaan terveydentilaa tai toimintakykyä tai tämän saamaa terveyspalvelua koskevaa asiakastietoa. Siten potilastietoja olisivat myös ne potilasta koskevat tiedot, jotka sisältyvät terveydenhuollossa muita viranomaisia ja tahoja varten laadittaviin todistuksiin ja lausuntoihin.
Pykälän 8 kohdassa määriteltäisiin sosiaalihuollon asiakastiedon käsite. Sosiaalihuollon asiakastiedolla tarkoitettaisiin sosiaalihuollon asiakasasiakirjaan ja muuhun sosiaalihuollossa laadittuun asiakirjaan sisältyvää sosiaalihuollon asiakkaan tuen tarvetta, hänen asiansa käsittelyä tai hänelle annettavaa sosiaalipalvelua koskevaa asiakastietoa. Siten sosiaalihuollon asiakastietoja olisivat myös ne sosiaalihuollon asiakasta koskevat tiedot, jotka sisältyvät esimerkiksi sosiaalihuollossa muita viranomaisia ja tahoja varten laadittaviin todistuksiin ja lausuntoihin.
Pykälän 9 kohdassa määriteltäisiin hyvinvointitiedon käsite. Hyvinvointitiedoilla tarkoitettaisiin henkilön itsensä tuottamia henkilön terveyttä ja hyvinvointia koskevia tietoja, jotka henkilö olisi tallentanut kohdassa 18 mainittuun omatietovarantoon. Tällaisia hyvinvointitietoja olisivat esimerkiksi erilaiset hyvinvointia tai terveydentilaa koskevat seuranta-, mittaus-, valmennus-, arvio- tai suunnitelmatiedot.
Pykälän 10 kohdassa palvelunantajalla tarkoitettaisiin tässä laissa viranomaista tai yksityistä elinkeinon harjoittajaa, joka järjestää tai toteuttaa sosiaalipalveluja tai terveyspalveluja.
Terveydenhuollossa palvelunantajalla tarkoitetaan organisaatiota, joka ylläpitää potilaslain 2 §:n 4 kohdan mukaista terveydenhuollon toimintayksikköä, terveyspalveluita järjestäviä ja tuottavia muita valtion viranomaisia, kuten valtion erityiskoulut, työterveyshuoltolain (1383/2001) 7 §:n 2 ja 3 kohtien mukaisia työterveyshuoltopalvelunsa itse tai yhdessä toisten työnantajien kanssa järjestäviä työnantajia sekä itsenäistä ammatinharjoittajaa.
Sosiaalihuoltoa koskevassa lainsäädännössä palvelunantajalla tarkoitetaan sosiaalihuollon asiakasasiakirjalain 3 §:n 2 kohdan mukaan sosiaalihuoltoa tai sosiaalipalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tarkoitettua palvelujen tuottajaa.
Pykälän 11 kohdassa palvelunjärjestäjällä tarkoitettaisiin palvelunantajaa, jolla on sosiaali- ja terveydenhuollon järjestämisvastuu, tai yksityistä palvelunantajaa sen sopiessa suoraan asiakkaan kanssa sosiaali- tai terveyspalvelun järjestämisestä. Palvelunjärjestäjällä olisi viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden. Julkisessa sosiaali- ja terveydenhuollossa palvelunjärjestäjä olisi siten se valtion tai hyvinvointialueen toimivaltainen viranomainen, joka vastaa sosiaali- ja terveyspalveluiden järjestämisestä. Palvelunjärjestäjällä tarkoitettaisiin myös yksityistä palvelunantajaa, jolla on velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun.
Pykälän 12 kohdassa palveluntuottajalla tarkoitettaisiin palvelunantajaa, joka tuottaa sosiaali- tai terveyspalvelua joko toisen palvelunjärjestäjän lukuun tai toimiessaan itse myös palvelunjärjestäjän roolissa. Palveluntuottaja voi toteuttaa sosiaali- tai terveyspalveluja itse tai tilaamalla palveluita alihankkijalta.
Pykälän 13 kohdassa apteekilla tarkoitettaisiin lääkelain 38 §:n 1 kohdassa tarkoitettua apteekkia eli lääkehuollon toimintayksikköä, jonka toimialaan kuuluvat lääkkeiden vähittäismyynti, jakelu ja valmistus sekä lääkkeisiin liittyvä neuvonta ja palvelutoiminta. Apteekilla voi olla myös sivuapteekkeja ja palvelupisteitä. Apteekkiliikkeillä tarkoitettaisiin siten lääkkeiden vähittäisjakelua harjoittavia apteekkeja, mutta ei sairaala-apteekkeja, jotka ovat osa palvelunantajien toimintaa.
Pykälän 14 kohdassa apteekkarilla tarkoitettaisiin lääkelain 38 §:n 6 kohdassa tarkoitettua henkilöä, jolle on myönnetty lupa apteekin pitämiseen. Lisäksi apteekkarilla tarkoitettaisiin yliopiston apteekin ja sen sivuapteekin apteekin hoitajaa. Lääkelain 42 §:ssä säädetään yliopistojen apteekeista ja niiden hoitajista. Helsingin yliopistolla on oikeus pitää yhtä apteekkia Helsingissä ja Itä-Suomen yliopistolla yhtä apteekkia Kuopiossa. Apteekin hoitajan tulee olla laillistettu proviisori, ja apteekin hoitajasta tulee tehdä ilmoitus Lääkealan turvallisuus- ja kehittämiskeskukselle.
Pykälän 15 kohdassa valtakunnallisella asiakastietovarannolla tarkoitettaisiin valtakunnallisiin tietojärjestelmäpalveluihin kuuluvaa sosiaali- ja terveydenhuollon asiakastietojen tietovarantoa, jossa säilytetään asiakasasiakirjoja ja muita asiakastietoa sisältäviä asiakirjoja tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa. Asiakastietovarantoon tallennettuja tietoja käytettäisiin aktiivisesti asiakkaiden sosiaali- ja terveyspalveluissa. Asiakastietovarannosta on aiemmin käytetty käsitettä valtakunnallinen arkistointipalvelu. Arkistointipalvelu kuitenkin viittaa asiakirjojen pysyvään säilytykseen eli arkistointiin, joten se ei kuvaa asianmukaisesti tietovarannon roolia asiakasasiakirjojen säilytyksessä säilytysajan puitteissa eikä merkitystä tietojen luovuttamisessa asiakkaalle ja palvelunantajien välillä.
Pykälän 16 kohdassa tiedonhallintapalvelulla tarkoitettaisiin valtakunnallista tietojärjestelmäpalvelua, jonka avulla voitaisiin tuottaa potilastiedon yhteenvetoja. Siten palvelunantaja saisi käyttöönsä terveyspalvelun kannalta keskeisiä potilastietoja käytettävällä tavalla.
Pykälän 17 kohdassa määriteltäisiin tahdonilmaisupalvelu. Tahdonilmaisupalvelulla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, muita terveyden ja sairaudenhoitoon ja sosiaalipalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia.
Tahdonilmaisupalveluun tallennettaisiin tieto asiakkaalle annetusta tämän lain ja sähköisestä lääkemääräyksestä annetun lain (61/2007) mukaisista informoinneista, asiakkaan antamista asiakastietojensa luovutuksia koskevista luovutusluvista, suostumuksista ja kielloista tietojen luovuttamiseksi. Lisäksi tahdonilmaispalveluun voitaisi tallentaa tieto asiakkaan antamista muista terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista sekä muista sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista.
Sosiaali- ja terveysalalla tarkoitetaan sosiaali- ja terveyspalveluiden lisäksi muita sosiaali- ja terveydenhuollon hallinnonalan palveluita. Tällainen palvelu on esimerkiksi biopankki eli biopankkilaissa tarkoitettu näyteinfrastruktuuri, jolla edistetään ihmisperäisillä näytteillä tehtävää tieteellistä tutkimusta. Tahdonilmaisupalveluun voitaisiin tallentaa esimerkiksi henkilön suostumus ja sen muuttaminen, kielto käsitellä näytettä tai rajoittaa sitä, vastustus siirtää näytteitä biopankkiin tai vastustus käsitellä henkilötietoja biopankissa. Toinen sosiaali- ja terveydenhuoltoon kytkeytyvät palvelu jatkossa olisi perustettavaksi esitettävä Genomikeskus. Tahdonilmaisupalveluun voitaisiin tallentaa vastustus tallentaa genomitietoja Genomikeskukseen ja vastustus käsitellä genomitietoja Genomikeskuksessa.
Pykälän 18 kohdassa omatietovarannolla tarkoitettaisiin henkilön itsensä tuottamien hyvinvointitietojen säilyttämistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua valtakunnallista sähköistä tietovarantoa. Henkilö voisi katsella ja poistaa tuottamiaan tietoja sekä halutessaan myöntää sosiaali- ja terveydenhuollon ammattilaiselle luvan omien tietojensa käsittelyyn.
Pykälän 19 kohdassa hyvinvointisovelluksella tarkoitettaisiin sovellusta, joka liittyy omatietovarantoon ja jolla käsitellään hyvinvointitietoa sekä sovellusta, johon henkilö voi saada asiakastietonsa valtakunnallisesta asiakastietovarannosta, reseptikeskuksesta ja tiedonhallintapalvelusta. Sovellusten avulla henkilö voisi tuottaa ja tallentaa omia hyvinvointitietojaan kohdassa 18 mainittuun omatietovarantoon. Hyvinvointisovelluksen määritelmä huomioi ainoastaan hyvinvointitietojen käsittelyn sovelluksella, eikä hyvinvointisovelluksia koskeva sääntely esitettävässä laissa sisällä esimerkiksi apteekkien verkkopalveluiden edellyttämää muuta sääntelyä. Siten verkkoapteekkeja ei voi toteuttaa pelkästään esitettävän lain nojalla.
Pykälän 20 kohdassa määriteltäisiin tietojärjestelmä. Sillä tarkoitettaisiin ohjelmistoa, järjestelmää tai osajärjestelmää, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi sosiaali- ja terveydenhuollon järjestämisen ja toteuttamisen yhteydessä asiakasasiakirjojen sähköiseen käsittelyyn, asiakirjojen tallentamiseen valtakunnallisiin tietojärjestelmäpalveluihin tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja. Määritelmä poikkeaa tiedonhallintalain 2 §:n mukaisesta määritelmästä, koska tässä laissa tietojärjestelmällä tarkoitetaan nimenomaan ohjelmistoja ja tietojärjestelmiä, joita voidaan käyttää itsenäisinä asennuksina eri palvelunantajien käyttöympäristöissä. Tietojärjestelmä voi olla myös usean tietojärjestelmän muodostama kokonaisuus, jonka tietojärjestelmäpalvelun tuottaja tarjoaa tai toteuttaa palvelunantajalle.
Säännöksen tarkoittamia tietojärjestelmiä olisivat tämän mukaisesti valtakunnallisten tietojärjestelmäpalvelujen lisäksi esimerkiksi sosiaalihuollon asiakastietojärjestelmät, potilastietojärjestelmät sekä laboratorio- ja kuvantamisjärjestelmissä käytettävät ohjelmistot, joilla käsitellään potilaita koskevia tietoja. Myös tietojärjestelmät, joista tallennetaan valtakunnallisiin tietojärjestelmäpalveluihin muita kuin varsinaisia asiakasasiakirjoja, kuuluisivat määritelmän piiriin. Tällaisia olisivat esimerkiksi todistusten ja lausuntojen laatimiseen ja valtakunnallisiin tietojärjestelmäpalveluihin tallentamiseen tarkoitetut tietojärjestelmät. Sen sijaan laitteiden toimintaa ohjaavat tietokoneohjelmat, jotka eivät käsittele asiakastietoja, eivät olisi lain tarkoittamia tietojärjestelmiä. Myöskään yleiskäyttöiset ohjelmat, kuten tekstinkäsittely- tai taulukkolaskentaohjelmat taikka henkilöstö- tai taloushallinnon ohjelmat eivät olisi lain tarkoittamia tietojärjestelmiä.
Koska asiakasasiakirjaksi määriteltäisiin 3kohdan mukaan lääkkeen toimittamista varten laaditut asiakirjat eli lääkemääräykset. Siten lääkkeen toimittamisessa käytettävät tietojärjestelmät kuuluisivat tietojärjestelmän määritelmään piiriin, mutta eivät muut apteekin käyttämät tietojärjestelmät, esimerkiksi annosjakelussa käytettävät järjestelmät.
Lain tarkoittamiksi tietojärjestelmiksi määriteltäisiin myös välityspalvelut, joita käytetään sosiaali- tai terveydenhuollon asiakastietojen välittämiseksi lain tarkoittamiin valtakunnallisiin tietojärjestelmäpalveluihin, joita Kansaneläkelaitos ylläpitäisi. Lisäksi tietojärjestelmällä tarkoitettaisiin sosiaali- ja terveydenhuollon ammattihenkilön käyttämää sovellusta, jota ammattihenkilö käyttää hyvinvointitietojen lukemisessa.
Pykälän 21 kohdassa tietojärjestelmäpalvelun tuottajalla tarkoitettaisiin tahoa, joka tarjoaa tai toteuttaa palvelunantajalle kohdassa 20 tarkoitettua tietojärjestelmää. Tietojärjestelmäpalvelun tuottajan olisi vastattava tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetettuihin vaatimuksiin. Tietojärjestelmissä olisi oltava käyttötarkoituksen kannalta oikeat toiminnallisuudet riittävät tietoturvaominaisuudet ja niiden on pystyttävä liittymään osaksi valtakunnallisten tietojärjestelmäpalvelujen kautta tapahtuvaa tietojen vaihtoa.
Pykälän 22 kohdassa määriteltäisiin tietojärjestelmän valmistaja. Sillä tarkoitettaisiin tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta.
Pykälän 23 kohdassa välittäjällä tarkoitettaisiin palvelunantajan tietojärjestelmäpalvelujen tuottamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla olisi tässä roolissa mahdollisuus nähdä salaamattomia asiakastietoja, esimerkiksi ylläpitotoimien yhteydessä. Kyseisissä tilanteissa tietojärjestelmäpalvelun ylläpitotehtäviä ei voisi suorittaa asianmukaisesti ilman salassa pidettävien tietojen näkemistä. Välittäjä vastaisi tietojärjestelmän käyttöympäristöön tai palvelunantajalle tarjottavaan tiedonhallinnan kokonaispalveluun kohdistuvista vaatimuksista.
Jos vastuu palvelunantajaan kohdistuvien vaatimusten toteuttamisesta on sopimuksen perusteella välittäjällä tai tietojärjestelmäpalvelun tuottajalla, koskee välittäjää tai tietojärjestelmäpalvelun tuottajaa rekisteröitymisvelvoite tämän esitettävän lain 80 §:n mukaisesti.
Pykälän 24 kohdassa sertifioinnilla tarkoitettaisiin menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset. Todentaminen tehdään toiminnallisten vaatimusten toteutumisen selvityksen, yhteentoimivuuden testauksen ja tietoturvallisuuden arvioinnin kautta. Tietojärjestelmien yhteentoimivuudella tarkoitettaisiin kahden tai useamman tietojärjestelmän kykyä vaihtaa tietoja ja hyödyntää vaihdettuja tietoja. Sertifiointi olisi siis vaatimustenmukaisuuden osoittamisen prosessi, jonka tuloksena täytettäisiin ne edellytykset, joilla tietojärjestelmä tai hyvinvointisovellus voisi saada todistuksen ja merkinnän valvontaviranomaisen rekisteriin vaatimukset täyttävästä tietojärjestelmästä tai hyvinvointisovelluksesta. Tällä määritelmällä ei kuitenkaan tarkoiteta EU:n yleisen tietosuoja-asetuksen 42 artiklassa tarkoitettua sertifiointia. Määritelmän mukainen sertifiointi ei myöskään tarkoita lääkintälaitesäädösten (muun muassa direktiivin 93/42/ETY; EYVL 1993, L 169; direktiivi 2007/47/EY; EUVL 2007, L 247) mukaista lääkinnällisten laitteiden vaatimustenmukaisuuden arviointia, koska olennaiset vaatimukset keskittyvät tämän lain mukaisten kansallisten tietojärjestelmäpalveluiden kautta toteutettaviin vaatimuksiin. Kyseessä ei ole tuotteiden arviointi ja luokittelu suhteessa lääkinnällisten laitteiden säädöksiin, josta lääkinnällisten laitteiden valmistajien on huolehdittava muiden säännösten nojalla.
Pykälän 25 kohdassa määritellään tietoturvallisuuden arviointilaitos. Säännöksen mukaan tietoturvallisuuden arviointilaitoksella tarkoitetaan tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitettua yritystä, yhteisöä tai viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt. Tietoturvan arviointilaitoksen hyväksymisen yleiset edellytykset on todettu edellä mainitun lain 5 §:ssä. Lisäksi arviointilaitoksella tulisi olla hyvä asiantuntemus sosiaali- ja terveydenhuollon tietojärjestelmiä koskevista vaatimuksista, joista säädetään ehdotettavan esityksen 84 §:ssä ja sen nojalla. Tietoturvallisuuden arviointilaitoksen tehtävänä olisi tarkastaa, täyttääkö Kansaneläkelaitoksen ylläpitämiin valtakunnallisten tietojärjestelmäpalvelujen ja niihin välittömästi liitettäväksi suunniteltu tietojärjestelmä tietoturvaa ja siihen sisältyvää tietosuojaa koskevat olennaiset vaatimukset.
Tietoturvallisuuden arviointilaitokseksi hakeudutaan erikseen. Arviointilaitoksen tulee täyttää tietoturvallisuuden arviointilaitoksista annetun lain 5 §:n ja ehdotettavan asiakastietolain mukaiset vaatimukset. Mittatekniikan keskuksen yhteydessä toimiva kansallinen akkreditointielin (Finnish Accreditation Service, FINAS) on todennut arviointilaitoksen pätevyyden siten kuin vaatimustenmukaisuuden arviointipalveluista annetussa laissa (920/2005) säädetään. Tämä jälkeen Liikenne- ja viestintävirasto Traficom voi nimetä arviointilaitoksen tehtäväänsä siten kuin tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.
2 luku Asiakastietojen käsittelyä koskevat yleiset periaatteet
4 §. Salassapito. Pykälässä säädettäisiin, että sosiaali- ja terveydenhuollon asiakastiedot olisivat pysyvästi salassa pidettäviä.
Tässä ehdotuksessa käsittely perustuisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan lisäksi 9 artiklan 2 kohdan h alakohtaan. Tietosuoja-asetuksen 9 artiklan 3 kohdan mukaan 9 artiklan 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
Julkisuuslain 24 §:n 1 momentin 25 kohdan mukaan asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta sekä tämän saamasta etuudesta, tukitoimesta taikka sosiaalihuollon palvelusta ovat salassa pidettäviä. Samoin salassa pidettäviä ovat asiakirjat, jotka sisältävät tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta.
Asiakastietojen säätäminen salassa pidettäväksi varmistaisi, ettei asiakastietoja saa käsitellä ilman lakisääteistä oikeutta, mukaan lukien asiakastietojen luovuttaminen sivullisille. Salassapito olisi ehdoton, joten asiakastiedot olisivat pysyvästi salassa pidettäviä riippumatta julkisuuslain 31 §:n salassapidon lakkaamista koskevasta sääntelystä. Koska sosiaali- ja terveydenhuollon asiakastiedot ovat tietosuoja-asetuksen mukaisia erityisiä henkilötietoja, joiden käsittely on lähtökohtaisesti kielletty, on tarkoituksenmukaista säätää salassapito pysyväksi, eli salassapito ei lakkaa minkään määräajan jälkeen.
Pykälän 2 momentissa säädettäisiin, ettei salassa pidettävää asiakastietoa sisältävää asiakirjaa taikka sen kopiota tai tulostetta saisi näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi. Sivullisella tarkoitettaisiin terveydenhuollossa muita kuin asianomaisen palvelunjärjestäjän tai apteekin palveluksessa, lukuun tai toimeksiannosta potilaan terveyspalvelujen järjestämiseen ja toteuttamiseen tai niihin liittyviin tehtäviin osallistuvia henkilöitä. Vastaavasti sosiaalihuollossa sivullisella tarkoitettaisiin muita kuin asianomaisen palvelunjärjestäjän palveluksessa, lukuun tai toimeksiannosta sosiaalihuollon asiakkaan sosiaalipalvelujen järjestämiseen ja toteuttamiseen tai niihin liittyviin tehtäviin osallistuvia henkilöitä. Potilaan terveyspalvelujen järjestämisellä ja sosiaalihuollon asiakkaan palvelujen järjestämisellä tarkoitetaan tässä esityksessä potilaan tai sosiaalihuollon asiakkaan henkilökohtaisen palvelun järjestämiseen osallistumista, jossa ammattihenkilöllä tai muulla henkilöllä on asiakkuus- tai hoitosuhde asiakkaaseen. Siten väestötasoisen palveluiden järjestämisen tehtäviin osallistuvat henkilöt olisivat sivullisen asemassa.
Palveluiden järjestämisen ja toteuttamisen tehtäviä voivat suorittaa muutkin kuin sosiaali- ja terveydenhuollon ammattihenkilöt. Esimerkiksi hallinnolliset tehtävät kuten asiakaslaskutuksen hoitaminen liittyy palveluiden järjestämisen ja toteuttamisen tehtäviin, joissa asiakastietoja on voitava käsitellä.
Jos asiakas olisi saman palvelunantajan asiakkaana sekä sosiaali- että terveyspalveluissa ja kyse on muusta kuin sosiaali- ja terveydenhuollon yhteisestä palvelusta, sosiaalipalveluissa työskentelevät olisivat sivullisia suhteessa terveydenhuoltoon ja terveydenhuollossa työskentelevät sivullisia suhteessa sosiaalihuoltoon. Siten tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä edellyttäisi asiakkaan lupaa tai lain säännöstä. Tässä esityksessä sosiaali- ja terveydenhuollon välisestä tiedonsaantioikeudesta säädettäisiin esityksen 53 §:ssä.
Sivullisen määritelmä olisi sidottu palvelunjärjestäjään ja palvelunjärjestäjän lukuun toteuttavaan toimintaan. Voimassa olevassa potilaslaissa sivullinen taas kytketään toimintayksikköön, joka voi tarkoittaa terveyskeskusta, sairaalaa tai vastaavaa. Siten esitettävä sivullisen määritelmä mahdollistaa asiakastietojen käsittelyn palvelunjärjestäjän toiminnassa käyttötarkoituksen mukaisessa laajuudessa ilman, että kyse olisi tietojen luovutuksesta sivulliselle. Jos sivullisen käsite edelleen kytkettäisiin toimintayksikköön, syntyisi tilanne, jossa tarvittaisiin asiakkaan lupa tietojen luovuttamiseksi esimerkiksi hyvinvointialueen toiminnassa eri toimintayksiköiden välillä.
Pykälän 3 momentissa säädettäisiin selkeyden vuoksi, että terveydenhuollon toimintayksiköissä saisi käsitellä palvelunjärjestäjän rekisteriin kuuluvia potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja salassapitosäännösten estämättä. Vastaavasti sosiaalihuollon toimintayksiköissä saisi käsitellä palvelunjärjestäjän rekisteriin kuuluvia sosiaalihuollon toteuttamisen kannalta välttämättömiä sosiaalihuollon asiakastietoja salassapitosäännösten estämättä. Momentti on yhdenmukainen 2 momentin sivullisen määritelmän kanssa, mutta sääntelyn ymmärrettävyyden vuoksi on perusteltua selkeästi todeta oikeus käsitellä palvelunjärjestäjän eli rekisterinpitäjän potilastietoja ja sosiaalihuollon asiakastietoja kaikissa toimintayksiköissä.
5 §. Vaitiolovelvollisuus ja hyväksikäyttökielto. Pykälän 1 momentin mukaan palvelunantaja ja apteekkari sekä niiden palveluksessa tai harjoittelijana oleva tai muu palvelunantajan ja apteekkarin toimeksiannosta tai lukuun toimiva taho samoin kuin sosiaalihuollon luottamustehtävää hoitava tai asiakastietoja palvelunantajilta saanut taho olisivat saamiensa asiakastietojen ja muiden asiakasta koskevien henkilökohtaisten tietojen osalta vaitiolovelvollisia siten, kuin tietosuojalain 35 §:ssä säädetään. Sääntely kattaa kaikki henkilöt ja tahot, jotka erilaisten palkkaus- tai sopimusmenettelyjen perusteella toimivat palvelunantajan tai apteekkarin apuna ja voivat saada salassa pidettäviä asiakasta koskevia tietoja tietoonsa. Sääntely koskisi myös niitä tahoja, jotka ovat saaneet asiakastietoja palvelunantajilta, esimerkiksi esitettävän lain 63 §:n perusteella sosiaalihuollon asiakastietoja saaneita viranomaisia tai muita tahoja. Tietosuojalain 35 §:n mukaan se, että joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin mm. toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.
Koska asiakastiedot ovat tietoja henkilön ominaisuuksista ja henkilökohtaisista oloista, tietosuojalain säännös lähtökohtaisesti kattaa asiakastietoihin liittyvän vaitiolovelvollisuuden. Esitettävän pykälän 1 momentissa täsmennettäisiin, että vaitiolovelvollisuus koskee kaikkia sosiaali- ja terveydenhuollon palveluiden järjestämiseen tai toteuttamiseen osallistuvia mukaan lukien harjoittelijat, sosiaalihuollon luottamustehtävää hoitavat ja palvelunantajan toimeksiannosta toimivat, mukaan lukien tietojärjestelmäpalvelun tuottajat ja välittäjät. Vaitiolovelvollisuus koskisi myös muita sosiaali- ja terveydenhuollon palveluiden järjestämisen ja toteuttamisen yhteydessä saatuja henkilökohtaisia tietoja kuin varsinaisia asiakastietoja. Esimerkiksi hyvinvointitiedot olisivat vaitiolovelvollisuuden piirissä.
Momentissa täsmennettäisiin myös, ettei vaitiolovelvollisuuden piiriin kuuluvaa tietoa saa paljastaa senkään jälkeen, kun palvelussuhde tai tehtävä on päättynyt.
Pykälän 2 momentissa säädettäisiin asiakkaan, hänen edustajansa tai avustajansa vaitiolovelvollisuudesta. Asiakas tai hänen edustajansa tai avustajansa ei saisi ilmaista sivulliselle asiakkuuden perusteella saatuja, toista henkilöä koskevia salassa pidettäviä tietoja. Säännös kuitenkin mahdollistaisi sen, että asiakas, hänen edustajansa tai avustajansa saisi käyttää muitakin kuin itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asiakkaan tiedonsaantioikeus on perustunut. Avustajalla tarkoitetaan esimerkiksi hallintolain (434/2003) 12 §:n mukaista avustajaa. Hallintolain 12 §:n mukaan hallintoasiassa saa käyttää avustajaa. Avustajan salassapitovelvollisuudesta säädetään hallintolain 13 §:ssä. Lisäksi avustaja voi olla muu asiakkaan valitsema tukihenkilö, henkilökohtainen avustaja tai muu henkilö, jonka asiakas on halunnut ottaa mukaan asiansa käsittelyyn.
Pykälän 3 momentissa säädettäisiin selkeyden vuoksi hyväksikäyttökiellosta siten, ettei 1 ja 2 momentissa tarkoitettu henkilö saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi. Toisella henkilöllä tarkoitetaan tässä yhteydessä muuta henkilöä kuin asiakasta.
6 §. Vaitiolovelvollisuudesta poikkeaminen ja sen lakkaaminen. Pykälän mukaan vaitiolovelvollisuudesta saisi poiketa asiakkaan suostumuksella tai jos siitä on tässä tai muussa laissa säädetty. Siten salassa pidettäviä asiakastietoja tai muita vaitiolovelvollisuuden piiriin kuuluvia tietoja saa luovuttaa sivulliselle ainoastaan, jos asiakas on antanut suostumuksensa tietojen luovuttamiseen tai tässä tai muussa laissa on erikseen säädetty tiedonsaantioikeudesta tai oikeudesta luovuttaa tietoja. Laissa viranomaisen toiminnan julkisuudesta on yleissääntely salassapidosta poikkeamiselle ja sen lakkaamiselle, mutta tässä yhteydessä on tarpeen säätää asiasta erikseen johtuen esitettävän lain soveltamisesta sekä julkisessa että yksityisessä sosiaali- ja terveydenhuollossa.
7 §. Asiakastietojen käsittelyn ohjeet ja tiedonhallintamalli.
Pykälässä säädettäisiin palvelunantajan ja apteekin asiakastietojen käsittelyyn kohdistuvista velvoitteista, jotka liittyvät toisaalta asiakastietojen käsittelyä koskevan ohjeistuksen antamiseen ja toisaalta julkisten palvelunantajien osalta tiedonhallintalain mukaisen tiedonhallintamallin kuvaamiseen. Pykälän 1 momentin mukainen velvoite asiakastietojen käsittelyn ohjeiden antamisesta koskisi sekä julkisia että yksityisiä palvelunantajia ja 2 momentissa tarkoitettu tiedonhallintamallin kuvaaminen ainoastaan julkisia palvelunantajia. Sinänsä tiedonhallintamallista säädetään tiedonhallintalaissa, mutta asiakastietojen käsittelyssä ja erityisesti asiakastietojen tiedonsaantioikeuksien toteuttamisessa käytettävä tietojärjestelmäympäristö ja sen monimutkaisuus korostaa tarvetta kuvauksen laatimiseen
Pykälän 1 momentin mukaan palvelunantajan vastaavan johtajan ja apteekkarin olisi annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista. Lisäksi vastaavan johtajan ja apteekkarin olisi huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Säännös vastaisi voimassa olevan asiakastietolain sääntelyä laajennettuna apteekkien toimintaan. Säännös velvoittaisi palvelunantajaa nimeämään johtajan, jonka vastaa asiakastietojen käsittelystä ja siihen liittyvästä ohjeistuksesta. Vastaavan johtajan käsitteellä ei tarkoiteta tässä yhteydessä laissa yksityisistä terveyspalveluista (152/1990) tarkoitettua vastaavaa johtajaa, vaan tämän pykälän mukainen vastuu voidaan määritellä palvelunantajan organisaatiossa myös muulle henkilölle.
Pykälän 2 momentissa olisi viittaus tiedonhallintalain 5 §:ään, jossa säädetään tiedonhallintayksikön velvoitteesta tiedonhallintamallin laatimiseen ja muutosvaikutusten arviointiin. Tiedonhallintalain perusteella laadittava tiedonhallintamallin kuvaus olisi toimitettava Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle sekä toimivaltaiselle aluehallintovirastolle. Asiakastietojen käsittelyn kannalta keskeistä on, että palvelunantajalla on ajantasainen kuvaus asiakastietojen tiedonsaantioikeuksien toteuttamisesta, jos tiedonsaantioikeutta toteutetaan palvelunantajien välillä muita tietojärjestelmiä kuin valtakunnallisia tietojärjestelmäpalveluja hyödyntäen. Lisäksi muutosvaikutusten arvioinnissa olisi arvioitava, miten palvelunantaja voisi jatkossa toteuttaa tiedonsaantioikeutta kattavammin valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Kuvauksen avulla valvontaviranomaiset voisivat valvontatehtävissään arvioida asiakastietojen käsittelyn kokonaisuuden ja siinä käytettävien tietojärjestelmien lainmukaisuutta.
8 §. Asiakastietojen käsittelyyn osallistuvien tunnistaminen. Säännös perustuisi voimassa olevan asiakastietolain 17 §:ään ja sisältö laajennettaisiin koskemaan kaikkea asiakastietojen käsittelyä sosiaali- ja terveyspalveluja järjestettäessä ja toteutettaessa. Asiakastietojen käsittelyn luotettavuuden ja yksilön oikeusturvan kannalta on erittäin tärkeää, että käsittelyn osapuolet todella ovat niitä, joita osapuolet ilmoittavat olevansa. Tästä syystä esityksen 1 momentin mukaan asiakastietojen käsittelyssä asiakas, palvelunantaja, apteekki, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut tulisi tunnistaa luotettavasti.
Tunnistus- ja luottamuspalvelulain 2 §:n mukaan vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen perustuen eIDAS-asetuksessa määriteltyihin korotettuun tai korkeaan varmuustasoon. eIDAS-asetuksessa perustettiin sähköisen tunnistamisen yhteentoimivuusjärjestelmä, jonka tavoitteena on mahdollistaa tulevaisuudessa se, että toisessa jäsenvaltiossa myönnetyillä sähköisillä tunnistamisvälineillä voidaan tunnistautua toisen jäsenvaltioiden julkisiin tai yksityisiin sähköistä tunnistamista vaativiin palveluihin.
Henkilöllisyys voidaan todentaa tarkastamalla henkilöllisyystodistus ja vertaamalla esittäjää todistuksen tietoihin. Digipalvelulain 6 §:n mukaan viranomainen voi vaatia digitaalisessa palvelussa käyttäjältä sähköistä tunnistamista vain, jos se on tarpeen palvelun tai sen tietosisältöön liittyvien käyttöoikeuksien varmistamiseksi tai palvelussa tehtävään toimeen liittyvien oikeusvaikutusten vuoksi. Koska sosiaali- ja terveydenhuollon digitaalisissa palveluissa käsitellään salassa pidettäviä asiakastietoja, täyttyy digipalvelulain vaatimus sähköisen tunnistamisen vaatimuksen edellytyksistä.
Digipalvelulain 6 §:n 2 momentin mukaisesti digitaalisessa palvelussa palvelun käyttäjä on tunnistettava tukipalvelulain 3 §:n 1 momentin 4 kohdassa tarkoitettua luonnollisen henkilön tunnistuspalvelua, vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 2 §:n 1 momentin 1 kohdassa tarkoitettua vahvaa sähköistä tunnistamista tai painavasta perustellusta syystä muuta vastaavaa tietoturvallista tunnistuspalvelua käyttämällä. Sähköisessä asioinnissa todentaminen voisi tapahtua esimerkiksi käyttämällä vahvaa sähköistä tunnistusvälinettä, kuten varmennekorttia, verkkopankkitunnuksia tai mobiilivarmennetta.
Sosiaali- ja terveydenhuollon varmentaminen eli sähköisen tunnistamisen ja allekirjoittamisen henkilövarmenteiden sekä palvelin- ja järjestelmäallekirjoitusvarmenteiden tuottaminen on Digi- ja väestötietoviraston lakisääteinen tehtävä. Ammattihenkilöiden ja palvelunantajien palveluksessa olevan muun henkilöstön tunnistaminen ja sähköinen allekirjoitus toteutetaan Digi- ja väestötietoviraston varmennepalveluiden ja käyttöoikeuksien hallinnan avulla. Ammattihenkilöiden ammattikortit ja niihin liittyvät varmenteisiin yhdistetään tieto henkilön ammattioikeuksista. Siten ammattikortin voimassaolo edellyttää ammattioikeuden voimassaoloa. Kun henkilön ammattioikeus päättyy, välitetään Sosiaali- ja terveysalan lupa- ja valvontavirastosta tieto ammattioikeuden päättymisestä Digi- ja väestötietovirastolle, jossa henkilön ammattikortti lisätään sulkulistalle.
Allekirjoitusvarmenteista ja laitteiden varmentamisesta säädetään eIDAS-asetuksessa. Kyseisiä varmenteita käytetään myös palvelunantajan, apteekin sekä näiden käyttämien tietoteknisten laitteiden ja valtakunnallisten tietojärjestelmäpalvelujen tunnistamisessa. Pykälän 2 momentissa ehdotetaan säädettäväksi, että palvelunantajan, apteekin ja Kansaneläkelaitoksen sekä tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan ja välittäjän tulisi tarkistaa käyttämiensä varmenteiden voimassaolo siten, kuin tunnistus- ja luottamuspalvelulain 25 §:n 4 - 6 momentissa säädetään. Lain 25 §:n 4 momentin mukaan tunnistuspalvelua käyttävän palveluntarjoajan on voitava helposti tarkistaa tunnistusvälineen tiedot ympäri vuorokauden. 5 momentin mukaan palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan järjestelmistä ja rekistereistä mahdolliset peruutukset ja käytön estot tunnistusvälineen käytön yhteydessä. Peruutettuja varmenteita koskevat tiedot voidaan antaa myös sulkulistan avulla. Sulkulista estää kortin käyttämisen sen jälkeen, kun tietojärjestelmät, joissa kortteja käytetään, ovat päivittäneet sulkulistan. Sulkulista on voimassa 72 tuntia. Kun ammattikorttia käytetään, tietojärjestelmä tarkistaa, että kortilla oleva varmenne on voimassa eikä se ole sulkulistalla.
Tietoteknisten laitteiden tunnistamisen osalta tarkoitus on, että kaikki asiakastietojen käsittelyssä käytettävät laitteet tulee tunnistaa, ei pelkästään organisaation ja valtakunnallisten tietojärjestelmäpalveluiden välisessä tiedonsiirrossa käytettäviä laitteita. Organisaatioiden tulee tunnistaa, mitä laitteita sen tietoverkkoon on kytkettynä, ja tietoja käytetyistä laitteista tarvitaan myös lokituksessa. Tunnistaminen ei kuitenkaan edellytä aina sähköistä allekirjoitusvarmennetta tai kryptografista menetelmää, vaan tunnistamisessa voidaan käyttää muitakin keinoja.
9 §. Käyttöoikeus asiakastietoon. Säännös vastaisi voimassa olevan asiakastietolain 15 §:ä, kuitenkin niin että 1 momenttiin esitetään tehtäväksi eräitä täsmennyksiä. Käyttöoikeuksia koskeva sääntely toimii yhtenä tietosuoja-asetuksen 6 artiklan 3 kohdassa tarkoitettuna asianmukaista tietojen käsittelyä varmistavana suojatoimenpiteenä.
Tietosuoja-asetuksen mukaan rekisterinpitäjän olisi toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi muiden muassa asiattomalta pääsyltä tietoihin. Tietosuoja-asetuksen 25 artiklan 2 kohdassa on säädetty rekisterinpitäjän velvollisuudesta varmistaa se, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Tiedonhallintalain 16 §:n mukaisesti tietojärjestelmästä vastuussa olevan viranomaisen olisi määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet olisi määriteltävä käyttäjän tehtäviin liittyvien käyttötarpeiden mukaisesti, ja ne olisi pidettävä ajantasaisena. Jotta varmistetaan valtakunnalliset yhdenmukaiset periaatteet käyttöoikeuksien määrittelyyn, esitetään tässä laissa säädettäväksi käyttöoikeuksista, ja lisäksi sosiaali- ja terveysministeriön asetuksella säädettäisiin, mitä asiakastietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt saisivat työtehtävissään eri sosiaali- ja terveyspalveluissa käyttää. Yhtenäiset käyttöoikeuksien perusteet koskisivat siten sekä julkisia että yksityisiä palveluntuottajia. Käyttöoikeuksista säädettäisiin tiedonhallintalakia tarkemmalla tasolla.
Ehdotetussa pykälässä asiakastietojen käsittely perustuisi lähtökohtaisesti sosiaali- ja terveydenhuollon ammattihenkilöiden lakisääteisiin tehtäviin. Lakisääteisten tehtävien hoitamista varten ammattihenkilöille annetaan käyttöoikeus tehtävissään tarvitsemiin asiakastietoihin. Myös muilla asiakastietoja käsittelevillä henkilöillä saisi olla käyttöoikeus vain työtehtävänsä kannalta välttämättömään asiakastietoon.
Pykälän 1 momentissa säädettäisiin käyttöoikeudesta asiakastietoon. Käyttöoikeudet suojaisivat arkaluonteista ja salassa pidettävää asiakastietoa sen asiattomalta käsittelyltä. Ammattihenkilö tai muu asiakastietoja käsittelevä henkilö saisi käsitellä vain kyseisen lakisääteisen tehtävän edellyttämiä välttämättömiä asiakastietoja. Asiakastietojen käsittelyn perusteena olisi asiakas- tai hoitosuhde tai muu sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä työtehtävä. Muita työtehtäviä, joissa asiakastietojen käsittely on välttämätöntä, ovat esimerkiksi asiakaslaskutukseen liittyvät tehtävät, arkistotoimen ja asiakirjahallinnon tehtävät tai tietojärjestelmiin liittyvät tehtävät, joissa esimerkiksi virhetilanteiden selvittäminen edellyttää myös asiakastietoihin pääsyä.
Asiakastietojen käsittelyä rajattaisiin toisaalta käyttöoikeuksien määrittelyllä, toisaalta asiayhteyden tai hoitosuhteen todentamisella. Pykälän 1 momentissa säädettäisiin, että asiakastietojen käsittelyn perusteena olisi oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen tai toteuttamiseen liittyvä työtehtävä. Tämä tietotekninen varmistus voidaan toteuttaa terveydenhuollossa potilashallinnon tietojen perusteella, esimerkiksi siten, että ennen potilastietojen käsittelyä tietojärjestelmään on oltava kirjautunut hallinnon merkintä asiakkaan kirjautumisesta sairaalan vuodeosastolle tai poliklinikalle. Jotta tällaisen merkinnän avulla voitaisiin riittävällä tavalla varmistua potilaan todella olevan asiakas- tai hoitosuhteessa tietoja käsittelevään ammattihenkilöön, tulisi hallinnon merkinnän olla tehnyt eri henkilö kuin kyseisen ammattihenkilön tai merkintä on voinut muodostua myös tietoteknisesti esimerkiksi sähköisen ajanvarauksen kautta. Myös muita potilashallinnon ja potilastietojärjestelmään kirjattuja tietoja voisi käyttää hoitosuhteen teknisen päättelyn perusteena. Toinen tietojärjestelmän avulla toteutettu varmistuksen muoto voisi olla asiakkaan sähköisellä allekirjoituksella vahvistama hoitosuhde, asiakkaalta saatu suostumus tai muu luotettava tietotekninen varmistus siitä, että asiakas on asioimassa palveluja tuottavan tahon kanssa. Silloin, jos muuta keinoa hoitosuhteen tietotekniseen varmistamiseen ei ole mahdollista käyttää, täytyisi ammattihenkilön kuitenkin voida käsitellä välttämättömiä potilastietoja. Tällainen tilanne voi olla esimerkiksi puhelimitse annettavissa palveluissa tai palveluissa, joissa ammattihenkilö kirjaa itse asiakkaan ajanvaraukset tietojärjestelmään. Näissä tilanteissa ammattihenkilö ilmoittaisi erityisen syyn tietojen käsittelyn perusteeksi. Erityisen syyn perusteella tehty tietojen käsittely edellyttäisi valvonnan kehittämistä sekä terveydenhuollon organisaatioissa että kansallisesti.
Sosiaalihuollossa asiayhteyden todentamisella työntekijän mahdollisuus asiakastietojen käsittelyyn rajattaisiin vain niihin asiakkaisiin, johon työntekijän työtehtävät kohdistuvat. Sosiaalihuollossa työntekijällä olisi lähtökohtaisesti käyttöoikeus tarvitsemiinsa asiakastietoihin siinä sosiaalihuollon palvelutehtävässä, johon hänen työtehtävänsä kohdistuvat. Lisäksi työntekijälle voitaisiin määritellä käyttöoikeus muissa sosiaalihuollon palvelutehtävissä syntyneisiin asiakastietoihin, joita hän säännönmukaisesti tarvitsee työnsä suorittamiseksi. Sosiaalihuollossa käyttöoikeus voitaisiin rajoittaa myös vain osaan palvelutehtävässä annettaviin sosiaalipalveluihin, tiettyihin palveluprosesseihin tai vain tiettyihin palvelutehtävässä laadittaviin asiakasasiakirjoihin, mikäli työn suorittaminen ei edellytä kaikkien sosiaalihuollon palvelutehtävään liittyvien asiakastietojen käsittelyä.
Asiakastietojen hallinnassa, käytön valvonnassa ja teknisen ylläpidon tehtävissä työskenteleville määriteltäisiin käyttöoikeudet asiakastietoihin tarvittavassa laajuudessa. Käyttöoikeus ei saa mahdollistaa pääsyä niihin asiakastietoihin, joiden ylläpito- tai valvontavastuu ei kuulu työntekijän tehtäviin.
Pykälän 2 momentissa säädettäisiin siitä, että sosiaali- ja terveysministeriö antaisi asetuksen siitä, mitä tietoja ammattihenkilöillä tai muilla asiakastietoja käsittelevällä henkilöillä olisi antamassaan palvelussa oikeus käyttää. Asetuksella tarkennettaisiin 1 momentissa säädettyjä perusteita, joiden mukaisesti palvelunantaja on määriteltävä sosiaali- ja terveydenhuollon ammattihenkilöiden ja muiden asiakastietoja käsittelevien henkilöiden käyttöoikeudet asiakastietoihin. Käyttöoikeuksien määrittelyn perusteita koskevalla asetuksella varmistettaisiin, että asiakastietojen käyttöoikeudet olisivat valtakunnallisesti yhdenmukaiset, ja siten edistettäisiin asiakkuuden perusteella tallennettujen henkilötietojen suojaamista asiattomalta ja oikeudettomalta käsittelyltä.
Pykälän 3 momentissa säädettäisiin, että palvelunantajan ja apteekin olisi määriteltävä, mitä välttämättömiä asiakastietoja sosiaali- ja terveydenhuollon ammattihenkilöllä ja muulla asiakastietoja käsittelevällä henkilöllä on oikeus käyttää. Käyttöoikeuksien määrittelyn avulla työntekijät pääsisivät käsittelemään ainoastaan niitä asiakastietoja, jotka liittyvät sisällöllisesti kullekin osoitettuihin työtehtäviin. Kukin asiakastyöhön osallistuva henkilö saisi käsitellä asiakasasiakirjoja vain siinä laajuudessa kuin hänen työtehtävänsä ja vastuunsa edellyttävät. Käyttöoikeuksilla rajataan organisaation omassa toiminnassa laadittujen potilastietojen käyttöä, mutta myös muilta palvelunantajilta tai palveluista saatujen tietojen käyttöä.
Palvelunantajalle ja apteekille säädettäisiin lisäksi velvoite pitää rekisteriä omien asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista. Tämän rekisterin tulisi kattaa sekä ajantasaiset tiedot että aikaisemmat käyttäjätiedot. Käyttäjärekisterin tiedoista tulisi käydä ilmi kenelle käyttöoikeudet on myönnetty, mihin rekisteriin tai sen osaan oikeudet on myönnetty, käyttöoikeuden laajuus sekä käyttöoikeuden alkamis- ja päättämisajankohta.
10 §. Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta. Lokitietojen keräämistä koskeva sääntely vastaisi voimassa olevan asiakastietolain 15 §:ä, mutta tässä yhteydessä velvoite laajennettaisi koskemaan apteekkeja sekä hyvinvointitietojen käyttöä ja luovutusta. Velvoite koskisi myös Kansaneläkelaitosta valtakunnallisten tietojärjestelmäpalveluiden eräiden palveluiden rekisterinpitäjänä.
Asiakastietojen ja hyvinvointitietojen käytön ja luovutuksen riittävä seuranta on keskeinen edellytys asiakkaan yksityisyyden suojan toteutumiselle sekä tietojen käytön valvonnalle. Tiedonhallintalain 17 §:ssä säädetään viranomaisten velvollisuudesta lokitietojen keräämiseen. Koska myös yksityiset palvelunantajat liittyvät valtakunnallisten tietojärjestelmäpalveluiden käyttäjäksi, esitetään pykälässä säädettäväksi käytön ja luovutuksen seurannasta niin, että samat velvoitteet koskevat kaikkia sosiaali- ja terveydenhuollon palvelunantajia. Käytön ja luovutuksen seurannasta säädettäisiin myös tiedonhallintalakia tarkemmalla tasolla.
Tietojen käytöllä tarkoitettaisiin rekisterinpitäjän omassa ja sen lukuun toteutettavassa toiminnassa tapahtuvaa tietojen käyttämistä. Tietojen käyttö kohdistuisi rekisterinpitäjän omien asiakasrekistereiden tietoihin. Näiden tietojen käyttöön ei tarvittaisi rekisteröidyn lupaa eikä rekisteröity voi kieltää tietojensa käyttöä. Tietojen luovuttamisella tarkoitettaisiin tiedon antamista toiselle rekisterinpitäjälle tai muulle ulkopuoliselle tietoon oikeutetulle tai luovutuksia rekisterinpitäjän eri rekisterien välillä. Luovuttamisella tarkoitettaisiin kaikenlaista tiedon paljastamista ulkopuoliselle mukaan lukien katseluoikeuden antaminen. Sosiaali- ja terveydenhuollon asiakastiedon luovuttamisen tulisi tapahtua joko asiakkaan suostumuksella tai luovutukseen oikeuttavan lain säännöksen nojalla.
Pykälän 1 momentti asettaisi palvelunantajalle velvoitteen seurata oman toimintansa osalta asiakastietojen ja hyvinvointitietojen käyttöä ja luovutusta. Apteekilla olisi vastaava velvoite lääkemääräysten ja muiden käsittelemiensä reseptikeskuksesta saamiensa tietojen käytön seurantaan.
Pykälän 2 ja 3 momenteissa säädettäisiin erikseen, mitä tietoja tulee tallentaa käyttölokirekisteriin ja mitä tietoja luovutuslokirekisteriin. Myös reseptikeskusta koskevista lokitiedoista säädettäisiin erikseen. Lokitiedot tulee tallentaa erikseen eri käyttötarkoitusta varten perustettujen rekistereiden osalta.
Käyttölokirekisteriin tallennettaisiin tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista valvontaa ja seurantaa varten tarvittavista tiedoista.
Luovutuslokirekisteriin tallennettaisiin kuvaus luovutetuista asiakastiedoista sekä tiedot palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, luovutuksensaajasta, luovutusajankohdasta, käyttötarkoituksesta, johon tiedot on luovutettu sekä luovutuksen perusteena olevasta säännöksestä ja mahdollisesta luovutusluvasta tai suostumuksesta. Lisäksi tallennettaisiin muita valvontaa ja seurantaa varten tarvittavia tietoja. Luovutuslokirekisterin avulla olisi voitava todentaa kaikki asiakastietojen luovutukset, riippumatta siitä onko luovutus tehty sähköisesti, paperisina asiakirjoina vai suullisesti. Jos luovutus tehdään palvelunantajan omassa tietojärjestelmässä rekisterien välillä tai teknisen rajapinnan avulla toiselle palvelunantajalle, voi luovutusloki muodostua tietojärjestelmässä automaattisesti. Suullisista ja paperisten asiakirjojen luovutuksista on tehtävät luovutuslokimerkinnät tietojen luovuttajan toimesta. Asiakastietojen luovuttajaa koskeva tieto voi siten olla tieto henkilöstä, joka tiedon on luovuttanut, tai tietojärjestelmästä, jonka teknisen rajapinnan avulla luovutus on tehty.
Pykälän 4 momentin mukaan Terveyden ja hyvinvoinnin laitos voisi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä. Määräyksenantovaltuus kattaisi sekä asiakastietojen että hyvinvointitietojen käyttöä ja luovutusta koskevat lokitiedot.
11 §. Asiakkaan tiedonsaantioikeus tietojensa käsittelystä. Pykälä vastaisi asiakastietolain 26 §:n sisältöä, kuitenkin niin että pykälään lisättäisi oikeus saada tiedot hyvinvointitietojen käsittelystä. Lisäksi lokitietojen antamisen esteisiin lisättäisiin rikosten estämisen, paljastamisen ja selvittämisen sekä yleisen turvallisuuden ja kansallisen turvallisuuden vaarantaminen. Kansaneläkelaitos valtakunnallisten tietojärjestelmäpalvelujen rekisterinpitäjänä sisältyy rekisterinpitäjän määritelmään, eikä sitä mainita pykälässä erikseen. Pykälän 1 momentin mukaan asiakkaalla olisi oikeus saada asiakastietojensa ja hyvinvointitietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta, Kansaneläkelaitokselta tai apteekilta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluttua lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Eduskunnan oikeusasiamiehen sekä valtioneuvoston oikeuskanslerin ratkaisukäytännöissä on kohtuullisena aikana käytetty kahden kuukauden määräaikaa. Sääntelyssä esitetään poikettavaksi julkisuuslain 14 §:n mukaisista määräajoista, koska lokitietoselvitysten tekemiseen menee käytännössä paljon aikaa. Näin on erityisesti, mikäli lokitietoja pyydetään monesta eri järjestelmästä ja pitkältä ajalta ja jos lokitietosisältö on kovin erilaista.
Asiakkaan oikeus lokitietoihin on keskeinen oikeus, jonka avulla hän voi arvioida, onko hänen tietojaan käsitelty laillisesti ja asianmukaisesti. Lokitietoja koskevan tiedonsaantioikeuden perusteella asiakas voisi tarvittaessa ryhtyä toimenpiteisiin, jos hän epäilee, että hänen tietojaan olisi käsitelty lainvastaisesti taikka muutoin epäasianmukaisesti. Ilman tätä oikeutta asiakkaan mahdollisuudet varmistua tietojensa asianmukaisesta käsittelystä olisivat käytännössä vähäiset. Tietojensaantioikeus koskisi sekä käyttölokin että luovutuslokin tietoja.
Pykälän 2 momentin mukaan asiakkaalla ei olisi oikeutta saada lokitietoja, jos sen, jolta lokitietoja pyydetään, tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Tiedon saaminen asiakasta koskevan tiedon luovuttamisesta poliisille saattaisi vaarantaa esimerkiksi kansallista turvallisuutta tai poliisin tai muiden viranomaisten lakisääteisten tehtävien toteuttamista, joten on perusteltua, ettei asiakkaalla ole oikeutta saada lokitietoja kyseisistä luovutuksista.
Asiakkaalla olisi pääsäännön mukaan oikeus saada vain pyyntöä edeltävien kahden vuoden aikana kertyneet lokitiedot. Tiedot olisi kuitenkin mahdollista saada myös pidemmältä ajalta, jos siihen on erityinen syy. Ehdotettava kahden vuoden määräaika perustuu siihen, että sosiaali- ja terveydenhuollon kantelujen käsittely on osaksi rajattu enintään kantelua edeltävien kahden vuoden aikaisiin tapahtumiin. Tällainen rajoitus on esimerkiksi eduskunnan oikeusasiamiehen sekä Sosiaali- ja terveydenhuollon lupa ja valvontaviraston käsiteltäväksi tehtävissä kanteluissa. Toisena perusteena määräajalle on rikoslain (39/1889) 38 luvun 9 §:n mukaisen henkilörekisteririkoksen vanhentumisaika, joka myös on kaksi vuotta. Lain tarkoittamana erityisenä syynä oikeudelle saada tietoja pidemmältä ajalta voisi olla esimerkiksi perusteltu epäilys asiakas- tai potilastietojen luvattomasta käsittelystä tavalla, joka edellyttää asian selvittämistä. Virkarikoksen vanhenemisaika on viisi vuotta.
Asiakas ei saisi käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten. Asiakastietojen lokitiedot sisältävät tietoa sosiaali- ja terveydenhuollon palvelunantajan henkilöstön henkilötiedoista. Tästä syystä on syytä säätää, ettei asiakkaalla olisi oikeutta käyttää näitä tietoja muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten.
Pykälän 3 momentissa säädettäisiin lokitietojen antamisen korvauksesta. Jos asiakas pyytää uudestaan niitä lokitietoja, jotka hän on jo saanut, palvelunantaja, Kansaneläkelaitos tai apteekki voisi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Oikeudesta periä tietojen antamisesta aiheutuvat kulut asiakkaalta säädettäisiin, jotta vältettäisiin tarpeetonta lokitietojen pyytämistä. Esitettävän lain 74 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla tapahtuvasta lokitietojen tiedonsaannista ei saisi periä erillistä maksua. Esitettävä sääntely vastaa kumottavaksi esitettävässä asiakastietolaissa ja kumotussa henkilötietolaissa ollutta jo vakiintunutta erityissääntelyä suhteessa julkisuuslakiin.
Jos palvelunantaja, Kansaneläkelaitos tai apteekki katsoo, ettei lokitietoja saisi antaa asiakkaalle, olisi kieltäytymisestä tehtävä kirjallinen päätös 4 momentin mukaan. Asia voitaisiin saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain (1050/2018) 21 §:n 1 momentin mukaisesti. Tietosuojalain 25 §:n mukaisesti tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen.
Jos asiakas katsoo, että hänen asiakastietojaan tai hyvinvointitietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tulisi 5 momentin mukaan tietoja käyttäneen tai tietoja saaneen palvelunantajan, Kansaneläkelaitoksen tai apteekin antaa asiakkaalle tämän pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Tämä olisi perusteltua sekä asiakkaan että rekisterinpitäjän oikeuksien toteutumisen kannalta. Tällöin asiakas pystyisi paremmin arvioimaan sitä, kannattaako hänen esimerkiksi saattaa asia rikosepäilynä poliisin tutkittavaksi tai kannella asiasta kanteluviranomaiselle.
Jos johtopäätöksenä asiakkaan tekemän pyynnön perusteella on, tai jos rekisterinpitäjän omassa valvonnassa on tullut ilmi, että tietojen käsittely on ollut lainvastaista, niin rekisterinpitäjän olisi myös oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin asiassa. Palvelunantajan, Kansaneläkelaitoksen tai apteekin olisi myös itse arvioitava, mihin toimenpiteisiin se asiassa ryhtyy. Kyseeseen voisivat tulla ainakin työoikeudelliset toimenpiteet ja sen lisäksi tapauskohtaisen harkinnan perusteella myös tutkintapyyntö poliisille.
12 §. Oikeus kieltäytyä asiakkaan pyynnöstä rajoittaa tietojen käsittelyä. Pykälässä esitetään, että palvelunjärjestäjä saisi kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, silloin kun tiedon käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille. Perustelut kieltäytymiselle ovat samat kuin tietosuojalain 34 §:ssä. Rekisteröidyn rajoittamisoikeuden rajoittaminen perustuu tietosuoja-asetuksen 23 artiklan 1 kohdan i-alakohtaan, jonka mukaan rekisteröityjen oikeuksia on mahdollista rajoittaa jäsenvaltion lainsäädännössä, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Asiakastietoja olisi mahdollista käsitellä rekisteröidyn tekemästä rajoittamispyynnöstä huolimatta, jos tiedon käsittelyn rajoittamisesta voisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.
3 luku Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpito
13 §. Asiakastietojen rekisterinpitäjä. Pykälässä säädettäisiin asiakastietojen rekisterinpitäjästä sosiaali- ja terveydenhuollossa. Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa jäsenvaltion lainsäädännön mukaisesti, jos tällaisen käsittelyn tarkoitukset ja keinot määritellään jäsenvaltioiden lainsäädännössä. 1 momentin mukaan julkisessa ja yksityisessä sosiaali- ja terveydenhuollossa rekisterinpitäjä olisi palvelunjärjestäjän asemassa oleva palvelunantaja, jos muualla laissa ei ole toisin säädetty. Julkisessa sosiaali- ja terveydenhuollossa rekisterinpitäjä olisi 3 §:n 10 a kohdan mukaisen palvelunjärjestäjää koskevan määritelmän mukaisesti palvelunantajan palveluiden järjestämisestä vastaava toimivaltainen viranomainen. Esimerkiksi hyvinvointialueella hyvinvointialue voi delegoida järjestämisvastuun määrittelemälleen viranomaiselle (esimerkiksi aluevaltuusto tai aluehallitus), joka osana järjestämistehtäväänsä toimisi myös asiakasasiakirjojen rekisterinpitäjänä.
Yksityisissä sosiaali- ja terveyspalveluissa palvelunjärjestäjä on 3 §:n 10 b kohdan määritelmän mukaan palvelunantaja, jolla on yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun. Palvelunantajat voivat olla myös tietosuoja-asetuksen mukaisia yhteisrekisterinpitäjiä. Tietosuoja-asetuksen 26 artiklan mukaan kyse on yhteisrekisterinpitäjistä, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot. Yhteisrekisterinpitäjien on määriteltävä keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueet yleisessä tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtävien osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidylle yhteyspiste. Yhteisrekisterinpitäjyyttä ohjeistetaan tarkemmin Euroopan tietosuojaneuvoston ohjeissa. Jos asetuksen mukaiset yhteisrekisterinpitäjyyden edellytykset täyttyvät, tulisi palvelunantajien tehdä sopimus yhteisrekisterinpidosta.
Asetuksen 26 artiklan 2 kohdan mukaan kyseisen artiklan 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla. Lisäksi artiklan 3 kohdan mukaan riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.
Pykälän 2 momentin mukaan työterveyshuollossa rekisterinpitäjä olisi se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka jos työnantaja järjestää itse työterveyshuollon työterveyshuoltolain (1383/2001) 7 §:n mukaisesti, työnantaja olisi itse rekisterinpitäjä.
14 §. Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa. Pykälän sisältö vastaisi voimassa olevan asiakastietolain 5 §:n sääntelyä, eikä siihen esitetä muutoksia.
EU:n tietosuoja-asetuksessa on säädetty rekisterinpitäjän velvoitteista. Tietosuoja-asetuksen kansallinen liikkumavara mahdollistaa lähinnä rekisterinpitäjän velvollisuuksien ulottamisen tilanteisiin, joihin se ei suoraan asetuksen nojalla soveltuisi. Koska tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä, tulee kansallisen erityislainsäädännön rajoittua asetuksen antamaan kansalliseen liikkumavaraan. Toisin sanoen kansallisen kansallisessa erityislainsäädännössä ei tulisi säätää muista rekisterinpitäjän velvoitteista. Tietosuoja-asetuksen mukaan kansallisessa lainsäädännössä voidaan kuitenkin määritellä rekisterinpitäjän vastuualueet.
Tässä pykälässä säädettäisiin palveluntuottajan vastuista silloin, kun sosiaali- ja terveydenhuollon palveluja toteutettaisiin palvelunjärjestäjän lukuun. Palveluntuottaja toimisi tietosuoja-asetuksen 28 artiklassa tarkoitettuna henkilötietojen käsittelijänä ja palvelunjärjestäjä taas olisi tietojen rekisterinpitäjä. Tietosuoja-asetuksen 28 artiklassa edellytetään, että henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla sitovalla oikeudellisella asiakirjalla. Artiklassa on määritetty tietyt asiat, joista asiakirjassa on säädettävä. Ehdotettu laki toimisi tietosuoja-asetuksen mukaisena oikeudellisena asiakirjana. Sen lisäksi henkilötietojen käsittelijälle asetettaisiin tietosuoja-asetuksen 29 artiklan nojalla 28 artiklasta poikkeavia tietojen käsittelyä koskevia velvoitteita.
Kun sosiaali- tai terveyspalveluja toteutetaan palvelunjärjestäjän lukuun, vastaisi palveluntuottaja pykälän 1 momentin 1 kohdan mukaan asiakastietojen kirjaamisesta ja tallettamisesta palvelunjärjestäjän lukuun ja 2 kohdan mukaan käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan. Säännökset annettaisiin tietosuoja-asetuksen 28 artiklan 3 kohdan a alakohdan nojalla. Sen mukaan oikeudellisessa asiakirjassa on säädettävä, että henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos lainsäädännössä toisin vaaditaan.
Palveluntuottaja vastaisi 1 momentin 3 kohdan mukaan henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan. Säännös annettaisiin tietosuoja-asetuksen 28 artiklan 3 kohdan a alakohdan ja 32 artiklan 4 kohdan nojalla. Jälkimmäisen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei lainsäädännössä toisin vaadita. Säännös ei rajoittaisi henkilötietojen käsittelijän tietosuoja-asetuksen mukaista vastuuta, vaan asettaisi erityisen velvollisuuden valvoa tietojen käsittelyä omassa organisaatiossa.
Palveluntuottaja vastaisi 1 momentin 4 kohdan mukaan alkuperäisten asiakasasiakirjojen toimittamisesta palvelunjärjestäjälle siten kuin on sovittu, mutta kuitenkin viipymättä asiakassuhteen päätyttyä. Tietosuoja-asetuksen 28 artiklan 3 kohdan g alakohdan mukaan rekisterinpitäjän valinnan mukaan tiedot voidaan palveluiden tarjoamisen päätyttyä poistaa tai palauttaa, paitsi jos lainsäädännössä vaaditaan säilyttämään henkilötiedot. Sosiaali- ja terveydenhuollon tietojen säilyttämisestä esitetään säädettäväksi tämän lain 24 §:ssä. Näin ollen palvelunjärjestäjän on säilytettävä tiedot laissa säädetty aika eikä palvelunjärjestäjä voi määrätä niitä poistettavaksi.
Pykälän 1 momentin 5 kohdan mukaan palveluntuottaja vastaisi tietosuoja-asetuksessa ja julkisuuslaissa säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa. Tietosuoja-asetuksen 28 artiklan mukaan henkilötietojen käsittelijä voi auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä toteuttamaan rekisteröidyn oikeuksia. Toiminnan sujuvuuden kannalta tarkoituksenmukaista olisi, että palveluntuottaja vastaisi rekisteröityjen oikeuksien toteutumisesta niissä palveluissa, joita se tarjoaa rekisterinpitäjän lukuun. Toimijoiden välisestä vastuusta voitaisiin tarvittaessa sopia tarkemmin palvelunjärjestäjän ja henkilötietojen käsittelijän välisellä sopimuksella. Tietosuojanäkökulmasta rekisterinpitäjä olisi kuitenkin viime kädessä vastuussa rekisteröidyn oikeuksien toteutumisesta, vaikka sopimusoikeudellisesta vastuusta olisi sovittu toisin.
Pykälän 2 momentissa säädettäisiin, että 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta täydennettäisiin tarvittavilta osin palveluntuottajan ja palvelunjärjestäjän välisellä sopimuksella. Lisäksi sopimuksella sovittaisiin muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista. Niiden keskinäisellä sopimuksella määritetään ainakin 28 artiklan 3 kohdassa tarkoitetut käsittelyn tarkempi kohde, rekisteröityjen ryhmät eli asiakasryhmät, joille henkilötietojen käsittelijä tarjoaa palveluita- ja käsittelyn kesto. Sopimuksella tulisi määrittää myös osa 28 artiklan 3 kohdassa tarkoitetuista seikoista, jotka jäisivät lakiesityksessä avoimeksi. Näitä olisivat esimerkiksi d alakohdassa tarkoitetut toisen henkilötietojen käsittelijän käytön edellytykset.
Lisäksi on huomioitava, että osasta 28 artiklan 3 kohdassa tarkoitetuista seikoista on säädetty muussa lainsäädännössä. Artiklan 3 kohdan b alakohta edellyttää, että henkilötietojen käsittelijän lukuun henkilötietoja käsitteleviä sitoo salassapitovelvollisuus. Salassapitovelvollisuudesta sosiaali- ja terveydenhuollossa säädetään tämän lain lisäksi terveydenhuollon ammattihenkilöistä annetussa laissa ja julkisuuslaissa. Puolestaan 28 artiklan 3 kohdan h alakohdassa edellytetään, että henkilötietojen käsittelijä sallii rekisterinpitäjän tai sen valtuuttaman auditoijan auditoinnit. Asiakastietojärjestelmien auditoinnista on säädetty osaltaan jo tässä laissa ja velvoitteet koskevat niin rekisterinpitäjää kuin henkilötietojen käsittelijää.
15 §. Rekisterinpitäjän määräytyminen palvelunantajan muutostilanteissa. Pykälässä säädettäisiin rekisterinpitäjyydestä palvelunantajien erilaisissa muutostilanteissa. Julkisessa sosiaali- ja terveydenhuollossa rekisterinpitoon vaikuttava muutos on voinut olla esimerkiksi kuntayhtymän perustaminen ja jakautuminen. Jatkossa vastaava muutos voisi olla esimerkiksi hyvinvointialueiden yhdistyminen. Yksityisessä sosiaali- ja terveydenhuollossa muutokset liittyvät erilaisiin yritysjärjestelyihin, kuten palvelunantajien yritysten sulautumiseen tai jakautumiseen taikka liiketoimintakauppoihin tai -siirtoihin. Sulautumisen ja jakautumisen tilanteissa rekisterinpitäjyyden määräytyminen on myös yleisseuraanto, mutta liiketoimintakauppojen ja -siirtojen osalta rekisterinpitäjyyttä ei voi määrittää yleisseuraannon perusteella.
Pykälän 1 momentissa ehdotetaan, että siirrettäessä palvelunjärjestäjän järjestämää sosiaali- ja terveyspalvelua toisen palvelunjärjestäjän järjestämisvastuulle, olisi palvelunjärjestäjän rekisterinpidossa olevat asiakirjat siirrettävä palvelua jatkavan palvelunjärjestäjän rekisterinpitoon. Julkisessa sosiaali- ja terveydenhuollossa siirrot tehtäisiin palveluyksikkökohtaisesti siten, että kaikki siirtyvän palveluyksikön asiakirjat siirrettäisiin uudelle palvelunjärjestäjälle. Koska palvelunjärjestäjien asiakasasiakirjoja on tallennettu valtakunnalliseen asiakastietovarantoon, siirto pitäisi tehdä sekä valtakunnalliseen asiakastietovarantoon että palvelunantajien omiin tietojärjestelmiin. Säännös vastaisi sitä, miten käytännössä nykyisin on jo toimittu.
Yksityisessä sosiaali- ja terveydenhuollossa asiakasasiakirjat olisi siirrettävä palvelua jatkavan palvelunjärjestäjän rekisterinpitoon. Oikeus ja velvollisuus asiakirjojen siirtämiseen olisi siten sidottu siihen, että vastaanottava palvelunjärjestäjä tosiasiallisesti jatkaa luopuvan palvelunjärjestäjän palveluiden järjestämistä, eikä asiakasasiakirjoja voi myydä toiselle palvelunjärjestäjälle ilman, että palvelutoiminta tosiasiallisesti jatkuu. Tilanteessa, jossa esimerkiksi liiketoimintakauppa kohdistuu irtaimeen omaisuuteen ilman, että vastaanottava palvelunjärjestäjä jatkaa sosiaali- ja terveydenhuollon palveluiden järjestämistä, asiakirjoja ei saisi siirtää. Palveluiden jatkamisen osoittaminen edellyttää, että vastaanottavalla palvelunjärjestäjällä olisi oltava ajantasainen Sosiaali- ja terveysalan lupa- ja valvontaviraston tai aluehallintoviraston lupa jatkamalleen palvelulle, tai jos kyse on muusta kuin ympärivuorokautisesta sosiaalipalvelutoiminnasta, tulee olla tehtynä kirjallinen ilmoitus.
Pykälän 2 momentin mukaan työterveyshuollossa tilanteessa, jossa työnantaja vaihtaa työterveyshuollon palvelunantajaa, potilasasiakirjojen rekisterinpito ei muuttuisi vaan asiakirjat jäisivät sen palvelunantajan rekisterinpitoon, joka palveluiden tuottamisesta kulloinkin on vastannut. Asiakirjoja voisi luovuttaa uudelle palvelunantajalle valtakunnallisten tietojärjestelmäpalvelujen välityksellä tai muulla tavoin palvelunantajien välillä siten, kuin tämän lain 56 ja 57 §:ssä säädetään. Rekisterinpito säilyisi aina sillä toimijalla, jonka vastuulle kuuluvassa toiminnassa asiakirjat on laadittu, ja kyseinen palvelunantaja vastaisi rekisterinpitäjän velvoitteista suhteessa rekisteröityihin. Työterveyshuollon palveluntuottajan vaihtamisessa kyse ei ole samankaltaisesta muutostilanteesta kuin 1 momentissa, koska työterveyshuollon järjestämisvastuu on säädetty työnantajan vastuulle ja kyse on työterveyshuollon palveluntuottajan vaihtamisesta vaikkakin rekisterinpidon vastuu on säädetty työterveyshuollon palvelunantajalle. Säännös koskisi vain potilasasiakirjoja, ja siten esimerkiksi työnantajaa koskevat tiedot ja asiakirjat voisi siirtää uudelle palvelunantajalle.
16 §. Rekisterinpitäjän vastuut yksityisen palvelunjärjestäjän toiminnan päätyttyä. Pykälässä säädettäisiin asiakasasiakirjojen rekisterinpitäjyydestä yksityisen palvelunjärjestäjän toiminnan päätyttyä. Lisäksi säädettäisiin toimintaansa päättävän palvelunjärjestäjän asiakasasiakirjoihin liittyvistä vastuista. Koska kyse olisi yksityisen palvelunjärjestäjän rekisterinpidossa olevia asiakirjoja koskevasta sääntelystä, se ei koske niitä tilanteita, joissa yksityinen palvelunantajaa tuottaa palveluita esimerkiksi hyvinvointialueen tai muun palvelunjärjestäjän lukuun. Näissä tilanteissa asiakirjat kuuluvat kyseisen palvelunjärjestäjän rekisterinpitoon.
Pykälän 1 momentin mukaan palvelunjärjestäjän toiminnan päätyttyä olisi asiakasasiakirjat, niihin liittyvät lokitiedot ja biologinen näytemateriaali siirrettävä sen hyvinvointialueen tai Helsingin kaupungin rekisterinpitoon, jonka alueella palvelunjärjestäjän kotipaikka tai itsenäisen ammatinharjoittajan kotikunta on sijainnut. Toiminnan päätyttyä palvelunjärjestäjän olisi huolehdittava asiakasasiakirjojen toimittamisesta uuden rekisterinpitäjän osoittamaan paikkaan säilytettäväksi ilman aiheetonta viivytystä. Jos toiminta on päättynyt palvelunjärjestäjän kuoleman tai konkurssin takia, vastaisi asiakirjojen toimittamisesta kuolinpesä tai konkurssipesä pesän kustannuksella. Hyvinvointialue tai Helsingin kaupunki rekisterinpitäjänä vastaisi siten asiakirjojen siirtämisen jälkeen tietosuoja-asetuksen mukaisesti rekisteröityjen oikeuksien toteutumisesta. Palvelunjärjestäjän toiminnan päättymisen jälkeen on turvattava rekisteröityjen oikeus asiakastietoihinsa. Lisäksi asiakastietoja tulee voida luovuttaa muille tahoille rekisteröidyn suostumuksen tai laissa säädetty tiedonsaantioikeuden perusteella. Tietojen luovuttaminen edellyttää rekisterinpitäjältä arviointia tietojen välttämättömyydestä, ja toisaalta on varmistettava, ettei luovuteta sellaisia tietoja, joita julkisuuslain 11 ja 12 §:n perusteella rekisteröidyllä ei ole oikeutta saada. Rekisterinpitäjän tehtävien hoitaminen edellyttää siten osaamista asiakasasiakirjojen käsittelystä sekä myös sosiaali- ja terveydenhuollon toiminnan tuntemusta. Tästä johtuen rekisterinpitäjän vastuuta esitetään hyvinvointialueille. Päättyneen toiminnan asiakirjat olisi pidettävä erillään uuden rekisterinpitäjän omasta potilasrekisteristä tai sosiaalihuollon asiakasrekisteristä. Siten hyvinvointialue ei saisi käyttää päättyneen toiminnan asiakastietoja omassa toiminnassaan, jos asiakas ei ole antanut lupaa tai on kieltänyt luovutuksen.
Pykälän 2 momentin mukaan silloin, kun palvelunjärjestäjät ovat sopineet tietosuoja-asetuksen mukaisesta yhteisrekisterinpitäjyydestä, voisi yhteyspisteenä toimiva palvelunjärjestäjä ottaa vastuulleen toimintansa päättäneen palvelunjärjestäjän asiakastietojen rekisterinpitäjyyden. Silloin kun kyseessä on ollut yhteisrekisterinpitäjyys, on luontevaa, että asiakastiedot jäävät rekisteröityjen yhteyspisteenä toimineen tahon haltuun niin, että asiakas voi toiminnan päättymisen jälkeenkin asioida saman tahon kanssa kuin aiemminkin. Usein yhteisrekisterinpitäjien asiakastiedot ovat myös tallennettuna samaan tietojärjestelmään. Velvoite pitää päättyneen toiminnan rekisteri erillään uuden rekisterinpitäjän rekisteristä koskee myös näitä tilanteita, eli asiakastietoja saisi käyttää vain asiakkaan suostumuksen tai luvan perusteella.
Pykälän 3 momentissa esitetään, että Kansaneläkelaitos voisi säilyttää asiakasasiakirjoja ja toimia henkilötietojen käsittelijänä hyvinvointialueen ja Helsingin kaupungin lukuun. Sähköiset asiakasasiakirjat olisi mahdollista tallentaa valtakunnallisiin tietojärjestelmäpalveluihin, vaikka palvelunantaja ei olisi aiemmin liittynyt valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Siten valtakunnallisten tietojärjestelmäpalvelujen avulla rekisterinpitäjillä olisi pääsy asiakastietoihin. Koska asiakirjat eivät kuitenkaan vastaisi niitä vaatimuksia, joita asiakirjojen tallentaminen valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen edellyttää, ja joita myöskin tietojen näyttäminen asiakkaalle kansalaisen käyttöliittymässä tai luovuttaminen muille palvelunantajille edellyttäisivät, asiakirjat olisivat ainoastaan rekisterinpitäjän saatavilla.
Kansaneläkelaitos voisi ottaa säilytettäväkseen myös muun kuin valtakunnallisiin tietojärjestelmäpalveluihin tallennettavan sähköisen aineiston sekä paperiset asiakirjat. Muu sähköinen aineisto olisi esimerkiksi sellaisia asiakasasiakirjoja, joita ei teknisesti saada tallennettua valtakunnallisiin tietojärjestelmäpalveluihin, lokitietoja tai vastaavaa aineistoa.
Momentin sanamuoto olisi mahdollistava, eli hyvinvointialueet voisivat ratkaista asiakirjojen säilytyksen ja muun käsittelyn myös muulla tavalla, vaikka se mahdollistaisi tehtävän antamisen myös Kansaneläkelaitoksen hoidettavaksi ja siten Kansaneläkelaitoksen resurssien hyödyntämisen ja keskitetyt säilytys- ja tietojärjestelmäratkaisut myös muiden kuin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen käsittelyyn. Säännös koskisi myös aiemmin päättynyttä toimintaa sekä kuntien ja kuntayhtymien, mahdollisten muiden palvelunantajien ja Kansaneläkelaitoksen haltuun aiemmin toimitettuja asiakasasiakirjoja. Siten myös aiemmin päättyneen toiminnan asiakirjojen rekisterinpitäjyys olisi hyvinvointialueen tai Helsingin kaupungin vastuulla ja Kansaneläkelaitos voisi jatkaa sille aiemmin säilytettäväksi toimitettujen asiakirjojen säilyttämistä.
4 luku Asiakasasiakirjojen käsittelyä koskevat periaatteet
17 §. Velvollisuus asiakastietojen kirjaamiseen. Pykälässä säädettäisiin sosiaali- ja terveydenhuollon ammattihenkilön ja palveluiden antamiseen osallistuvan avustavan henkilön velvoitteesta kirjata asiakastietoja asiakasasiakirjoihin. Merkintöjen laajuutta koskeva perusperiaate olisi, että asiakasasiakirjojen tulee sisältää asiakkaan palvelun ja potilaan hyvän hoidon järjestämisen ja toteuttamisen, mukaan lukien hoidon suunnittelu ja seuranta, turvaamiseksi tarpeelliset ja tältä kannalta riittävät tiedot. Tarpeellisten tietojen laajuus ja tarkkuus voivat vaihdella tilanteen mukaisesti. Toisaalta tiedot tulee kirjata sitä tarkemmin ja yksityiskohtaisemmin, mitä vaikeampi asiakkaan tilanne on tai mitä merkittävämmästä hoito- tai palvelupäätöksestä on kysymys. Toisaalta on kuitenkin huomioitava tietosuoja-asetuksen minimointiperiaate ja pitäydyttävä vain niiden tietojen kirjaamisessa, jotka ovat annettavan palvelun ja palvelua toteuttavan henkilön työtehtävän kannalta tarpeellisia ja riittäviä.
Kirjaamisvelvoite koskisi sekä sosiaali- ja terveydenhuollon ammattihenkilöitä että palveluiden antamiseen osallistuvia avustavia henkilöitä. Kukin palveluiden antamiseen osallistuva henkilö vastaisi tehtäviinsä liittyvien kirjausten tekemisestä siinä laajuudessa, kuin henkilö palveluiden antamiseen osallistuu, ja tiedot ovat tarpeellisia palvelun ja hoidon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan turvaamiseksi. Esimerkiksi jos vammaispalvelulaissa (380/1987) tarkoitettu henkilökohtainen avustaja avustaa asiakasta terveydenhuollon vastaanottokäynnillä, tulisi kirjata vain tieto avustuskäynnistä mutta ei käynnin sisällöstä.
18 §. Sosiaali- ja terveydenhuollon asiakasrekisterit. Pykälässä säädettäisiin sosiaali- ja terveydenhuollon palvelunantajien asiakasrekistereistä, joihin asiakasasiakirjat tallennetaan.
Pykälän 1 momentin mukaan potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja niihin liittyviä merkintöjä lukuun ottamatta tallennettaisiin potilasrekisteriin ja sosiaalihuollon asiakasasiakirjat tallennettaisiin sosiaalihuollon asiakasrekisteriin. Pykälän sanamuodon perusteella potilasrekisteriin tallennettaisiin kaikki potilasasiakirjat. Potilasrekisteriin tallennettaisiin siten myös ne potilasasiakirjat, joita laaditaan sosiaalihuollon palveluiden yhteydessä annettavissa terveydenhuollon palveluissa. Potilasrekisteriin tallentaminen on tarkoituksenmukaista, koska kyseessä on sama käyttötarkoitus kuin muutoinkin annettavassa terveydenhuollossa riippumatta siitä, että palvelua annetaan sosiaalipalveluiden yhteydessä. Sosiaalihuollon palveluiden yhteydessä annettavan terveydenhuollon potilasasiakirjat olisivat siten palvelunantajan käytettävissä potilaan terveyspalvelua järjestettäessä ja toteutettaessa samoin kuin muutkin potilasasiakirjat. Säännös muuttaisi nykytilaa, jossa sosiaalihuollon palvelun yhteydessä annettavan terveydenhuollon potilasasiakirjat tallennetaan sosiaalihuollon asiakasrekisterin osarekisteriin, ja tietojen luovuttaminen muuhun terveydenhuoltoon edellyttää asiakkaan suostumusta. Myös potilastietojärjestelmiin tallennetut lääkemääräyksiä koskevat tiedot kuuluisivat potilasrekisteriin.
Pykälän 2 momentin mukaan työterveyshuollon potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja niihin liittyviä merkintöjä lukuun ottamatta tallennettaisiin erilliseen työterveyshuollon potilasrekisteriin työnantajittain. Työterveyshuoltoa koskee oma lainsäädäntönsä, jossa säädetään työterveyshuollon erityispiirteistä suhteessa muuhun terveydenhuoltoon. Työterveyshuollon järjestämisestä vastaa työnantaja. Työterveyshuollon potilastietojen käyttötarkoitus on siten jossain määrin poikkeava muusta terveydenhuollosta, ja potilastietojen tallentaminen erilliseen rekisteriin on perusteltua. Työterveyshuollon potilasasiakirjat olisi tallennettava työterveyshuollon rekisteriin työnantajittain, mikä vastaa nykyistä käytäntöä.
19 §. Asiakasasiakirjoissa käytettävä kieli. Pykälä vastaisi sisällöltään sosiaalihuollon asiakasasiakirjoista annetun lain 6 §:n säännöstä. Vastaavaa sääntelyä on myös potilasasiakirja-asetuksen 7 §:ssä. Perusperiaate on myös, että merkintöjen tulee olla selkeitä ja ymmärrettäviä.
Pykälän 1 momentissa säädettäisiin, että asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä. Yleisesti tunnettuja käsitteitä olisivat myös sosiaalihuollon ja lääketieteen alalla yleisesti käytettävät käsitteet.
Pykälän 2 momentissa olisi informatiivinen viittaus kielilakiin (423/2003) ja saamen kielilakiin (1086/2003). Kielilain ja saamenkielilain vaatimukset koskisivat vain valtion ja hyvinvointialueen viranomaisen järjestämisvastuulle kuuluvia palveluita. Asiakkaalla olisi oikeus saada asiakasasiakirjansa suomen, ruotsin tai saamenkielellä. Asiakasasiakirjat olisi kuitenkin laadittava palvelunantajan käyttämällä suomen tai ruotsinkielellä, samoin kuin aiemminkin, ja tarvittaessa annettava asiakkaalle asiakirjojen käännökset.
20 §. Asiakasasiakirjojen tietorakenteet. Pykälä perustuisi voimassa olevan asiakastietolain 9 §:ään ja asiakasasiakirjalain 5 §:ään asiakasasiakirjojen tietorakenteiden osalta. Pykälään lisättäisiin maininnat toissijaisista käyttötarkoituksista ja palvelunantajien muista tietojärjestelmistä, koska on tarpeen korostaa yhtenäisten tietorakenteiden merkitystä kaikessa asiakasasiakirjoilla olevien asiakastietojen käsittelyssä. Nykyinen asiakasasiakirjalain mukainen määräyksenantovaltuus koskee kaikkia sosiaalihuollon asiakasasiakirjojen tietorakenteita, ja asiakastietolain mukainen valtuus ainoastaan valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen tietorakenteita.
Pykälän 1 momentin mukaan asiakasasiakirjojen tietorakenteiden tulisi mahdollistaa sähköisten asiakasasiakirjojen käyttöoikeuksien kohdistaminen, käyttö, luovuttaminen, säilyttäminen ja suojaaminen sekä hyödyntäminen toissijaisissa käyttötarkoituksissa 65§:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen sekä palvelunantajien muiden tietojärjestelmien avulla. Tietorakenteiden yhteentoimivuus on perusedellytys sille, että tietoja voitaisiin luovuttaa valtakunnallisten tietojärjestelmäpalvelujen avulla ja hyödyntää toimintaprosesseja palvelevissa tietojärjestelmissä.
Sosiaali- terveydenhuollossa käytettävät tiedot tulisi voida rajata asiakirjojen tietorakenteiden avulla vain kyseisen palvelun kannalta tarpeellisiin tietoihin. Sosiaali- ja terveydenhuollossa asiakastietoja ovat oikeutettuja käsittelemään käyttöoikeuksiensa mukaisessa laajuudessa kyseisen asiakkaan sosiaali- ja terveyspalveluun ja siihen liittyviin tehtäviin osallistuvat henkilöt. He saisivat käsitellä asiakastietoja vain siinä laajuudessa kuin heidän työtehtävänsä ja vastuunsa sitä edellyttävät. Jotta käyttöoikeudet on mahdollista rajata vain välttämättömiin asiakastietoihin, tulee käyttöoikeuksien kohdistamisen tarpeet huomioida tietorakennemäärittelyissä niin, että käyttöoikeus tosiasiallisesti on mahdollista antaa vain välttämättömään tietoon.
Koska Terveyden ja hyvinvoinnin laitos on vastuussa sähköisen tiedonhallinnan käytännön ohjauksesta, se voisi 2 momentin mukaan antaa tarkempia määräyksiä asiakasasiakirjojen tietorakenteista ja tietosisällöistä sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista. Terveyden ja hyvinvoinnin laitos määrittäisi asiakasasiakirjojen käsitemallit, toimintaprosesseja ja yhteentoimivuutta tukevat tietorakenteet sekä valtakunnallisesti hyödynnettävät koodistot. Jotta asiakasasiakirjojen käyttö, luovutus ja hallinta voitaisiin toteuttaa siten, että asiakkaan tietosuoja ja tietojen yhteentoimivuus tulisivat riittävällä tavalla otetuksi huomioon, on tiedon luokittelusta ja tietorakenteista määrättävä riittävän yksityiskohtaisesti. Yhtenäisten tietorakenteiden ja tietojen luokittelun avulla kyettäisiin varmistamaan, että sähköisesti tapahtuvassa tietojen luovutuksessa todella luovutetaan niitä tietoja, joita olisi tarkoitus luovuttaa, eikä toisaalta samassa yhteydessä luovutettaisi tarpeettomia tietoja. Määräykseen sisältyisi myös uusien tietorakenteiden käyttöönottojen määräajat.
Tietosuoja-asetuksen mukainen riskiperusteinen lähestymistapa on sellaisenaan suoraan soveltuvaa lainsäädäntöä, mikä rekisterinpitäjien sekä Terveyden ja hyvinvoinnin laitoksen tulee ottaa huomioon. Määräysten valmistelu edellyttää Terveyden ja hyvinvoinnin laitokselta tiivistä yhteistyötä tietojärjestelmäpalvelujen toteutukseen, käyttöön ja standardointiin osallistuvien tahojen sekä palvelunantajien kanssa.
21 §. Asiakirjan laatimista koskeva määräaika. Pykälän 1 momentissa säädettäisiin asiakirjojen laatimisesta ja tallentamisesta valtakunnallisiin tietojärjestelmäpalveluihin viivytyksettä sen jälkeen, kun asiakirja on valmistunut. Sääntelyä yhtenäistettäisiin sosiaali- ja terveydenhuollon välillä. Sosiaalihuollon asiakasasiakirjoja koskeva sääntely on aiemminkin edellyttänyt kirjausten tekemistä viipymättä sen jälkeen, kun asiakkaan asiaa on käsitelty. Sen sijaan potilasasiakirjojen laatimiseen ja tallentamiseen valtakunnallisiin tietojärjestelmäpalveluihin on viiden vuorokauden määräaika.
Asiakirjojen laatiminen viivytyksettä edellyttää sitä, että sekä sosiaali- että terveydenhuollossa kirjaukset ja merkinnät tehdään viipymättä. Viiveettömyydellä tarkoitetaan, että asiakirjat tulee laatia ja tallentaa viivytyksettä heti, kun asiakirja on valmistunut, jotta tiedot ovat sekä asiakkaan itsensä että muiden palvelunantajien saatavilla mahdollisimman pian. Asiakirjojen laatimisen viiveettömyys on tarpeen, jotta toisaalta asiakkaat voivat saada tietonsa kansalaisen käyttöliittymään ilman viivettä, ja vastaavasti tiedot ovat ilman viivettä luovutettavissa valtakunnallisista tietojärjestelmäpalveluista muille palvelunantajille.
Osa merkinnöistä on tilanteen luonteen vuoksi kirjattava lähes välittömästi. Tällaisia ovat esimerkiksi potilaan siirtyminen välittömästi seuraavaan hoitopaikkaan tai kiireellisiin lastensuojelutoimenpiteisiin liittyvät kirjaukset. Osa kirjauksista voi hyvin odottaa seuraavaan työpäiväänkin.
2 momentin mukaan lähetteet tulisi laatia ja toimittaa jatkohoitopaikkaan viipymättä. Vastaavasti myös yhteenveto potilaalle annetusta hoidosta jatkohoito-ohjeineen tulisi toimittaa viipymättä sekä potilaalle että jatkohoitopaikkaan tai muuhun paikkaan, josta potilaan kanssa on sovittu.
22 §. Asiakirjojen eheyden, muuttumattomuuden ja kiistämättömyyden varmistaminen. Pykälä perustuisi voimassa olevan asiakastietolain 10 §:ään. Pykälän 1 momentissa säädettäisiin, että asiakirjojen eheys, muuttumattomuus ja kiistämättömyys olisi varmistettava kaikessa käsittelyssä, tiedonsiirrossa ja säilytyksessä. Varmistaminen voidaan toteuttaa esimerkiksi sähköisellä leimalla, jos kyse on palvelunantajan tai muun oikeushenkilön tekemästä varmistuksesta, ja sähköisellä allekirjoituksella, jos kyse on henkilön tekemästä varmistuksesta. eIDAS-asetuksen 3 artiklan mukaan sähköisellä allekirjoituksella tarkoitetaan luonnollisen henkilön tekemää allekirjoitusta eli sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Allekirjoittajalla tarkoitetaan luonnollista henkilöä, joka luo sähköisen allekirjoituksen. Sähköisellä leimalla tarkoitetaan vastaavaa oikeushenkilön tekemää leimaa eli sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon viimeksi mainitun tiedon alkuperän ja eheyden varmistamiseksi. Leiman luojalla tarkoitetaan oikeushenkilöä, joka luo sähköisen leiman.
Pykälän 2 momentin mukaan ammattihenkilön allekirjoitusta edellyttävissä lausunnoissa ja todistuksissa, jotka laaditaan esitettäväksi muulle organisaatiolle tai taholle, asiakirjan laatijan allekirjoitus voisi olla omakätinen tai sähköinen allekirjoitus. Sähköisen allekirjoituksen tai sähköisen leiman vaatimus täsmennettäisiin koskemaan valtakunnallisiin tietojärjestelmäpalveluihin tallennettavia asiakirjoja. Tässä esityksessä asiakirjoilla tarkoitetaan kyseisten asiakirjojen lisäksi myös muita teknisiä tallenteita, joiden sähköinen allekirjoittaminen ei ole perusteltua vaan eheys, muuttumattomuus ja kiistämättömyys voidaan varmistaa muilla keinoin. 1 momentissa olisi viittaus lääkemääräyslain 7 §:ään, jossa säädetään tarkemmin lääkemääräyksen ja siihen liittyvien merkintöjen allekirjoittamisesta.
Pykälässä 3 momentissa viitattaisiin siihen, että luonnollisen henkilön sähköisessä allekirjoittamisessa tulisi käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettua vähintään kehittynyttä sähköistä allekirjoitusta. Organisaatioiden ja tietoteknisten laitteiden olisi käytettävä luotettavuudeltaan vastaavaa sähköistä leimaa. Sähköisestä allekirjoituksesta ja sähköisestä leimasta säädetään eIDAS-asetuksessa. eIDAS-asetuksen 25 artiklan 2 kohdan nojalla hyväksytyllä sähköisellä allekirjoituksella on oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella. 35 artiklan 2 kohdan nojalla hyväksyttyyn sähköiseen leimaan liitetään olettama tietojen eheydestä ja niiden tietojen alkuperän oikeellisuudesta, joihin hyväksytty sähköinen leima on liitetty.
eIDAS-asetuksen mukaan sähköisellä allekirjoituksella tarkoitetaan sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Sähköinen allekirjoitus perustuu siihen, että sähköiset tiedot liitetään toisiinsa tavalla, jossa niistä muodostuu ainutkertainen yhdistelmä, joka mahdollistaa allekirjoittajan todentamisen. Yksinkertainen sähköinen allekirjoitus on laaja käsite. Sen tarkoituksena on tunnistaa allekirjoittaja ja todentaa tiedot. Kyseessä voi yksinkertaisimmillaan olla sähköpostin allekirjoittaminen henkilön nimellä, mutta varsinaisia vaatimuksia liittyy kehittyneeseen tai hyväksyttyyn sähköiseen allekirjoitukseen.
Kehittyneellä sähköisellä allekirjoituksella tarkoitetaan sähköistä allekirjoitusta, joka täyttää eIDAS-asetuksen 26 artiklassa säädetyt vaatimukset. Sähköisen allekirjoituksen tulee liittyä yksilöivästi allekirjoittajaansa ja sillä tulee voida yksilöidä allekirjoittaja. Kehittynyt sähköinen allekirjoitus on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan. Edelleen kehittyneen sähköisen allekirjoituksen tulee olla liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.
Hyväksytyllä sähköisellä allekirjoituksella tarkoitetaan kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä, ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen.
Digi- ja väestötietoviraston tuottamat henkilökortteihin liitettävät kansalaisvarmenteet sekä ammattihenkilöiden varmennekortit täyttävät hyväksyttyjä varmenteita koskevat vaatimukset. Kehittyneen sähköisen allekirjoituksen voi puolestaan tuottaa pankkitunnuksilla tai mobiilivarmenteella. Koska 2 momentin mukaan luonnollisen henkilön sähköisessä allekirjoittamisessa olisi käytettävä vähintään kehittynyttä allekirjoitusta, mahdollistaisi se asiakkaiden sähköisen allekirjoittamisen esimerkiksi pankkitunnusten ja mobiilivarmenteen avulla, mikä osaltaan antaa kansalaisille mahdollisuuden käyttää sähköisiä palveluita ja allekirjoittaa sosiaali- ja terveyspalveluissa tarvittavia asiakirjoja sähköisesti. Esimerkiksi palveluita koskevat hakemukset voisi allekirjoittaa sähköisesti pankkitunnuksilla tai mobiilivarmenteella. Ammattihenkilöiden käyttämät varmennekortit ovat joka tapauksessa hyväksyttyä tasoa.
23 §. Asiakasasiakirjojen säilyttäminen. Pykälä sisältäisi asiakasasiakirjojen sekä potilaan tutkimuksessa ja hoidossa syntyviä biologista materiaalia sisältävien näytteiden ja elinmallien säilyttämistä koskevan sääntelyn. Sääntely koskisi alkuperäisiä asiakasasiakirjoja, eli siltä osin kuin asiakasasiakirjat on tallennettu valtakunnallisiin tietojärjestelmäpalveluihin, on muissa tietojärjestelmissä ja vastaavissa olevat kopiot hävitettävä jo aiemmin, heti kun niiden käyttötarve on päättynyt. Siten esimerkiksi työmuistiinpanot tai -kopiot voisi hävittää heti kun niitä ei enää tarvita. Myös tilanteissa, joissa toimija on henkilötietojen käsittelijänä käsittelyt asiakastietoja ja asiakirjat on toimitettu palvelunjärjestäjälle, voi käsittelijä hävittää tiedot, kun sen käyttötarve asiakirjoihin on päättynyt. Esimerkiksi sen jälkeen, kun asiakirjoja ei ole tarpeen säilyttää laadunvarmistuksen tai kanneajan takia.
Pykälän 1 momentin mukaan asiakasasiakirjoja ja muita materiaaleja olisi säilytettävä liitteessä tarkoitettu aika. Liitteen mukaiset säilytysajat perustuvat asiakirjojen arvonmääritykseen. Arvonmääritys toteutettiin sosiaali- ja terveysministeriössä vuoden 2021 aikana, ja sen yhteydessä selvitettiin lukuisten haastattelujen avulla asiakasasiakirjojen säilyttämisen tarvetta sosiaali- ja terveyspalvelujen järjestämisen ja toteuttamisen kannalta.
Perinnöllisyyslääketieteen ja harvinaissairauksien kannalta merkittäviä asiakirjoja ja biologisia näytteitä esitetään säilytettäväksi pysyvästi, koska niiden käyttötarve ei liity pelkästään yksittäisen potilaan hoitoon vaan tietoja tarvitaan myös tulevien sukupolvien hoidossa ja tutkimuksessa. Pysyvää säilyttämistä ei olisi enää sidottu perinnöllisyyslääketieteen yksikön asiakirjoihin, koska perinnöllisyyslääketieteen kannalta merkityksellistä aineistoa voi muodostua myös muissa yksiköissä. Pysyvä säilyttäminen edellyttäisi lääketieteellistä arviointia, mitkä asiakirjat ja näytteet olisivat siten merkittäviä, ettei niitä saisi hävittää.
Potilasasiakirjoja ja erilaisia potilaasta otettuja biologisia näytteitä on tarvetta pääsääntöisesti säilyttää potilaan eliniän ajan, koska kyse on potilaan terveydentilaa koskevista tiedoista ja lähes kaikki elinaikana kirjattu terveydentilaa koskeva tieto voi olla myöhemmissä vaiheissa merkityksellistä. Aiempia terveyttä koskevia tietoja tarvitaan esimerkiksi diagnostiikassa sekä vertailutietona.
Lisäksi on huomioitava mahdollisia vahingonkorvausasioita varten tarvittava käsittelyaika 12 vuotta. Siten säilytysaika olisi useimpien asiakirjojen kohdalla 12 vuotta kuolemasta tai 120 vuotta syntymästä niitä tilanteita varten, jossa tieto kuolinajasta ei välity rekisterinpitäjälle tai kyse on alle 18-vuotiaana kuolleesta lapsesta. Tällaisia eliniän ajan säilytettäviä potilasasiakirjoja olisivat palvelutapahtumista kirjattavat keskeiset hoitotiedot ja yhteenvetotiedot, väli- ja loppuarviot, lähetteet ja konsultaatiopyynnöt sekä lääkemääräykset, diagnostiikkaan liittyvät lähetteet ja lausunnot, terveys- ja hoitosuunnitelma, tahdosta riippumattomaan hoitoon liittyvät päätökset, sädehoitoon liittyvät asiakirjat, laboratoriotulokset sekä hammaslääketieteelliset röntgenkuvat, joita voidaan käyttää potilaan tunnistamiseen oikeuslääketieteessä. Myös biologista materiaalia sisältävien näytteiden säilytysajat vastaisivat nykyisiä säilytysaikoja, lukuun ottamatta pysyvästi säilytettäviä perinnöllisyyslääketieteen kannalta merkityksellisiä näytteitä. Biologisia näytteitä tarvitaan esimerkiksi perinnöllisten sairauksien tutkimiseen lisäksi diagnoosin tarkentamiseen.
Muita kuvantamistutkimusta tallenteita säilytettäisiin 20 vuotta, kuitenkin enintään 12 vuotta kuolemasta. Muita kuva-, video- ja äänitallenteita, kuten valokuvia ja silmänpohjakuvia tai puheterapian äänitteitä, jotka on arvioitu hoidon kannalta tarpeellisiksi, säilytettäisiin 12 vuotta. Lääkemääräyksiin liittyviä toimitus- ja muita merkintöjä säilytettäisiin 12 vuotta hoidon päättymisestä. Tuloskäyriä, kuten EEG, EKG, KTG ja kuulokäyrä, säilytettäisiin 12 vuotta tutkimuksen tekemisestä. Tuloskäyrien säilytysaika lyhenisi voimassa olevasta säilytysajasta, joka on 12 vuotta kuolemasta tai 120 vuotta syntymästä.
Sosiaalihuollon asiakasasiakirjojen säilytysajat voivat olla lyhyempiä, koska tiedot liittyvät asiakkaiden elämäntilanteisiin ja sosiaalipalveluihin, joilla ei ole vastaavia pysyviä vaikutuksia kuin terveydentilaa koskevilla tiedoilla. Säilytysajoissa on kuitenkin huomioitava asiakkaan tiedonsaantioikeuden toteutuminen. Esimerkiksi lastensuojelun asiakirjoihin tulee paljon tietopyyntöjä iäkkäiltäkin entisiltä asiakkailta. Lisäksi tietoja voidaan pyytää pitkänkin ajan jälkeen esimerkiksi oikeuspsykiatrisiin ja aikuisten neuropsykiatrisiin tarkoituksiin sekä työkyvyn arviointiin työkyvyttömyyseläkehakemuksiin liittyen. Sosiaalihuollon asiakirjojen säilytysaika olisi palvelutehtäväkohtainen, eli kaikkia palvelutehtävässä laadittavia sosiaalihuollon asiakasasiakirjoja koskisi sama säilytysaika. Säilytysaika olisi sidoksissa sosiaalihuollon asian päättymiseen. Sosiaalihuollon asiakas voi olla asiakkaana samanaikaisesti useissa palvelutehtävissä ja hänellä voi olla useita eri palveluita ja niihin liittyviä asioita. Siten johonkin palvelutehtävään liittyvien sosiaalihuollon asiakasasiakirjojen säilytysaika voi päättyä, vaikka asiakkuus toisessa palvelussa jatkuisi pidempään.
Lastensuojelun palvelutehtävän asiakirjoja esitetään säilytettäväksi 120 vuotta asiakkaan syntymästä. Perheoikeudellisissa palveluissa lasta koskevissa asioissa säilytysaika olisi 120 vuotta lapsen syntymästä ja muissa asioissa, kuten keskeytyspäätökseen päättyneessä adoptioneuvonnassa, 10 vuotta asian sulkemisesta. Lapsiperheiden palvelutehtävän asiakirjoja säilytettäisiin 30 asian sulkemisesta ja muiden palvelutehtävien, eli työikäisten, iäkkäiden, päihdehuollon palvelutehtävässä 10 vuotta asian sulkemisesta. Myös vammaispalvelujen palvelutehtävässä säilytysaika olisi 10 vuotta asian sulkemisesta, kun vammaispalvelujen tarve on päättynyt.
Lisäksi momentissa säädettäisiin säilyttämisen vastuista siten, että valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen säilyttämisestä vastaisi Kansaneläkelaitos. Rekisterinpitäjän muiden asiakasasiakirjojen ja muun materiaalin säilyttämisestä vastaisi kukin rekisterinpitäjä itse. Jos palvelunantaja on tallentanut kopioita valtakunnallisissa tietojärjestelmäpalveluissa säilytettävistä asiakirjoista, ei niihin sovelleta pykälän mukaista säilytysaikaa, vaan ne on hävitettävä heti kun käyttötarve on päättynyt.
Pykälän 2 momentissa olisi viittaus arkistolakiin, jossa säädetään pysyvästä säilyttämisestä eli tiedonhallintalain mukaisesta arkistoinnista sekä viranomaisista, joilla on velvollisuus tai mahdollisuus sopimuksen perusteella siirtää asiakirjansa Kansallisarkistossa säilytettäväksi. Kansaneläkelaitos vastaisi valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen siirtämisestä Kansallisarkistoon, jos siirtämisestä olisi Kansallisarkiston päätös tai siirrosta olisi tehty sopimus. Siltä osin, kuin valtakunnallisissa tietojärjestelmäpalveluissa olisi pysyvästi säilytettäviä asiakasasiakirjoja, joita ei ole velvollisuutta siirtää Kansallisarkistoon, momentissa säädettäisiin valtakunnallisissa tietojärjestelmäpalveluissa olevien asiakasasiakirjojen pysyvä säilyttäminen Kansaneläkelaitoksen vastuulle. Siten ne asiakasasiakirjat, joita ei siirrettäisi Kansallisarkistoon, jäisivät valtakunnallisiin tietojärjestelmäpalveluihin säilytysajan päättymisen jälkeen. Ne pitäisi kuitenkin erottaa aktiivikäytössä olevista asiakasasiakirjoista, eikä niitä voisi luovuttaa muille palvelunantajille samoin kuin aktiivikäytössä olevia asiakirjoja.
24 §. Asiakasasiakirjojen tuhoaminen. Pykälässä säädettäisiin asiakirjojen tuhoamisesta säilytysajan päättymisen jälkeen. Vastuu tuhoamisesta on kullakin rekisterinpitäjällä säilytysvastuullaan olevien asiakirjojen osalta, ja Kansaneläkelaitoksella valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen osalta. Asiakirjat olisi tuhottava, kun säilytysaika on päättynyt. Koska tuhoamisvelvoitteessa ei ole rekisterinpitäjän harkinnan varaa, ja sähköisten asiakirjojen säilytysaika on pääteltävissä asiakirjojen kuvailutiedoista, voidaan tuhoamisessa hyödyntää teknologiaa ja toteuttaa tuhoaminen automaattisen tietojenkäsittelyn avulla sekä rekisterinpitäjän että Kansaneläkelaitoksen toimesta.
Pykälän 1 momentissa säädettäisiin asiakirjojen ja muun materiaalin tuhoamisvelvoitteesta säilytysajan päättymisen jälkeen niiden asiakirjojen osalta, joita Kansallisarkisto ei ole määrännyt pysyvästi säilytettäväksi eli arkistoitavaksi. Tuhoaminen olisi toteutettava siten, etteivät sivulliset saa asiakirjoista ja muusta materiaalista tietoa.
Pykälän 2 momentissa säädettäisiin vastaavasti Kansaneläkelaitoksen vastuusta.
5 luku Potilasasiakirjat
25 §. Oikeus tehdä merkintöjä potilasasiakirjaan. Pykälässä säädettäisiin siitä, kenellä on oikeus tehdä potilasasiakirjamerkintöjä. Lähtökohtana olisi, että merkintöjä saavat tehdä potilaan terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon ammattihenkilöt. Muut terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat henkilöt, kuten esimerkiksi ensihoidon ja sairaankuljetukseen osallistuva pelastuslaitoksen henkilöstö, terveyspalveluissa toimivat sosiaalihuollon ammattihenkilöt, saisivat tehdä merkintöjä 7 §:ssä tarkoitettujen palvelunantajan vastaavan johtajan laatimien ohjeiden mukaisesti. Potilaan terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon opiskelijat saavat tehdä merkintöjä toimiessaan laillistetun ammattihenkilön tehtävässä terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 2 §:n 3 momentin mukaisesti. Ehdotettu sääntely vastaa tältä osin nykyistä potilasasiakirja-asetusta.
Myös sosiaalihuollon ammattihenkilö voisi kirjata potilasasiakirjoihin henkilön elämäntilanteeseen liittyvää arkaluonteista tietoa ja sisältöjä siltä osin, kun ne liittyvät henkilön hoitoon tai ovat muuten hoidon kannalta tarkoituksenmukaisia. Tällaista terveydenhuoltoon liittyvää sosiaalihuollon ammattihenkilön tekemää potilastyötä voidaan toteuttaa esimerkiksi erikoissairaanhoidossa.
Potilasasiakirjojen laatimista koskeva sääntely ei vaikuta lääkkeen määräämistä koskeviin oikeuksiin, vaan näistä oikeuksista säädetään laissa terveydenhuollon ammattihenkilöistä (559/1994).
Potilasasiakirjamerkintöjä tehdään edelleen usein terveydenhuollon ammattihenkilön sanelun perusteella. Vastuukysymysten selventämiseksi pykälän 2 momentissa todettaisiin nykyisen potilasasiakirja-asetuksen mukaisesti, että vastuu merkinnöistä on tässä tilanteessa sanelijalla.
Terveydenhuollossa käytetään lukuisia lääkinnällisiä laitteita, jotka tuottavat potilaan hoidon tai tutkimuksen yhteydessä varsin yksityiskohtaistakin tietoa. Lisäksi nykyisin potilastietoa tuotetaan myös erilaisten ohjelmistojen ja robottien toimesta. Usein tämä tieto siirtyy suoraan laitteesta, ohjelmistosta tai robotilta sähköisiin potilastietojärjestelmiin. Pykälän 3 momentissa säädettäisiin, että potilasasiakirjamerkinnät voivat lisäksi koostua terveydenhuollon lääkinnällisten laitteiden, ohjelmistojen ja robottien tuottamista hoidon kannalta tarpeellisista merkinnöistä. Laitteet tuottavat usein varsin huomattavan määrän merkintöjä. Kaikkia laitteiden, ohjelmistojen ja robottien tuottamia merkintöjä ei kuitenkaan tulisi liittää potilasasiakirjoihin, vaan merkintöjen tulee olla potilaan hoidon kannalta tarpeellisia kuten muidenkin potilasasiakirjamerkintöjen. Toisin sanoen potilasasiakirjoihin liitettäisiin se osa laitteen, ohjelmiston tai robotin tuottamasta tiedosta, jolla on tehtyjen hoitopäätösten kannalta merkitystä. Säännökset potilasasiakirjojen merkintöjen laajuudesta koskisivat siten myös laitteiden tuottamia merkintöjä. Tekniikan kehittyessä terveydenhuollossa käytetään yhä enemmän erilaisia laitteita, sovelluksia ja robotiikkaa, ja säännös mahdollistaisi merkintöjen tuottamisen myös näistä uutta teknologiaa hyödyntävistä laitteista.
26 §. Potilasasiakirjoja koskevat periaatteet. Pykälässä säädettäisiin potilasasiakirjoja koskevista periaatteista. 1 momentissa säädettäisiin, mitä asiakirjoja potilasasiakirjojen kokonaisuuteen kuuluu. Potilasasiakirjoja olisivat terveydenhuollon ammattihenkilöiden kirjaamat palvelutapahtumia eli käyntejä ja hoitojaksoja koskevat merkinnät, lääkemääräykset ja muut reseptikeskukseen tallennettavat lääkehoitoa koskevat merkinnät, diagnostiikkaan liittyvät tallenteet ja niihin liittyvät lausunnot ja muut potilaan terveyspalvelujen toteuttamiseen liittyvät kuva-, video- ja äänitallenteet, potilaan terveyspalvelujen järjestämiseen liittyvät asiakirjat sekä terveydenhuoltoon muualta saapuvat asiakirjat. Diagnostiikkaan liittyviä tallenteita ovat erilaisten laitteiden avulla tuotetut tallenteet, esimerkiksi laboratoriovastaukset, röntgen-, isotooppi- ja ultraäänikuvat ja muita kuva-, video- ja äänitallenteita esimerkiksi näkyvän valon kuvat kuten valokuvat ja silmänpohjakuvat, videot ja puheterapian äänitteet ja potilaan seurantaan liittyvät äänitteet. Säilytysaikoja koskevan liitteen mukaisesti muut kuin hoidon kannalta tarpeelliset kuva-, video- ja äänitallenteet saisi hävittää heti kun käyttötarve on päättynyt, eli esimerkiksi kun keskeiset tiedot on kirjattu potilasasiakirjoihin. Ainoastaan hoidon kannalta tarpeelliset tallenteet on säilytettävä pidempään. Potilaan terveyspalvelujen järjestämiseen liittyviä asiakirjoja olisivat ajanvarausasiakirja, lähetteet, muille palvelunantajille lähetettävät konsultaatiopyynnöt, päätökset tahdosta riippumattomasta hoidosta sekä terveys- ja hoitosuunnitelma. Potilaan kanssa käytävään puhelinkeskusteluun verrattavissa olevat chat-viestit ja vastaava yhteydenpito potilaan kanssa eivät olisi potilasasiakirjoja, eikä niitä olisi tarpeen säilyttää sen jälkeen, kun ammattihenkilö on kirjannut niistä keskeiset tiedot osaksi potilasasiakirjoja. Muualta saapuvat asiakirjoja ovat toisilta palvelunantajilta tai viranomaisilta saatavat asiakirjat.
Sen sijaan terveydenhuollon ammattihenkilön muita viranomaisia ja tahoja varten laatimat todistukset ja lausunnot eivät olisi potilasasiakirjoja, koska ne laaditaan vastaanottajan käyttötarkoitusta varten, eikä käyttötarkoituksena ole potilaan hoidon järjestäminen ja toteuttaminen. Myöskään hoitotahto- ja elinluovutusasiakirjat eivät olisi potilasasiakirjoja, vaan potilaan itsensä laatimia ja hallinnoimia asiakirjoja, vaikka ne on tarkoitettu terveydenhuollossa huomioitavaksi. Vastuu ja oikeus kyseisten tahdonilmausten sisältöjen ylläpitoon on kuitenkin ainoastaan potilaalla itsellään, myös silloin, jos potilas pyytää palvelunantajaa tallentamaan tahdonilmauksensa valtakunnallisten tietojärjestelmäpalvelujen tahdonilmaisupalveluun.
Pykälän 2 momentin mukaan perinnöllisyyslääketieteen, psykiatrian ja vastaaviin erityistä luottamuksellisuutta edellyttäviin palveluihin liittyvät potilasasiakirjamerkinnät olisivat erityissuojattavia siten, että niiden käsittely muussa kuin kyseisen erikoisalan tai palvelun palvelutapahtumassa edellyttää erillistä vahvistuspyyntöä. Erityistä luottamuksellisuutta edellyttäviä palveluita olisivat esimerkiksi erilaiset mielenterveyttä edistävät terapiat, kuten psykoterapia ja seksuaaliterapia sekä psykologin palvelut.
Erityissuojauksen toteuttamisessa käytettävä erillisen vahvistuspyynnön menettely vastaa jo nykyisin käytössä olevaa psykiatrian ja perinnöllisyyslääketieteen potilasasiakirjojen erityissuojausta. Vahvistuspyynnöllä suojattujen, erityissuojattujen potilastietojen käyttö ei olisi kiellettyä, jos tiedot ovat potilaan hoidon kannalta välttämättömiä. Näiden tietojen käyttäjän tulisi kuitenkin muussa kuin kyseisessä palvelussa tai erikoisalalla toimiessaan vahvistaa tietojärjestelmään toteutetun vahvistuspyynnön jälkeen erillisellä vahvistuksella tietojen käytön tarpeellisuus. Esimerkiksi psykiatrian palveluissa työskentelevien ei tarvitsisi erikseen vahvistaa psykiatrian potilastietojen käyttöä, mutta jos psykiatrialla työskentelevä henkilön olisi tarpeen tarkastella perinnöllisyyslääketieteen potilasasiakirjoja, vahvistuspyyntö tulisi tehdä. Samoin silloin, jos somaattisen palveluiden henkilöstöllä on tarve käsitellä psykiatrian potilastietoja, tulisi vahvistuspyyntö tehdä. Momentin sanamuoto mahdollistaa erityissuojauksen toteutukseen myös muita menettelyjä vahvistuspyynnön lisäksi.
Erityissuojattavista potilastiedoista säädettäisiin tarkemmin sosiaali- ja terveysministeriön asetuksella.
Pykälän 3 momentissa säädettäisiin, että valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien potilasasiakirjojen tulee muodostaa ehyt asiakirjakokonaisuus yksilöityjen palvelutapahtumatunnusten avulla. Potilasasiakirjat muodostaisivat näin käynti- ja hoitojaksokohtaiset kokonaisuudet. Asiakirjojen koostaminen palvelutapahtumittain on oleellista potilaan tiedollisen itsemääräämisoikeuden näkökulmasta, koska potilas voi 54 §:n mukaisesti kieltää tietojensa luovuttamisen palvelunantajien välillä palvelutapahtumakohtaisesti.
27 §. Potilasasiakirjoihin merkittävät perustiedot. Pykälässä säädetään potilasasiakirjojen perustiedoista. Sääntely perustuu potilaslain ja asiakastietolain perusteella annettuun sosiaali- ja terveysministeriön asetukseen potilasasiakirjoista (94/2022). Pykälän 1 momentissa säädettäisiin potilasta, merkinnäntekijää ja palvelunantajaa koskevista perustiedoista, joiden tulee käydä ilmi potilasasiakirjoista. Perustietoja, jotka asiakirjoista olisi käytävä ilmi, olisivat potilaan nimi ja henkilötunnus tai jos henkilötunnus ei ole tiedossa, yksilöintitunnus tai syntymäaika. Jos potilaalla ei ole virallista henkilötunnusta, on kirjattava tilapäinen henkilötunnus. Potilasasiakirjoissa on oltava tieto palvelunjärjestäjän ja palveluntuottajan nimestä ja yksilöintitunnuksesta. Lisäksi olisi oltava kunkin merkinnän tekijän nimi, merkinnän tekijän yksilöivä tieto, ammattinimike ja merkinnän ajankohta. Jos merkintä on lääkinnällisen laitteen, ohjelmiston tai robotin tuottama, olisi asiakirjoista käytävä ilmi merkinnän tiedot täydennettynä mahdollisen merkinnän hyväksyjän tiedoilla. Jos terveydenhuoltoon saapuu tietoja muualta, olisi näiden tietojen saapumisen ajankohta ja lähde käytävä asiakirjasta ilmi.
Perustiedot voidaan yhdistää ja tuottaa tietojärjestelmässä ilman, että kaikkia tietoja olisi tarpeen kirjata erikseen jokaiseen asiakirjaan. Valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen tietosisältöjä ja kuvailutietoja koskevista vaatimuksista määrätään erikseen Terveyden ja hyvinvoinnin laitoksen tietorakenteita koskevissa määrittelyissä.
Pykälän 2 momentissa lueteltaisiin tiedot, joiden tulisi tarvittaessa ilmetä potilasasiakirjoista, jos tieto on tarpeen potilaan hoidon tai palvelun järjestämisen tai toteuttamisen taikka potilaan huollossa olevan alaikäisen lapsen tai potilaan omaishoidettavana olevan aseman kannalta. Tällaisia tietoja olisivat alaikäisen potilaan osalta huoltajien tai muun laillisen edustajan nimi ja yhteystiedot sekä täysi-ikäiselle potilaalle määrätyn laillisen edustajan nimi ja yhteystiedot, potilaan ilmoittaman lähiomaisen tai muun yhteyshenkilön nimi, mahdollinen sukulaisuussuhde ja yhteystiedot sekä tieto potilaan huollossa olevista alaikäisestä lapsesta ja tieto omaishoitajuudesta. Tieto potilaan lähiomaisesta tai muusta yhteyshenkilöstä on tarpeen, jotta terveydenhuollossa on ajantasainen tieto kehen läheiseen voi tarvittaessa ottaa yhteyttä ja kenelle voi antaa tietoja potilaslain 6 §:n 2 ja 3 momentissa tarkoitetussa tilanteessa, jossa täysi-ikäinen ei pysty itse päättämään hoidostaan. Tieto alaikäisistä lapsista on tarpeen, jotta terveydenhuollossa on mahdollista tarvittaessa terveydenhuoltolain (1326/2010) 70 §:n mukaisesti selvittää lapsen hoidon ja tuen tarve ja varmistaa riittävän hoidon ja tuen turvaaminen lapselle, kun lapsen vanhempi, huoltaja tai muu lapsen hoidosta ja vastaava henkilö saa päihdehuolto- tai mielenterveyspalveluja tai muita sosiaali- ja terveydenhuollon palveluja, joiden aikana hänen kykynsä huolehtia lapsen hoidosta ja kasvatuksesta arvioidaan heikentyneen. Vastaavasti tieto omaishoitajuudesta on tarpeen, jotta terveydenhuollossa on mahdollista esimerkiksi ilmoittaa sosiaalihuoltoon, jos omaishoitaja ei kykene huolehtimaan omaishoidettavasta esimerkiksi sairaalahoitoon joutumisen johdosta.
Lisäksi tarvittaessa potilasasiakirjoista olisi käytävä ilmi potilaan äidinkieli tai asiointikieli, potilaan ammatti, potilaan työnantajan vakuutusyhtiö, jos kyseessä voi olla työtapaturma tai ammattitauti sekä vakuutusyhtiö, jos vakuutusyhtiö mahdollisesti maksaa hoidon kustannuksia. Myös potilaan antamat potilastietojensa luovutuksia koskevat suostumukset ja luvat olisi kirjattava potilasasiakirjoihin. Valtakunnallisia tietojärjestelmäpalveluita koskevat luvat tallennetaan tahdonilmaisupalveluun, joten tässä yhteydessä säännös koskisi erityisesti muulla tavalla tehtäviä luovutuksia sosiaali- ja terveydenhuollossa sekä muille viranomaisille ja tahoille tehtäviä luovutuksia.
Jos pykälän 3 kohdassa tarkoitettu merkinnän tekninen kirjaaja on eri kuin merkinnän sisällöstä vastaava merkinnän tekijä, tulisi potilasasiakirjasta ilmetä myös merkinnän teknisen kirjaajan tiedot. Sähköiseen potilasasiakirjaan nämä tiedot ovat saatavilla suoraan potilastietojärjestelmän käyttäjätiedoista ja merkinnän kirjaamisen ajankohta automaattisesti potilastietojärjestelmästä. Tällä vältetään tarpeetonta kirjaamista näiden merkintöjen osalta. Lisäksi varmistetaan, ettei potilastietojärjestelmien käyttöoikeuksia annettaisi toisten henkilöiden käytettäväksi, kun käyttäjätunnusten mukainen henkilö vastaa myös merkintöjen oikeellisuudesta. Merkinnöistä tulisi ilmetä tietojen lähde, jos tieto ei perustu ammattihenkilön omiin tutkimushavaintoihin tai jos potilasasiakirjoihin merkitään muita, kuin potilasta itseään koskevia tietoja. Keskeinen periaate on siten se, että potilasasiakirjoihin kirjattujen tietojen alkuperä tulee voida todeta. Tästä syystä edellytettäisiin, että potilasasiakirjamerkinnöistä ilmenee tietojen lähde niissä tapauksissa, joissa tieto ei ole perustunut ammattihenkilön omiin tutkimushavaintoihin.
28 §. Palvelutapahtumista kirjattavat merkinnät. Pykälän 1 momentissa säädettäisiin, että palvelutapahtumista eli potilaan käynneistä tai hoitojaksoista tai vastaavista kontakteista potilaan kanssa, esimerkiksi puhelimessa tehtävä hoidon tarpeen arviointi tai sähköisen asioinnin kontakti, olisi kirjattava potilasasiakirjamerkinnät. Merkinnät muodostaisivat näin aikajärjestyksessä etenevän kokonaisuuden, jota kutsutaan myös potilaskertomukseksi. Potilastietojärjestelmissä merkinnät kirjataan Terveyden ja hyvinvoinnin laitoksen 20 §:n mukaisten tietorakennemäärittelyjen mukaisesti. Tietojärjestelmissä voi olla erilaisia näkymiä ja kirjaamisalustoja, joihin merkinnät tehdään.
Merkinnöistä tulisi tarpeellisessa laajuudessa käydä ilmi potilaan terveydentilaa, annettua palvelua ja sairauden ja hoidon kulkua koskevat tiedot sekä taudinmäärityksen, valitun hoidon ja tehtyjen hoitoratkaisujen perusteet. Lääkehoitoa koskevista lääkemääräyksistä olisi kirjattava lääkemääräyslain 6 §:ssä tarkoitetut tiedot sekä muut tarpeelliset valittua lääkehoitoa koskevat perustelut.
Lääkemääräyksistä kirjattavat tiedot ovat keskeinen osa palvelutapahtumista kirjattavia tietoja, ja samalla tiedoista muodostetaan myös reseptikeskukseen tallennettava, lääkkeen toimittamisessa ja valtakunnallisella lääkityslistalla käytettävä lääkemääräysasiakirja, jos kyse on potilaan apteekista ostettavaksi tarkoitetusta lääkkeestä. Lääkemääräysten tiedot voidaan tietojärjestelmässä kirjata erilliseen osioon tai näkymään, eikä samoja tietoja ole tarpeen kirjata toistamiseen palvelutapahtuman muihin merkintöihin. Estettä ei kuitenkaan ole sille, että lääkemääräyksiä koskevia tietoja liitetään myös osaksi muita merkintöjä, kunhan lääkemääräyslaissa tarkoitettu tieto pysyy aina ajan tasaisena reseptikeskuksessa.
Pykälän 2 momentin mukaan hoidon ja palvelun toteuttamiseen osallistuneet ammattihenkilöt ja muut henkilöt on tarvittaessa kyettävä selvittämään. Vaatimus ei edellytä, että kaikki hoitoon osallistuneet henkilöt aina ilmenevät potilasasiakirjamerkinnöistä, vaan apuna voidaan käyttää esimerkiksi työvuorolistoista ilmeneviä tietoja.
Pykälän 3 momentin mukaan annetuista lääkärinlausunnoista ja todistuksista tulisi tehdä merkinnät niiden antamisajankohdan mukaisesti.
Pykälän 4 momentissa säädettäisiin toista henkilöä koskevien tietojen kirjaamisesta potilasasiakirjoihin. Jos potilaan elämäntilanteen kartoittamisen tai muun vastaavan syyn takia hoidon kannalta olisi välttämätöntä kirjata toisen henkilön itsestään kertomia tai muita muun henkilön yksityiskohtaisia arkaluonteisia tietoja, olisi tiedot kirjattava potilaan palvelutapahtuman asiakirjoihin kuuluvaan erilliseen asiakirjaan. Sääntely mahdollistaisi siten toista henkilöä koskevien tietojen kirjaamisen erilliseen asiakirjaan riippumatta siitä, kuka tiedon on kertonut. Voimassa olevassa sääntelyssä vastaava on mahdollista ainoastaan toisen henkilön itsestään kertomien tietojen osalta. Tarkastusoikeus tietoihin olisi sillä henkilöllä itsellään, jonka tiedoista kirjauksissa on kyse. Esimerkiksi aikuisten palveluissa voitaisi kirjata momentin mahdollistamalla tavalla alaikäisten lasten tilannekartoitukset ja vastaavat lapsia koskevat tiedot. Vastaavasti lapsen ollessa potilaana voitaisi kirjata vanhempia koskevia tietoja.
29 §. Potilasasiakirjoihin kirjattavat keskeiset hoitotiedot. Pykälässä säädettäisiin potilasasiakirjoihin merkittävistä keskeisistä hoitotiedoista, joita ovat esimerkiksi. potilaan terveydentila, annettua palvelua ja hoidon kulkua koskevat tiedot sekä hoitoratkaisujen perusteet. Potilasasiakirjojen oleellinen osa ovat terveyden huollon ammattihenkilön tekemät merkinnät havainnoistaan, arvioistaan ja johtopäätöksistään potilaasta ja hänen hoidostaan sekä seikat, johon arviot perustuvat. Jos potilaan tutkimuksessa ja hoidossa on käytettävissä useampia vaihtoehtoisia tutkimus- ja hoitomenetelmiä, joiden vaikutukset ja riskit voivat olla erilaisia, potilasasiakirjoihin tulee tehdä merkinnät, joista ilmenee, millaisin perustein valittuun menetelmään on päädytty.
Pykälän 2 momentissa säädettäisiin potilaalle suoritetusta leikkauksesta ja muusta toimenpiteestä laadittavasta leikkaus- tai toimenpidekertomuksesta. Pykälän 3 momentissa säädettäisiin potilaaseen pysyvästi asetetuista proteeseista, implanteista, hampaiden täytemateriaaleista ja muista materiaaleista tehtävistä merkinnöistä.
Pykälän 4 momentissa säädettäisiin potilaan itsemääräämisoikeuden rajoittamista koskevien päätösten merkitsemisestä potilasasiakirjoihin. Merkinnöistä olisi käytävä ilmi toimenpiteen syy, luonne ja kesto sekä arvio sen vaikutuksista potilaan hoitoon samoin kuin toimenpiteen määränneen lääkärin ja suorittajien nimet.
30 §. Riskeistä, hoidon haitallisista vaikutuksista ja epäillyistä vahingoista tehtävät merkinnät. Pykälän 1 momentissa säädettäisiin hoidossa huomioon otettavien riskitietojen merkitsemisestä. Potilaskertomukseen sisällytettävistä tiedoista mainittaisiin erikseen tiedot potilaan lääkeaineallergiasta, materiaaliallergiasta ja yliherkkyyksistä, mutta velvoite koskisi myös muita niihin rinnastettavia hoidossa huomioon otettavia seikkoja.
Pykälän 2 momentti puolestaan koskee työntekijälle työstä aiheutuvien terveysriskitietojen merkitsemistä. Nämä tiedot tulee sisällyttää siten työntekijää koskeviin työterveyshuollon potilasasiakirjoihin, vaikka vastaavat tiedot olisivatkin esimerkiksi asianomaista työpaikkaa koskevissa työnantajakohtaisissa asiakirjoissa.
Pykälän 3 ja 4 momentissa velvoitettaisiin lisäksi tekemään nimenomaiset merkinnät myös todetuista tutkimus- ja hoitotoimenpiteisiin liittyneistä haitallisista vaikutuksista ja hoidon tehottomuudesta sekä epäillyistä potilas-, laite- ja lääkevahingoista. Hoidollisten seikkojen ohella myös korvausoikeudelliset ja viranomaisvalvontaan liittyvät seikat edellyttävät, että epäillyistä potilas-, laite- ja lääkevahingoista tehdään välittömästi vahinkoepäilyn syntymisen jälkeen yksityiskohtaiset merkinnät potilasasiakirjoihin.
31 §. Konsultaatioista ja hoitoneuvotteluista tehtävät merkinnät. Pykälään sisältyisi erityissäännöksiä erilaisista konsultaatioista ja hoitoneuvotteluista tehtävistä merkinnöistä. Muun muassa tietotekniikan kehittyminen on myötävaikuttanut konsultaatioiden lisääntymiseen ja uusien konsultaatiomuotojen syntymiseen. Pykälän 1 momentissa edellytettäisiin, että hoitovastuussa oleva terveydenhuollon ammattihenkilö tekee potilaan taudinmäärityksen tai hoidon kannalta merkittävistä konsultaatioista ja hoitoneuvotteluista potilasasiakirjoihin merkinnät, joista ilmenee konsultaation tai neuvottelun ajankohta, asian käsittelyyn osallistuneet henkilöt sekä tehdyt ratkaisut ja niiden toteuttaminen.
Jos konsultaatio tapahtuu sellaisessa muodossa, että potilas on tunnistettavissa, myös konsultaation antajan olisi 2 momentin mukaan tehtävä potilasasiakirjoihin merkinnät antamastaan konsultaatiovastauksesta, jollei hänelle muutoin jää antamansa konsultaatiovastauksen tiedot.
32 §. Osastojaksoa ja pitkäaikaishoitoa koskevat merkinnät. Pykälään sisältyisi eräitä nimenomaisesti osastohoidossa ja pitkäaikaisen hoidon piirissä olevan potilaan hoitoon liittyviä säännöksiä. Pitkäaikaista hoitoa voidaan sairaalan lisäksi toteuttaa esimerkiksi kotisairaanhoidossa. Kaikista osastohoidossa ja pitkäaikaisen hoidon piirissä olevista potilaista edellytettäisiin tehtäväksi potilaan hoidon kannalta riittävän usein merkinnät potilaan tilan muutoksista sekä hänelle tehdyistä tutkimuksista ja hänelle annetusta hoidosta. Lisäksi päivittäin olisi tehtävä merkinnät potilaan tilaan liittyvistä huomioista, hoitotoimista ja vastaavista seikoista.
Pykälän 2 momentissa edellytettäisiin, että lääkäri tekee pitkäaikaispotilaan potilasasiakirjoihin vähintään kolmen kuukauden välein seurantayhteenvedon, vaikka potilaan tilassa ei olisikaan tapahtunut olennaisia muutoksia. Seurantayhteenvedossa arvioitaisiin potilaan kulloinenkin terveydentila ja hoidon jatkotarpeet. Tämä palvelisi paitsi ensinnäkin potilaan hoitoa. Toiseksi seurantayhteenvedon tarve voi olla merkityksellinen niissä tilanteissa, joissa potilas on kotikäynnillä tai muutoin poissa pitkäaikaisen osasto- tai laitoshoidon piiristä ja hoidon on tarkoitus edelleen jatkua. Jos potilaalle kotikäynnin tai muun vastaavan poissaolon aikana tapahtuu tapaturma, tai hänen tilansa huononee siten, että hän tarvitsee kiireellistä hoitoa toisessa terveydenhuollon yksikössä, on tieto potilaan osastohoidosta mahdollista saada valtakunnallisten tietojärjestelmäpalvelujen kautta.
33 §. Loppulausunto. Pykälän 1 momentissa asetettaisiin velvoite laatia loppulausunto jokaisesta hoitojaksosta, jonka loputtua hoito päättyy tai hoitovastuu siirtyy. Hoitojaksolla tarkoitettaisiin sekä osasto- ja laitoshoitoa että polikliinisiä hoitojaksoja. Hoitovastuu voi siirtyä toiselle palvelunantajalle tai saman palvelunantajan toiminnassa toiseen toimintayksikköön tai toimipisteeseen tai sairaalassa toiselle erikoisalalle. Hoitovastuu voi siirtyä myös sosiaalihuollon palveluun, jonka yhteydessä tuotetaan terveydenhuollon palvelua. Tällainen tilanne voisi olla esimerkiksi iäkkään asiakkaan siirtyminen sairaalasta tai polikliiniselta tutkimusjaksolta hoivakotiin.
Pykälän 2 momentin mukaan loppulausuntoon olisi sisällytettävä annettua hoitoa koskevien yhteenvetojen lisäksi selkeät ja yksityiskohtaiset ohjeet potilaan seurannan ja jatkohoidon toteuttamiseksi. Loppulausunnossa tulisi lisäksi kuvata mahdolliset poikkeavuudet potilaan toimenpiteen jälkeisessä toipumisessa ja potilaan tila palvelutapahtuman päättyessä.
34 §. Merkinnät alaikäisen asiakkaan päätöskyvystä. Pykälässä säädettäisiin merkintöjen tekemisestä alaikäisen asiakkaan asioidessa terveydenhuollossa. Potilaslain 7 §:n 1 momentin mukaan alaikäistä on hoidettava yhteisymmärryksessä hänen kanssaan, jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan. 2 momentin mukaan silloin, kun alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajan kanssa. Tämän lain 51 §:n 1 momentin mukaan silloin, kun alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää terveydentilaansa ja hoitoansa koskevien tietojen antaminen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle. Muu tiedonsaantiin oikeutettu henkilö voi lapsen huollosta ja tapaamisoikeudesta annetun lain 7 §:n (190/2019) mukaan olla huollosta erotettu vanhempi ja muu henkilö. Koska alaikäisen potilastietoja voidaan näyttää huoltajalle, muulle lailliselle edustajalle tai muulle tiedonsaantiin oikeutetulle henkilölle sähköisten asiointipalveluiden, kuten 74 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä, on tärkeää, että asiakirjoilla on riittävän täsmälliset ja ajantasaiset tiedot alaikäisen päätöskyvystä sekä siitä, salliiko vai kieltääkö hän tietojensa antamisen. Päätöskykyä on arvioitava aina suhteessa kuhunkin terveydenhuollossa käsiteltävään asiaan, joten tieto päätöskyvystä olisi kirjattava palvelutapahtumakohtaisesti.
Potilaslain mukaisesti alaikäisen ikä on kehitystason rinnalla päätöskykyyn vaikuttava seikka. Mitä vanhempi lapsi on, sitä todennäköisemmin hän on myös kykenevä päättämään hoidostaan ja siten olemaan oikeutettu kieltämään tietojensa luovuttamisen huoltajille. Pienempien lasten kohdalla on siten todennäköistä, ettei lapsella vielä ole päätöskykyä vaan lasta on hoidettava yhteisymmärryksessä huoltajan kanssa. 2 momentissa esitettäisiin, että alle 12-vuotiaiden lasten kohdalla tietojärjestelmissä voitaisiin tuottaa oletusarvoisesti merkintä, ettei lapsi ole päätöskykyinen. Terveydenhuollon ammattihenkilön olisi kuitenkin tehdä arvio lapsen päätöskyvystä potilaslain mukaisesti, kuten ennenkin, ja tarvittaessa muutettava merkinnän sisältöä varmistaen päätöskykyisen lapsen kielto-oikeus ikätasosta riippumatta. Arviointi ja merkintöjen muuttamisen mahdollinen tarve korostuu, kun alaikäinen lapsi asioi vastaanotolla itsenäisesti ilman huoltajan läsnäoloa. Automatiikalla helpotettaisiin terveydenhuollon ammattihenkilöiden työtä, kun merkintöjä ei tarvitsisi jokaisella asiointikerralla tehdä ihan pienimpien lasten kohdalla.
35 §. Merkinnät hoitoon osallistumisesta erityistilanteissa. Pykälässä säädettäisiin merkintöjen tekemisestä tilanteissa, jossa täysi-ikäinen potilas ei kykene päättämään itse hoidostaan. Tällaisissa tilanteissa täysi-ikäistä potilasta hoidetaan potilaslain 6 §:n 2 ja 3 momentin mukaisesti yhteisymmärryksessä potilaan itsensä sijasta hänen laillisen edustajansa, lähiomaisensa tai muun läheisensä kanssa. Säännökset merkintöjen tekemisestä näistä tilanteista vastaavat nykyistä potilasasiakirja-asetuksen sääntelyä.
36 §. Potilaan hoidon järjestämistä koskevat merkinnät. Säännökset perustuisivat asiasisällöltään nykyisen potilasasiakirja-asetuksen säännöksiin. Pykälän 1 momentissa säädettäisiin potilasasiakirjamerkintöjen tekemisestä tilanteessa, jossa potilas joutuu odottamaan hoitoon pääsyä.
Pykälän 2 momentin säännökset merkintöjen tekemisestä koskien potilaslain 5 §:n 1 momentissa tarkoitetun, potilaan hoitoon liittyviä seikkoja koskevan selvityksen antamista sekä 3 momentin säännökset potilaan tutkimuksesta tai hoidosta kieltäytymistä koskevien merkintöjen tekemisestä vastaavat nykyistä sääntelyä.
Pykälän 4 momentissa säädettäisiin potilaan tulevaisuuden varalle mahdollisesti ilmaiseman hoitotahdon kirjaamisesta. Tällaisesta ilmauksesta tulisi tallentaa tieto valtakunnallisten tietojärjestelmäpalvelujen tahdonilmaisupalveluun sekä tarvittaessa tehdä vastaava merkintä potilasasiakirjoihin. Lisäksi potilasasiakirjoihin tulisi liittää erillinen potilaan itsensä varmentama tahdon ilmaiseva asiakirja. Tieto hoitotahdosta tulisi tallentaa tahdonilmaisupalveluun, jotta tieto on saatavilla kaikille palvelunantajille, joita tahdonilmaisu voi koskea. Tahdonilmaisupalveluun tallennettua hoitotahtoa voivat päivittää kaikki palvelunantajat potilaan pyynnöstä ja lisäksi hoitotahtoa voisi päivittää potilas itse kansalaisen käyttöliittymän avulla. Hoitotahdosta voisi kuitenkin tarvittaessa tehdä saman sisältöisen merkinnän myös potilasasiakirjoihin. Jos potilas pyytää palvelunantajaa tallentamaan tiedon hoitotahdosta, tulisi potilasasiakirjoihin liittää asiakkaan itse varmentama asiakirja, josta hoitotahto käy ilmi. Merkittävä tieto voisi olla myös se, että potilaalla itsellään on hallussaan asiakirja hoitotahdostaan. Potilasasiakirjoihin olisi tehtävä myös merkinnät siitä, että potilaalle on annettu riittävä selvitys hänen tahtonsa noudattamisen vaikutuksista.
6 luku Sosiaalihuollon asiakasasiakirjat
37 §. Sosiaalihuollon asiakasasiakirjoja koskevat periaatteet. Pykälässä säädettäisiin sosiaalihuollon asiakasasiakirjojen kirjaamisen keskeisistä periaatteista. Pykälän 1 momentissa säädettäisiin velvollisuudesta aloittaa sosiaalihuollon asiakastietojen kirjaaminen, kun palvelunantaja on saanut tiedon tai ilmoituksen henkilön palveluntarpeesta tai ryhtynyt toteuttamaan sosiaalipalvelua. Sääntely vastaisi voimassa olevan asiakasasiakirjalain 4 §:n 2 momenttia. Tieto palveluntarpeesta voi tulla asiakkaan itsensä ilmaisemana tai yhteydenottaja voi olla viranomainen, vanhempi, huoltaja, puoliso tai muu asiakkaan edustaja taikka kokonaan ulkopuolinen henkilö, esimerkiksi naapuri. Yhteydenotto voi tapahtua puhelimitse, se voi olla hakemus, lähete, muu kirjallinen ilmoitus tai henkilökohtainen työntekijän tapaaminen.
Voimassa olevassa sosiaalihuoltolaissa (1301/2014) ei ole määritelty asiakkuuden alkamisajankohtaa. Sen sijaan lastensuojelulain (417/2007) 26 §:ssä säädetään lastensuojeluasian vireille tulosta ja 27 §:ssä asiakkuuden alkamisesta. Sosiaalityöntekijän on lastensuojelulain mukaan tehtävä lastensuojelun asiakkuuden alkamisesta merkintä lasta koskeviin lastensuojeluasiakirjoihin.
Jos henkilölle annetaan nimetöntä neuvontaa tai ohjausta, ei muodostu sellaista asiakassuhdetta, josta laadittaisiin asiakasasiakirjoja. Koska tässä laissa säädettäisiin nimenomaan tietosuoja-asetuksessa tarkoitettujen henkilötietojen käsittelystä, eivät asiakirjojen laatimista koskevat säännökset myöskään koskisi anonyymisti palveluja saavia.
Pykälän 2 momentissa säädettäisiin, että sosiaalihuollon asiakasasiakirjasta on käytävä ilmi, mihin palvelutehtävään tai palvelutehtäviin se liittyy. Säännös vastaisi voimassa olevan asiakasasiakirjalain 22 §:n 2 momentin sääntelyä.
Pykälän 3 momentin mukaan silloin, kun sosiaalihuoltoa tai sosiaalipalvelua tuotetaan toisen lukuun, olisi sosiaalihuollon asiakasasiakirjoista käytävä ilmi niiden käsittelyperuste, palvelunjärjestäjä ja palveluntuottaja. Jos palveluntuottaja käyttää toista palveluntuottajaa alihankkijana, olisi asiakastiedoista ilmettävä hankintaketju kokonaisuudessaan. Säännös vastaa asiakasasiakirjalain 25 §:n 3 momenttia.
38 §. Asiakasasiakirjoihin kirjattavat perustiedot. Pykälässä määriteltäisiin ne sosiaalihuollon asiakasta koskevat perustiedot, jotka sosiaalihuollon asiakasasiakirjoihin on kirjattava tai tuotettava esimerkiksi tietojärjestelmässä olevien asiakasta, ammattihenkilöä ja palvelunantajaa koskevien tietojen perusteella.
Pykälän 1 momentissa säädettäisiin perustiedoista, jotka olisi aina käytä ilmi sosiaalihuollon asiakasasiakirjoista. Tiedot voivat olla asiakirjojen kuvailutietoja, eikä niiden tarvitse sisältyä asiakirjan varsinaiseen sisältöosioon. Kohdan yksi mukaan asiakirjasta tulisi ilmetä asiakirjan nimi.
Kohdan 2 mukaan perustietona olisi oltava asiakkaan nimi. Asiakkaan yksiselitteiseksi yksilöimiseksi olisi lisäksi aina oltava hänen henkilötunnuksensa tai, ellei se ole tiedossa, hänet väliaikaisesti yksilöivä tunnus tai syntymäaika. Sosiaalihuollon asiakkaaksi saattaa tulla esimerkiksi turvapaikkaa hakenut henkilö, jolla ei ole henkilötunnusta. Lastensuojelun asiakkaaksi saatetaan kirjata vastasyntynyt, jolla vielä ei ole sen paremmin nimeä kuin henkilötunnustakaan. Tällaisille asiakkaille on annettava tilapäinen yksilöintitunnus.
Kohdan 3 mukaan sosiaalihuollon asiakasasiakirjoista olisi käytävä ilmi palvelunjärjestäjän ja palveluntuottajan nimi ja yksilöintitunnus. Kohdan 4 mukaan olisi ilmettävä asiakirjan laatijan tai kirjauksen tehneen henkilön nimi sekä virka-asema tai tehtävä. Kohdan 5 mukaan olisi ilmettävä asiakirjan laatimisen tai kirjaamisen ajankohta.
Pykälän 2 momentissa säädettäisiin tiedoista, jotka sosiaalihuollon asiakasasiakirjoihin olisi kirjattava. Tietoja ei ole tarpeen toistaa jokaisella asiakirjalla, vaan ne voivat olla koottuna yhteen asiakirjaan, kuten Terveyden ja hyvinvoinnin laitoksen määrittelyjen mukaiseen asiakkuusasiakirjaan. Asiakirjoille olisi aina kirjattava hyvinvointialue, jonka alueella asiakkaan kotikunta sijaitsee, asiakkuuden alkamisen ajankohta, tieto asiakkaan palveluista vastaavasta työntekijästä, mahdollinen tieto asiakkaan tai hänen laillisen edustajansa yhteystietoja koskevasta turvakiellosta sekä asiakkuuden päättymisen ajankohta ja päättymisen peruste.
Laissa väestötietojärjestelmästä ja väestörekisterikeskuksen varmennepalveluista (661/2009) säädetään turvakiellosta. Lain 36 §:ssä säädetään, että jos henkilöllä on perusteltu syy epäillä oman tai perheensä turvallisuuden olevan uhattuna, maistraatti voi hänen pyynnöstään määrätä, että hänen, hänen kanssaan samassa taloudessa asuvan puolison tai lapsen kotikunta, asuinpaikka, osoite ja muu yhteystieto voidaan luovuttaa vain tietyin edellytyksin. Tieto voidaan luovuttaa vain sellaiselle viranomaiselle, jonka oikeus näiden tietojen käsittelyyn perustuu lain säännökseen.
Ne viranomaiset, jotka saavat henkilön yhteystietoja järjestelmiinsä, saavat myös tiedon turvakiellosta. Tieto turvakiellosta annetaan myös niille viranomaisille, jotka virkatehtävää hoitaakseen saavat turvakiellon suojaamia tietoja. Heillä on virkatehtävää hoitaessaan erityinen velvollisuus huolehtia, etteivät turvakiellon suojaamat tiedot pääse ulkopuolisten käsiin
Pykälän 3 momentissa säädettäisiin asianosaisia koskevista muista perustiedoista, jotka olisi kirjattava, jos ne vaikuttavat asiakkaan palveluun tai asiakirjassa esitettyihin ratkaisuihin. Kohdan yksi mukaan olisi kirjattava asiakkaan äidinkieli ja asiointikieli sekä yhteystiedot ja kotikunta. 2 kohdan mukaan alaikäistä asiakasta koskevaan asiakirjaan olisi kirjattava huoltajan tai muun laillisen edustajan nimi, yhteystiedot ja toimivalta. Jos huollosta erotetulle vanhemmalle on tuomioistuimen päätöksellä määrätty oikeus saada lasta koskevia sosiaalihuollon tietoja, myös tästä määräyksestä tehtäisiin kirjaus.
Pykälän 3 kohdan mukaan perustietona kirjattaisiin myös tiedot täysi-ikäiselle asiakkaalle määrätystä laillisesta edustajasta ja asiakkaan valtuuttamasta henkilöstä. Heidän tietoinaan kirjattaisiin nimi, yhteystiedot ja tieto siitä, mihin tehtäviin edustajalla on toimivalta. Laillinen edustaja voi olla tuomioistuimen määräämä edunvalvoja tai holhousviranomaisen vahvistama edunvalvontavaltuutettu. Jos asiakkaalla on useita laillisia edustajia, sosiaalihuollon asiakasasiakirjoihin merkitään heistä se tai ne, jotka osallistuvat palvelujen suunnitteluun ja toteutukseen ja joilla tässä tarkoituksessa on oikeus saada häntä koskevia salassa pidettäviä asiakastietoja.
Jos asiakkaan asian hoitamiseen osallistuu hänen omaisensa, läheisensä tai muu hänen hoidostaan tai huolenpidostaan vastaava henkilö heistä kirjattaisiin 4 kohdan mukaan nimi, yhteystiedot sekä heidän roolinsa asiassa.
39 §. Tietojen saamista koskevat merkinnät. Kun sosiaalihuollon asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tulee varmistaa, että tietojen saamiseen liittyvät tiedot ovat jälkikäteen todennettavissa asiakirjoista. Kun tietoja saadaan sivulliselta, tietojen vastaanottajan on voitava todentaa, mitä tietoja on hankittu tai saatu (kohta 1), keneltä tiedot on saatu tai muu tiedonlähde, jos tiedot on saatu teknisen käyttöyhteyden avulla (kohta 2), milloin tiedot on saatu (kohta 3), kuka tiedot on mahdollisesti pyytänyt, jos ne on hankittu oma-aloitteisesti (kohta 4), tiedon hankkimisen tai saamisen perusteena oleva säännös tai suostumusta koskevat tiedot (kohta 5) sekä käyttötarkoitus johon tiedot on hankittu tai saatu (kohta 6).
Oikeus saada asiakasta koskevia tietoja voi perustua siihen, että niitä pyydetään tämän lain 64 §:n nojalla tai asiakkaan suostumuksella tai saadaan virka-avun yhteydessä asiakaslain 22 §:n perusteella. Vastaavasti tiedot voidaan saada ulkopuolisen aloitteesta asiakkaan suostumuksella taikka sivullisen tekemän ilmoituksen tai muun aloitteen perusteella. Ilmoitusvelvollisuudesta säädetään muun muassa lastensuojelulain 25 §:ssä ja ikääntyneen väestön toimintakyvyn tukemisestä sekä iäkkäiden sosiaali- ja terveyspalveluista annetun lain (980/2012) 25 §:ssä.
Kun sosiaalihuollon valtakunnallinen asiakastietovaranto on otettu käyttöön tai kun palvelunantajalla on käytössä sähköisiä asiointikanavia, voidaan tietoja saada myös sähköisesti. Tällöin tietojen saamista koskevat merkinnät voidaan koota osittain tai täysin automaattisesti
40 §. Alaikäisen asiakkaan kielto-oikeuden kirjaaminen. Pykälän sisältö vastaisi voimassa olevan asiakasasiakirjalain 12 §:n sääntelyä. Pykälässä säädettäisiin kirjaamisvelvoitteesta ja sen sisällöstä, kun alaikäinen kieltää esitettävän lain 51 §:n 2 momentin perusteella antamasta asiakastietojaan huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle. 51 §:n 2 momentin mukaan alaikäinen voisi, ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu, painavasta syystä kieltää antamasta itseään koskevia tietoja huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle.
Ehdotetun lain pykälässä säädettäisiin merkinnöistä, jotka tällaisessa tilanteessa olisi tehtävä asiakasasiakirjoihin. Sen 1 momentin mukaan asiakirjaan olisi kirjattava alaikäisen kielto antaa tiettyä asiakasasiaansa koskevat tiedot huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle. Kiellon perusteeksi esitetty painava syy olisi kirjattava. Pykälän 2 momentin mukaan asiakirjaan olisi kirjattava myös ratkaisun perustelut, jos alaikäisen kielto-oikeus evätään siksi, ettei hän ole esittänyt 1 momentissa tarkoitettua painavaa syytä kiellolle tai siksi että tietojen antamatta jättämisen katsotaan olevan selvästi vastoin alaikäisen asiakkaan omaa etua.
Asiakirjatyypeittäin kirjattavat tiedot
Sosiaalihuollon asiakastapahtumiin ja päätöksiin liittyvät asiakastiedot kirjattaisiin asiakasasiakirjoihin asiakirjatyypeittäin seuraavaa ryhmittelyä noudattaen:
- asian vireille tuloon liittyvät ja asiakkaan palvelutarvetta ilmaisevat asiakasasiakirjat (40 §)
- asiakkaan tilanteen ja palvelutarpeen arvioimiseen liittyvät asiakasasiakirjat (41 §)
- palvelun ja asiakkuuden suunnittelemiseen liittyvät asiakasasiakirjat (42 §)
- sosiaalipalvelun ja tuen antamiseen liittyvät asiakasasiakirjat (43 §)
- päätöksentekoon liittyvät asiakasasiakirjat (44 §).
Esimerkiksi lastensuojeluilmoitus ja toimeentulotukihakemus olisivat 40 §:ssä tarkoitettuja vireille tuloa koskevia asiakirjoja.
41 §. Asian vireille tuloa koskevat asiakirjat. Säännös vastaisi voimassa olevan asiakasasiakirjalain 14 §:n sisältöä, eikä siihen esitetä muita muutoksia kuin pykälän otsikon täsmentäminen. Palveluprosessi alkaa, kun sosiaalihuollon työntekijä saa tiedon asiakkaan palvelujen tarpeesta. Yhteydenottaja voi olla asiakas itse, viranomainen, vanhempi, huoltaja, puoliso tai muu asiakkaan edustaja taikka ulkopuolinen henkilö. Yhteydenotto voi tapahtua puhelimitse, se voi olla hakemus, lähete tai muu kirjallinen ilmoitus tai henkilökohtainen työntekijän tapaaminen.
Vireilletulovaiheeseen kuuluisi ilmoituksen tai hakemuksen kirjaaminen ja asiakkaan perustietojen kokoaminen. Vireilletulovaiheessa selvitetään yhteydenoton syyt ja sen perusteella aletaan selvittää asiakkaan kokonaistilannetta. Asiakirjoihin, jotka liittyvät asian vireille tuloon ja asiakkaan palvelutarpeen ilmaisemiseen, kirjattaisiin perustietojen lisäksi aina vireille saattajan ilmaisema asiakkaan tuen, huolenpidon, hoivan tai muun palvelun tarve (kohta 1), mahdolliset perustelut palvelun tarpeelle (kohta 2), asian vireillesaattaja, jos hän ilmaisee henkilöllisyytensä (kohta 3) sekä asian vireillesaattamisen ajankohta (kohta 4).
Asian vireilletulosta viranomaisen järjestämässä sosiaalihuollossa säädetään hallintolain (434/2003) 20 §:ssä. Hallintoasia tulee vireille sinä päivänä, jona asian vireille panemiseksi tarkoitettu asiakirja saapuu toimivaltaiseen viranomaiseen tai kun asia on sille suullisen vireillepanon yhteydessä esitetty ja käsittelyn aloittamiseksi tarvittavat tiedot on kirjattu eli merkitty asiakirjaan. Viranomaisella on hallintolain 42 §:n mukaan velvollisuus kirjata suullisen vireillepanon yhteydessä esitetyt vaatimukset. Lastensuojelulaissa ja ikääntyneen väestön toimintakyvyn tukemisesta sekä iäkkäiden sosiaali- ja terveyspalveluista annetussa laissa (980/2012, jäljempänä vanhuspalvelulaki) on lisäksi erityissäännökset asian vireille tulosta ja ilmoituksen perusteella vireille tulevan asian käsittelystä.
42 §. Palvelutarpeen arvio. Säännös vastaisi voimassa olevan asiakasasiakirjalain 15 §:n sisältöä, eikä siihen esitetä muutoksia pykälän otsikon täsmentämisen lisäksi. Ennen kuin asiakkaalle voidaan tehdä palvelusuunnitelma, on hänen palvelutarpeensa selvitettävä ja arvioitava. Sosiaalihuoltolain 39 §:n 2 momentin mukaan asiakkaan palvelutarpeen arviointia koskeviin asiakasasiakirjoihin kirjattaisiin asiakkaan arvio ja ammatillinen arvio tuen tarpeesta (kohta 1), asiakkaan arvio ja ammatillinen arvio tarvittavista palveluista ja toimenpiteistä (kohta 2), omatyöntekijän tai muun asiakkaan palveluista vastaavan työntekijän arvio asiakkaan terveyden tai kehityksen kannalta välttämättömistä sosiaalipalveluista sekä niiden alkamisajankohdasta ja kestosta (kohta 3) sekä asiakkaan ja työntekijän arvio asiakkaan vahvuuksista ja voimavaroista (kohta 5).
Asiakaslain 8 § mukaan asiakas on palveluprosessissaan keskeisessä asemassa toimintakykynsä edellyttämässä määrin. Sanotun pykälän 1 momentin mukaan asiakkaan toivomukset ja mielipide on ensisijaisesti otettava huomioon ja muutoinkin kunnioitettava hänen itsemääräämisoikeuttaan. Aina asiakas ei kuitenkaan itse kykene riittävästi arvioimaan tilannettaan ja tarpeitaan. Näin on esimerkiksi silloin, kun pikkulapsi tai syvästi kehitysvammainen on kehitysvammahuollon asiakas tai kun vanhustenhuollon asiakkaan dementoiva sairaus on edennyt pitkälle. Tällaisten tilanteiden varalta asiakaslain 9 §:ssä säädetään seuraavasti ”Jos täysi-ikäinen asiakas ei sairauden, henkisen toimintakyvyn, vajavuuden tai muun vastaavan syyn vuoksi pysty osallistumaan ja vaikuttamaan palvelujensa tai sosiaalihuoltoonsa liittyvien muiden toimenpiteiden suunnitteluun ja toteuttamiseen taikka ymmärtämään ehdotettuja ratkaisuvaihtoehtoja tai päätösten vaikutuksia, on asiakkaan tahtoa selvitettävä yhteistyössä hänen laillisen edustajansa taikka omaisensa tai muun läheisen henkilön kanssa.” Tällöin on kirjattava myös laillisen edustajan, omaisen, tai muun läheisen henkilön käsitys asiakkaan tuen tarpeesta.
Asiakaslain 10 §:n mukaan alaikäisen asiakkaan toivomukset ja mielipide on selvitettävä ja otettava huomioon hänen ikänsä ja kehitystasonsa edellyttämällä tavalla. Lisäksi pykälän 2 momentin mukaan kaikissa julkisen tai yksityisen sosiaalihuollon toimissa, jotka koskevat alaikäistä, on ensisijaisesti otettava huomioon alaikäisen etu. Alaikäinen voi toisinaan toimia asiakkaana myös itsenäisesti. Tämä on tyypillistäkin esimerkiksi opiskeluhuollon kuraattorin asiakkuuksissa.
Esitettävän lain 51 §:n 2 momentin mukaan alaikäinen myös voisi, ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu, painavasta syystä kieltää antamasta itseään koskevia tietoja lailliselle edustajalleen, jollei se ole selvästi vastoin alaikäisen omaa etua. Näissä tilanteissa ei luonnollisesti laillinen edustaja myöskään osallistu tilanteen arviointiin tai palvelujen suunnitteluun.
Pykälän 2 momentissa säädettäisiin erityisistä kirjauksista, jotka tehtäisiin asiakassuunnitelmaa koskevaan arvioon. Asiakkaan tilannetta on arvioitava paitsi asiakassuhteen alussa myös palveluprosessin kuluessa. Asiakkaalle laaditussa palvelusuunnitelmassa esitettyjen tavoitteiden toteutumista on suunnitelmallisesti arvioitava ja tarvittaessa laadittava uusi palvelusuunnitelma. Tässä tarkoituksessa säädettäisiin, että suunnitelmaa koskevaan arvioon kirjataan asiakkaan ja muiden suunnitelman toteuttamiseen osallistuneiden käsitys ja työntekijän arvio siitä, miten suunnitelmassa esitetyt tavoitteet ovat toteutuneet.
43 §. Asiakassuunnitelma. Säännös vastaisi voimassa olevan asiakasasiakirjalain 16 §:n sisältöä, eikä siihen esitetä muutoksia. Asiakaslain 7 §:n mukaan sosiaalihuoltoa toteutettaessa on laadittava palvelu-, hoito-, kuntoutus- tai muu vastaava suunnitelma, jollei kyseessä ole tilapäinen neuvonta ja ohjaus tai jollei suunnitelman laatiminen muutoin ole ilmeisen tarpeetonta. Suunnitelma on asiakirja, jossa asetetaan sosiaalihuollon asiakasta koskevan työskentelyn tavoitteet sekä ilmaistaan keinot, joilla tavoitteisiin pyritään.
Asiakassuunnitelmaan kirjattaisiin palvelutarpeen arvioon perustuva sosiaalihuollon ammattihenkilön arvio asiakkaan tuen tarpeesta (kohta 1), kuvaus asiakkaan tarvitsemista palveluista (kohta 2), mahdollisuuksien mukaan yhdessä asiakkaan kanssa palvelulle ja asiakkuudelle asetetut tavoitteet ja keinot niiden saavuttamiseksi (kohta 3), ja asiakkaan tukemiseen osallistuvat yksityishenkilöt ja heidän tehtävänsä (kohta 4).
Sosiaalihuoltolain 39 §:n 2 momentin mukaisesti asiakassuunnitelma-asiakirjaan kirjattaisiin tiedot siitä, kuinka usein asiakas ja omatyöntekijä tai muu asiakkaan palveluista vastaava työntekijä tulevat tapaamaan (kohta 4) sekä asiakkaan ja työntekijän yhdessä asettamat tavoitteet, joihin sosiaalihuollon avulla pyritään (kohta 6). Lisäksi suunnitelmaan kirjataan sanotun säännöksen mukaan arvio asiakkuuden kestosta (kohta 7), tiedot eri alojen yhteistyötahoista, jotka osallistuvat asiakkaan tarpeisiin vastaamiseen ja vastuiden jakautuminen niiden kesken (kohta 8) sekä suunnitelman toteutumisen seurantaa, tavoitteiden saavuttamista ja tarpeiden uudelleen arviointia koskevat tiedot (kohta 9). Arvioinnilla saadaan näkyviksi muutokset asiakkaan tilanteessa ja mahdollisesti aiemmin tunnistamattomat tai uudet palvelun tarpeet. Asiakkaalle laaditut suunnitelmat on tarkistettava viimeistään suunnitelmaan kirjattuna ajankohtana. Jo laaditun asiakassuunnitelman tavoitteiden toteutumista voisivat arvioida kaikki asiakkaan kanssa toimivat tai hänen asioihinsa vaikuttavat tahot. Erityisesti asiakkaan oma sekä hänen läheistensä arvio jo saatujen palvelujen vaikuttavuudesta on tärkeä suunnitelman tarkistamisen kannalta.
44 §. Asiakaskertomus. Säännös perustuisi voimassa olevan asiakasasiakirjalain 17 §:n sisältöön, kuitenkin niin, että asiakkuuden alkamiseen ja päättymiseen liittyviä kirjauksia koskevat kohdat on siirretty esitettävän lain 37 §:ään. Asiakaskertomukseen kirjataan kaikki asiakkaaseen tai asiakkuuteen liittyvät tapahtumat, joissa asiakkaan asiaa on käsitelty. Asiakaskertomus voi muodostua useista asiakirjoista. Asiakaskertomuksessa olisi huomioitava 17 §:n mukainen kirjaamisvelvollisuus, jonka mukaan on kirjattava asiakkaan palvelun järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan turvaamiseksi tarpeelliset ja riittävät tiedot. Asiakaskertomukseen ei kuitenkaan ole syytä toistaa sisältöjä, jotka on kirjattu muille asiakirjoille. Esimerkiksi asiakassuunnitelman laatimisesta asiakaskertomukseen voisi kirjata, että asiakassuunnitelma on laadittu mutta asiakassuunnitelman sisältöjä ei olisi tarpeen kirjata toistamiseen.
45 §. Päätös. Säännös vastaisi voimassa olevan asiakasasiakirjalain 18 §:n sisältöä, eikä siihen esitetä muutoksia. Pykälässä viitattaisiin hallintolakiin (434/2003), jonka 44 ja 45 §:ssä säädetään tiedoista, jotka on kirjattava päätösasiakirjaan. Hallintolain 43 § 1 ja 3 momentin mukaan hallintopäätös on annettava kirjallisesti. Hallintolain 44 § 1 momentin mukaan kirjallisesta päätöksestä on käytävä selvästi ilmi seuraavat seikat: Kohdan 1 mukaan päätökseen on kirjattava sen tehnyt viranomainen ja päätöksen tekemisen ajankohta sekä kohdan 2 mukaan asianosaiset, joihin päätös välittömästi kohdistuu. Momentin 3 kohdan mukaan on lisäksi kirjattava päätöksen perustelut ja yksilöity tieto siitä, mihin asianosainen on oikeutettu tai velvoitettu taikka miten asia on muutoin ratkaistu sekä 4 kohdan mukaan sen henkilön nimi ja yhteystiedot, jolta asianosainen voi pyytää tarvittaessa lisätietoja päätöksestä.
Hallintolain 45 § 1 momentissa säädetään, että päätös on perusteltava. Perusteluissa on säännöksen mukaan ilmaistava mitkä seikat ja selvitykset ovat vaikuttaneet ratkaisuun sekä mainittava sovelletut säännökset
7 luku Kirjaaminen monialaisessa yhteistyössä
46 §. Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon henkilöstön toteuttaessa palvelua yhdessä. Pykälässä säädettäisiin asiakastietojen kirjaamisesta silloin, kun sosiaali- ja terveydenhuollon henkilöstö toteuttaa sosiaali- ja terveyspalvelua yhdessä. Sanamuodon mukaan kyse on yhden yhteisen sosiaali- ja terveyspalvelun toteuttamisesta. Tyypillisesti kyse on sosiaalipalvelusta, jonka yhteydessä annetaan myös terveyspalvelua. Toisaalta voi olla kyse myös terveyspalvelusta, jonka yhteydessä on myös sosiaalipalvelua. Usein palvelua toteutetaan samassa palveluyksikössä ja toimipisteessä.
Tyypillisiä yhdessä toteutettavia, sosiaali- ja terveydenhuollon yhteisiä palveluita ovat mm. monet päihteiden käyttäjille tarkoitetut avo- ja laitosmuotoiset palvelut, sosiaalihuoltolaissa tarkoitettu kotihoito, jossa palveluun sisältyy sekä sosiaalihuollon että terveydenhuollon toimintaa sekä tehostettu palveluasuminen (ympärivuorokautinen asuminen), jossa palveluun sisältyy asiakkaan tarpeen mukainen hoito ja huolenpito ja muut palvelut.
Pykälässä säädettäisiin, että asiakkaalle voitaisiin laatia yhteinen palvelutarpeen arvio, asiakassuunnitelma ja kyseistä palvelua koskevat asiakaskertomusmerkinnät sekä muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arvio, asiakassuunnitelma ja mahdolliset muut asiakirjat tallennettaisiin tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin. Siten kyseiset asiakirjat olisivat käytettävissä muissakin palveluyksiköissä sekä sosiaalihuollon että terveydenhuollon järjestämisen ja tuottamisen yhteydessä. Esimerkiksi kotihoidossa potilasrekisteriin tallennetut tiedot olisivat saatavilla sairaalassa, jos potilas joutuu sairaalahoitoon, tai tai päihteiden käyttäjien palveluissa kirjatut potilastiedot olisivat saatavilla terveysasemalla, jos potilas hakeutuu sen palveluiden piiriin. Vastaavasti potilastiedot ja sosiaalihuollon asiakastiedot olisivat tiedonsaantioikeuksien puitteissa saatavilla myös muiden palvelunantajien toiminnassa. Asiakaskertomus tallennettaisiin pelkästään sosiaalihuollon asiakasrekisteriin.
Asiakaskertomusmerkintöjä voisivat kirjata sekä sosiaali- että terveydenhuollon ammattihenkilöt.
Terveydenhuollon ammattihenkilöiden vastuulle kuuluisi edelleen laatia asiakkaan terveyden- ja sairaanhoidon edellyttämät tarkemmat terveys- ja hoitosuunnitelmat tai terveydenhuoltoon liittyvät kuntoutussuunnitelmat sekä muut tarvittavat potilasasiakirjamerkinnät. Ne kirjataan normaalisti potilasasiakirjoihin ja talletetaan palvelunantajan potilasrekisteriin.
Esimerkiksi terveyspalvelua sisältävissä ikäihmisten sosiaalipalveluissa saattaa olla asiakkaan terveydenhuollon kannalta tärkeää, että tarpeelliset tiedot yhteisesti laaditusta suunnitelmasta tallennettaisiin myös potilasrekisteriin. Kun asiakas siirtyy sosiaalihuollon palvelusta terveyspalvelun piiriin, esimerkiksi tehostetusta palveluasumisesta terveydenhuollon päivystykseen, olisi potilasturvallisuuden kannalta tärkeää, että sosiaalipalveluiden yhteydessä terveydenhuollon ammattihenkilöiden kirjaama tieto on ajantasaisesti käytössä terveydenhuollon yksikössä.
47 §. Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon yhteistyössä. Pykälässä säädettäisiin yhteisen palvelutarpeen arvioinnin ja asiakassuunnitelman laatimisesta silloin, kun sosiaali- ja terveyspalveluita antavat sosiaali- ja terveydenhuollon henkilöstö yhteistyössä. Pykälä mahdollistaisi siten yhteisten asiakirjojen laatimisen silloinkin, kun kyse on sosiaali- ja terveydenhuollon ammattihenkilöiden yhteistyöstä eri sosiaali- ja terveyspalveluita annettaessa. Koska yhteistyö ei kuitenkaan olisi niin tiivistä kuin yhtä yhteistä palvelua toteutettaessa, yhteisesti laadittavia asiakirjoja olisivat palvelutarpeen arviointi ja asiakassuunnitelma. Lisäksi olisi mahdollista laatia muita tarpeellisia yhteisiä asiakasasiakirjoja. Ne tallennettaisiin tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin, jotta tiedot olisivat käytettävissä sekä sosiaalihuollossa että terveydenhuollossa. Sosiaali- ja terveydenhuollon yhteistyöstä säädetään terveydenhuoltolain 8 a §:ssä ja 32 §:ssä sekä sosiaalihuoltolain 2§:ssä. Lisäksi monialaisesta yhteistyöstä säädetään sosiaalihuoltolain 41 §:ssä.
Tyypillisiä yhteistyössä toteutettavia palveluja ovat muun muassa sosiaalihuoltolain mukainen, ehdotettu yhteisöllinen asuminen ja siihen mahdollisesti liittyvät terveyspalvelut, mielenterveys- ja päihdekuntoutujille suunnattu sosiaalihuoltolain 21§:n mukainen tuettu asuminen, jossa sosiaalipalvelun rinnalla usein tarvitaan samanaikaisia terveydenhuollon palveluja, tai sosiaalihuoltolain 17 §:n mukainen sosiaalinen kuntoutus, jos se olisi sovitettu yhteen terveydenhuoltolain mukaisen hoidon tai lääkinnällisen kuntoutuksen kanssa.
48 §. Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon ja muiden toimialojen välisessä yhteistyössä. Pykälässä säädettäisiin asiakastietojen kirjaamisesta monialaisessa yhteistyössä silloin, kun yhteistyöhön osallistuu sosiaali- ja terveydenhuollon lisäksi muidenkin viranomaisten ja muiden tahojen edustajia. Monialaista yhteistyötä tehdään esimerkiksi lastensuojelussa ja työikäisten palveluissa. Terveydenhuollon yhteistyöstä ja asiakkaan ohjaamisesta muiden tahojen vastuulla oleviin palveluihin säädetään terveydenhuoltolain 30 §:ssä.
Pykälän 1 momentin 1 kohdassa säädettäisiin monialaiseen asiakastyöhön osallistuvien henkilöiden oikeudesta laatia yhteistä asiakasta koskevia, yhteisesti käytettävissä olevia asiakasasiakirjoja. Säännöksessä tarkoitettu monialainen yhteistyö voi perustua esimerkiksi tilannekohtaisesti koottuihin verkostokokouksiin.
Yhteistyöhön osallistuvat henkilöt voisivat momentin perusteella kirjata ja tallentaa salassapitosäännösten estämättä yhteistyössä saamiaan sosiaali- ja terveydenhuollon asiakastietoja oman organisaationsa asiakirjoihin siinä määrin kuin ne ovat välttämättömiä yhteisen asiakkaan asian hoitamiseksi kunkin yhteistyöhön osallistuvan henkilön oman tehtävän kannalta tai hänen edustamansa organisaation toiminnan kannalta.
Vastaavasti monialaiseen asiakasyhteistyöhön osallistuvat henkilöt voisivat salassapitosäännösten estämättä tallentaa asiakkaan asian hoitamisen kannalta välttämättömän yhteistyötä koskevan yhteisen asiakassuunnitelman sen organisaation rekisteriin, jonka edustajana he ovat osallistuneet yhteistyöhön.
Pykälän 2 momentissa olisi selkeyden vuoksi informatiivinen maininta, jonka mukaan sen 1 momentissa tarkoitettuja tietoja koskeviin salassapitovelvoitteisiin sovellettaisiin, mitä esitettävän lain 4 §:n 1 momentissa ja tietosuojalain 35 §:ssä riippumatta siitä, minkä organisaation asiakirjoihin tiedot olisi talletettu. Lisäksi informatiivisista syistä säädettäisiin, ettei asiakastietoja saa käyttää eikä luovuttaa muihin tarkoituksiin, kuin mitä varten tiedot on tallennettu, ja että asiakastietoja saa säilyttää ainoastaan sen aikaa, kuin käyttötarkoituksen kannalta on välttämätöntä.
8 luku Tiedonsaantioikeus ja tietojen luovuttaminen
Toisen puolesta asiointi ja asiakastietojen luovuttaminen asiakkaan lailliselle edustajalle, lähiomaiselle tai muulle läheiselle
49 §. Tietojen antaminen asiakkaan lailliselle edustajalle tai läheiselle erityistilanteissa. Pykälässä säädettäisiin, missä tapauksissa ja millä edellytyksillä asiakkaan edustajalla, lähiomaisella tai muulla läheisellä olisi oikeus asiakastietoihin.
Pykälän 1 momentin mukaan potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä olisi potilaslain 6 §:n 2 ja 3 momentissa tarkoitetussa tapauksessa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta. Säännös vastaisi potilaslain 9 §:n 1 momenttia. Laillisen edustajan oikeus saada tiedot määräytyy muun lainsäädännön kautta ollen laajempi kuin tässä momentissa esitetty, mutta tiedonsaantioikeudesta momentin mukaisissa erityistilanteissa esitetään selkeyden vuoksi säädettäväksi tässä yhteydessä.
Pykälän 2 momentin mukaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi potilaan lähiomaisella tai muulla hänen läheisellään olisi oikeus saada tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä. Vastaava säännös sisältyy nykyisin potilaslain 13 §:n 3 momentin 4 kohtaan.
Pykälän 3 momentissa olisi vastaava sääntely sosiaalihuollon asiakkaiden osalta. Sen mukaan sosiaalihuollon asiakkaan laillisella edustajalla tai lähiomaisella tai muulla läheisellä, olisi oikeus saada asiakaslain 7 §:n 2 momentin ja lastensuojelulain (417/2007) 30 §:n 1 momentissa tarkoitetuissa tapauksissa tarpeelliset tiedot asiakas-, palvelu- ja hoitosuunnitelman tekemistä ja asiakaslain 9 §:n 1 momentin mukaisissa tilanteissa asiakkaan tahdon selvittämistä varten. Asiakaslain 7 §:n 2 momentin mukaan asiakkaan palvelu- ja hoitosuunnitelma on laadittava lain 9 ja 10 §:ssä tarkoitetuissa tapauksissa asiakkaan ja hänen laillisen edustajansa taikka asiakkaan ja hänen omaisensa tai muun läheisensä kanssa. 9 §:n 1 momentin mukaan, jos täysi-ikäinen ei sairauden, henkisen toimintakyvyn vajavuuden tai muun vastaavan syyn vuoksi pysty osallistumaan ja vaikuttamaan palvelujensa tai sosiaalihuoltoonsa liittyvien muiden toimenpiteiden suunnitteluun ja toteuttamiseen taikka ymmärtämään ehdotettuja ratkaisuvaihtoehtoja tai päätösten vaikutuksia, on asiakkaan tahtoa selvitettävä yhteistyössä hänen laillisen edustajansa taikka omaisensa tai muun läheisen henkilön kanssa.
50 §. Tietojen käsittely toisen puolesta. Pykälän 1 momentissa informatiivisista syistä säädettäisiin, millä perusteilla henkilöllä olisi oikeus käsitellä toisen henkilön puolesta tämän asiakas- ja hyvinvointitietoja asiointipalveluissa. Toisen henkilön puolesta asioinnin tulisi perustua valtuutukseen tai holhoustoimilain (442/1999) 29 §:n 2 momentin nojalla annettuun edunvalvojan määräykseen. Puolesta asioinnin toteuttaminen edellyttää Digi- ja väestötietoviraston vastuulle kuuluvien kansallisten rekisterien määrätietoista kehittämistä ja rakenteisen tiedon käyttöönottoa niin, että rekistereistä saadaan rakenteisessa muodossa puolesta asioinnin edellyttämät tiedot, esimerkiksi tieto esimerkiksi terveydenhuollon asioihin määrätystä edunvalvojasta. Huoltajalla olisi oikeus käsitellä huollettavastaan tallennettuja tietoja, ellei esitettävän lain 51 §:stä, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lain lapsen huollosta ja tapaamisoikeudesta (361/1983) 4 §:n 4 momentista muuta johdu.
Alaikäisen oikeudesta kieltää asiakastietojensa luovuttaminen huoltajalle, muulle lailliselle edustajalle tai muulle tiedonsaantiin oikeutetulle henkilölle säädetään 51 §:ssä. Lisäksi alaikäisen kielto-oikeuden lisäksi huoltajalla ei pitäisi olla huollettavansa tietojen käsittelyoikeutta sellaisten tietojen osalta, joihin huoltajalla ei olisi tarkastusoikeutta tai julkisuuslain mukaista asianosaisen tiedonsaantioikeutta. Esimerkiksi kyseessä voi olla lastensuojelun asiakkaana oleva pieni lapsi, joka ei vielä kykene kieltämään tietojen antamista huoltajalleen, mutta silti voi olla lainmukainen peruste evätä esimerkiksi huoltajan tarkastusoikeus kaikkiin lasta koskeviin tietoihin tai osaan niistä. Asiakkaalle ei voisi edes näyttää edellä mainittuja tietoja. Huoltajan osalta kieltäytymisperusteet voivat kuitenkin olla erilaiset kuin alaikäisen itsensä osalta. Terveydenhuollossa voi olla kyse esimerkiksi tilanteesta, jossa lapsi kertoo kotona tapahtuneesta häneen tai perheenjäseneen kohdistuneesta pahoinpitelystä tai muusta kaltoin kohtelusta kouluterveydenhoitajalle. Lapsi ei välttämättä tiedä, että tieto hänen käynnistään terveydenhoitajan luona voi tulla vanhemman tietoon. Ammattihenkilön vastuuseen kuuluukin huolehtia lapsen edusta ja lapsen turvallisuudesta kaikissa tilanteissa silloinkin, kun lapsi ei vielä olisi kehitystasonsa puolesta kykenevä kieltämään tietojensa näyttämistä.
Tietosuoja-asetuksen 8 artiklan 1 kohdan mukaisesti, jos 6 artiklan 1 kohdan a alakohtaa sovelletaan eli henkilötietojen käsittelyperusteena on suostumus, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Jäsenvaltiot voivat lainsäädännössään säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta.
Tietosuojalain 5 §:n mukaisesti, kun henkilötietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kyseessä on tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias.
Huoltajan tehtävistä säädetään lain lapsen huollosta ja tapaamisoikeudesta (361/1983) 4 §:ssä. Sen 4 kohdan mukaan huoltaja edustaa lastaan tämän henkilöä koskevissa asioissa, jollei laissa ole toisin säädetty.
Tukipalvelulain 10 §:n 1 momentissa säädetään Digi- ja väestötietoviraston asiointivaltuuspalvelun tuottamista varten pitämästä sähköisten valtuuksien rekisteristä. Laissa säädetään myös valtuutuksen ja muun tahdonilmaisun rekisteröinnin edellytyksistä sekä valtuutuksen tai muun tahdonilmaisun sisällön sekä sen antajaa koskevan tiedon yhdistämisestä ja tietokokonaisuuden eheyden varmistamisesta (10 §).
Digi- ja väestötietovirasto pitää asiointivaltuuspalvelun tarjoamiseksi rekisteriä luonnollisten henkilöiden antamista ja yhteisöjen puolesta annetuista asiointia koskevista valtuutuksista ja muista tahdonilmaisuista. Tahdonilmaisut olisivat toimivallaltaan tarkkarajaisia tiettyyn toimintaan tai tapahtumaan liittyviä. Asiointivaltuuspalvelu voi välittää myös muiden viranomaisten tallentamia valtuutusta ja muita tahdonilmaisuja koskevia tietoja, jos näitä tietoja tallentava viranomainen on antanut Digi- ja väestötietovirastolle luvan tietojen välittämiseen eikä toiminta vaaranna asiointivaltuuspalvelussa välitettävien tietojen luotettavuutta. Muiden viranomaisten tahdonilmaisuja koskevien rekisterien osalta rekisterinpitovastuu perustuu näiden viranomaisten toimintaa koskeviin säännöksiin ja vastuu rekisterinpidosta ja tahdonilmaisujen rekisteröinnistä säilyy asianomaisella viranomaisella. Digi- ja väestötietovirasto vastaa vain asiointivaltuuspalveluun sisältyvän välityspalvelun toiminnasta.
51 §. Alaikäisen oikeus kieltää tietojensa luovuttaminen huoltajalle. Pykälässä säädettäisiin alaikäisen asiakkaan oikeudesta kieltää asiakastietojensa luovuttaminen huoltajalle tai muulle lailliselle edustajalle. 1 momentissa säädettäisiin terveydenhuollon alaikäisen potilaan oikeudesta kieltää tietojensa luovutus silloin, kun alaikäinen ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan. Säännös vastaisi voimassa olevaa potilaslain 9 §:n 2 momenttia. Alaikäisen päätöskyvystä ja hoitamisesta yhteisymmärryksessä hänen itsensä kanssa huoltajien sijasta säädetään potilaslain 7 §:ssä.
Pykälän 2 momentissa olisi vastaava säännös sosiaalihuollon alaikäisen asiakkaan kielto-oikeudesta. Säännös vastaisi asiakaslain 11 §:n 3 momentin sääntelyä. Alaikäinen voisi hänen ikänsä ja kehitystasonsa sekä asian laatu huomioon ottaen painavasta syystä kieltää antamasta itseään koskevia tietoja lailliselle edustajalleen, jollei se ole selvästi alaikäisen edun vastaista. Jos laillinen edustaja on asianosaisena sosiaalihuoltoa koskevassa asiassa, laillisella edustajalla olisi kuitenkin asianosaisen tiedonsaantioikeus julkisuuslain 11 §:n mukaisesti.
Ammattihenkilön olisi varmistettava aina asiakastietoja kirjatessaan, että lapsi tietää ja ymmärtää, että tiedot näkyvät huoltajalle ja että hänellä iän ja kehitystason sen edellyttäessä, on oikeus kieltää tietojen antaminen. Lapselle tulee myös kertoa, mitä seurauksia kiellosta voi olla. Lapsen kielto-oikeutta tulee kunnioittaa, mutta ammattihenkilöllä on velvollisuus keskustella ja ohjata lasta tällaisessa tilanteessa, erityisesti, jos hän arvioi, että tietojen salaaminen huoltajilta on lapselle haitallisempaa kuin tietojen antaminen huoltajalle.
Sosiaalihuollossa esimerkiksi huoltajan ja alaikäisen huollettavan edut voivat olla ristiriidassa, jolloin noudatetaan lapsen edun mukaista tulkintaa. Tässä tapauksessa huoltajalla ei olisi oikeutta käsitellä huollettavan tietoja, jos tämä olisi lapsen edun vastaista. Tällaisia tilanteita saattaa nousta esiin sosiaalihuollossa ja erityisesti lastensuojelussa. Myös käräjäoikeuden päätöksellä on mahdollista ja voidaan rajata huoltajan oikeutta käsitellä alaikäisen huollettavansa tietoja.
Sosiaali- ja terveysvaliokunnan asiakaslakiehdotuksesta HE 137/1999 antaman mietinnön (StVM 18/2000 vp) mukaan on pidetty tarpeellisena, ettei alaikäisen kielto-oikeus sosiaalihuollossa ole yhtä ehdoton kuin terveydenhuollossa, vaan asiassa tulisi arvioida myös lapsen etu. Valiokunnan mukaan alaikäisen kieltäessä tietojensa luovuttamisen tulisi ensin selvittää, onko hänellä painava syy kiellolleen. Lisäksi kieltoedellytyksiä tulisi harkita ottaen huomioon lapsen ikä ja kehitystaso sekä asian laatu. Mitä vanhemmasta lapsesta ja mitä vähäisemmästä asiasta on kyse, sitä helpommin kieltoa voidaan noudattaa. Jos katsotaan, että lapsella mainittujen kriteerien perusteella on painava syy kiellolle, tulee sen jälkeen ottaa kantaa siihen, olisiko tietojen luovuttamatta jättäminen selvästi vastoin hänen etuaan. Jos tietojen luovuttamatta jättäminen olisi selvästi vastoin alaikäisen etua, ei tietoa voisi jättää antamatta huoltajalle tai muulle lailliselle edustajalle. Kielto-oikeuden on katsottava olevan vastoin lapsen etua aina, jos se estää lapsesta huolta pitävää henkilöä huolehtimasta asianmukaisesti lapsen hoidosta ja kasvatuksesta. Lapsen edun ensisijaisuuden periaatetta tulee siten noudattaa myös tulkittaessa lapsen oman mielipiteen painoarvoa. Alaikäisen iän myötä kasvava määräämisoikeus ei merkitse, että aikuisten aina tulisi toimia niin kuin alaikäinen tahtoo.
52 §. Asiakastietojen luovuttaminen kuoleman jälkeen. Pykälässä säädettäisiin asiakastietojen luovuttamisesta asiakkaan kuoleman jälkeen. Kuolleen henkilön elinaikana annettua sosiaali- tai terveyspalvelua koskevia tietoja saisi luovuttaa perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksien selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi. Luovutuksensaaja ei saisi käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen. Säännös perustuisi nykyisen potilaslain 13 §:n 3 momentin 5 kohtaan, ja tiedonsaantioikeutta laajennettaisiin myös sosiaalihuollon asiakastietoihin.
Potilaslain HE 181/1999 vp mukaan tietojen luovuttaminen voi tulla kyseeseen esimerkiksi, jos vainajan lähiomainen haluaa selvityttää, liittyykö vainajan kuolemaa edeltäneeseen hoitoon hoitovirhe, tai jos tietoja tarvitaan vainajan eläessään tekemän testamentin tai muun oikeustoimen pätevyyden selvittämiseksi. Luovutus saattaisi tulla kysymykseen esimerkiksi, kun vainajan sukulainen haluaa selvittää vainajan eläessään sairastaman periytyvän sairauden riskiä, eli tieto olisi tarpeen merkittävän terveysriskin selvittämiseksi siltä osin kuin lääketieteellisesti arvioiden on tarpeen. Tietojen luovuttaminen ei sinänsä edellytä sukulaisuutta vainajaan, vaikka useimmissa tilanteissa tietoja tarvitseva on vainajan lähiomainen tai muu sukulainen. Tietoja voitaisiin luovuttaa vain siinä määrin, kuin se on välttämätöntä tietoja pyytävien oikeuksien tai etujen selvittämiseksi tai toteuttamiseksi.
Myös sosiaalihuollon asiakastiedot saattavat olla välttämättömiä sen selvittämiseksi, onko palveluissa tapahtunut laiminlyönti tai muu virhe, joka on saattanut vaikuttaa henkilön kuolemaan.
Pykälän perusteella alaikäisenä kuolleen lapsen huoltajalla olisi oikeus saada lapsensa potilastiedot, joita huoltaja tarvitsee tärkeiden etujensa tai oikeuksiensa selvittämiseksi tai toteuttamiseksi. Huoltaja ei kuitenkaan lapsen kuoleman jälkeenkään voisi saada sellaisia potilastietoja, joiden luovuttamisen huoltajalle lapsi on elinaikanaan kieltänyt. Huoltajalla on lapsen elinaikana tiedonsaantioikeus lapsensa tietoihin, jotta voi huoltajana käyttää tietojen tarkastusoikeutta lapsensa puolesta ja muutoin edustaa lasta ja valvoa lapsen etuja. Koska lapsen kuoleman jälkeen huoltaja ei enää edusta lasta, on myös tiedonsaantioikeus rajatumpi kuin lapsen eläessä.
Tiedonsaantioikeus ja asiakastietojen luovuttaminen muille sosiaali- ja terveydenhuollossa sekä muille viranomaisille
53 §. Tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä. Pykälässä säädettäisiin tiedonsaantioikeudesta asiakastietoihin sosiaali- ja terveydenhuollon välillä. Sanamuodon mukaisesti tiedonsaantioikeudet olisivat sosiaalihuollon palvelunantajalla ja terveydenhuollon palvelunantajalla. Esimerkiksi hyvinvointialue on sekä sosiaalihuollon että terveydenhuollon palvelunantaja, joten momentit mahdollistavat potilastietojen ja sosiaalihuollon asiakastietojen saamisen sekä hyvinvointialueen omassa toiminnassa sosiaali- ja terveyspalvelujen välillä että muilta palvelunantajilta.
Pykälän 1 momentin mukaan sosiaali- ja terveydenhuollon yhteisen palvelun toteuttamiseen osallistuvalla henkilöllä olisi oikeus saada ja käyttää yhteisen palvelun toteuttamisen kannalta välttämättömiä asiakasasiakirjoja. Siten yhteisen palvelun toteuttamiseen osallistuvilla terveydenhuollon ammattihenkilöillä olisi oikeus saada ja käyttää sosiaalihuollon asiakasrekisteriin tallennettuja sosiaalihuollon asiakastietoja ja vastaavasti sosiaalihuollon ammattihenkilöillä olisi oikeus saada ja käyttää potilasrekisteriin tallennettuja potilastietoja siinä määrin, kuin on yhteisen palvelun toteuttamisen kannalta välttämätöntä. Kyse olisi sosiaali- ja terveydenhuollon yhteisistä palveluista, joissa voidaan katsoa olevan yhteinen käyttötarkoitus ja joissa välttämätöntä asiakastietojen käsittelyä on voitava toteuttaa ilman asiakkaan erillistä suostumusta.
Pykälän 2 ja 3 momentissa säädettäisiin tiedonsaantioikeudesta sosiaali- ja terveydenhuollon välillä asiakkaan antaman luovutusluvan perusteella. Tiedonsaantioikeuden käsittelyperuste oli siten lainsäädäntö. Luovutuslupa toimisi suojatoimena, jonka avulla asiakas voi itse päättää missä laajuudessa tiedonsaantioikeus toteutuisi.
Pykälän 2 momentissa säädettäisiin sosiaalihuollon palvelunantajan tiedonsaantioikeudesta potilastietoihin asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Edellytyksenä tiedon saamiselle olisi asiakkaan antama luovutuslupa. Luovutusluvassa olisi yksilöitävä, mitä potilastietoja sosiaalihuollon palvelunantajalla olisi oikeus saada ja käyttää sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Luovutusluvan avulla asiakas voisi määrätä esimerkiksi mitä potilastietoja ja miltä aikajaksolta kullakin palvelunantajalla olisi oikeus saada. Tietojen osalta lupa voisi kohdentua esimerkiksi kaikkiin tai joihinkin tiedonhallintapalvelun kautta koostettaviin keskeisiin potilastietoihin, kuten diagnoosit, riskitiedot, toimintakykytiedot, toimenpiteet ja fysiologiset mittaukset, lääkemääräyksiä koskeviin tietoihin, kuntoutus- ja hoitosuunnitelmiin tai tietyn lääketieteellisen erikoisalan tai palvelun potilastietoihin.
Pykälän 3 momentissa säädettäisiin terveydenhuollon palvelunantajan tiedonsaantioikeudesta sosiaalihuollon asiakastietoihin potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi. Edellytyksenä tiedon saamiselle olisi asiakkaan antama luovutuslupa. Luovutusluvassa olisi yksilöitävä, mitä sosiaalihuollon asiakastietoja terveydenhuollon palvelunantajalla olisi oikeus saada ja käyttää terveyspalvelun järjestämiseksi ja toteuttamiseksi. Luovutusluvan avulla asiakas voisi määrätä esimerkiksi mitä sosiaalihuollon asiakastietoja ja miltä aikajaksolta kullakin terveydenhuollon palvelunantajalla olisi oikeus saada. Tietojen osalta lupa voisi kohdentua esimerkiksi asiakkuusasiakirjaan, josta ilmenee asiakkaan saamat sosiaalipalvelut ja niiden vastuutyöntekijät tai sosiaalihuollon asiakassuunnitelmaan, sosiaalipalvelua koskevaan päätökseen tai muuhun yksittäiseen sosiaalihuollon asiakasasiakirjaan.
Pykälän 4 momentin sosiaali- ja terveysministeriön asetuksella voitaisiin säätää tarkemmin 2 ja 3 momentissa tarkoitetun luovutusluvan kohdentamisesta potilastietoihin ja sosiaalihuollon asiakastietoihin. Koska luovutuslupa tulisi 2 ja 3 momentin mukaan voida antaa yksilöimällä luovutusluvan kohteena olevat tiedot, säädettäisi asetuksella ainoastaan teknisesti, mihin tietorakenteisiin luovutusluvan kohdistaminen tulisi voida tehdä.
Pykälän 5 momentissa säädettäisiin sosiaalihuollon palvelunantajan tiedonsaantioikeudesta välttämättömiin potilastietoihin asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi tilanteessa, jossa asiakas ei kykene arvioimaan annettavan luovutusluvan merkitystä eikä siten päättämään luovutusluvan antamisesta. Tällainen tilanne voi olla, jos asiakkaalla esimerkiksi muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia ei ole edellytyksiä arvioida suostumuksen merkitystä eikä hänellä ole laillista edustajaa. Säännös turvaisi välttämättömien potilastietojen luovuttamisen erityisesti heikoimmassa asemassa olevien asiakkaiden kohdalla. Kyse voisi olla esimerkiksi lääkitystä, hoidossa huomioitavia riskejä tai muita keskeisiä asiakkaan terveydentilaan liittyviä tietoja, jotka huomioitava myös sosiaalipalvelua annettaessa esimerkiksi asumispalveluissa. Käyttöoikeuksista välttämättömään asiakastietoon säädetään 9 §:n mukaisesti sosiaali- ja terveysministeriön asetuksella. Asetuksella säädettäisiin siten tarkemmin, mitä potilastietoja eri sosiaalipalveluissa ja työtehtävissä saisi käyttää.
Pykälän 6 momentissa säädettäisiin terveydenhuollon palvelunantajan tiedonsaantioikeudesta sosiaalihuollon asiakastietoihin asiakkaan terveyspalvelun järjestämiseksi ja toteuttamiseksi tilanteessa, jossa asiakas ei kykene arvioimaan annettavan luovutusluvan merkitystä eikä siten päättämään luovutusluvan antamisesta. Tällainen tilanne voi olla, jos asiakkaalla esimerkiksi muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia ei ole edellytyksiä arvioida suostumuksen merkitystä eikä hänellä ole laillista edustajaa. Säännös turvaisi välttämättömien sosiaalihuollon asiakastietojen luovuttamisen erityisesti heikoimmassa asemassa olevien asiakkaiden kohdalla. Kyse voisi olla esimerkiksi toimintakykyä koskevista tiedoista tai tietoa asiakkaan saamista sosiaalihuollon palveluista, joista tieto on tarpeen jatkohoidon suunnittelussa. Käyttöoikeuksista välttämättömään asiakastietoon säädetään 9 §:n mukaisesti sosiaali- ja terveysministeriön asetuksella. Asetuksella säädettäisiin siten tarkemmin, mitä sosiaalihuollon asiakastietoja eri terveyspalveluissa ja työtehtävissä saisi käyttää.
54 §. Terveydenhuollon palvelunantajan oikeus saada potilastietoja ja potilastietojen luovuttaminen hoidon turvaamiseksi. Pykälässä säädettäisiin sekä terveydenhuollon palvelunantajan tiedonsaantioikeudesta potilastietoon potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi että terveydenhuollon palvelunantajan oikeudesta luovuttaa välttämättömiä potilastietoja tietyissä tilanteissa. Nykyinen tietojen luovuttamiseen perustuva sääntely muutettaisiin siten tiedonsaantioikeuden muotoon. Luovuttamista koskevaa sääntelyä jäisi vain tilanteisiin, joissa palvelunantaja luovuttaisi potilastietoja oma-aloitteisesti tai ulkomaisen terveydenhuollon toimintayksikön pyynnöstä.
Pykälän sääntely koskisi tiedonsaantioikeutta palvelunantajien välillä, mutta lisäksi pykälän perusteella samankin palvelunantajan toiminnassa perusterveydenhuollossa, erikoissairaanhoidossa ja yksityisessä terveydenhuollossa olisi oikeus saada työterveyshuollon rekisteriin tallennettua potilastietoja, ja vastaavasti työterveyshuollossa olisi oikeus saada potilasrekisteriin tallennetut potilastiedot potilaan antaman luovutusluvan perusteella.
Käyttötarkoitus, jota varten potilastietoja voisi saada, olisi potilaan terveyspalvelun järjestäminen ja tuottaminen. Potilastietoja voisi luovuttaa myös niille palvelunantajille, jotka tuottavat sosiaalipalveluita, joiden yhteydessä annetaan myös terveyspalveluita. Tällaisia palveluita ovat esimerkiksi kotihoito, hoiva- ja asumispalvelut sekä päihdehuollon laitos- ja kuntoutuspalvelut.
Pykälän 1 momentin mukaan terveydenhuollon palvelunantajalla olisi oikeus saada ja käyttää potilastietoja potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi. Tietojen saamisen edellytyksenä olisi asiakkaan antama luovutuslupa. Tämä takaisi osaltaan asiakkaan perusoikeutena turvattua yksityiselämän suojaa ja hänen asiakastietoihin liittyvää itsemääräämisoikeuttaan. Asiakkaan antama luovutuslupa kattaisi kaikki potilastiedot, ja sen laajuutta voisi rajata kieltojen avulla. Luovutuslupa vastaisi siten laajuudeltaan voimassa olevan asiakastietolain luovutuslupaa ja sitä edeltäneen asiakastietolain laajaa, valtakunnallisia tietojärjestelmäpalveluja koskenutta suostumusta.
Momentissa olisi myös viittaus lääkemääräyslain 13 §:ään, jossa säädetään lääkemääräysten ja muiden reseptikeskukseen tallennettujen lääkehoitoa koskevien merkintöjen luovuttamisesta.
Pykälän 2 momentissa säädettäisiin terveydenhuollon palvelunantajan oikeudesta saada potilastiedot ilman potilaan antamaa luovutuslupaa tilanteessa, jossa potilaalla ei ole edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa joka luovutusluvan voisi potilaan puolesta antaa. Kyseinen tilanne voi olla kyseessä, jos potilas ei kehitysvammaisuuden, mielenterveyden häiriön, muistisairauden tai vastaavan syyn takia ole kykenevä arvioimaan luovutusluvan merkitystä eikä päättämään sen antamisesta taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi. Sääntely kattaisi siten myös potilastietojen saamisen kiireellistä hoitoa varten potilaslain 8 §:n mukaisessa tilanteessa, jossa potilaalle on annettava hänen henkeään tai terveyttään uhkaavan vaaran torjumiseksi tarpeellinen hoito, vaikka potilaan tahdosta ei tajuttomuuden tai muun syyn vuoksi voi saada selvitystä. Jos potilas on aikaisemmin vakaasti ja pätevästi ilmaissut hoitoa koskevan tahtonsa, potilaalle ei kuitenkaan saa antaa sellaista hoitoa, joka on vastoin hänen tahtoaan.
Pykälän 3 momentin mukaan tiedonsaantioikeus olisi toteutettava ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Tiedonsaantioikeuden voisi toteuttaa muulla tavoin, jos sitä ei olisi mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Tietojen saaminen muutoin kuin valtakunnallisten tietojärjestelmäpalvelujen välityksellä olisi tarpeen esimerkiksi Uudenmaan maakunnan alueella hyvinvointialueiden, Helsingin kaupungin ja HUS-yhtymän välillä, kun terveyspalveluiden järjestämisvastuu muista hyvinvointialueista poiketen jakautuu useammalle viranomaiselle sekä yksityisissä terveyspalveluissa, joissa usea palvelunantaja toimii samoissa tiloissa ja käyttää yhteistä tietojärjestelmää. Tietojen saamisessa olisi siten mahdollista hyödyntää palvelunantajien yhteisiä tietojärjestelmiä.
Tiedonsaantioikeuden toteuttaminen edellyttää pääsääntöisesti sitä, että henkilöllä on luovutusluvan antamisen lisäksi mahdollisuus kieltää tietojen luovutus. Kiellon tekeminen puolestaan edellyttää sitä, että henkilö on tietoinen asiakirjojen sisällöstä. Valtakunnallisiin tietojärjestelmäpalveluihin voidaan tallentaa myös vanhoja asiakirjoja, jotka on laadittu ennen palvelunantajan liittymistä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Näissä vanhoissa asiakirjoissa ei ole valtakunnallisten tietojärjestelmäpalveluiden edellyttämiä tietorakenteita, joiden avulla ohjataan asiakirjojen näyttämistä kansalaisen käyttöliittymässä. Asiakirjoissa voi olla esimerkiksi toista henkilöä koskevia tietoja tai muita tietoja, jotka pitäisi jättää näyttämättä kansalaisen käyttöliittymässä, jos tiedot voisivat ammattihenkilön arvion perusteella vakavasti vaarantaa asiakkaan tai muun henkilön terveyttä ja turvallisuutta. Koska asiakirjoilla ei ole rakenteisia tietoja, joiden avulla kyseisten tietojen näyttäminen kansalaisen käyttöliittymässä saataisiin estettyä, ei näitä asiakirjoja voi kansalaisen käyttöliittymässä näyttää, eikä henkilö siten voi myöskään tehdä niihin kohdistuvaa luovutuskieltoa kansalaisen käyttöliittymän kautta. Siten vanhoja asiakirjoja ei voida luovuttaa valtakunnallisista tietojärjestelmäpalveluista, vaikka asiakas olisi antanut luovutusluvan tietojensa luovutukseen.
Pykälän 4 momentissa säädettäisiin tilanteista, joissa välttämättömiä potilastietoja saisi luovuttaa palvelunantajan omasta aloitteesta tai ulkomaalaisen terveydenhuollon toimintayksikön pyynnöstä terveyspalvelun järjestämiseksi tai toteuttamiseksi salassapitosäännösten estämättä ilman potilaan antamaa luovutuslupaa tai suostumusta. Luovutus olisi mahdollinen, jos potilaalla ei ole edellytyksiä arvioida annettavan luovutusluvan tai suostumuksen merkitystä, eikä hänellä ole laillista edustajaa joka voisi luovutusluvan tai suostumuksen hänen puolestaan antaa. Tällainen tilanne voi olla esimerkiksi mielenterveyden häiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi. Luovutus olisi mahdollinen myös silloin, jos luovutuslupaa tai suostumusta ei voida saada potilaan tajuttomuuden tai siihen verrattavan syyn vuoksi. Säännös vastaa potilaslain 13 §:n 3 momentin 3 kohdan sääntelyä täydennettynä luovutuslupaa koskevilla maininnoilla. Suomessa oma-aloitteinen potilastietojen luovutus ilman asiakkaan luovutuslupaa voisi tulla kyseeseen esimerkiksi lähetettäessä potilasta toisen palvelunantajan palvelun piiriin, esimerkiksi vaativaan erikoissairaanhoitoon.
Potilastietoja saisi säännöksen mukaan luovuttaa myös ulkomaisille palveluntuottajille. Potilastietoja voisi luovuttaa myös EU- ja ETA-maiden ulkopuolelle, jolloin rekisterinpitäjän on huolehdittava tietosuoja-asetuksen V luvun mukaisesti suojatoimista jokaisen luovutuksen yhteydessä.
55 §. Sosiaalihuollon palvelunantajan oikeus saada sosiaalihuollon asiakastietoja. Pykälässä säädettäisiin sosiaalihuollon palvelunantajan tiedonsaantioikeudesta sosiaalihuollon asiakastietoon sosiaalihuollon asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Nykyistä tietojen luovuttamiseen perustuvaa sääntelyä muutettaisiin siten tiedonsaantioikeuden muotoon.
Pykälän 1 momentin mukaan sosiaalihuollon palvelunantajalla olisi oikeus saada ja käyttää sosiaalihuollon asiakastietoja sosiaalihuollon asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Tietojen saamisen edellytyksenä olisi asiakkaan antama luovutuslupa. Tämä takaisi osaltaan asiakkaan perusoikeutena turvattua yksityiselämän suojaa ja hänen asiakastietoihinsa liittyvää itsemääräämisoikeuttaan. Sosiaalihuollon asiakkaan antama luovutuslupa kattaisi kaikki sosiaalihuollon asiakastiedot, ja luovutusluvan laajuutta voisi rajata kieltojen avulla. Luovutuslupa vastaisi siten laajuudeltaan voimassa olevan asiakastietolain luovutuslupaa.
Asiakkaan antamalla kiellolla ei kuitenkaan voisi estää ammattihenkilön tai palvelunantajan tiedonsaantioikeutta silloin, kun ammattihenkilön tai palvelunantajan tiedonsaantioikeus perustuisi joko lakiin tai kyse on esitettävän lain 56 §:n 1 momentissa tarkoitusta tapauksesta, jossa asiakastietoja saa luovuttaa ilman asiakkaan antamaa luovutuslupaa tai suostumusta taikka asiakkaan kiellon vastaisesti.
Pykälän 2 momentissa säädettäisiin sosiaalihuollon palvelunantajan oikeudesta saada sosiaalihuollon asiakastietoja ilman sosiaalihuollon asiakkaan antamaa luovutuslupaa tilanteessa, jossa sosiaalihuollon asiakkaalla ei ole edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa joka luovutusluvan voisi potilaan puolesta antaa. Kyseinen tilanne voi olla kyseessä, jos potilas ei kehitysvammaisuuden, mielenterveyden häiriön, muistisairauden tai vastaavan syyn takia ole kykenevä arvioimaan luovutusluvan merkitystä eikä päättämään sen antamisesta.
Pykälän 3 momentin mukaan tiedonsaantioikeus olisi toteutettava ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Tiedonsaantioikeuden voisi toteuttaa muulla tavoin, jos sitä ei olisi mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Tietojen saaminen muutoin kuin valtakunnallisten tietojärjestelmäpalvelujen välityksellä olisi tarpeen esimerkiksi Uudenmaan maakunnan alueella hyvinvointialueiden ja Helsingin kaupungin välillä, kun sosiaalipalveluiden järjestämisvastuu muista hyvinvointialueista poiketen jakautuu useammalle viranomaiselle. Tietojen saamisessa olisi siten mahdollista hyödyntää palvelunantajien yhteisiä tietojärjestelmiä.
Tiedonsaantioikeuden toteuttaminen edellyttää pääsääntöisesti sitä, että henkilöllä on luovutusluvan antamisen lisäksi mahdollisuus kieltää tietojen luovutus. Kiellon tekeminen puolestaan edellyttää sitä, että henkilö on tietoinen asiakirjojen sisällöstä. Valtakunnallisiin tietojärjestelmäpalveluihin voidaan tallentaa myös vanhoja asiakirjoja, jotka on laadittu ennen palvelunantajan liittymistä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Näissä vanhoissa asiakirjoissa ei ole valtakunnallisten tietojärjestelmäpalveluiden edellyttämiä tietorakenteita, joiden avulla ohjataan asiakirjojen näyttämistä kansalaisen käyttöliittymässä. Asiakirjoissa voi olla esimerkiksi tietoja, jotka pitäisi jättää näyttämättä kansalaisen käyttöliittymässä, jos tiedot voisivat ammattihenkilön arvion perusteella vakavasti vaarantaa asiakkaan tai muun henkilön terveyttä ja turvallisuutta. Koska asiakirjoilla ei ole rakenteisia tietoja, joiden avulla kyseisten tietojen näyttäminen kansalaisen käyttöliittymässä saataisiin estettyä, ei näitä asiakirjoja voi kansalaisen käyttöliittymässä näyttää, eikä henkilö siten voi myöskään tehdä niihin kohdistuvaa luovutuskieltoa kansalaisen käyttöliittymän kautta. Siten vanhoja asiakirjoja ei voida luovuttaa valtakunnallisista tietojärjestelmäpalveluista, vaikka asiakas olisi antanut luovutusluvan tietojensa luovutukseen.
56 §. Sosiaalihuollon asiakastietojen luovuttaminen sosiaalihuollon asiakkaan hoidon ja huollon turvaamiseksi. Pykälässä olisi säännökset niistä tilanteista, joissa salassa pidettäviä sosiaalihuollon tietoja voidaan luovuttaa ulkopuolisille asiakkaan tai hänen edustajansa antamasta luovutusluvasta riippumatta eli tilanteissa, joissa heidän mielipidettään ei voida selvittää tai joissa asiakas tai tämän laillinen edustaja kieltäisikin tietojen luovuttamisen. Tilanne, jossa asiakkaan mielipidettä ei voisi selvittää, voi olla kyseessä, jos potilas ei kehitysvammaisuuden, mielenterveyden häiriön, muistisairauden tai vastaavan syyn takia ole kykenevä arvioimaan luovutusluvan merkitystä eikä päättämään sen antamisesta, eikä asiakkaalla olisi laillista edustajaa. Pykälä vastaisi sisällöltään asiakaslain 17 §:ä siten, että 4 momenttiin sisältyvä oikeus luovuttaa tietoja asiakkaan lailliselle edustajalle on siirretty 49 §:ään. Lisäksi julkisuuslain 26 § sisältää sääntelyä salassa pidettävän tiedon antamisesta, kun toimija suorittaa tehtävää viranomaisen lukuun tai toimeksiannosta. Käsitteitä ja sanamuotoja on yhdenmukaistettu muun lain kanssa. Säännöksiä noudatettaisiin sekä julkisten että yksityisten sosiaalihuollon palvelunantajien asiakastietojen osalta. Siten tietojen luovuttajana voisi olla julkinen tai yksityinen sosiaalihuollon palvelunantaja.
Pykälän tarkoituksena on varmistaa asiakkaan oikeusturva silloinkin, kun häntä koskevia salassa pidettäviä tietoja luovutetaan eri tahoille. Säännöksessä on huomioitu sosiaalihuollon toteuttamisen kannalta välttämättömät tietojen luovutustarpeet. Asiakkaan tietoja joudutaan luovuttamaan sosiaalihuollon, terveyden- ja sairaanhoidon taikka koulutuksessa ja opetuksessa tarvittavien tukitoimenpiteiden, erityisopetuksen tai muun vastaan tarpeen selvittämiseksi tai niihin liittyvien toimenpiteiden toteuttamiseksi vastoin asiakkaan tai hänen laillisen edustajansa nimenomaista kieltoakin. On perusteltua, että lain tasolla mahdollisimman tarkasti ja selvästi säännellään luovuttajan oikeudet ja toisaalta velvollisuudet tietojen luovutukseen.
Tarkoituksenmukaisen hoidon ja palvelujen järjestämiseksi yhteistyötä tehdään käytännössä sosiaalihuollon palvelunantajien kesken, terveydenhuollon palvelunantajien, opetusviranomaisten ja muiden viranomaisten kanssa sekä muun muassa sellaisten yksityisten palveluntuottajien kanssa, jotka järjestävät asiakkaalle sosiaalihuoltoa asiakkaan kanssa tehdyn sopimuksen perusteella. Näissä tilanteissa täytyy toisinaan olla myös mahdollisuus salassa pidettävien tietojen luovuttamiseen, vaikkei luovutuslupaa tai suostumusta ole saatavissa. Kysymys voi tällöin olla myös siitä, että henkilö ei esimerkiksi huumeiden tai muiden päihteiden aiheuttaman sekavuuden tai muun vastaavan syyn vuoksi kykene tosiasiallisesti arvioimaan annettavan luovutusluvan tai suostumuksen merkitystä, eikä hänellä ole laillista edustajaa. Salassa pidettävästä asiakirjasta saadaan luovuttaa tieto myös, vaikka asiakas tai hänen laillinen edustajansa vastustaisikin tiedon luovuttamista. Kysymys on siis tällöin asiakkaan suostumuksesta riippumattomasta tietojen luovuttamisesta.
Pykälän 1 momentin mukaan salassapitovelvollisuus ei estäisi välttämättömän tiedon luovuttamista asiakirjasta asiakkaan hoidon, huollon ja koulutuksen tarpeen selvittämiseksi tai niiden järjestämiseksi tai toteuttamiseksi, taikka toimeentulon edellytysten turvaamiseksi. Momentissa on kolme eri kohtaa, joiden mukaisissa tilanteissa tietoja saa luovuttaa salassapitovelvollisuuden estämättä.
Kohdan 1 mukaan luovuttaminen olisi sallittua, jos se, jota asiakirja koskee, on hoidon tai sosiaalihuollon ilmeisessä tarpeessa terveytensä, kehityksensä tai turvallisuutensa vaarantumisen vuoksi eikä hoidon tai huollon tarvetta muutoin ole selvitettävissä taikka terveyden- tai sosiaalihuollon toimenpiteitä toteutettavissa. Säännös voisi tulla sovellettavaksi esimerkiksi sosiaalipäivystyksen tehtävissä, kehitysvammaisten erityishuoltoa järjestettäessä sekä päihdehuollossa tahdosta riippumattamaan hoitoon määrättäessä. Säännös on sovellettavissa paitsi silloin, kun asiakas tai hänen laillinen edustajansa eivät anna tietojen luovuttamiselle suostumustaan, myös silloin, kun heidän mielipidettään ei voida selvittää. Säännöksellä mahdollistettaisiin siinä mainituissa erityisissä tilanteissa välttämättömän saumattoman hoito- ja palveluketjun toteutuminen sosiaalihuollon osalta niissäkin tilanteissa, joissa asiakkaalta tai hänen lailliselta edustajaltaan ei saada suostumusta.
Kohdan 2 mukaan salassapito ei estäisi tiedon luovuttamista, jos tieto on tarpeen lapsen edun vuoksi. Säännös on katsottu tarpeelliseksi sen vuoksi, ettei huoltaja voisi suostumuksen epäämällä estää lapsen edun selvittämistä ja toteuttamista. Tällaisia tilanteita voi syntyä erityisesti silloin, kun vanhemman ja lapsen etu ovat keskenään ristiriidassa esimerkiksi arvioitaessa lastensuojelutoimenpiteiden tarvetta tai niitä toteutettaessa taikka insestiepäilyjä selvitettäessä. Lastensuojelussa ja kehitysvammahuollossa säännös voisi tulla sovellettavaksi silloin, kun viranomaisten tulee järjestää yhteistyössä lapselle tarkoituksenmukaista hoitoa ja huoltoa. Sosiaaliviranomaiset joutuvat myös muun muassa käymään keskusteluja kouluviranomaisten kanssa siitä, millä edellytyksillä ja miten lapsen koulunkäynti voitaisiin turvata. Lastensuojelussa tietoja on tarpeen luovuttaa varsinkin järjestettäessä lapsen tarkoituksenmukaista sijaishoitoa.
Momentin 3 kohdan mukaan tietojen luovuttaminen olisi sallittua, jos tieto on tarpeen asiakkaan välttämättömien etujen ja oikeuksien suojaamiseksi eikä asiakkaalla itsellään ole edellytyksiä arvioida asian merkitystä. Säännös voisi tulla sovellettavaksi esimerkiksi muistisairautta sairastavien vanhusten tai kehitysvammaisten asioita käsiteltäessä akuutissa tilanteessa. Jos ilmenee, että esimerkiksi vanhus tai kehitysvammainen tarvitsisi edunvalvojan hoitamaan asioitaan, sosiaalihuollon toteuttajan tulisi tehdä holhousviranomaisille asiakaslain 9 §:n 2 momentissa tarkoitettu ilmoitus edunvalvojan määräämiseksi.
Pykälän 2 momentti sisältäisi pääsäännön siitä, mille tahoille tietoja voidaan luovuttaa 1 momentissa säädettyjen edellytysten täyttyessä. Tietojen saajana voisi olla ensinnäkin julkinen sosiaalihuollon palvelunantaja sekä sen toimeksiannosta sosiaalihuollon tehtäviä suorittava henkilö tai yhteisö. Toimeksiantotehtäviä suorittavalla henkilöllä tai yhteisöllä tarkoitetaan lähinnä sellaista palveluntuottajaa, jolta kunta hankkii sosiaalihuollon palveluita ostopalveluina. Lisäksi tietoja saisi antaa muulle viranomaiselle. Ehdotettu säännös ei sisällä tarkempaa määrittelyä siitä, mille viranomaisille tietoja saisi luovuttaa. Viranomaisten piiri rajautuisi kuitenkin käytännössä varsin suppeaksi, koska tietojen luovuttamisen yleiset edellytykset olisivat tiukat. Kysymykseen voisivat tulla esimerkiksi terveydenhuollon palvelunantajat taikka holhous-, koulu- tai poliisiviranomaiset. Säännös sisältäisi myös mahdollisuuden luovuttaa tietoja ulkomaiselle viranomaiselle esimerkiksi virka-apuna tehtävän yhteistyön yhteydessä.
Pykälän 3 momentissa säännellään erityisistä edellytyksistä, joiden vallitessa tietoja voitaisiin luovuttaa myös yksityisille sosiaali- ja terveydenhuollon palvelunantajille, jotka järjestävät ja tuottavat palveluita asiakkaan kanssa tehdyn sopimuksen perusteella. Ilman luovutuslupaa salassa pidettävästä asiakirjasta saa antaa tietoja vain, jos se on tarpeen asiakkaan välittömän hoidon ja huollon järjestämiseksi tai jos se muusta tähän rinnastettavasta erityisestä syystä on välttämätöntä. Tällaisia tilanteita ovat lähinnä asiakkaan hengen tai terveyden kannalta välttämättömien tietojen antaminen.
Lisäksi momentissa olisi sääntely tietojen luovuttamisesta muulle henkilölle tai yhteisölle. Säännös vastaisi asiakaslain 17 §:n 4 momenttia, ja kyse olisi tilanteista joissa viranomainen eli julkinen palvelunantaja joutuisi antamaan tietoja. Säännöksessä ei ole pyritty yksilöimään näitä tahoja, mutta tietojen luovuttamisen edellytysten tiukkuus rajaa tiedon saajien piirin suppeaksi. Tietoja saatettaisiin joutua vähäisessä määrin luovuttamaan esimerkiksi isännöitsijälle tai kiinteistöhuoltoon silloin, kun sosiaaliviranomaisen on päästävä henkilön asuntoon voidakseen selvittää hänen huollon tarpeensa sosiaalihuoltolain 41 §:ssä tarkoitetuissa tilanteissa. Lastensuojelulain 40 §:ssä tarkoitetun lastensuojeluilmoituksen tutkimisen yhteydessä sosiaaliviranomainen saattaa vastaavasti joutua antamaan joitakin tietoja lapsesta tai perheestä esimerkiksi naapureille tai sukulaisille. Tällaisissa tilanteissa sosiaalityöntekijän tulisi korostaa vaitiolovelvollisuuden merkitystä. Vaitiolovelvollisuus koskisi myös heitä ehdotetun 5 §:n mukaisesti.
57 §. Tiedonsaantioikeuden teknisen rajapinnan avulla. Pykälässä säädettäisiin edellä kuvattujen tiedonsaantioikeuksien toteuttamisesta teknisen rajapinnan avulla. Pykälän 1 momentin mukaan 53-55 §:n mukaiset sekä jäljempänä kuvattavan 64 §:n mukaisen tiedonsaantioikeudet saisi toteuttaa teknisen rajapinnan avulla. Edellytyksenä asiakastietojen sähköiselle saamiselle olisi asiakkaan ja tietojen saajan välisen hoitosuhteen tai asiakassuhteen tietotekninen varmentaminen. Tiedonsaantioikeuden toteuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla toteutetaan jo nykyisin teknisen rajapinnan avulla, vaikka asiasta ei ole ollut erityistä sääntelyä. Lisäksi säännös mahdollistaa asiakastietojen luovuttamisen hyödyntäen palvelunantajien omia tietojärjestelmiä ja niiden teknisiä rajapintoja.
Pykälän 2 momentissa olisi viittaus tiedonhallintalain 22 §:ään, jossa säädetään julkisen palvelunantajan tiedonsaantioikeuden toteuttamisesta teknisen rajapinnan avulla. Sosiaali- ja terveydenhuollossa tiedonsaantioikeutta ei voida sitoa välttämättömään siten, kuin tiedonhallintalaissa on tarkoitettu, koska välttämättömien tietojen tarve on mahdollista arvioida asiakaskohtaisesti vasta potilasta hoitavan tai sosiaalipalvelua toteuttavan ammattihenkilön toimesta. Lisäksi on huomioitava, että vaikka kyse on tiedonsaantioikeudesta eri viranomaisten välillä, tietojen käyttötarkoitus ei muutu siitä mitä varten tiedot on alun perin tallennettu. Ehdotettava laki sisältää erityistä sääntelyä, millä tavalla asiakastietojen asianmukainen ja tietoturvallinen käsittely varmistetaan, esimerkiksi käyttöoikeuksia ja tietojärjestelmien tietoturvallisuutta koskeva sääntely.
58 §. Luovutusluvan tai kiellon antaminen ja peruuttaminen. Pykälän 1 momentissa säädettäisiin luovutusluvan tai kiellon antamisen yleisistä edellytyksistä. Luovutusluvan tai kiellon olisi oltava vapaaehtoisesti annettu. Luovutuslupa tai kielto olisi voimassa toistaiseksi, ja asiakas voisi myös peruuttaa sen. Peruutuksen jälkeen voisi tehdä uuden luovutusluvan ja kiellon. Momentissa säädettäisiin myös, että huoltajalla tai muulla laillisella edustajalla ei olisi oikeuttaa kieltää alaikäisen lapsensa potilastietojen luovuttamista potilaslain 8 §:n mukaisessa tilanteessa. Potilaslain 8 §:n mukaan potilaalle on annettava hänen henkeään ja terveyttään uhkaavan vaaran torjumiseksi tarpeellinen hoito, vaikka potilaan tahdosta ei tajuttomuuden tai muun syyn vuoksi saada selvitystä. Jos potilas on aiemmin vakaasti ja pätevästi ilmaissut hoitoa koskevan tahtonsa, potilaalle ei saa antaa sellaista hoitoa, joka olisi vastoin hänen tahtoaan. Huoltajalla ei siten olisi mahdollistaa estää lapsen potilastietojen luovuttamista, jos kyse on lapsen välttämättömästä kiireellisestä hoidosta. Säännös vastaa muutoin voimassa olevaa asiakastietolakia, mutta sen viittaus potilaslain 13 §:n 3 momentin 3 kohtaan vaihdettaisiin viittaukseen potilaslain 8 §:ään. Potilaslain 13 §:n 3 momentin 3 kohta koskee tilannetta, jossa henkilö ei tajuttomuuden tai vastaavan syyn vuoksi kykene päättämään suostumuksen antamisesta.
Pykälän 2 momentin mukaan valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan ja kiellon olisi perustuttava 68 §:n mukaisessa menettelyssä annettavaan riittävään tietoon. Ennen luovutusluvan tai kiellon antamista asiakasta olisi informoitava valtakunnallisista tietojärjestelmäpalveluista, jos luovutuslupa tai kielto vaikuttavat valtakunnallisten tietojärjestelmäpalvelujen välityksellä tehtäviin luovutuksiin. Kun kyse on palvelunantajien välisestä tiedonsaantioikeudesta, luovutuslupa tai kielto koskee sekä valtakunnallisista tietojärjestelmäpalvelujen avulla että muulla tavoin toteutettavaa tiedonsaantioikeutta. Ainoastaan silloin, kun kyse on sosiaali- ja terveydenhuollon välisestä tiedonsaantioikeudesta, joka koskee vain yhtä palvelunantajaa, ja joka voidaan toteuttaa palvelunantajan omien tietojärjestelmäpalvelujen avulla, luovutuslupa ei koskisi valtakunnallisia tietojärjestelmäpalveluita
Valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan tai kiellon voisi 2 momentin mukaan antaa mille tahansa valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle. Palvelunantajan olisi toimitettava tiedot tahdonilmaisupalveluun niin nopeasti, kun se käytännössä on mahdollista. Sen jälkeen, kun tieto on toimitettu tahdonilmaisupalveluun, se otetaan automaattisesti huomioon tietojärjestelmissä. Valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan tai kiellon voisi antaa myös kansalaisen käyttöliittymän välityksellä. Tällöin tieto tallentuisi välittömästi 72 §:ssä säädettäväksi esitettävään tahdonilmaisupalveluun.
Luovutuslupa tai kielto olisi mahdollista tehdä ja tallentaa tahdonilmaisupalveluun milloin tahansa. Tämä on tärkeää muun muassa siksi, että tarvittaessa henkilöllä olisi oltava mahdollisuus mahdollistaa tietojensa luovuttaminen, suojata tietojaan tai perua kieltonsa esimerkiksi lääkärin vastaanotolla, jotta asiakkaan tarvitsemat palvelut voitaisiin turvata asianmukaisesti kaikissa tilanteissa ja toisaalta asiakkaalla olisi mahdollisuus suojella yksityisyyttään. Pykälän 3 momentin mukaan luovutusluvan tai kiellon vastaanottajan olisi annettava asiakkaalle tämän pyynnöstä tuloste asiakkaan tekemästä luovutusluvasta tai kiellosta. Tarvittaessa tiedot tulisi antaa muulla saavutettavalla tavalla. Jos luovutusluvan tai kiellon tekee laillinen edustaja asiakkaan puolesta, tällä on vastaava oikeus saada pyynnöstä tuloste tai vastaava.
Jotta kaikki luovutusluvan tai kiellon tekijät saisivat asianmukaisen ja yhdenmukaisen informaation luovutusluvan ja kiellon merkityksestä, esitetään pykälän 4 momentissa lisäksi, että Kansaneläkelaitoksen olisi laadittava malli luovutuslupa-asiakirjalle ja kieltoasiakirjalle. Kieltoasiakirjassa olisi selvitettävä muun muassa se, että asiakkaan kieltämiä tietoja ei saa luovuttaa toiselle palvelunantajalle, ja että kielto olisi voimassa myös siinä tapauksessa, että kielletyt tiedot ovat asiakkaan hoidon tai hoivan kannalta merkityksellisiä, ellei lainsäädännöstä muuta johdu. Lisäksi tulisi selvittää myös ne tilanteet, joissa tietoja voidaan luovuttaa kiellosta huolimatta. Koska luovutusluvan ja kiellon peruutuksen sovelletaan samoja sääntöjä kuin niiden tekemiseen, tämän tulisi ilmetä myös Kansaneläkelaitoksen malliasiakirjoista.
Pykälän 5 momentissa täsmennettäisiin, että luovutusluvan ja kiellon peruuttamiseen sovellettaisiin samoja sääntöjä kuin sen antamiseenkin. Siten peruutuksen voisi tehdä mille tahansa sosiaali- tai terveydenhuollon palvelunantajalle tai sen voisi tehdä kansalaisen käyttöliittymän välityksellä. Tieto peruutuksesta tulisi toimittaa viivytyksettä tahdonilmaisupalveluun.
59 §. Kieltojen kohdentaminen. Pykälässä säädettäisiin, mihin potilastietojen tai sosiaalihuollon asiakastietojen kokonaisuuksiin asiakas voisi kohdistaa asiakastietojen luovutuksia koskevan kiellon.
Kielto-oikeutta tietosuoja-asetuksen mukaisena suojatoimena sovelletaan terveydenhuollon potilastietoihin. Sosiaalihuollon asiakastietojen kielto-oikeuden perusteena on EU:n tietosuoja-asetuksen 86 artikla, jonka mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
Pykälän 1 momentin mukaan sosiaalihuollon asiakas voi kohdistaa sosiaalihuollon asiakastietojensa luovuttamista koskevan kiellon sosiaalihuollon palvelunjärjestäjään eli kaikkiin kyseisen palvelunjärjestäjän rekisterinpidossa oleviin sosiaalihuollon asiakasasiakirjoihin, palvelutehtävään tai yksittäiseen sosiaalihuollon asiakasasiakirjaan. Koska palvelunjärjestäjän roolissa toimiva palvelunantaja vastaa rekisterinpidosta, ja sen lukuun toimivia palvelunantajien ei katsota sivullisiksi 4 §:n perusteella, palvelunjärjestäjäkohtainen kielto kohdentuisi käytännössä rekisterinpitäjään.
Sosiaalihuollossa asiakas voisi kohdentaa kiellon myös sosiaalihuollon palvelutehtävään tai yksittäiseen asiakirjaan. Sosiaalihuollon palvelutehtävällä tarkoitetaan esitettävän lain 37 §:n 2 momentissa tarkoitettua palvelutehtävää.
Pykälän 2 momentin mukaan potilas voi kohdistaa potilastietojensa luovuttamista koskevan kiellon kaikkiin potilastietoihinsa, julkisen terveydenhuollon palvelunjärjestäjään ja sen rekisteriin, yksityisen työterveyshuollon rekisteriin tai palvelutapahtumaan. Palvelunjärjestäjään kohdistuva kielto sisältäisi kaikki palvelunjärjestäjän rekisterinpidossa olevat potilasasiakirjat, eli sekä potilasrekisterissä että työterveyshuollon rekisterissä olevat potilasasiakirjat. Koska palvelunjärjestäjän roolissa toimiva palvelunantaja vastaa rekisterinpidosta, ja sen lukuun toimivia palvelunantajien ei katsota sivullisiksi 4 §:n perusteella, palvelunjärjestäjäkohtainen kielto kohdentuisi käytännössä rekisterinpitäjään. Kiellon voi lisäksi kohdistaa joko julkisen palvelunjärjestäjän potilasrekisteriin tai työterveyshuollon rekisteriin. Terveydenhuollossa kiellon voisi kohdentaa myös palvelutapahtumaan. Palvelutapahtumalla tarkoitetaan terveydenhuollossa tapahtuvaa asiakaskontaktia, asiakaskäyntiä tai hoitojaksoa.
Yksityisessä terveydenhuollossa kieltoa ei voisi kohdentaa potilasrekisteriin tai rekisterinpitäjään. Yksityisten palvelunantajien yritystoiminta on monimuotoisesti järjestetty, joten asiakkaan voi olla vaikea hahmottaa, mikä taho toimii palvelunantajana ja rekisterinpitäjänä, ja mihin rekisterinpitäjään kielto tulisi kohdentaa. Esimerkiksi lääkäriasemalla voi toimia lukuisia itsenäisiä ammatinharjoittajia sekä yrityksiä, eikä asiakkaalle ole aina selvää, milloin kyse on lääkäriaseman omaan lukuun tehtävästä toiminnasta ja milloin muun palvelunantajan.
Pykälän 3 momentissa olisi viittaus lääkemääräyslain 13 §:ään, jossa säädetään lääkemääräysten ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen kiellon kohdentamisesta.
60 §. Rajat ylittävä tiedonvaihto. Pykälässä säädettäisiin potilastietojen luovuttamisesta ulkomaille valtakunnallisten tietojärjestelmäpalvelujen avulla. Pykälän 1 momentissa säädettäisiin tiedonhallintapalveluun sisältyvien keskeisten potilastietojen luovuttamisesta ulkomaiselle terveydenhuollon palveluntuottajalle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Tietoja voitaisiin luovuttaa potilaan antaman suostumuksen perusteella potilasdirektiivin 14 artiklan mukaisen terveydenhuollon järjestämistä ja toteuttamista varten. 2 momentin mukaan Kansaneläkelaitos toimisi Suomessa kansallisena yhteyspisteenä valtakunnallisten tietojärjestelmäpalvelujen ja ulkomaan kansallisen yhteyspisteen välillä. Koska kyse olisi potilasdirektiiviin liittyvistä terveyspalveluista, potilastietoja voitaisiin säännöksen perusteella luovuttaa EU- ja ETA-maihin. Tietojen toimittamista varten Kansaneläkelaitos koostaisi tiedonhallintapalvelun potilastiedoista EU:n sähköisten terveyspalvelujen verkoston eli eHealth Networkin (eHN) määrittelyn mukaisen potilasyhteenvedon.
61 §. Oikeus saada tietoja kliiniseen lääketutkimukseen ja lääketieteelliseen tutkimukseen. Pykälä sisältäisi sääntelyn oikeudesta saada palvelunantajalta tietoja ja käyttää niitä kliiniseen lääketutkimukseen ja lääketieteelliseen tutkimukseen. Sosiaali- ja terveysvaliokunta on mietinnössään StVM 22/2021 vp) todennut tarpeellisiksi säännellä potilastietojen käsittelystä kliinisessä lääketutkimuksessa tai lääketieteellisessä interventiotutkimuksessa, kun tutkittava on antanut suostumuksensa osallistua tutkimukseen tai tutkimuksessa on kyse niin sanotusta hätätilatutkimuksesta. Kun kyse on siitä, millä perusteilla on oikeus saada palvelunantaja ja käyttää potilastietoja tutkimukseen, esitetään kliinisestä lääketutkimuksesta annettuun lakiin (983/2021), jäljempänä lääketutkimuslaki ja lääketieteellisestä tutkimuksesta annettuun lakiin (488/1999), jäljempänä tutkimuslaki, sisältyvä sääntely siirrettäväksi esitettävään lakiin.
Ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annettuun Euroopan parlamentin ja neuvoston asetuksen (EU) 536/2014, jäljempänä lääketutkimusasetus, mukaan tutkimuksen kantatiedoston sisältö on arkistoitava vähintään 25 vuodeksi tutkimuksen päättymisen jälkeen, ellei muussa lainsäädännössä edellytetä pidempää arkistointiaikaa. Tämä edellyttää pääsyä myös alkuperäisiin potilasasiakirjoihin vastaavan ajan.
Pykälän 1 momentin mukaan tutkimuksen toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen jäsenellä olisi salassapitosäännösten estämättä sekä sen estämättä, mitä toisiolaissa säädetään, oikeus saada palvelunantajalta ja käsitellä potilastietoja kliinisen lääketutkimuksen ja lääketieteellisen tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi, jos tietojen saanti ja käsittely olisi välttämätöntä toimeksiantajan, hänen edustajansa, tutkijan tai tutkimusryhmän jäsenen tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi.
Pykälän 2 momentin mukaan tietojen saaminen edellyttäisi kliinisessä lääketutkimuksessa lääketutkimuslain 11 §:ssä tarkoitettua kliinistä lääketutkimusta koskevaa myönteistä päätöstä ja lääketieteellisessä tutkimuksessa tutkimuslain 3 §:ssä tarkoitettua lääketieteellisen tutkimuseettisen toimikunnan antamaa myönteistä kirjallista lausuntoa.
Edellytyksenä potilastietojen saamiselle olisi tutkittavan ja tai hänen laillinen edustajansa antama suostumus osallistua tutkimukseen lääketutkimusasetuksen, lääketutkimuslain ja tutkimuslain 5 a, 6, 7, 7 a ja 8 §:ssä ja 10 b §:n (klusteritutkimukset) mukaisesti. Jos tutkimus on lääketutkimusasetuksen 35 artiklassa tai tutkimuslain 10 a §:ssä tarkoitettu hätätilanteessa suoritettava tutkimus, potilastietoja olisi oikeus saada ja käsitellä, jos mainituissa lainkohdissa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät. Mainituissa säännöksissä säädetään lisäksi oikeudesta kieltää tutkimuksessa saatujen tietojen käyttö tutkimuksessa.
Kun sosiaali- ja terveysvaliokunta lisäsi hallituksen esityksen HE 18/2020 vp käsittelyn yhteydessä lääketutkimuslakiin ja tutkimuslakiin potilastietojen luovutusta ja käsittelyä koskevat sääntelyt, jotka nyt ehdotetaan siirrettäväksi tähän pykälään, se totesi, että tutkimukseen liittyvän tietojen luovutuksen kokonaisuudessa on jatkovalmistelua vaativia seikkoja, kuten kysymys siitä, miten potilasrekisterissä olevia tietoja käsitellään tutkittavien kartoittamiseksi ennen suostumuksen antamista. Näiden nyt asiakaslakiin siirrettäväksi ehdotettavien säännösten tarkoituksena ei ollut säätää poissulkevasti siitä, ettei jatkovalmistelua vaativa tietojen käsittely ole mahdollista.
62 §. Asiakasta koskevan tiedon ilmoittaminen poliisille uhkan arviointia ja uhkaavan teon estämistä varten. Pykälä sisältää potilaslain 13 §:n 5 momentin sekä asiakaslain 18 §:n 3 momenttiin sisältyvät sääntelyn asiakastietojen luovuttamisesta poliisille, mukaan lukien suojelupoliisi, uhkan arviointia ja uhkaavan teon estämistä varten. Pykälän mukaan palvelunantaja tai sen tehtäviä suorittavalla henkilöllä olisi oikeus ilmoittaa poliisille henkeen tai terveyteen kohdistuvan uhkan arviointia ja uhkaavan teon estämistä varten välttämättömät tiedot, jos henkilö laissa säädettyjä tehtäviä hoitaessaan on saanut tietoja olosuhteista, joiden perusteella hänellä on syytä epäillä jonkun olevan vaarassa joutua väkivallan kohteeksi. Säännös mahdollistaisi hengen ja terveyden suojaamiseen liittyvän tiedon antamisen oma-aloitteisesti jo uhka-arvion tekemistä varten. Sosiaali- ja terveydenhuollon ammattihenkilölle tai muulle terveydenhuollon palvelunantajan lukuun työskentelevälle taikka sen tehtäviä suorittavalle henkilölle saattaa tehtäviensä hoitamisen kautta tulla tietoja, jotka saattavat eräissä tapauksissa olla tarpeellisia edellä tarkoitetun uhka-arvion tekemistä varten. Muuta sääntelyä, joka koskee asiakastietojen luovuttamista poliisille, on esimerkiksi poliisilaissa. Poliisin muut tiedonsaantioikeudet liittyvät esimerkiksi ajo-oikeutta ja ampuma-aselupia koskeviin asioihin.
63 §. Sosiaalihuollon asiakastietojen luovuttaminen eräissä muissa tilanteissa. Säännös vastaisi sisällöltään asiakaslain 18 §:ä lukuun ottamatta tietojen luovuttamista poliisille, joka sisältyy 62 §:ään. Se koskee tilanteita, joissa on välttämätöntä poiketa salassapitovelvoitteista muista syistä kuin asiakkaan hoidon ja huollon turvaamiseksi. Sosiaalihuollon palvelunantaja saisi antaa tiedon salassa pidettävästä asiakirjasta sekä tilanteissa, joissa suostumusta ei olisi mahdollisuus kysyä asiakkaalla tai asiakas ei voisi pätevästi sitä antaa, että tilanteissa, joissa asiakas tai hänen laillinen edustajansa nimenomaisesti kieltäisi antamasta tietoja.
Säännöksen 1-3 momentit koskisivat sekä julkisen että yksityisen sosiaalihuollon palvelunantajan asiakastietoja. Sen sijaan 4 momentti tulisi kysymykseen vain julkisen sosiaalihuollon palvelunantajan eli sosiaaliviranomaisen tehtävissä, kun sosiaaliviranomaisen olisi välttämätöntä luovuttaa tieto salassa pidettävästä asiakirjasta oman tehtävänsä toteuttamiseksi.
Pykälän 1 momentissa säännellään kahta erilaista tilannetta. Momentin alkuosa antaisi mahdollisuuden poiketa asiakirjan salassapitovelvollisuudesta sekä oikeudenkäymiskaaren 17 luvun 23 §:n 1 momentissa säädetystä todistamiskiellosta sellaisessa asiassa, joka palvelunantajalla itsellään on lain mukaan valta panna vireille tuomioistuimessa tai muussa suomalaisessa tai ulkomaalaisessa viranomaisessa. Lisäksi säännös koskisi tilanteita, joissa sosiaalihuollon palvelunantajalle on säädetty oikeus tai velvoite osallistua tuomioistuimessa tai muussa viranomaisessa vireillä olevan asian käsittelyyn tai toimeenpanoon antamalla sille lausunto, selvitys, virka-apua tai muulla vastaavalla tavoin. Tällaisia säännöksiä ovat muun muassa lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 16 §, lapsen huoltoa ja tapaamisoikeutta koskevan päätöksen täytäntöönpanosta annetun lain (619/1996) 12, 25 ja 32 §, holhoustoimesta annetun lain (442/1999) 72 ja 91 § sekä toimeentulotuesta annetun lain (1412/1997) 22 §. Asiakirjan salassapitovelvollisuudesta voitaisiin säännöksessä tarkoitetuissa tilanteissa poiketa vain, jos se olisi välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi.
Pykälän 1 momentin loppuosa koskisi tilanteita, joissa sosiaalihuollon palvelunantaja on toimintansa yhteydessä saanut sellaisia tietoja, joiden pohjalta voidaan perustellusti epäillä asiakkaan käyttävän väärin toisen viranomaisen tai laitoksen myöntämää etuutta. Tällöin tieto epäilystä voitaisiin ilmaista kyseistä etuutta toimeenpanevalle viranomaiselle tai laitokselle.
Pykälän 2 momentissa on lueteltu edellytykset, joiden vallitessa sosiaalihuollon palvelunantajalla tai niiden palveluksessa olevalla olisi pyydettäessä velvollisuus antaa poliisille, syyttäjäviranomaiselle ja tuomioistuimelle tieto salassa pidettävästä asiakirjasta. Edellytyksenä olisi, että epäillään rikosta, jonka ilmoittamatta jättäminen on rangaistavaa rikoslain 15 luvun 10 pykälän nojalla, taikka rikosta, josta säädetty enimmäisrangaistus olisi vähintään 4 vuotta vankeutta. Näissä tilanteissa salassapitovelvollisuus väistyisi ja vastaavasti poliisille, syyttäjälle sekä tuomioistuimelle syntyisi aina oikeus saada myös salassa pidettävästä asiakirjasta tieto.
Pykälän 3 momentin mukaan sosiaalihuollon palvelunantaja saisi momentissa esitetyin edellytyksin ilmaista poliisille, syyttäjälle ja tuomioistuimelle asiakirjaan sisältyvän salassa pidettävän tiedon myös sellaisissa tilanteissa, joissa epäillään vähäisempää kuin 2 momentissa tarkoitettua rikosta. Esimerkkeinä tällaisista rikoksista voisi mainita epäilyn sellaisesta lapseen tai kehitysvammaiseen kohdistuneesta seksuaalisesta hyväksikäytöstä tai pahoinpitelystä, josta säädetty enimmäisrangaistus on vähäisempi kuin 4 vuotta vankeutta. Tiedon ilmaiseminen edellyttäisi kuitenkin aina, että sosiaalihuollon palvelunantaja itse arvioisi sen olevan välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi. Näissä tapauksissa poliisi, syyttäjä tai tuomioistuin eivät kuitenkaan voisi vaatia salassa pidettävään asiakirjaan sisältyvän tiedon ilmaisemista.
Sosiaalihuollon asiakkaista esimerkiksi pahoinpitelevien aikuisten lasten iäkkäät vanhemmat sekä perheessään kaltoinkohtelun kohteiksi joutuvat avo- ja aviopuolisot, kehitysvammaiset sekä lapset saattavat joutua sellaisten rikosten tai niiden uhkausten uhreiksi, joilta he eivät alistetun asemansa taikka puuttuvan rohkeutensa tai toimintakykynsä vuoksi pysty itse suojautumaan. Tämän vuoksi sosiaaliviranomaisille on muun muassa säädetty oikeus viran puolesta panna vireille lähestymiskieltoa koskeva asia.
Rikolliset teot, jotka uhrin kannalta aiheuttavat vakavaksikin koetun uhkan tai kauaskantoisia seurauksia, eivät aina täytä 2 momentissa säädettyjä tiukkoja edellytyksiä. Siksi on välttämätöntä säätää, että sosiaalihuollon palvelunantajilla on tällaisissa tilanteissa asiakasta suojellakseen oikeus antaa poliisille ja tuomioistuimelle tietoja myös tilanteissa, joissa 2 momentissa mainitut edellytykset eivät täyty. Edellytyksenä olisi kuitenkin tällöin, että tiedon antaminen olisi välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi.
Tämän momentin perusteella oikeus arvioida, onko tiedon antaminen välttämätöntä, olisi sosiaalihuollon palvelunantajalla, ei poliisilla tai tuomioistuimella. Säännös antaisi siten vain toimintamahdollisuuden, ei loisi tietojenantovelvoitetta, joka voisi vaarantaa palvelunantajan mahdollisuuden tukea asiakasta.
Kysymys on intressipunninnasta, jota huomattavan usein tarvitaan, kun arvioidaan, tulisiko jonkun yksilön tärkeitä perus- ja ihmisoikeuksia suojata silläkin uhalla, että samalla joudutaan rikkomaan jotain muuta perus- tai ihmisoikeutta. Tärkeämmän oikeushyvän turvaamiseksi on toisinaan välttämätöntä ja samalla oikeutettua loukata vähemmän tärkeää oikeushyvää. Myös Euroopan ihmisoikeussopimus edellyttää viranomaisilta paitsi sitä, että ne pidättyvät omassa toiminnassaan loukkaamasta ihmisoikeuksia myös sitä, että viranomaiset aktiivisesti suojelevat kansalaisille turvattuja ihmisoikeuksia puuttumalla lainkäyttöpiirissään olevien yksityisten henkilöiden tai muiden tahojen toteuttamiin ihmisoikeusloukkauksiin.
Säännös vastaisi muotoilultaan lapsen huollosta ja tapaamisoikeudesta annetun päätöksen täytäntöönpanosta annetun lain 8 §:n 4 momenttia. Jo aiemmin salassapitovelvollisten on tullut ilmaista tuomioistuimelle kyseisen momentin nojalla sellaiset salassa pidettävätkin tiedot, jotka ovat olleet välttämättömiä täytäntöönpanoa koskevassa oikeudenkäynnissä. Yksityisyyden suojan vuoksi saman momentin mukaan tuomioistuimen on tällöin tullut viran puolesta huolehtia siitä, että salassa pidettävien tietojen osalta asia käsitellään suljetuin ovin ja asiakirjat määrätään salassa pidettäviksi.
Pykälän 2 ja 3 momentit pitäisivät sisällään myös oikeuden tehdä oma-aloitteisesti poliisille ilmoitus epäillystä rikoksesta niissä tarkoitetuin edellytyksin. Kun arvioidaan lapsen etua, tulisi erityisesti seksuaalisen hyväksikäytön tapauksissa ottaa huomioon se mahdollisuus, että sama hyväksikäyttäjä saattaa kohdistaa tekonsa myös muihin vaikutuspiirissään oleviin lapsiin kuin siihen, jonka tapauksessa hyväksikäytön epäily on syntynyt.
Pykälän 4 momentissa säädetään sosiaalihuollon julkisen palvelunantajan eli viranomaisen oikeudesta antaa tieto salassa pidettävästä asiakastiedosta, jos se on välttämätöntä tarkistettaessa sosiaalihuollon viranomaiselle laissa säädetyn tehtävän hoitamiseksi olennaisen tärkeää tietoa tilanteessa, jossa palvelunantajalla itsellään on oikeus saada tieto. Momentti oikeuttaa sosiaalihuollon julkisen palvelunantajan luovuttamaan salassa pidettäviä tietoja hyvin rajoitetusti eli vain siinä määrin kuin se on välttämätöntä olennaisten tietojen tarkistamiseksi esimerkiksi tahoilta, joilla on velvollisuus luovuttaa salassa pidettäviä tietoja esitettävän lain 64 §:n mukaisesti. Kyse voi olla myös sellaisen tiedon tarkistamisesta, joka ei itsessään ole salassa pidettävä. Tällaisia voivat olla esimerkiksi tilanteet, joissa on välttämätöntä etuuden suuruuden määräämiseksi tarkistaa, asuuko toimeentulotuen hakija yksin vai yhdessä muiden henkilöiden kanssa. Säännös on välttämätön siksi, etteivät sosiaalihuollon palvelunantajat voi edes pyytää mitään asiakasta koskevia tietoja paljastamatta jossain määrin salassa pidettäviä tietoja koska jo tieto siitä, että henkilö on sosiaalihuollon asiakas, on salassa pidettävä.
Palvelunantajan oikeus salassa pidettäviin tietoihin
64 §. Julkisen palvelunantajan tiedonsaantioikeus. Pykälässä säädetään sosiaali- ja terveydenhuollon julkisen palvelunantajan oikeudesta muiden viranomaisten ja tahojen tietoihin ja selvityksiin, jotka olennaisesti vaikuttavat sosiaali- ja terveydenhuollon asiakassuhteeseen. 1 ja 2 momentin mukainen tiedonsaantioikeus koskisi sosiaalihuollon palvelunantajia, ja 3 momentin mukainen tiedonsaantioikeus myös terveydenhuollon palvelunantajia. Sosiaalihuollon palvelunantajan tiedonsaantioikeuden osalta sääntely perustuu asiakaslain 20 §:ään. 1 momentin mukaan sosiaalihuollon julkisella palvelunantajalla olisi oikeus saada salassapitosäännösten estämättä pyynnöstä maksutta sosiaali- ja terveydenhuollon palvelunantajalta sekä terveydenhuollon ammattihenkilöltä, valtion ja kunnan viranomaiselta sekä muulta julkisoikeudelliselta yhteisöltä, Kansaneläkelaitokselta, Eläketurvakeskukselta, eläkesäätiöltä ja muulta eläkelaitokselta, vakuutuslaitokselta sekä koulutuksen järjestäjältä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka palvelunantajalle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä palvelunantajalle annettujen tietojen tarkistamista varten. Koska kyse on palvelunantajalle laissa säädetyistä tehtävistä, säännös koskee julkisia sosiaalihuollon palvelunantajia, joille viranomaisena on laissa säädetyt kyseiset tehtävät.
2 momentin mukaan 1 momentissa tarkoitettu tiedonantovelvollisuus koskisi myös rahalaitosta, jos sosiaalihuollon julkinen palvelunantaja ei saa riittäviä tietoja ja selvityksiä 1 momentissa mainituilta tahoilta ja jos on perusteltua syytä epäillä asiakkaan tai hänen laillisen edustajansa antamien tietojen riittävyyttä tai luotettavuutta. Pyyntö tulisi esittää kirjallisena rahalaitokselle. Pyynnön esittämistä koskevan päätöksen olisi oikeutettu tekemään sosiaalihuollon järjestämisestä vastaavan toimivaltaisen viranomaisen määräämä sosiaalihuollon viranhaltija. Ennen kuin pyyntö tehdään rahalaitokselle, olisi asiakkaalle annettava siitä tieto.
3 momentissa säädettäisiin sosiaali- ja terveydenhuollon julkisen palvelunantajan oikeudesta saada pyynnöstä maksutta veroviranomaiselta ja Kansaneläkelaitokselta salassa pidettäviä henkilötietoja asiakkaan suostumuksesta riippumatta maksun määräämistä ja tietojen tarkistamista varten. Palvelunantajan tulisi etukäteen ilmoittaa asiakkaalle tietojen pyytämisestä. Terveydenhuollossa olisi vastaava tiedonsaantioikeus kuin sosiaalihuollon viranomaisella, koska myös terveydenhuollossa tarvitaan tietoja maksujen määräämistä ja tarkistamista varten tuloihin perustuvien maksujen osalta. Tuloihin perustuvat muiden muassa pitkäaikaisen laitoshoidon maksut.
II OSA. Sosiaali- ja terveydenhuollon tietojärjestelmät
9 luku Valtakunnalliset tietojärjestelmäpalvelut
65 §. Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut. Pykälässä säädettäisiin siitä, mitkä ovat asiakastietojen sähköiseen käsittelyyn liittyviä valtakunnan tasolla keskitetysti hoidettavia tietojärjestelmäpalveluja. Lisäksi säädettäisiin näiden palvelujen hoitamisen vastuullisista tahoista. Pykälä vastaa sisällöltään voimassa olevan asiakastietolain sisältöä lukuun ottamatta asiakastietojen tietovarannosta käytettävää käsitettä.
Valtakunnallisten tietojärjestelmäpalvelujen hoitamisella tarkoitettaisiin kaikkia niitä toimenpiteitä, jotka tarvitaan näiden palvelujen toteuttamiseksi siten, että kyseisten palvelujen avulla voidaan toteuttaa tässä laissa tarkoitetulla tavalla asiakastiedon sähköinen säilyttäminen, käyttö ja luovutus valtakunnallisesti. Valtakunnalliset tietojärjestelmäpalvelut olisivat siten osa sosiaali- ja terveyspalvelujen kokonaisuutta.
Kansaneläkelaitos on hoitanut ja hoitaisi edelleen henkilötietojen käsittelijänä 1 momentin 1 kohdan mukaan palvelunantajien lukuun asiakasasiakirjojen säilytystä ja käyttöä varten olevaa asiakastietovarantoa, josta on aiemmin käytetty arkistointipalvelun käsitettä (kohta 1). Asiakastietovarannossa säilytettävät asiakasasiakirjat eivät siten olisi Kansaneläkelaitoksen rekistereitä tai asiakirjoja. Asiakastietovarannossa tietoja säilytetään asiakkaan sosiaali- ja terveyspalvelujen järjestämiseksi ja toteuttamiseksi, eikä yleisen edun mukaista arkistokäyttötarkoitusta varten. Asiakastietovarantoon sisältyisivät kaikki tarpeelliset tallennus-, rekisteröinti- ja tiedonvälityspalvelut sekä muut tietotekniset toteutukset sekä tehtävät, joiden avulla asiakasasiakirjojen säilytys, käyttö ja luovutus voitaisiin toteuttaa sähköisesti.
Kansaneläkelaitos hoitaisi myös lokirekisterien säilytyspalvelua (kohta 2). Lokirekisterin säilytyspalveluun tallennettaisi luovutuslokitiedot ja valtakunnallisia tietojärjestelmäpalveluita koskevat käyttölokit. Lisäksi sinne voitaisi tallentaa palvelunantajien toiminnassa muodostuvat käyttölokit asiakas- ja potilastietojen käytöstä.
Osa valtakunnallisia tietojärjestelmäpalveluita on ammattilaisen käyttöliittymä eli sähköisten lääkemääräysten käsittelyyn tarkoitettu niin sanottu Kelain-palvelu (kohta 3) ja kansalaisen käyttöliittymä eli Omakanta (kohta 4). Ammattilaisen käyttöliittymän avulla lääkärit voisivat kirjoittaa sähköisiä lääkemääräyksiä silloin, kun toimivat itsenäisen ammattihenkilön, mutta eivät palvelunantajan roolissa. Kansalaisen käyttöliittymän avulla henkilölle voitaisiin näyttää itseään tai huollettavaansa koskevat asiakastiedot sekä hyvinvointitiedot. Toisen puolesta asiointi olisi huoltajuuden lisäksi mahdollista myös valtuutuksen perusteella. Valtuutus mahdollistaa asioinnin täysi-ikäisten puolesta, ja lisäksi huoltajat voisivat valtuuttaa henkilön asioimaan alaikäisen lapsensa puolesta esimerkiksi tilanteissa, joissa turvakielto tai huollonjakosopimus estää puolesta asioinnin. Puolesta asioinnin estyminen voi johtua huollonjakotilanteissa siitä, että huoltajien tehtäväjakoa koskevat tiedot eivät ole koneluettavassa muodossa. Lisäksi käyttöliittymäpalvelun avulla voitaisiin antaa tietojen luovutusta koskevat luovutusluvat, suostumukset ja kiellot sekä asioida sosiaali- ja terveydenhuollon palvelunantajien kanssa. Myös hyvinvointitietojen selaus ja hallinnointi olisi mahdollista kansalaisen käyttöliittymän avulla.
Osa valtakunnallisia tietojärjestelmäpalveluita olisi omatietovaranto (kohta 5). Omatietovaranto olisi tietovaranto, johon henkilö voisi tuottaa itse omia hyvinvointitietojaan hyvinvointisovellusten avulla ja hallinnoida niitä. Omatietovarannon tuotantoympäristöön voisivat liittyä hyvinvointisovellukset, jotka olisi sertifioitu. Omatietovarantoon olisi määritelty kansallinen tietomalli, johon sovelluskehittäjät voisivat tehdä laajennusehdotuksia, jotka hyväksyttäisiin tietomallin hyväksyntäprosessin mukaisesti. Omatietovarannon hyvinvointisovellukset voitaisiin toteuttaa monella tavalla. Ne voisivat olla www-pohjaisia sovelluksia tai mobiilisovelluksia. Kaikki valtakunnallisiin tietojärjestelmäpalveluihin kytketyt hyvinvointisovellukset kerättäisiin Kansaneläkelaitoksen ylläpitämään niin sanottuun sovelluskatalogiin, jonka tehtävänä olisi tarjota henkilölle tieto, mitä sovelluksia hän voisi ottaa käyttöön. Sovelluksia voitaisiin käyttää henkilön omassa mobiililaitteessa tai verkkopalveluna selaimella. Hyvinvointisovellukset tulisi sertifioida siten kuin niistä jäljempänä erikseen säädetään.
Lisäksi valtakunnallisiin tietojärjestelmäpalveluihin kuuluisivat tiedonhallintapalvelu (kohta 6), tahdonilmaisupalvelu (kohta 7), reseptikeskus (kohta 8), lääketietokanta (kohta 9) ja kysely- ja välityspalvelu (kohta 10).
Tiedonhallintapalvelun avulla koostetaan potilasasiakirjoilta keskeiset potilastiedot niin, että ne voidaan esittää ammattihenkilöille yhteenvetoina. Tahdonilmaisupalveluun tallennettaisiin valtakunnallisia tietojärjestelmäpalveluiden kautta luovutettavia asiakasasiakirjoja koskevat luovutusluvat, suostumukset, kiellot ja informointiasiakirjat, potilaan hoitoon liittyvät tahdonilmaukset sekä muut sosiaali- ja terveysalan palveluihin liittyvät tahdonilmaukset siten kuin niistä erikseen muussa lainsäädännössä säädetään.
Asiakkaan lääkemääräyksiä koskevat tiedot tallennettaisiin keskitetysti reseptikeskukseen. Lääketietokantaa hyödynnetään lääkkeitä koskevien tietojen hallinnassa esimerkiksi lääkemääräysasiakirjoihin tallennettavien tietojen yhdenmukaisuuden varmistamiseksi. Lääketietokannassa ei käsitellä henkilötietoja, vaan ainoastaan lääkkeisiin liittyviä tietoja. Kysely- ja välityspalvelun avulla voidaan välittää asiakasasiakirjoja sosiaali- ja terveydenhuollon ulkopuolisille tahoille.
Muita valtakunnallisia palveluita olisivat pykälän 2 momentin mukaisesti koodistopalvelu sekä rooli- ja attribuuttipalvelu. Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ylläpitäisi rooli- ja attribuuttipalvelua, koodistoja sekä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteriä. Rooli- ja attribuuttipalvelu perustuu sosiaali- ja terveydenhuollon ammatti-henkilöiden keskusrekisterin tietoihin. Koodistoja käytettäisiin edelleen sosiaali- ja terveydenhuollon ammattioikeuksiin sekä niiden voimassaoloon ja rajoituksiin liittyvien tietojen esittämiseksi rakenteisessa muodossa.
Terveyden ja hyvinvoinnin laitos vastaisi kaikkien kansallisen sosiaali- ja terveydenhuollon koodistopalvelun kautta ylläpidettävien tietorakenteiden sisällöistä. Kansaneläkelaitos vastaisi edelleen koodistopalvelimen (CodeServer) tietoteknisestä toteutuksesta. Koodistopalvelun kautta jaettaisiin sosiaali- ja terveydenhuollon toiminnassa ja tietojärjestelmissä hyödynnettäviä tietorakenteita, kuten nimikkeistöjä, luokituksia, organisaatioluokituksia, arviointimittareita sekä tietosisältöjä. Koodistopalvelun kautta ylläpidettäisiin muun muassa toimenpideluokituksia, suun terveydenhuollon toimenpideluokituksia, radiologisia tutkimus- ja toimenpideluokituksia sekä laboratoriotutkimusnimikkeistöä ja vastaavasti sosiaalihuollon asiakastietojen rakenteisiin liittyviä luokituksia. Koodistopalvelu vastaa luokituksien kansallisesta päivittämisestä.
Sosiaalihuollon asiakirjarakenteita hallittaisiin ja tultaisiin jakamaan erillisen niin sanotun editorin kautta. Editoria kehitetään ja ylläpidetään tällä hetkellä Terveyden ja hyvinvoinnin laitoksella. Sosiaalihuollon asiakasasiakirjarakenteiden ylläpito ja kehittäminen olisi osa koodistopalvelutoimintaa. Lisäksi jokainen valtakunnallisiin tietojärjestelmäpalveluihin liittynyt palvelunantaja tulisi kyetä yksilöimään koodistopalvelun avulla.
Pykälän 3 momentin mukaan sosiaali- ja terveydenhuollon varmennepalvelua hoitava viranomainen olisi Digi- ja väestötietovirasto. Digi- ja väestötietovirasto toimisi sosiaali- ja terveydenhuollon ammattihenkilöiden sekä terveydenhuollon ja apteekkien muun henkilöstön, palvelunantajien ja apteekkien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden tunnistus- ja luottamuspalvelulain tarkoittamana varmentajana. Sosiaali- ja terveydenhuollon ammattivarmenteen myöntäminen ja peruuttaminen kytkettäisiin ammattihenkilön ammatinharjoittamisoikeuden voimassaoloon. Mikäli ammattioikeus on menetetty, peruuttaisi Digi- ja väestötietovirasto varmenteet saatuaan tiedot Sosiaali- ja terveysalan lupa- ja valvontavirastosta, mutta varmennekortit jäisivät käytännössä haltijoilleen.
Digi- ja väestötietovirastolla olisi oikeus saada 3 momentissa mainittujen tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontaviraston ylläpitämästä terveydenhuollon (Terhikki-rekisteri) ja sosiaalihuollon (Suosikki-rekisteri) ammattihenkilöiden keskusrekisteristävarmennepalvelujen tuottamisessa tarvittavat tiedot. Digi- ja väestötietoviraston tiedonsaantioikeus koskisi sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisterissä olevia varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, tekniseen alustaan sekä varmennekortin toimittamiseen tarvittavia tietoja. Tällaisia tietoja olisivat muun muassa sosiaali- ja terveydenhuollon ammattihenkilöiden henkilö- ja osoitetiedot, tiedot ammattioikeuden tai nimikesuojauksen saamisesta ja menettämisestä voimaantuloajankohtineen, rekisteröintinumero ja lääkkeenmääräämisen edellyttämä yksilöintitunnus. Digi- ja väestötietoviraston tiedonsaantioikeus olisi rajoitettu eikä koskisi tietoja ammattioikeuden menettämisen perusteista eikä tietoja ammattioikeuden rajoittamisesta tai sen perusteista.
Ammattikortti joutuisi ammattioikeuden päättymisen jälkeen sulkulistalle, eikä korttia voisi enää käyttää varmentamiseen. Kortti laitetaan sulkulistalle myös, jos se on kadonnut tai joutunut väärän henkilön haltuun niin, korttia voitaisi käyttää oikeudettomasti. Esitettävän lain 8 §:n 2 momentissa säädetään palvelunantajan velvollisuudesta tarkistaa varmenteen voimassaolo, ja vastaava säännös on myös tunnistus- ja luottamuspalvelulain 25 §:n 5 momentissa. Varmenteiden sulkemiseen ja oikeudettoman käytön vastuisiin liittyy erityissääntelyä.
Pykälän 4 momentissa säädettäisiin siitä, että Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oikeus saada Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista. Tieto varmenteista olisi tarpeen viraston toimialaan kuuluvan sosiaali- ja terveydenhuollon sekä siinä käytettävien tietojärjestelmien ohjaamista ja valvontaa varten.
66 §. Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa. Pykälässä esitettäisiin, että Kansaneläkelaitos valtakunnallisen tietojärjestelmäpalvelun teknisenä toteuttajana ja ylläpitäjänä vastaisi palvelun yleisestä toiminnasta ja toiminnan lainmukaisuudesta. Pykälä perustuisi voimassa olevan asiakastietolain 14 §:ään siten, että Kansaneläkelaitoksen valvontaan ja raportointiin liittyviä oikeuksia esitetään laajennettavaksi.
Kansaneläkelaitoksella ei olisi oikeutta määrätä asiakastietovarantoon tallennetuista asiakastiedoista eikä luovuttaa niitä, ellei toisin säädetä. Asiakastietoja ei saisi muutoinkaan käsitellä laajemmin kuin mitä ylläpitoon kuuluvat tehtävät välttämättä edellyttävät. Koska Kansaneläkelaitos hoitaisi asiakastietovarantoa sosiaali- ja terveydenhuollon palvelunantajien lukuun, olisi Kansaneläkelaitoksen vastattava omalta osaltaan asiakastietojen käsittelystä näiden tietojärjestelmäpalvelujen avulla. Valtakunnallisiin tietojärjestelmäpalveluihin liittynyt palvelunantaja vastaisi asiakastietojen rekisterinpitäjänä järjestelmään tallennettujen asiakastietojen ja niiden käsittelyyn liittyvien lokitietojen sisällöstä ja virheettömyydestä sekä muun käsittelyn lainmukaisuudesta.
Pykälän 1 momentissa säädettäisiin, että valtakunnallisten tietojärjestelmäpalvelujen ja asiakastietojen tulee olla käytettävissä siten, että asiakastiedot ovat aina saatavilla asiakasturvallisuutta vaarantamatta. Tällä tarkoitetaan, että niiden tulee olla kaikkien palveluun liittyneiden palvelunantajien käytettävissä 24 tuntia vuorokaudessa viikon ja vuoden jokaisena päivänä mukaan lukien juhla- ja pyhäpäivät. Tietojen käsittelyyn liittyvän vasteajan tulisi olla sellainen, ettei asiakasturvallisuus vaarannu. Tietojärjestelmäpalveluilla tulisi lisäksi olla tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle. Toimintahäiriöillä tarkoitetaan esimerkiksi sähkökatkoksia tai muita niihin rinnastuvia tietojen kulkua estäviä toiminnallisia häiriöitä. Poikkeusoloilla tarkoitetaan valmiuslain (1080/1991) 2 §:n tarkoittamia poikkeusoloja, kuten esimerkiksi Suomeen kohdistuvia aseellisia hyökkäyksiä, sodan uhkaa tai suuronnettomuuksia.
Pykälän 2 momentissa esitettäisiin luettelo Kansaneläkelaitoksen vastuista valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa. Kansaneläkelaitos vastaisi valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista sekä käyttäisi päätösvaltaa järjestelmän tietotekniseen toimintaan liittyvissä kysymyksissä (kohta 1). Kansaneläkelaitos vastaisi myös valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen, hyvinvointitietojen ja muiden tietojen turvallisuuden varmistamisesta tiedonhallintalain 15 §:n mukaisesti sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen. Käytännössä nykytilanne säilyisi entisellään, eli Kansaneläkelaitos vastaisi edelleen tietojen käytettävyydestä, eheydestä, muuttumattomuudesta, suojaamisesta, säilyttämisestä ja hävittämisestä. Henkilöllä olisi kuitenkin oikeus hävittää ja muokata omia hyvinvointitietojaan. Kansaneläkelaitos ei voisi näin ollen vastata hyvinvointitietojen hävittämisestä vastaavalla tavalla kuin asiakastietojen osalta. Muuttumattomuuden ja eheyden osalta vastuu tarkoittaisi sitä, että henkilön tiedot säilyvät siinä muodossa ja saman sisältöisinä, kuin tämä on ne omatietovarantoon tallentanut. (kohta 2). Kansaneläkelaitos vastaisi vastuullaan olevien valtakunnallisten tietojärjestelmäpalvelujen toteutuksista siten, että asiakas- tai hyvinvointietoja tai muita sinne tallennettuja tietoja luovutetaan esitettävän lain ja toisiolain mukaisesti (kohta 3). Kansaneläkelaitos vastaisi siitä, että asiakas-ja hyvinvointitiedon käyttöä ja luovutusta koskeva tieto tallentuisi lokirekisteriin (kohta 4).
Lisäksi Kansaneläkelaitos vastaisi koodistopalvelimen tietoteknisestä toteuttamisesta, lukuun ottamatta termieditoria, jonka toteutuksesta vastaisi Terveyden ja hyvinvoinnin laitos (kohta 5). Kansaneläkelaitos vastaisi valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle (kohta 6).
Kansaneläkelaitos vastaisi myös valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta (kohta 7).
Pykälän 3 momentissa olisi lueteltu ne asiat, joihin Kansaneläkelaitoksella olisi oikeus. Kansaneläkelaitoksella olisi oikeus saada Sosiaali- ja terveysalan lupa ja valvontaviranomaiselta (Valviralta) valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtäviensä hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä (kohta 1). Tämä tarkoittaisi tiedonsaantioikeutta myös muuten kuin rooli- ja attribuuttipalvelun kautta. Tietoja tarvittaisiin ja käytettäisiin muun muassa lokiraportoinnissa ja -valvonnassa sekä potilaan tiedonsaantioikeuksien toteuttamisessa.
Kansaneläkelaitoksella olisi oikeus käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin mitä valtakunnallisten tietojärjestelmäpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät (kohta 2), käyttää päätösvaltaa järjestelmän tietotekniseen toimintaan liittyvissä kysymyksissä, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu (kohta 3) sekä antaa tahdonilmaisupalvelussa olevia luovutustenhallintaan liittyviä asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutusten seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista. Kansaneläkelaitos voisi siten antaa asianomaisille organisaatioille tahdonilmaisupalveluun ja omatietovarantoon tallennettujen tietojen käsittelyyn liittyviä lokitietoja tietosuojaselvityksiä varten (kohta 4).
Kansaneläkelaitoksella olisi oikeus suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön sekä tietoliikenteeseen ja tietoliikenteen lokitietoihin kohdentuvaa valvontaa tietoturvan lisäämiseksi ja tietoturvahyökkäysten sekä väärinkäytösten estämiseksi ja paljastamiseksi. Jos Kansaneläkelaitos havaitsisi mahdollisia väärinkäytöksiä, olisi sen saatettava asia välittömästi kyseisen rekisterinpitäjän tietoon. (kohta 5).
Kansaneläkelaitokselle esitetään uutta oikeutta suorittaa lokirekisterien säilytyspalveluun tallennettujen tietojen valvontaa yhteistyössä rekisterinpitäjien kanssa asiakastietojen käsittelyn lainmukaisuuden varmistamiseksi (kohta 6). Oikeus koskisi myös käyttölokirekisteriä. Valvonnan avulla Kansaneläkelaitos voisi tehdä keskitetysti analyysia asiakastietojen käytöstä ja siten ennalta ehkäistä poikkeamia asiakastietojen käsittelyssä. Keskitetty valvonta tarjoaisi palvelunantajien valvonnan tueksi lisätyökalun ja vähentäisi palvelunantajien valvontataakkaa, mutta ei kokonaan poistaisi eikä korvaisi sitä. Kyseessä olisi mahdollistava säännös, jonka toteutusta ja yhteistyömalleja palvelunantajien kanssa tulee vielä tarkentaa ennen valvonnan aloitusta.
Kansaneläkelaitoksella olisi oikeus saada Digi- ja väestötietovirastolta valtakunnallisten tietojärjestelmäpalvelujen ylläpitoa varten tarvittavat välttämättömät tiedot (kohta 7). Tällaisia tietoja ovat esimerkiksi puolesta-asiointia varten tarvittavat tiedot. Myös tukipalvelulain 14 §:ssä säädetään Suomi.fi-palveluja hyödyntävän käyttäjäorganisaation oikeudesta saada tietoja esimerkiksi asioinnin yhteydessä tapahtuneen tietojen käsittelyn oikeellisuuden osoittamiseksi tai muutoin asiointia koskevien ongelmien selvittämistä varten.
Kansaneläkelaitokselle olisi 8 kohdan mukaan myös uusi oikeus seurata valtakunnallisten tietojärjestelmäpalvelujen käyttöä sekä julkaista palvelunantajien valtakunnallisten tietojärjestelmäpalvelujen käyttöä koskevat tiedot julkisessa internetissä. Käytännössä kyse olisi siitä, että Kansaneläkelaitos voisi seurata ja julkaista tiedot siitä, mitä tietosisältöjä palvelunantaja tallentaa valtakunnallisiin tietojärjestelmäpalveluihin, kuinka pitkällä viiveellä tallentaminen tapahtuu ja miten palvelunantaja käyttää valtakunnallisia tietojärjestelmäpalveluita saadakseen muiden palvelunantajien asiakastietoja käytettäväksi sosiaali- ja terveyspalveluita järjestäessään ja toteuttaessaan. Tietojen julkaisu toisi asiakkaille tärkeää tietoa siitä, mitä tietoja palvelunantajat tallentavat ja millaisella viiveellä. Valtakunnallisten tietojärjestelmäpalvelujen luovutuksia koskeva tieto on myös merkittävää seurantatietoa palvelujen hyödyntämisestä. Julkaistavat tiedot olisivat palvelunantajakohtaisia ja ne eivät sisältäisi asiakkaiden henkilötietoja.
Momentin 9 kohdassa Kansaneläkelaitokselle esitetään uutta oikeutta suorittaa valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen teknistä laadunvalvontaa yhteistyössä Terveyden ja hyvinvoinnin laitoksen kanssa tietorakenteiden oikeellisuuden ja yhteentoimivuuden varmistamiseksi. Tekninen laadunvalvonta voisi olla tallennettuihin tietorakenteisiin kohdistuvaa tietoteknistä validointia ja tarvittaessa myös ihmisen tekemää manuaalista tarkistamista. Validoinnin tulisi kohdistua siihen, että toimitettavat tiedot vastaavat tietojen rakenteisiin kohdistettuja vaatimuksia sekä siihen, että tietojen sisällön oikeellisuus esimerkiksi käytettyjen koodistojen osalta voidaan varmistaa. Yhteistyö Terveyden ja hyvinvoinnin laitoksen kanssa olisi tarpeen, koska Terveyden ja hyvinvoinnin laitoksen tarkoituksena on hyödyntää valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja tietoja omissa lakisääteisissä tiedonkeruissaan, ja sillä on kompetenssia arvioida tietorakenteita myös sisällön näkökulmasta. Tarvetta laadunvarmistukselle ja tietorakenteiden yhdenmukaisuuden ja oikeellisuuden varmistamiselle on ilmennyt erityisesti korona-pandemian aikana, jolloin havaittiin haasteita esimerkiksi sairastumista ja rokotuksia koskevien tilastojen laadinnassa valtakunnallisten tietojärjestelmäpalvelujen asiakirjojen pohjalta. Kansaneläkelaitoksen toteuttama laadunvarmistus olisi yksi toimenpide muiden laadunvarmistamiseen tähtäävien toimenpiteiden joukossa. Keskeisimmät laadunvarmistuksen toimenpiteet kohdistuvat tietojen tuottamiseen, keräämiseen ja kirjaamiseen, joka edellyttää hyvää tietojärjestelmien käytettävyyttä sekä tietojen tuottajille ja tietojärjestelmille kohdistettavia vaatimuksia.
Pykälän 4 momentissa esitetään, että Kansaneläkelaitos ylläpitäisi valvontakeskusta, joka seuraisi valvonnan kannalta tarpeellisia tietoja valtakunnallisten tietojärjestelmäpalveluiden ja palvelunantajien välillä. Poikkeavaa toimintaa havaitessaan Kansaneläkelaitoksen olisi ryhdyttävä tarpeellisiin toimenpiteisiin palvelunantajien kanssa ja ilmoitettava viipymättä kyberturvallisuuskeskukselle havaitsemistaan tietoturvallisuusloukkauksista ja tietoturvallisuuden häiriöistä. Kansaneläkelaitoksen olisi salassapitosäännösten estämättä annettava Kyberturvallisuuskeskukselle välttämättömät tiedot.
Pykälän 5 momentissa esitetään, että Kansaneläkelaitos voisi luovuttaa valtakunnallisten palveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla voi olla merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa ja raportoinnissa. Yhteenvetotietojen pitää olla sellaisia, että niistä ei voi tunnistaa yksittäisiä henkilöitä eikä niihin saa sisällyttää henkilötietoja. Lisäksi momentissa olisi uusi ehdotus, jonka mukaan Kansaneläkelaitos voisi laatia ja luovuttaa palvelunantajalle palvelunantajan omassa rekisterissä oleviin, valtakunnallisiin tietojärjestelmäpalveluihin tallennettuihin asiakastietoihin ja lokitietoihin perustuvia yhteenvetoja, joilla on merkitystä palvelunantajan toiminnan kehittämisessä, seurannassa, raportoinnissa ja valvonnassa. Yhteenvedot eivät saisi sisältää henkilötietoja. Kansaneläkelaitos voisi antaa tiedot palvelunantajan pyynnöstä. Jos tarvetta tietojen tuottamiselle jatkossa on runsaasti, Kansaneläkelaitos voisi talousarvion puitteissa toteuttaa myös raportointityökalun, jonka avulla palvelunantajat voisivat itsekin tarkastella raportteja.
Pykälän 6 momentissa esitetään, että valtakunnalliset tietojärjestelmäpalvelut olisi suojattava vastaavalla tavalla kuin valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen tiedonhallintalaissa säädetään. Kansaneläkelaitos ei itsessään ole valtion viranomaisia koskevan sääntelyn piirissä, mutta koska se säilyttää valtakunnallisissa tietojärjestelmäpalveluissa arkaluonteisia asiakas- ja potilastietoja julkisten sosiaali- ja terveydenhuollon palvelunantajien lukuun, on perusteltua, että velvoitteet ovat samat kuin ne olisivat, jos palvelunantajat hoitaisivat velvoitteet itse. Valtakunnallisissa tietojärjestelmäpalveluissa on toteutettava tietoturvallisuuden varmistavat toimenpiteet kokonaisuutena niin, että myös yksityisten palvelunantajien tiedot on suojattu vastaavalla tasolla. Kansaneläkelaitos ei saisi antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä esityksessä mainittujen rekisterien taikka niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisten tehtäväksi. Kansaneläkelaitos kuitenkin voisi käyttää palvelujen tuottamisessa ja ylläpidossa alihankkijoita tai toimittajia.
67 §. Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Pykälän 1 momentissa säädettäisiin palvelunantajien ja apteekkien velvollisuudesta liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi ja ottaa käyttöön ne 65 §:n 1 momentissa tarkoitetut tietojärjestelmäpalvelut, joihin sillä on velvoite tallentaa asiakastietoja tai jonka avulla sille voidaan luovuttaa asiakastietoja. Valtakunnalliset tietojärjestelmäpalvelut olisi siten otettava käyttöön siinä laajuudessa, kuin sillä on toisaalta velvoite tallentaa asiakastietoja eri tietojärjestelmäpalveluihin ja jonka avulla sille luovutetaan asiakastietoja.
Käytännössä kaikkien palvelunantajien tulisi liittyä asiakastietovarannon, lokirekisterien säilytyspalvelun ja tahdonilmaisupalvelun käyttäjäksi, koska niillä on velvoite tallentaa asiakasasiakirjansa asiakastietovarantoon. Lokirekisterien säilytyspalveluun on tallennettava asiakastietojen luovutuksia koskevat tiedot, ja tahdonilmaisupalveluun on voitava tallentaa asiakkaan tekemät luovutuksia koskevat tahdonilmaisuasiakirjat. Kaikki terveydenhuollon palvelunantajat eivätkä sosiaalihuollon palvelunantajat kuitenkin laadi sähköisiä lääkemääräyksiä, joten niitä ei ole syytä velvoittaa liittymään reseptikeskukseen. Sosiaalihuollon asiakirjoista ei muodosteta tiedonhallintapalvelun avulla koosteita, mutta koska sosiaalihuollon palvelunantajan tiedonsaantioikeus potilastietoihin sisältää myös tiedonhallintapalvelun kautta tuotettavat koosteet, tulisi niidenkin liittyä tiedonhallintapalvelun käyttäjäksi saadaan potilastietoja silloin, kun palvelunantajan lukuun toimivilla ammattihenkilöillä on käyttöoikeus tiedonhallintapalvelun kautta luovutettaviin potilastietoihin. Liittyminen toteutettaisiin niin, että palvelunantaja liittyessään ottaa käyttöön ne palvelut ja toiminnallisuudet, joihin se tallentaa asiakirjoja ja minkä kautta sillä on oikeus hyödyntää asiakas- ja hyvinvointitietoja.
Pykälän 2 momentissa säädettäisiin yksityisen sosiaali- ja terveydenhuollon palvelunantajan liittymisvelvollisuudesta. Lähtökohtaisesti sekä julkisella että yksityisellä sosiaali- ja terveydenhuollon palvelunantajalla olisi ehdoton liittymisvelvollisuus. Mahdollisimman laajan liittymisvelvollisuuden kautta pystyttäisiin luomaan mahdollisimman kattava tietojärjestelmäkokonaisuus, jonka avulla asiakkaan tiedot olisivat käytettävissä aina siellä, missä asiakas asioi. Lisäksi tällä varmistettaisiin palvelunantajien tietojärjestelmien valtakunnallista yhteentoimivuutta sekä järjestelmän kehittämismahdollisuuksia jatkossa. 2 momentissa säädettäisiin kuitenkin myös poikkeus velvollisuudesta liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Tämä poikkeus koskisi niitä yksityisiä ammatinharjoittajia tai pieniä palveluntuottajia, joilla ei ole käytössään valtakunnallisiin tietojärjestelmäpalveluihin liitettävää potilastietojen tai sosiaalihuollon asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää.
Pykälään 3 momentissa säädettäisiin siitä, että myös muut sosiaali- ja terveysalan toimijat kuin palvelunantajat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 65 §:n 1 momentin 7 kohdan mukaiseen tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi. Liittymismahdollisuus on edellytys sille, että esimerkiksi biopankit, jotka eivät ole sosiaali- ja terveydenhuollon palvelunantajia, voivat tallentaa toimintaansa koskevia tahdonilmaisuja tahdonilmaisupalveluun ja vastaavasti käyttää niitä tietojensa käsittelyn perustana.
Myös Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja saisi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. Jos Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja haluaisi liittyä tietojärjestelmäpalvelujen käyttäjäksi, sen on tietojärjestelmäpalveluja käyttäessään noudatettava tämän lain säännöksiä.
68 §. Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista. Pykälän sisältö vastaisi voimassa olevan asiakastietolain vastaavaa säännöstä. Pykälän 1 momentissa säädettäisiin palvelunantajan velvoitteesta informoida asiakasta valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Koska asiakastiedon saaminen valtakunnallisesta asiakastietovarannosta perustuisi lakiin ja asiakastietojen luovutusta koskevaan asiakkaan luovutuslupaan, kaikkien palvelunantajien rekisterien tiedot olisivat luovutuslupansa antaneiden asiakkaiden osalta aina sosiaali- ja terveydenhuollon ammattihenkilöiden käytettävissä, jos he tarvitsevat niitä työtehtävissään. Käytäntö asettaa erityisen korostetun vastuun asiakkaan informoinnille. Informointi toimii suojatoimenpiteenä turvaamassa rekisteröidyn oikeuksia ja vapauksia, erityisesti näiden perusteltuja odotuksia käytännön muuttuessa. Valittua ratkaisua puoltaa myös tietosuoja-asetuksen mukainen riskiperusteisuus, läpinäkyvyys, oletusarvoinen ja sisäänrakennettu tietosuoja, joka on esityksessä otettu huomioon rekisteröidyn kannalta myönteisesti.
Esityksen mukaan palvelunantajan olisi informoitava asiakasta valtakunnallisista tietojärjestelmäpalveluista, niiden toimintaperiaatteista ja valtakunnallisiin tietojärjestelmäpalveluihin liittyvistä asiakkaan oikeuksista. Informointi olisi annettava asiakkaalle viimeistään ensimmäisen asioinnin yhteydessä. Informointi voitaisiin antaa myös 74 §:ssä tarkoitetun kansalaisen käyttöliittymän (Omakanta) kautta. Ehdotettava informointia koskeva säännös ei siten tarkoittaisi tietosuoja-asetuksessa tarkoitettua informointivelvoitetta, eikä sillä ole tarkoitus mukauttaa tietosuoja-asetuksen mukaisia velvoitteita, vaikkakin käytännön toiminnassa on kuitenkin syytä kiinnittää erityistä huomiota myös tietosuoja-asetuksen edellyttämään informointiin henkilötietojen käsittelystä.
EU:n tietosuoja-asetuksessa säädetään henkilötietojen käsittelyyn liittyvästä informoinnista. Informoinnissa on noudatettava tietosuoja- asetuksesta seuraavaa velvoitetta palvelunantajalle antaa tietyt tiedot asiakkaalle. Tietosuoja-asetuksen mukaan, jos henkilötietoja kerätään rekisteröidyltä itseltään, informointi on hoidettava silloin, kun henkilötietoja saadaan. Jos henkilötiedot kerätään muualta, informointi on hoidettava kohtuullisessa ajassa, kuitenkin viimeistään kuukauden kuluessa tietojen saamisesta.
EU:n tietosuoja-asetuksen mukaan rekisterinpitäjällä on velvollisuus antaa rekisteröidylle ilmaiseksi tietoa hänen henkilötietojensa käsittelystä. Rekisterinpitäjän on tietosuoja-asetuksen mukaan aina ilmoitettava seuraavat henkilötietojen käsittelyä koskevat tiedot:
- rekisterinpitäjän, mahdollisen edustajan ja tietosuojavastaavan yhteystiedot
- käsittelyn tarkoitus ja sen oikeusperuste. Jos tietoja ei kerätä rekisteröidyltä itseltään, on lisäksi ilmoitettava mitä henkilötietoryhmiä käsittely koskee
- rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu, jos käsittely perustuu siihen
- tapauksen mukaan, keille henkilötietoja luovutetaan sekä
- tieto siitä, jos rekisterinpitäjä aikoo luovuttaa tietoja kolmansiin maihin tai kansainväliselle järjestölle.
Läpinäkyvän ja oikeudenmukaisen käsittelyn takaamisen lisäksi rekisterinpitäjän on ilmoitettava tietosuoja-asetuksen mukaan:
-tietojen säilytysaika tai sen määrittelemisen peruste
- rekisteröidyn oikeudet tietoihinsa, kuten oikeus tulla unohdetuksi, oikeus peruuttaa suostumus, valitusoikeus ja automaattisen päätöksenteon olemassaolo seurauksineen, esimerkiksi profilointi
- perustuuko tietojen kerääminen lakiin tai sopimusvelvoitteeseen sekä
- onko henkilön pakko antaa tietoa ja seuraukset siitä, jos hän ei anna tietoa.
Rekisteröidyllä on lisäksi tietosuoja-asetuksen mukaan aktiivinen oikeus saada vahvistus siitä, käsitelläänkö häntä koskevaa tietoa. Rekisteröidyllä on lisäksi oikeus saada tarkemmat tiedot tietojen käsittelystä, kuten käsittelyn tarkoitus ja mitä henkilötietoryhmiä käsittely koskee.
Informoinnissa tulisi erityisesti huomioida erityisryhmät, esimerkiksi lapset. Esimerkiksi lapsille tieto olisi annettava ymmärrettävässä muodossa ja heidät tavoittavalla tavalla. Lapselle olisi selkeästi kerrottava hänen mahdollisesta oikeudestaan rajoittaa tietojen näkymistä. Lasta olisi informoitava riittävästi myös niissä tilanteissa, kun huoltaja toimii sähköisessä asioinnissa lapsen puolesta ja lapsen rinnalla. Informoinnista on saatavissa yksityiskohtaista ohjeistusta Tietosuovaltuutetulta ja Euroopan tietosuojaneuvostolta (EDPB).
69 §. Valtakunnallinen asiakastietovaranto. Pykälän 1 momentissa säädettäisiin siitä, että palvelunantajan tulisi tallentaa valtakunnalliseen asiakastietovarantoon kaikki liittymisen jälkeen valmistuneet asiakasasiakirjat lukuun ottamatta lääkemääräyksiä ja muita reseptikeskukseen tallennettavia lääkehoitoa koskevia merkintöjä. Lisäksi valtakunnalliseen asiakastietovarantoon olisi tallennettava jäljennökset kysely- ja välityspalvelun kautta välitettävistä asiakirjoista. Niiden tallentaminen on välttämätöntä, jotta kyseisiä asiakirjoja voidaan välittää 76 §:ssä tarkoitetun kysely- ja välityspalvelun avulla eri vastaanottajille. Myös ennen liittymistä valtakunnallisiin tietojärjestelmäpalveluihin syntyneet asiakirjat olisi mahdollista tallentaa asiakastietovarantoon.
Pykälässä mahdollistettaisiin myös muiden kuin varsinaisten asiakasasiakirjojen tallentaminen valtakunnalliseen asiakastietovarantoon. Valtakunnalliseen asiakastietovarantoon voitaisiin tallentaa asiakasasiakirjojen lisäksi myös muita asiakastietoja sisältäviä asiakirjoja sekä sosiaali- ja terveydenhuollon järjestämiseen liittyviä asiakirjoja. Muita sosiaali- ja terveydenhuollon tallennettavia asiakirjoja voisivat olla esimerkiksi asiakkaan järjestämisvastuullista palvelunantajaa ja työterveyshuollon palvelunantajaa koskevia tietoja sisältävät asiakirjat, jotta kyseisiä tietoja voitaisi hyödyntää asiakkaan hoito- ja palveluketjujen hallinnassa. Esimerkiksi Keski-Suomessa on kehitetty toimintamallia, jossa työterveyshuolto huolehtii erikoissairaanhoidossa tai terveyskeskuksessa hoidetun potilaan jatkohoidosta, työkyvyn arvioinnista, kuntoutukseen ohjaamisesta ja työpaikan toimista yhteistyössä työnantajan kanssa. Erikoissairaanhoidon tai terveyskeskuksen olisi tärkeää saada valtakunnallisten tietojärjestelmäpalvelujen avulla tieto potilaan työterveyshuollon palvelunantajasta, jotta potilas voitaisiin sujuvasti ohjata oikeaan jatkohoitopaikkaan.
Myös sosiaali- ja terveydenhuollossa laadittavia, muille viranomaisille ja tahoille laadittavia asiakasta koskevia todistuksia ja lausuntoja voitaisiin tallentaa valtakunnalliseen asiakastietovarantoon.
Jotta voitaisiin yksilöidä ja tunnistaa, mikä on alkuperäinen asiakastietoa sisältävä asiakirja, voisi pykälän 2 momentin mukaan sähköisestä asiakastietoa sisältävästä asiakirjasta olla vain yksi alkuperäinen tunnisteella yksilöity kappale. Asiakasasiakirjojen alkuperäiset kappaleet olisi tallennettava valtakunnalliseen asiakastietovarantoon. Keskeisin nykyisin käytössä oleva tunniste on organisaatioiden identifiointiluokitus, ISO-standardin mukainen OID-koodi. Alkuperäisestä asiakirjasta voitaisiin palvelun toteuttamiseksi tai muusta perustellusta syystä ottaa toinen tallenne tai jäljennös, josta tulee ilmetä asiakirjan olevan jäljennös. Korjaukset tulisi tehdä aina alkuperäiseen asiakirjaan, jotta varmistuttaisiin asiakirjan yksiselitteisyydestä.
Pykälän 3 momentissa todettaisiin informatiivisista syistä, että kukin asiakastietojen rekisterinpitäjänä toimiva palvelunjärjestäjä on valtakunnalliseen asiakastietovarantoon tallentamiensa asiakirjojen rekisterinpitäjä. Kansaneläkelaitos on valtakunnallisen asiakastietovarannon toteuttajana henkilötietojen käsittelijä, ja sen vastuista säädetään 66 §:ssä.
70 §. Lokirekisterien säilytyspalvelu. Pykälässä säädettäisiin lokirekisterien säilytyspalvelusta, johon tallennettaisi seurantaa ja valvontaa varten kerätyt 10 §:ssä tarkoitetut käyttö- ja luovutuslokitiedot. 1 momentin mukaan palvelunantajalla olisi velvollisuus tallentaa luovutuslokitietonsa lokirekisterien säilytyspalveluun. Lisäksi palvelunantaja voi tallentaa lokirekisterien säilytyspalveluun myös asiakastietojen käyttöä koskevat lokitiedot. Käyttölokien tallentamisen osalta sääntely olisi mahdollistavaa, eikä tässä vaiheessa esitetä käyttölokien tallentamiseen velvoitetta. Käyttölokien tallentamiseen ja muuhun käsittelyyn liittyvä konseptointityö on vielä Terveyden ja hyvinvoinnin laitoksella kesken, joten edellytyksiä sääntelyn velvoittavuudelle ei vielä ole.
Pykälän 2 momentin mukaan Kansaneläkelaitoksen olisi vastaavasti kerättävä ja tallennettava lokirekisterien säilytyspalveluun valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot.
Pykälän 3 momentissa säädettäisiin käyttölokien rekisterinpitäjästä siten, että kukin palvelunantaja ja Kansaneläkelaitos olisi omaan toimintaansa liittyvien käyttölokien rekisterinpitäjä.
Pykälän 4 momentin mukaan ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä olisivat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimisi tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä ja vastaisi käyttölokitietojen luovuttamisesta. Kansaneläkelaitos vastaisi yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Ammattilaisen käyttöliittymä on tarkoitettu ensisijaisesti lääkäreiden satunnaiseen käyttöön ja se tarjoaa lääkäreille heidän oikeutensa mukaisen mahdollisuuden kirjoittaa lääkemääräyksiä muutoin kuin ammatinharjoittamistarkoituksessa. Koska käyttöliittymän käyttäjät eivät ole itsenäisiä ammatinharjoittajia, palveluntuottajia tai palvelunantajia, eivät he näin ollen voisi vastata kaikista rekisterinpitäjän vastuista. Kansaneläkelaitos toteuttaisi ammattilaisen käyttöliittymän, joten on perusteltua, että molemmat osaltaan vastaisivat rekisterinpitäjän tehtävistä. Käyttöliittymän käyttäjä vastaisi kirjaamiensa tietojen oikeellisuudesta. Säädös ei muuttaisi ammattilaisen käyttöliittymän käyttölokin rekisterinpidon nykyisiä käytänteitä.
Pykälän 5 momentin mukaan kukin palvelunantaja ja Kansaneläkelaitos olisivat luovutuslokirekisterin yhteisrekisterinpitäjiä. Reseptikeskuksen luovutuslokin yhteisrekisterinpitäjiä olisivat palvelunantajat, apteekit ja Kansaneläkelaitos. Kukin palvelunantaja ja apteekki vastaisi toiminnassaan syntyvien tietojen oikeellisuudesta ja vastaisi muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos vastaisi yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Kansaneläkelaitos toimisi myös tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. Säädös ei muuttaisi luovutuslokien rekisterinpidon nykyisiä käytänteitä.
71 §. Tiedonhallintapalvelu. Pykälässä säädettäisiin tiedonhallintapalvelusta. Pykälän 1 momentin mukaan siihen voitaisiin koostaa ja se yhdistäisi eri potilasasiakirjoista potilasta koskevat keskeiset ajantasaiset potilastiedot niin, että ne voidaan luovuttaa ammattilaisten käyttöön yhteenvetona potilaan hoidon toteuttamista varten. Yhteenvetoja luovutetaan palvelunantajille siten kuin esityksen 53 ja 54 §:ssä säädetään. Keskeisiä potilastietoja, joita yhteenvetoina voidaan luovuttaa, ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, fysiologiset mittaukset, toimenpiteet ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:n mukainen suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelun avulla voidaan koostaa myös muut potilasasiakirjamerkinnät potilasasiakirjoista niin, että ne voidaan luovuttaa käytettävämmällä tavalla tietoja hakevan palvelunantajan tietojärjestelmään. Tiedonhallintapalvelu on tekninen ratkaisu, jonka avulla voidaan helpottaa rakenteisesti kirjattujen keskeisten potilastietojen hakemista ja hyödyntämistä. Jatkossa voi tulla myös muita tarpeita koostaa tiedonhallintapalveluun erilaisia keskeisiä rakenteisia potilastietoja, kun potilastietojen rakenteisuutta kehitetään edelleen.
Tiedonhallintapalvelun avulla koostettaisiin ainoastaan terveydenhuollon potilastiedot. Sosiaalihuollossa vastaavanlainen keskeisten tietojen haku on tarkoitus toteuttaa poimimalla tiedot suoraan asiakastiedon arkistosta niin, ettei tietoja koosteta erilliseen tietokantaan.
Pykälän 2 momentissa säädettäisiin tiedonhallintapalvelun rekisterinpidosta. Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos olisivat yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaisi yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat palvelunantajat vastaisivat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimisi tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös tiedonhallintapalveluun tallennettujen tietojen luovuttamisesta.
72 §. Tahdonilmaisupalvelu. Tahdonilmaisupalveluun olisi 1 momentin mukaan tallennettava tieto henkilölle annetusta esitettävän lain ja lääkemääräyslain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista.
Henkilölle annettavasta informoinnista on säädetty esitettävän lain 68 §:ssä ja lääkemääräyslain 4 §:ssä. Aikaisemmin annettujen informointien tietosisällöt voitaisiin kuitenkin säilyttää ja niitä voisi tarvittaessa käyttää esimerkiksi silloin, kun joudutaan selvittämään esimerkiksi virheitä.
Luovutusluvan, kiellon antamisesta säädettäisiin esitettävän lain 58 §:ssä. Henkilö voisi antaa kieltoja esitettävän lain 54 ja 55 §:n ja sähköisestä lääkemääräyksestä annetun lain 13 §:n perusteella.
2 momentin mukaan tahdonilmaisupalveluun voitaisiin lisäksi tallentaa tieto muista henkilönterveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista (kohta 1) sekä muista henkilönsosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista (kohta 2). Tallennettavat tahdonilmaukset voisivat olla myös palvelunantajakohtaisia. Momentin sanamuoto on mahdollistava siten, että jos tulevaisuudessa ilmenee erilaisia tarpeita, joihin liittyen henkilöt haluaisivat tallentaa tahdonilmauksiaan, ne voisi tallentaa tahdonilmaisupalveluun ilman, että asiasta on tarvetta erikseen enää säätää. Jos esimerkiksi säädettäisiin palvelunantajien oikeudesta ottaa yhteyttä rokotteiden tarjoamiseksi, henkilö voisi tallentaa tahdonilmaisupalveluun tätä koskevan yhteydenottokiellon. Vastaavasti sosiaalipalveluihin liittyen voi tulla erilaisia tahdonilmaisun tarpeita esille, vaikkei sellaisia vielä olekaan tiedossa. Sosiaalipalveluissa asiakkaan tarpeita ja tahtoa selvitetään kattavasti palvelutarpeen arvioinnin ja asiakassuunnitelman laatimisen yhteydessä, mutta tahdonilmaisun voisi laatia jo ennakollisesti ennen pääsyä sosiaalipalveluiden piiriin.
Terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyviä tahdonilmaisuja, joita voitaisiin tallentaa tahdonilmaisupalveluun, olisivat esimerkiksi henkilön ilmoittama kielto irrottaa soluja, kudoksia tai elimiä lääketieteelliseen käyttöön hänen kuolemansa jälkeen ja hänen ilmoittamansa hoitotahto. Ehdotettu säännös ei kuitenkaan tarkoita, että vain tahdonilmaisupalveluun tallennettu elinluovutuskielto tai hoitotahto olisi osoitus asianomaisen henkilön tahdosta. Elinluovutuskiellon tai hoitotahdon voi ilmaista muullakin tavalla ja tällainen muulla tavalla tehty tahdonilmaisu on yhtä pätevä kuin tahdonilmaisupalveluun merkitty elinluovutuskielto tai hoitotahto. Tällaisen muun elinluovutuskiellon tai hoitotahdon olemassa olon toteaminen voi kuitenkin olla vaikeata tilanteessa jossa päätös elimen, kudoksen tai solun irrottamisesta vainajasta tai päätös esimerkiksi tajuttomalle henkilölle annettavasta hoidosta on tarpeen tehdä pikaisesti. Siksi tahdonilmaisupalveluun merkitty tieto helpottaisi merkittävästi esimerkiksi elinsiirtojen toteuttamista tai potilaan tarvitseman hoidon järjestämistä.
Sosiaali- ja terveysalalla tarkoitetaan sosiaali- ja terveyspalveluiden lisäksi muita sosiaali- ja terveydenhuollon hallinnonalan palveluita. Tällainen palvelu on esimerkiksi biopankki (biopankkilaissa tarkoitettu näyteinfrastruktuuri, jolla edistetään ihmisperäisillä näytteillä tehtävää tieteellistä tutkimusta), ja tahdonilmaisupalveluun voitaisiin tallentaa esimerkiksi henkilön suostumus ja sen muuttaminen, kielto käsitellä näytettä tai rajoittaa sitä, vastustus siirtää näytteitä biopankkiin, vastustus käsitellä henkilötietoja biopankissa. Toinen sosiaali- ja terveydenhuoltoon kytkeytyvät palvelu jatkossa olisi perustettavaksi esitettävä Genomikeskus, ja tahdonilmaisupalveluun voitaisiin tallentaa vastustus tallentaa genomitietoja Genomikeskukseen ja vastustus käsitellä genomitietoja Genomikeskuksessa.
3 momentissa säädettäisiin tahdonilmaisupalvelun rekisterinpidosta. Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos olisivat yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaisi yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaisivat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimisi tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaisi myös tahdonilmaisupalveluun tallennettujen tietojen luovuttamisesta.
73 § Omatietovaranto. Pykälässä säädettäisiin henkilön itsensä tuottamia ja hallinnoimia hyvinvointitietojaan varten valtakunnallisten tietojärjestelmäpalvelujen yhteyteen perustettavasta omatietovarannosta.
Henkilö voisi pykälän 1 momentin mukaan itse tallentaa omatietovarantoon omia hyvinvointitietojaan hyvinvointisovellusten avulla tai kansalaisen käyttöliittymän (Omakanta) kautta. Henkilö itse päättäisi tietojensa käytöstä ja poistamisesta omatietovarannossa. Esityksen mukaan henkilö voisi vapaasti hävittää, muuttaa tai poistaa omatietovarannossa olevia tietojaan. Jos henkilö poistaisi tiedot omatietovarannosta, poistuisivat ne täysin lukuun ottamatta tietojen käyttöön liittyviä lokitietoja. Vaikka omatietovarannon käyttö on henkilöille vapaaehtoista, perustuu henkilötietojen käsittely omatietovarannossa lainsäädäntöön. Siten kyseessä ei olisi tietosuoja-asetuksen 4 artiklan 25 kohdan mukainen tietoyhteiskunnan palvelu.
Esimerkkejä henkilön itsensä kirjaamista omista hyvinvointitiedoista olisivat verensokeri- ja verenpainearvot. Tähän asti henkilö on tyypillisesti kirjannut ne käsin muistiin esimerkiksi paperille, ja sitten kertonut ne ammattihenkilölle, joka on kirjannut ne henkilön puolesta asiakastietojärjestelmään. Vastaavasti esimerkiksi kännykällä tai digikameralla otetut kuvat voisivat olla hoidossa tarpeellista tietoa. Ylimääräiseltä työltä vältyttäisiin, kun henkilö voisi itse kirjata tai automatisoidusti siirtää tietonsa suoraan sähköiseen palveluun, josta ne voitaisiin antaa muidenkin käyttöön. Tämä tukisi osaltaan myös henkilön omahoitoa ja itsenäistä selviytymistä.
2 momentin mukaan omatietovarannon rekisterinpitäjä olisi Kansaneläkelaitos. Sillä ei kuitenkaan olisi oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 3 momentin mukaisiin käyttötarkoituksiin siten kuin mainitussa momentissa säädetään. Kansaneläkelaitoksen rekisterinpitoon kuuluisivat omatietovarantoon tallennettujen hyvinvointitietojen lisäksi omatietovarannon käyttöön liittyvät tiedot, kuten tiedot omatietovarannon käyttäjistä, hyvinvointitietojen luovutuksia varten annetuista suostumuksista sekä lokitiedot hyvinvointitietojen käytöstä ja luovutuksista. Kansaneläkelaitoksen rekisterinpitäjyys koskisi ainoastaan omatietovarantoon tallennettuja hyvinvointitietoja, ja siltä osin kuin hyvinvointitietoja käsitellään hyvinvointisovelluksissa, on hyvinvointisovelluksen valmistajan määriteltävä tietojen rekisterinpitäjä.
Pykälän 3 momentissa säädettäisiin henkilön suostumuksista omatietovarannossa olevien hyvinvointitietojensa luovuttamiseen. Omatietovarannossa olevien hyvinvointitietojen luovuttamiseen palvelunantajille tarvittaisiin henkilön antama suostumus. Esityksen mukaan henkilöllä itsellään olisi oikeus käsitellä omatietovarannossa olevia hyvinvointitietojaan hyvinvointisovelluksilla ilman suostumusta. Sen sijaan, kun omatietovarannossa olevia hyvinvointitietoja luovutetaan palvelunantajalle sosiaali- ja terveyspalvelujen toteuttamiseksi, tarvittaisiin henkilön suostumus. Palvelunantajalle saisi luovuttaa omatietovarannossa olevia hyvinvointitietoja silloin, kun ammattihenkilö antaa henkilölle sosiaali- tai terveyspalveluja. Momentin sanamuoto on muotoiltu siten, että suostumuksella ei näissä yhteyksissä luoda oikeusperustetta henkilötietojen käsittelylle, vaan ainoastaan luovuttamisen perusteelle. Niin ikään lain sanamuotoihin suostumus sidottaisiin tarpeellisuusvaatimuksiin siten, että suostumus ei voi olla rajoittamaton. Tämä tarkoittaisi sitä, että ammattihenkilö voisi käsitellä vain niiden asiakkaiden hyvinvointitietoja, joihin ammattihenkilöllä on asiakas- tai potilaslain mukainen asiakas- tai hoitosuhde.
Suostumus on EU:n tietosuoja-asetuksen 4 artiklan 1 ja 11 kohtien ja 7 artiklan mukainen suostumus. Omatietovarannon ylläpitäjänä ja rekisterinpitäjänä Kansaneläkelaitos vastaisi suostumusmenettelyn teknisestä toteuttamisesta.
74 §. Kansalaisen käyttöliittymä ja hyvinvointisovellukset sekä niiden välityksellä näytettävät asiakastiedot. Pykälän 1 momentissa esitettäisiin, että henkilö voisi antaa esityksen 72 §:ssä tarkoitetut tahdonilmaukset sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita käyttöliittymän välityksellä. Tällaisia asioita olisivat esimerkiksi esityksen 68 §:n mukaisen valtakunnallisia tietojärjestelmäpalveluita koskevan informoinnin vastaanottaminen sekä luovutuskieltojen ja suostumusten antaminen. Käyttöliittymään voitaisiin liittää myös muita henkilön tiedonsaantia sekä palveluun, hoivaan ja hoitoon muutoin liittyvien tehtävien toteuttamista ja seuraamista varten mahdollistavia toimintoja. Tällainen toiminnallisuus olisi esimerkiksi asiakastietojen välittäminen asiakkaan ja palvelunantajan välillä. Käyttöliittymää toteutettaessa olisi varmistuttava siitä, että asiakkaan yksityisyyden suoja ei vaarannu.
Tietosuojasetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin. Tietosuojalain 34 §:n mukaan rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä (kohta 1); tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille (kohta 2); tai henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi (kohta 3). Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäisivät tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä olisi oikeus saada tietää muut häntä koskevat tiedot. Rekisteröidylle olisi ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. Jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot olisi annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.
Pykälän 2 momentissa säädettäisiin, että henkilölle saataisiin näyttää tai toimittaa kansalaisen käyttöliittymän tai hyvinvointisovelluksen avulla valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot, esimerkiksi ajanvaraustiedot, laboratoriotulokset, kuvantamistulokset ja muut vastaavat tutkimustulokset, tiedot palvelutapahtumien paikoista ja ajoista, hoidon tai palvelun kannalta keskeiset tiedot, lääkemääräystiedot sekä hoito-ohjeet, lähetteet, yhteenvedot annetuista hoidoista, hoitojen loppulausunnot sekä lääkärintodistukset ja lausunnot sekä sosiaalihuollon asiakirjat. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus.
Sen estämättä, mitä 1 momentissa säädetään, käyttöliittymä olisi toteutettava siten, ettei asiakkaalla ole pääsyä niihin tietoihin, joiden luovuttamisesta voisi ammattihenkilön harkinnan mukaan aiheutua vakavaa vaaraa asiakkaan terveydelle, hoidolle taikka jonkun muun oikeuksille. Tietojen näyttämisessä käyttöliittymän välityksellä on otettava huomioon julkisuuslain 11 §:n 2 momentti asianosaisen oikeudesta tiedon saantiin.
Julkisuuslain mukaan periaatteena on, että hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn.
Asianosaisella, hänen edustajallaan ja avustajallaan ei ole kuitenkaan edellä tarkoitettua oikeutta, jos esimerkiksi:
1) asiakirjaan, josta tiedon antaminen olisi vastoin erittäin tärkeää yleistä etua taikka lapsen etua tai muuta erittäin tärkeätä yksityistä etua; tai
2) esitutkinnassa ja poliisitutkinnassa esitettyyn tai laadittuun asiakirjaan ennen tutkinnan lopettamista, jos tiedon antamisesta aiheutuisi haittaa asian selvittämiselle.
Lisäksi henkilölle voitaisiin näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja.
3 momentin mukaan henkilölle saataisi kuitenkin näyttää hänen puolestaan asioineen henkilön nimi sen estämättä, mitä 2 momentissa säädetään. Siten käyttöliittymässä voitaisiin näyttää luovutus- ja käyttölokitietoihin sisältyvät tiedot puolesta asioineesta henkilöstä.
75 §. Ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn. Pykälä sisältäisi ammattilaisen käyttöliittymää koskevan sääntelyn. 1 momenttiin siirrettäisi lääkemääräyslaista Kansaneläkelaitoksen velvoite toteuttaa käyttöliittymäpalvelu, jonka avulla voi laatia sähköisiä lääkemääräyksiä. 2 momentin mukaan lääkäri voisi laatia ammattilaisen käyttöliittymän avulla sähköisiä lääkemääräyksiä silloin, kun kirjoittaa lääkemääräystä ammattioikeutensa perusteella muulloin kuin toimiessaan minkään palvelunantajan lukuun. Säännös vastaa nykyistä sääntelyä.
Pykälän 3 momentissa olisi viittaus lääkemääräyslakiin, jossa säädetään lääkemääräysten rekisterinpitäjyydestä.
76 §. Kysely- ja välityspalvelu. Pykälässä säädettäisiin, että valtakunnallisiin tietojärjestelmäpalveluihin toteutetun kysely- ja välityspalvelun avulla saataisiin välittää asiakirjoja tai niihin liitettyjä muita asiakirjoja lakisääteisen tehtävän hoitamiseksi sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Säännös vastaisi asiakastietolain 22 §:n sääntelyä.
Tällaisia asiakirjoja ovat muun muassa vastaanottavalle taholle toimitettavat todistukset ja lausunnot sekä muut asiakastietoja sisältävät asiakirjat. Pykälän 1 momentissa esitetään, että asiakirjoja saa salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakirjojen välityksen tulisi siis perustua asiakkaan tai tiedon vastaanottajan pyyntöön, tai laissa säädettyyn viranhaltijan oma-aloitteiseen tiedonanto- tai vireillepanovelvollisuuteen.
On huomioitava, että kysely- ja välityspalvelu ei ole vastuussa rekisterinpitäjältä toiselle tapahtuvasta tiedosta. Tämä tarkoittaa sitä, että tietoa luovuttava rekisterinpitäjä on vastuussa siitä, että tiedon saaja saa vain sen verran asiakas- tai potilastietoja kuin mitä tiedon saajalla olisi oikeus lain tai suostumuksen nojalla saada. Tiedon luovuttaminen edellyttää aina luovuttavan rekisterinpitäjän harkintaa ja vain välttämätön asiakastieto voidaan luovuttaa. Tiedon saajan oikeus saada tietoa on perustuttava lakiin tai asiakkaan antamaan suostumukseen. Asiakastietoa voidaan luovuttaa vain sen verran kuin, mitä tiedon saaja tarvitsee lakisääteisen tehtävänsä hoitamiseksi.
Esimerkkinä voi mainita Kansaneläkelaitoksen tai työeläkelaitoksen, jolle kirjoitettaisiin A-todistus tai B-todistus potilaan sairaudesta päivärahaa varten tai poliisi, jolle annettaisiin lääkärinlausunto ajokorttia varten. Todistukseen ja lausuntoon tietoisesti liitetty muu yksilöity asiakirja, kuten esimerkiksi lääkärin oman lausunnon yhtenä perusteena ollut röntgenlääkärin lausunto, voitaisiin asiakirjan laatijan oman harkinnan mukaan liittää lausuntoon ja luovuttaa sähköisesti sen mukana.
Esimerkiksi työeläkelaitoksella on työeläkelakeihin perustuva oikeus saada tietoja asian ratkaisemiseksi ja lakisääteisten tehtävien hoitamiseksi salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä. Työeläkelaitosten tiedonsaantioikeus koskee muun muassa eläkkeenhakijan potilasasiakirjoja, kuntoutusta, terveydentilaa, hoitoa sekä työkykyä. Tässä pykälässä esitettävä kysely- ja välityspalvelu mahdollistaa sen, että terveydenhuollon rekisterinpitäjä voi harkintansa perusteella välittää asiakirjoja työeläkelaitokselle, vaikka asiakirja olisi alun perin laadittu muuta tarkoitusta varten. Asiakirjat eivät saa kuitenkaan sisältää enempää tietoa kuin mihin vastaanottajalla on säädösten perusteella oikeus.
Pykälän 2 momentissa säädettäisiin Terveyden ja hyvinvoinnin laitokselle annettavasta toimivallasta antaa määräykset siitä, minkä tyyppisiä asiakirjoja saisi välittää kysely- ja välityspalvelun avulla. Terveyden ja hyvinvoinnin laitoksen määräykset olisivat siis teknisluonteisia.
10 luku Tietoturvallisuuden ja tietosuojan omavalvonta
77 §. Tietoturvasuunnitelma. Pykälässä 1 momentissa säädettäisiin palvelunantajalle, apteekille, välittäjälle ja Kansaneläkelaitokselle velvoite laatia tietoturvasuunnitelma, jossa käsitellään organisaation tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyviä keskeisiä asioita. Tietoturvasuunnitelman tarkoituksena olisi varmistaa, että palvelujenantajan, apteekin, välittäjän ja Kansaneläkelaitoksen henkilökunta hallitsee käytössään olevien tietojärjestelmien käytön ja osaa ottaa huomioon asiakastietojen salassapitoon ja tietoturvaan liittyvät vaatimukset. Lisäksi tietoturvasuunnitelmassa tulee ottaa huomioon tietojärjestelmien käyttöympäristöön, ylläpitoon ja päivitykseen liittyvät asiat sekä se, kuinka suunnitelman toteuttaminen ja suunnitelman kohteena olevien seikkojen omavalvonta järjestetään. Tietojärjestelmän käyttöympäristöllä tarkoitettaisiin teknistä, organisatorista ja fyysistä ympäristöä, jossa yksi tai useampi palvelunantaja käyttäisi tietojärjestelmää tai tietojärjestelmäpalvelua sosiaali- ja terveydenhuollon palvelujen tuottamisessa ja asiakastietojen käsittelyssä ja hyvinvointitietojen käsittelyssä.
Tiedonhallintalain 13 §:ssä säädetään tiedonhallintayksiköiden velvollisuuksista tietoturvallisuuden varmistamiseen, mikä olisi huomioitava myös tiedonhallintayksiköiden toiminnassa. Tässä laissa esitetään tietoturvasuunnitelmaa kaikkien sosiaali- ja terveydenhuollon palvelunantajien velvoitteeksi, millä varmistetaan yhdenmukaiset menettelyt sekä julkisille että yksityisille palvelunantajille. Lisäksi varmistetaan vastaavat menettelyt välittäjille sekä Kansaneläkelaitokselle.
Omavalvontasuunnitelmia koskevia säännöksiä on useissa sosiaali- ja terveydenhuoltoa koskevissa laeissa, kuten esimerkiksi terveydenhuoltolaissa. Tieto tämän säännöksen mukaisesta tietoturvasuunnitelmasta voitaisiin sisällyttää osaksi muun lain perusteella laadittavaa omavalvonta- tai vastaavaa suunnitelmaa, mutta tietoturvasuunnitelma voisi sisältää seikkoja, joita ei ole syytä sisällyttää julkisesti saatavilla olevaan omavalvontasuunnitelmaan. Tietoturvasuunnitelmassa olisi oltava kattavasti seuraavat tiedot ja selvitykset seuraavien vaatimusten toteuttamisen varmistamisesta: henkilöillä, jotka käyttävät tietojärjestelmiä, olisi oltava niiden käytön vaatima koulutus (kohta 1), tietojärjestelmien yhteydessä olisi oltava saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet (kohta 2), tietojärjestelmiä käytettäisiin tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti (kohta 3), tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti (kohta 4), tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön ja käyttöympäristöön ja tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan (kohta 5), tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia (kohta 6), tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla olisi siihen tarvittava ammattitaito ja asiantuntemus, ja jonka luotettavuus on varmistettu tiedonhallintalain 12 §:ssä tarkoitetulla tavalla, jos henkilö tehtävissään pääsee käsittelemään asiakastietoja tai jos henkilö muuten tehtävissään voi vaarantaa sosiaali- ja terveydenhuollon jatkuvuuden kannalta kriittisten tietojärjestelmien toimintaa (kohta 7), tietojärjestelmät täyttäisivät käyttötarkoituksensa esityksen 84 §:n mukaiset olennaiset vaatimukset (kohta 8) sekä suunnitelma siitä, miten tietoturvan ja tietosuojan omavalvonta käytännössä järjestetään ja toteutetaan palvelunantajan ja apteekin toiminnassa (kohta 9).
Sääntely vastaisi muutoin asiakastietolain 27 §:ä, mutta 5 kohtaan on lisätty vaatimus tietoverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta huolehtimisesta. Lisäys on osa verkko- ja tietoturvadirektiivin 14 artiklan 1–6 kohtien täytäntöön panoa direktiivin liitteen II toimialan 5 eli terveydenhuollon osalta. Direktiivi edellyttää jäsenmaita varmistamaan, että keskeisten palvelujen tarjoajat toteuttavat asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden verkko- ja tietojärjestelmien turvallisuuteen, joita nämä keskeisten palvelujen tarjoajat käyttävät toiminnoissaan. Suomessa monet julkisen terveydenhuollon palvelunantajat katsotaan direktiivissä tarkoitetuiksi keskeisen palvelun tarjoajaksi. Direktiivissä verkko- ja tietojärjestelmillä tarkoitetaan käytännössä kaikkia ICT-järjestelmiä ja niissä käsiteltäviä digitaalisia tietoja eli määritelmä kattaa laajemman kokonaisuuden kuin esitettävän lain määritelmä tietojärjestelmästä.
Riskienhallinnalla tarkoitettaisiin asianmukaisia organisatorisia ja teknisiä toimenpiteitä, joilla varmistettaisiin tietoverkkojen ja tietojärjestelmien kyky suojautua tietyllä varmuudella toimilta, jotka vaarantavat tallennettujen tai siirrettyjen tai käsiteltyjen tietojen taikka muiden kyseisissä järjestelmissä tarjottujen tai niiden välityksellä saatavilla olevien palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden. Riskienhallinnan tulisi sisältää asianmukaiset toimenpiteet, joilla ehkäistään ja minimoidaan palvelujen tarjoamisessa käytettyjen järjestelmien tietoturvallisuuteen liittyvien häiriöiden vaikutus palvelujen jatkuvuuteen. Riskienhallintaan kuuluvia toimenpiteitä voisivat olla esimerkiksi turvallisuussuunnitelmien laatiminen, testaaminen käytännössä tai auditoiminen, tiedon suojaus- ja salaustuotteiden käyttö sekä tiettyjen tunnettujen tietoturvallisuusstandardien, kuten ISO/IEC 27001:2013 -standardin, noudattaminen.
Lisäksi 7 kohtaan on lisätty vaatimus luotettavuuden varmistamisesta. Muutoksen tavoitteena on edistää asiakastietojen ja tietojärjestelmien turvallista käsittelyä edellyttämällä palvelunantajalta selvitystä, miten se varmistaa tietojärjestelmiä asentavien, ylläpitävien ja päivittävien henkilöiden ammattitaidon ja asiantuntemuksen lisäksi henkilön luotettavuuden, jos henkilö tehtävissään pääsee käsittelemään asiakastietoja tai muuten tehtävissään voi vaarantaa sosiaali- ja terveydenhuollon jatkuvuuden kannalta kriittisten tietojärjestelmien toimintaa. Kohdassa viitataan tiedonhallintalain 12 §:ään, jonka mukaan tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta erityistä luotettavuutta. Sosiaali- ja terveydenhuollon arkaluonteisten tietojärjestelmien asentamiseen, ylläpitoon ja päivittämiseen liittyvien tehtävien voidaan katsoa edellyttävän luotettavuutta, koska tehtävissä voi olla mahdollisuus päästä näkemään asiakastietoja sekä aiheuttaa sosiaali- ja terveyspalvelujen toteuttamiselle merkittävää haittaa tietojärjestelmien ja niihin liittyvien laitteiden toimintaa vaarantamalla. Asiasta on siten perusteltua säätää tiedonhallintalakia täsmentävällä tavalla. Turvallisuusselvityksen vaatimus koskisi erityisesti teknisiä henkilöitä, joiden työtehtävät liittyvät tietojärjestelmien ylläpitoon. Säännös myös varmistaa yhdenmukaiset menettelytavat eri palvelunantajien ja niiden lukuun tehtävässä toiminnassa. Säännös koskisi myös yksityisiä palvelunantajia ja niiden lukuun toimivia.
Pykälän 2 momentissa esitetään, että silloin kun palvelunantaja tai apteekki on liittynyt valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, olisi tietoturvasuunnitelmassa selvitettävä lisäksi se, miten näihin valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tietosuojan erityiskysymykset on järjestetty.
Pykälän 3 momentissa säädettäisiin, että Terveyden ja hyvinvoinnin laitos voisi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja niitä koskevista vaatimuksista.
78 §. Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu. Pykälän 1 momentissa edellytettäisiin, että jokaisen sosiaali- ja terveydenhuollon palvelunantajan ja apteekin olisi aktiivisesti seurattava tietoturvasuunnitelman toteutumista. Palvelunantaja ja apteekki olisi vastuussa siitä, että tietoturvaan, tietosuojaan ja tietojärjestelmien käyttöön ja ylläpitoon liittyvät asian tulevat jatkuvasti hoidetuksi asianmukaisesti ja että sen antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat. Jokaisen palvelunantajan ammatillisesta toiminnasta vastaavan johtajan ja apteekkarin olisi huolehdittava siitä, että esityksen 77 §:ssä säädettävä tietoturvasuunnitelma laaditaan ja että sitä noudatetaan. Palvelunantajan, apteekin ja Kansaneläkelaitoksen tulisi oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti käsitellyt asiakastietoja.
Pykälän 2 momentissa säädettäisiin palvelunantajan ja apteekin oikeudesta tarvittaessa selvittää henkilökuntansa tietojen käytön ja katselun asianmukaisuutta. Seurannan ja valvonnan toteuttamiseksi palvelunantajalla ja apteekilla olisi oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tämän esityksen 71 §:ssä tarkoitetussa tiedonhallintapalvelussa ja 72 §:ssä tarkoitetussa tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot sekä esityksen 73 §:ssä tarkoitetun omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelunantajan tai apteekin henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi.
Pykälän 3 momentin mukaan välittäjän ja Kansaneläkelaitoksen olisi seurattava omien tietoturvasuunnitelmiensa toteutumista.
Pykälän 4 momentti käsittelisi tietosuojavastaavan nimittämistä ja se olisi luonteeltaan informatiivinen. Tietosuojavastaavan nimittämisestä, tehtävistä ja asemasta säädetään tietosuoja-asetuksessa. Sen mukaan jäsenvaltio voi kansallisessa lainsäädännössä edellyttää tietosuojavastaavan nimeämistä myös muissa kuin 37 (1) artiklassa tarkoitetuissa tilanteissa. Esimerkiksi käytettäessä 9 artiklan kansallista liikkumavaraa 36 artiklan mukainen velvollisuus voi toimia suojatoimena.
11 luku Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto
79 §. Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu. Pykälässä säädettäisiin siitä, että tietojärjestelmäpalvelun tuottajan olisi laadittava kuvaus tietojärjestelmänsä käyttötarkoituksesta ja hyvinvointisovelluksen valmistajan olisi laadittava kuvaus hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset. Käyttötarkoituksen kuvaamisessa olisi ilmaistava ne järjestelmän ominaisuudet, joilla täytettäisiin käyttötarkoituksen mukaisia olennaisia vaatimuksia.
Pykälän 2 momentissa säädettäisiin tietojärjestelmien luokituksesta, jotka koskevat Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin liitettäviä tietojärjestelmiä. Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluisivat Kansaeläkelaitoksen itse ylläpitämät Kanta-palvelut kuten esimerkiksi valtakunnallinen asiakastietovaranto, tiedonhallintapalvelu ja tahdonilmaisupalvelu, sosiaali- ja terveydenhuollon palvelunantajien käyttämät tietojärjestelmät sekä hyvinvointisovellukset, jotka on tarkoitettu liitettäväksi Kanta-palveluihin joko suoraan tai välityspalvelun kautta (kohta 1 ja 2).
Momentin 3 kohdan mukaan A-luokkaan kuuluvat myös muut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät. Luokkaan A kuuluisivat siten myös muut sellaiset tietojärjestelmät, joiden käyttötarkoitus edellyttää sertifiointia. Tällaisia järjestelmiä saattaisivat olla esimerkiksi erilaiset niin sanotut pilvipalveluina (SaaS, PaaS, IaaS) sosiaali- ja terveydenhuollon tietojärjestelmille palveluja tarjoavat järjestelmät, jos niiden toimintaan liittyy merkittäviä tietosuoja- tai tietoturvariskejä tai B-luokan kriteerit täyttävä järjestelmä, jolla on niin kriittinen käyttötarkoitus, että sertifiointi on tarpeen tai yleinen asianhallintajärjestelmä, jos sitä käytetään sosiaalipalveluissa vastaavasti kuin asiakastietojärjestelmää ja joka voitaisiin liittää teknisen välityspalvelun kautta myös valtakunnallisiin tietojärjestelmäpalveluihin.
Momentin 4 kohdan mukaan luokkaan A kuuluisivat myös välittäjien palvelut. Siten A-luokkaan kuuluviksi katsottaisiin myös ne välityspalvelut, joita käytetään tietojärjestelmän liittämisessä valtakunnallisiin tietojärjestelmäpalveluihin ja sosiaali- ja terveydenhuollon palvelunantajan käyttämässä tietojärjestelmässä olevien tietojen siirtämiseksi valtakunnallisiin tietojärjestelmäpalveluihin.
Pykälän 3 momentissa esitetään, että muut kuin edellä 2 momentissa luetellut tietojärjestelmät kuuluisivat luokkaan B. Koska A-luokkaan kuuluvat hyvinvointisovelluksista sekä omatietovarantoon että valtakunnalliseen asiakastietovarantoon liitettävät hyvinvointisovellukset, ja määritelmän mukaan hyvinvointisovelluksella tässä laissa tarkoitetaan ainoastaan valtakunnallisiin tietojärjestelmäpalveluihin liitettäviä hyvinvointisovelluksia, ei B-luokkaan kuulu hyvinvointisovelluksia lainkaan. Sellaiset hyvinvointiin liittyvät sovellukset, joita ei ole tarkoitettu liitettäväksi valtakunnallisiin tietojärjestelmäpalveluihin, eivät kuulu tämän lain soveltamisalan piiriin.
Luokan B tietojärjestelmät olisivat sellaisia, jotka eivät ole suoraan tai välityspalvelun kautta yhteydessä valtakunnallisiin tietojärjestelmäpalveluihin. Esimerkiksi laboratoriojärjestelmä, jonka tuottamat tiedot tallennetaan potilastietojärjestelmässä oleviin potilastietoihin, olisi luokan B järjestelmä, vaikka potilastietojärjestelmä tallentaa laboratoriovastauksen tiedot myöhemmin edelleen valtakunnalliseen asiakastietovarantoon.
Pykälän 4 momentissa esitetään, että mikäli yksittäistapauksessa tietojärjestelmän luokittelusta olisi epäselvyyttä, on Terveyden ja hyvinvoinnin laitoksen ratkaistava se 2 ja 3 momenteissa olevien säännösten perusteella. Lisäksi Terveyden ja hyvinvoinnin laitos voisi antaa tarkempia määräyksiä tietojärjestelmien ja hyvinvointisovellusten luokkien määräytymisestä.
80 §. Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti. Tietojärjestelmäpalvelun tuottajan olisi 1 momentin mukaan ilmoitettava tietojärjestelmästä Sosiaali- ja terveysalan lupa- ja valvontavirastolle ennen sen ottamista tuotantokäyttöön. Hyvinvointisovelluksen valmistajan olisi vastaavasti ilmoitettava hyvinvointisovelluksesta. Ilmoituksessa olisi oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä yhteyshenkilöstä. Tieto yhteyshenkilöstä on tarpeen erityisesti niissä tilanteissa, kun tietojärjestelmän valmistaja toimii yritys, joka ei ole rekisteröitynyt Suomeen eikä sillä ole suomalaista y-tunnusta. Lisäksi ilmoituksessa olisi oltava selvitys ja todistukset käyttötarkoituksen mukaisten olennaisten vaatimusten täyttämisestä. Tietojärjestelmälle asetettavista olennaisista vaatimuksista on säädetty esityksen 84 §:ssä. Tietojärjestelmäpalvelun tuottajan olisi ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle myös tietojärjestelmän tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän siirtymisestä toiselle tietojärjestelmäpalvelun tuottajalle. Tietojärjestelmän version tuen päättyminen tarkoittaisi esimerkiksi sitä, että tietojärjestelmäpalvelun tuottaja ei enää kehitä kyseistä versiota eikä tarjoa teknistä tukea sen ylläpitoon. Jos tietojärjestelmäpalvelun tuottaja on eri taho kuin tietojärjestelmän valmistaja, ilmoituksessa olisi oltava tieto myös tietojärjestelmäpalvelun tuottajasta.
Pykälän 2 momentissa esitetään, että Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitäisi julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisteristä löytyisi ajantasainen tieto tuotantokäytössä olevista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista (kohta 1). Rekisterissä säilytettäisiin myös tietoa luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista (kohta 2) sekä tietoturvallisuuden arvioinnista saadun todistuksen voimassaolosta (kohta 3). Lisäksi rekisterissä olisi oltava tieto tuotantokäytössä olevan luokan A tietojärjestelmän tai hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan. Rekisterin perusteella tietojärjestelmiä ja hyvinvointisovelluksia hankkivat ja käyttävät voisivat tarkistaa hankittavien ja käytössään olevien tietojärjestelmien asianmukaisuuden.
Pykälän 3 momentin mukaan Sosiaali- ja terveysalan lupa- ja valvontavirasto voisi tarvittaessa antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.
81 §. Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön. Pykälän 1 momentissa esitetään, että luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saisi ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin, kun se on läpäissyt Kansaneläkelaitoksen koordinoiman yhteentoimivuuden testauksen ja tietoturvallisuuden arviointilaitos on antanut sitä koskevan tietoturvallisuuden arviointia koskevan todistuksen eli tietojärjestelmä tai hyvinvointisovellus olisi sertifioitu 85 §:n mukaisesti.
Pykälän 2 momentin mukaan tietojärjestelmää tai hyvinvointisovellusta ei saisi ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja 80 §:n 2 momentissa tarkoitetussa Sosiaali- ja terveysalan lupa- ja valvontaviraston ylläpitämässä rekisterissä tai tietoturvallisuuden arviointia koskeva todistus on vanhentunut. Luokkaan A kuuluvan tietojärjestelmän tuotantokäyttöönoton uutena edellytyksenä olisi myös hyväksytty yhteentoimivuuden testaus niiden voimassa olevien yhteentoimivuutta koskevien vaatimusten osalta, jotka vastaavat järjestelmän käyttötarkoitusta. Säännös mahdollistaisi siten sellaisten tietojärjestelmien uusien käyttöönottojen estämisen, joihin ei ole toteutettu tämän lain tai sen nojalla säädetyn mukaisia vaatimuksia määräaikojen puitteissa. Säännöksen tavoitteena on varmistaa, että vaatimukset toteutetaan määräaikojen mukaisesti, eikä sellaisia tietojärjestelmäversioita voida levittää käyttöön, joihin vaatimuksia ei ole toteutettu.
Pykälän 3 momentissa olisi uusi säännös, jonka hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, jos se ei vastaa 84 §:ssä tarkoitettua toiminnallisten vaatimusten täyttymisen edellytyksenä olevaa terveyden ja hyvinvoinnin edistämisen käyttötarkoitusta. Tavoitteena on estää selkeästi terveyden ja hyvinvoinnin edistämisen käyttötarkoituksen vastaisten sovellusten liittäminen omatietovarantoon ja siten varmistaa omatietovarannon ja siihen liittyvien hyvinvointisovellusten laadukas ja uskottava kokonaisuus. Hyvinvointisovelluksen käyttötarkoitus on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle hyvinvointisovelluksen rekisteröinnin yhteydessä. Käyttötarkoituksen hyväksyttävyys voidaan siten arvioida rekisteröinnin yhteydessä ja tarvittaessa käyttää muita valvonnan keinoja käyttöönoton estämiseen. Kansaneläkelaitos voi estää hyväksyttävän käyttötarkoituksen vastaisen hyvinvointisovelluksen liittämisen omatietovarantoon.
82 §. Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta. Tietojärjestelmän asianmukaista toimivuutta ja käytettävyyttä on tarpeen seurata myös sen käyttöönoton jälkeen. Säännöksen mukaan tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan olisi aktiivisesti seurattava ja arvioitava ajantasaisesti ja järjestelmällisesti valmistamastaan tietojärjestelmästä tai hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Mikäli seurannan perusteella osoittautuisi, että olennaisten vaatimusten toteutumisessa olisi merkittäviä poikkeamia, olisi poikkeamista ilmoitettava kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. Hyvinvointisovelluksen merkittävistä poikkeamista olisi ilmoitettava kaikille sovelluksen käyttäjille. Samalla tuottajan ja hyvinvointisovelluksen valmistajan olisi annettava ohjeet siitä, miten poikkeamien suhteen olisi toimittava. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista olisi lisäksi ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.
Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan olisi myös seurattava tietojärjestelmien ja hyvinvointisovellusten olennaisten vaatimusten mahdollisia muutoksia ja tarvittaessa tehtävä tuottamaansa tietojärjestelmään tai hyvinvointisovellukseen muutosten edellyttämät tarkistukset ja korjaukset. Tätä koskeva säännös olisi 2 momentissa. Tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista olisi ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle. Luokan A tietojärjestelmiltä ja hyvinvointisovelluksilta edellytettäisiin lisäksi, että tuottajan toteuttamista muutoksista olisi ilmoitettava tietoturvallisuuden arviointilaitokselle ja valtakunnallisiin tietojärjestelmäpalveluihin liitetyn tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista olisi ilmoitettava myös Kansaneläkelaitokselle. Ilmoitusten perusteella arviointilaitos voisi osaltaan arvioida ja tarvittaessa selvittää, onko toteutetuilla muutoksilla vaikutusta tietoturvallisuuteen. Tähän liittyen säännöksessä todetaan myös, että tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus olisi tarvittaessa päivitettävä, jos toteutetut muutokset ovat merkittäviä tai jos tietoturvallisuutta koskevat olennaiset vaatimukset ovat muuttuneet tavalla, joka edellyttäisivät uudelleen hyväksymistä.
Pykälän 3 momentin perusteella tietojärjestelmäpalvelun tuottajan olisi säilytettävä yhteentoimivuutta ja tietoturvaa koskevat ja muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmän tai hyvinvointisovelluksen tuotantokäytön päättymisestä. Säilytysvelvollisuuden tarkoituksena olisi varmistaa, että esimerkiksi mahdollisissa tietosuojaa koskevissa jälkikäteisissä selvitystilanteissa olisi olemassa riittävät tiedot tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuudesta sekä tietojärjestelmiin ja hyvinvointisovelluksiin tehdyistä muutoksista. Säännös koskisi kaikkia tietojärjestelmiä luokasta riippumatta.
Pykälän 4 momentissa olevan valtuutussäännöksen perusteella Terveyden ja hyvinvoinnin laitos voisi antaa tarkempia määräyksiä siitä, millaiset poikkeamat ovat lain tarkoittamalla tavalla merkittäviä ja miten niitä koskevat ilmoitukset tehdään tietojärjestelmien ja hyvinvointisovellusten käyttäjille, tietoturvallisuuden arviointilaitokselle, Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.
12 luku Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset
83 §. Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet. Pykälässä ehdotetaan säädettäväksi sosiaalihuollon ja terveydenhuollon tietojärjestelmäpalvelun tuottajaa ja tietojärjestelmän valmistajaa koskevat yleiset velvollisuudet. Tietojärjestelmäpalvelun tuottajan käsite tulisi tässä yhteydessä tulkita sikäli laajasti, että se tarkoittaa myös yritystä tai henkilöä, joka kokoaa asiakkaalle useasta eri osasta koostuvan tietojärjestelmäkokonaisuuden. Tietojärjestelmäpalvelun tuottaja voisi myös toimia ulkomaisen tietojärjestelmän valmistajan puolesta suomalaisena vastuutahona vaatimusten täyttämisessä ja todentamisessa. Tietojärjestelmän valmistaja olisi 1 momentin mukaan aina itse vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta. Tähän vastuuseen ei vaikuta, toteuttaako tuottaja nämä toimet itse vai hankkiiko se näihin liittyviä palveluja ja toimia alihankkijoilta tai muilta tahoilta. Hyvinvointisovelluksen valmistaja olisi vastuussa sovelluksen suunnittelusta ja valmistuksesta.
Pykälän 2 momentti velvoittaisi tietojärjestelmäpalvelun tuottajaa ja hyvinvointisovelluksen valmistajaa laatimaan kuvauksen tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoituksesta ja antamaan tietojärjestelmän ja hyvinvointisovelluksen käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet sen käyttöönotosta, tuotantokäytöstä ja ylläpidosta.
Pykälän 3 momentin mukaisesti palvelunantajalle voitaisiin luovuttaa nämä tietojärjestelmän mukana annettavat tiedot suomen, ruotsin tai englannin kielellä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen ohjeiden ja muiden tietojen olisi oltava suomen tai ruotsin kielellä.
Edellä olevan lisäksi edellytettäisiin pykälän 4 momentissa, että tietojärjestelmän valmistajalla olisi laatujärjestelmä, jota se soveltaisi sosiaali- ja terveydenhuollon tietojärjestelmien ja sovellusten suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla kuten esimerkiksi lääkinnällisistä laitteista annetussa Euroopan neuvoston asetuksessa 2017/745 säädetään. Laatujärjestelmän tavoitteena olisi varmistaa, ettei tuotteessa ole suunnittelusta tai toteutuksesta aiheutuvia ongelmia tai puutteita. Lisäksi asianmukainen ja järjestelmän käyttötarkoituksen sekä kriittisyyden mukainen laatujärjestelmä voisi helpottaa havaittujen puutteiden korjaamista. Laatujärjestelmä voi olla sama kuin lääkinnällisiltä laitteilta edellytettävä laatujärjestelmä, mikäli tietojärjestelmä tai sen osa taikka hyvinvointisovellus on lääkinnällinen laite.
84 §. Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset. Pykälän 1 momentin mukaan asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen olisi täytettävä käyttötarkoituksensa mukaiset olennaiset toiminnalliset, yhteentoimivuuden, tietoturvallisuuden ja tietosuojan vaatimukset. Hyvinvointisovelluksen tulisi täyttää myös saavutettavuusvaatimukset. Vaatimusten olisi täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa.
Tietoturvaa ja tietosuojaa koskevat vaatimukset turvaisivat asiakkaan oikeuksien toteuttamista henkilötietojen käsittelyssä ja esimerkiksi takaisivat sen, että tiedot tallentuisivat ja säilyisivät muuttumattomina kaikissa eri käyttötilanteissa. Tietojen käsittelyn ja luovutuksen tulisi lisäksi toteutua siten, että salassa pidettäviä tietoja pääsevät käsittelemään vain henkilöt, joilla on siihen lainsäädäntöön perustuva oikeus.
Yhteentoimivuudella tarkoitettaisiin tietojärjestelmien kykyä vaihtaa tietoja ja hyödyntää vaihdettavia tietoja. Määritelmään sisältyy se, että järjestelmät ovat teknisesti ja tietosisällöllisesti eli semanttisesti yhteentoimivia muiden sosiaali- tai terveydenhuollon tietojärjestelmien kanssa silloin kun ne käyttävät samoja tietoja omissa prosesseissaan. Tietosisältöjen yhteentoimivuus mahdollistaisi sen, että tietosisältö tulkitaan samoin kaikissa organisaatioissa. Toisen tietojärjestelmän kanssa toimimaan tarkoitetun järjestelmän tulisi olla yhteentoimiva muiden siihen liitettäväksi tarkoitettujen tietojärjestelmien kanssa. Yhteentoimivuus olisi edellytys sille, että tietojen virheetön käsittely ja siirtyminen tietojärjestelmien välillä toteutuisivat.
Tietoturva liittyy osittain edellä todettuun yhteentoimivuuteen siten, että tietoturvan tarkoituksena olisi varmistaa tietojen eheys ja muuttumattomuus ja lisäksi niiden saatavuus ja käytettävyys. Tietosuojan tarkoituksena olisi puolestaan huolehtia siitä, että luottamuksellisia ja salassa pidettäviä asiakas- ja potilastietoja käsitellään vain lainsäädännön määrittelemissä rajoissa.
Tietojärjestelmien toiminnalliset vaatimukset määrittelisivät sitä, mitä ja miten tietojärjestelmän tulisi tehdä. Toiminnallisissa vaatimuksissa määriteltäisiin muun muassa se, miten tietojärjestelmä kommunikoi ympäristönsä kanssa ja miten käyttäjät työskentelevät tietojärjestelmän kanssa. Lisäksi tässä tarkoitettuun toiminnallisuuteen kuuluisi tietojärjestelmän käytettävyys.
Omatietovarantoon liitettävien hyvinvointisovellusten olisi täytettävä saavutettavuusvaatimukset Euroopan parlamentin ja neuvoston direktiivissä (2016/2102) edellyttämällä tavalla, koska kyse on viranomaisen omatietovarantoon liitettäväksi hyväksymistä sovelluksista. Saavutettavuusvaatimusten täyttäminen varmistaa väestön mahdollisuuksia hyödyntää hyvinvointisovelluksia yhdenvertaisella tavalla.
Pykälän 2 momentin mukaan palvelunantajan ja apteekin käyttämien tietojärjestelmien olisi vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voitaisiin täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden avulla. Olennaiset vaatimukset mahdollistaisivat sen, että eri tyyppisiä palveluja tuottaville palvelunantajille voidaan määritellä sekä yleisiä että palvelukohtaisia tiedonhallinnan vähimmäisvaatimuksia. Erilaisten palvelujen tiedonhallinnan tarpeet voitaisiin täyttää tarkoituksenmukaisella tasolla kunkin palvelun tarpeisiin vastaavien tietojärjestelmäratkaisujen kautta.
Pykälän 3 momentin mukaan tietojärjestelmä täyttäisi olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa, yhteentoimivuutta ja toiminnallisuutta koskevien lakien, niiden nojalla annettujen säännösten ja kansallisten määritysten mukaisesti.
Sosiaali- ja terveydenhuollon tietojärjestelmiltä edellytetään myös toiminnallisuutta koskevien vaatimusten täyttämistä. Toiminnallisuudella tarkoitettaisiin tässä yhteydessä, että tietojärjestelmä soveltuisi siihen käyttötarkoitukseen, johon sitä markkinoidaan. Sen tulisi kyetä toteuttamaan kaikki käyttötarkoitukseen liittyvät toiminnot, joita lait ja muut säännökset edellyttävät. Esimerkiksi sähköisen lääkemääräyksen laatimisessa käytettävän tietojärjestelmän olisi toteutettava kaikki lääkemääräyslaissa säädetyt ominaisuudet. Toiminnallisuuteen liittyy osaltaan myös tietojärjestelmän käytettävyys. Tämä tarkoittaa sitä, että tietojärjestelmää käyttävien henkilöiden tulisi annetun ohjeistuksen ja koulutuksen perusteella kyetä käyttämään tietojärjestelmää tai ohjelmistoa tietojärjestelmän valmistajan tarkoittamalla ja ilmoittamalla tavalla.
Pykälän 4 momentissa säädetään norminantovaltuuksista. Ehdotuksen mukaan Terveyden ja hyvinvoinnin laitos antaisi tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Määräyksillä voitaisiin varmistaa, että käytettävät tietojärjestelmät ja hyvinvointisovellukset täyttäisivät lain mukaiset yhteentoimivuuden sekä tietoturvan ja tietosuojan sekä toiminnalliset vaatimukset. Määräystä valmisteltaessa Terveyden ja hyvinvoinnin laitoksen tulee kuulla hyvän hallinnon periaatteiden mukaisesti asianomaisia sidosryhmiä. Ennen määräyksen antamista olisi valtioneuvoston periaatepäätöksen LVM/2021/44 linjausten mukaisesti pyydettävä Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta lausunto tietoturvaa ja tietoturvavaatimusten todentamisen menettelyjä koskevista vaatimuksista. Olennaiset vaatimukset ja niitä koskevat määräykset olisi vahvistettava hyvissä ajoin ennen niiden mukaisten vaatimusten voimaan tuloa. Lisäksi tietojärjestelmäpalveluiden tuottajille sekä tietojärjestelmien ja hyvinvointisovellusten valmistajille olisi varattava riittävä ja kohtuullinen aika vaatimusten toteuttamiseksi ja vaatimustenmukaisuuden osoittamiseksi.
85 §. Vaatimustenmukaisuuden osoittaminen. Pykälän 1 momentissa säädettäisiin menettelystä, jolla tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan olisi osoitettava, että tietojärjestelmä tai hyvinvointisovellus täyttää olennaiset vaatimukset. Pykälän 1 momentin mukaan luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen vaatimustenmukaisuuden osoittaminen perustuisi kolmeen eri osaan. Nämä koskevat toiminnallisuutta, yhteentoimivuutta sekä tietosuojaa ja tietoturvallisuutta. Tietojärjestelmän tuottaja ja hyvinvointisovelluksen valmistaja vastaisi tietojärjestelmän tai hyvinvointisovelluksen sertifioinnista.
Toiminnallisuutta koskevat vaatimukset olisi osoitettava tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttäisi kaikki toiminnallisuutta koskevat vaatimukset. Yhteentoimivuutta koskevien vaatimusten toteutuminen olisi osoitettava Kansaneläkelaitoksen järjestämällä yhteistestauksella. Yhteistestauksesta säädetään tarkemmin esityksen 86 §:ssä. Tietoturvallisuutta ja tietosuojaa koskevien vaatimusten toteutus olisi puolestaan osoitettava tietoturvallisuuden arviointilaitoksen suorittaman tietoturvallisuuden arvioinnin perusteella annettavalla todistuksella. Tietoturvallisuuden arviointi tehdään tietoturvallisuuden arviointilaitoksista annetun lain sekä ehdotettavan asiakastietolain säännösten mukaisesti. Tietoturvallisuuden arvioinnista on säädetty esityksen 87 §:ssä.
Pykälän 2 momentissa esitetään, että luokkaan B kuuluvien tietojärjestelmien vaatimustenmukaisuus voitaisiin osoittaa 2 momentin perusteella kevyemmällä menettelyllä kuin luokan A tietojärjestelmien. B luokan tietojärjestelmä voidaan ottaa käyttöön sen jälkeen, kun tietojärjestelmäpalvelun tuottaja on antanut kirjallisen selvityksen siitä, että tietojärjestelmä täyttää säädetyt olennaiset vaatimukset. Tietojärjestelmän tulisi täyttää asianmukaisesti asennettuna, ylläpidettynä ja käytettynä käyttötarkoituksensa mukaiset olennaiset vaatimukset.
Pykälän 3 momentin perusteella tietojärjestelmäpalvelun tuottaja vastaisi tietojärjestelmän olennaisten toiminnallisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulisi vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluu järjestelmän käyttötarkoitukseen.
Pykälän 4 momentin perusteella Terveyden ja hyvinvoinnin laitos voisi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavasta menettelystä ja annettavan selvityksen sisällöstä. Vaatimustenmukaisuuden osoittamisessa noudatettavaan menettelyyn sisältyisi myös se, miten tuottajan antama selvitys tulee saattaa tietojärjestelmien käyttäjien ja viranomaisten saataville. Lisäksi Kansaneläkelaitos voisi antaa määräyksiä niistä menettelyistä, joilla Kantapalveluihin liitettävien tietojärjestelmien yhteentoimivuus Kanta-palvelujen ja muiden niihin liittyneiden tietojärjestelmien kanssa voitaisiin todentaa. Käytännössä tämä toteutettaisiin tietojärjestelmien yhteistestauksella.
Erityisesti luokkaan B kuuluvien tietojärjestelmien vaatimustenmukaisuuden osoittamiseksi annettavasta tuottajan selvityksestä olisi tarpeen antaa laissa säädettyä tarkemmat määräykset.
86 §. Yhteentoimivuuden testaaminen. Pykälän 1 momentissa säädettäisiin, että luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva Kansaneläkelaitoksen ylläpitämien valtakunnallisten tietojärjestelmäpalvelujen ja muiden A-luokkaan kuuluvien tietojärjestelmien kanssa. Yhteentoimivuus olisi osoitettava yhteentoimivuuden testauksella. Yhteentoimivuuden testauksella osoitetaan, että uusi tai muutettu tietojärjestelmä olisi yhteentoimiva muiden valtakunnallisiin tietojärjestelmäpalveluihin liittyneiden tietojärjestelmien kanssa.
Yhteentoimivuus osoitettaisiin Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Testaukseen pääsyn edellytyksenä olisi tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antama selvitys siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää kaikki toiminnallisuutta koskevat vaatimukset. Tässä selvityksessä olisi myös osoitettava, että toiminnallisuutta koskevien vaatimusten toteutuminen on todettu käyttötesteissä. Testauksen ajankohdasta ja käytännön järjestelyistä on sovittava testauksesta vastaavan Kansaneläkelaitoksen kanssa.
Pykälän 2 momentissa säädettäisiin kaikille tuotantokäytössä oleville luokan A tietojärjestelmille velvollisuus osallistua myös jatkossa yhteentoimivuuden testauksiin. Testauksen tarkoitus ei toteudu, jos uusi tietojärjestelmä testattaisiin vain suhteessa Kansaneläkelaitoksen ylläpitämiin järjestelmiin. Sen vuoksi olisi tärkeää, että testauksessa olisi mukana myös muita, tuotantokäytössä jo olevia tietojärjestelmiä. Koska tietojärjestelmiä kehitetään jatkuvasti, nämä yhteentoimivuuden testaukset palvelisivat myös testaukseen osallistuvia vanhempia järjestelmiä. Koska kaikkien tuotantokäytössä olevien tietojärjestelmien ei olisi tarpeen olla mukana kaikissa testauksissa, Kansaneläkelaitos päättäisi ne tietojärjestelmät, joiden tulisi kulloinkin olla mukana testauksessa. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tuottajat vastaisivat itse testauksen aiheuttamista kustannuksista. Kansaneläkelaitos antaisi yhteentoimivuuden testaukseen perustuvan todistuksen yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu.
Pykälän 3 momentissa todettaisiin, että Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille luokkaan A kuuluville tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei tarvitsisi tehdä erikseen yhteistestausta osana olennaisten vaatimusten osoitusta, paitsi ammattilaisen käyttöliittymä, jonka olisi osallistuttava yhteistestaukseen. Kansaneläkelaitoksen ylläpitämien järjestelmien yhteentoimivuus tulisi osoitetuksi muiden tietojärjestelmien kanssa toteutettavissa yhteentoimivuuden testauksissa.
87 §. Tietoturvallisuuden arviointi. Säännösesityksen 1 momentin perusteella tietoturvallisuuden arviointilaitos voisi suorittaa luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arviointiin liittyviä tehtäviä. Arviointi poikkeaisi muista tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) mukaisista arvioinneista siten, että sosiaalija terveydenhuollossa arvioitaisiin vain luokkaan A kuuluvat tietojärjestelmät ja hyvinvointisovellukset. Sen sijaan tietojärjestelmäpalvelun tuottajan, tietojärjestelmän valmistajan tai käyttäjän toimitilojen asianmukaisuutta ei arvioitaisi eikä siten myöskään tarkastettaisi. Tietojärjestelmän arviointi tehtäisiin tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksen perusteella.
Pykälän 2 momentissa säädettäisiin tietoturvallisuuden arviointia koskevan todistuksen antamisesta. Jos luokkaan A kuuluva tietojärjestelmä tai hyvinvointisovellus, jonka arvioinnista on tehty asianmukainen hakemus tietoturvallisuuden arviointilaitokselle, täyttäisi olennaiset tietoturvallisuutta koskevat vaatimukset, arviointilaitoksen olisi annettava tietojärjestelmäpalvelun tuottajalle tai hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti.
Käytännössä tietoturvavaatimusten todentaminen kuitenkin edellyttäisi sitä, että tietoturvavaatimukset arvioidaan vasta sellaisesta tietojärjestelmän versiosta, joka Kansaneläkelaitoksen koordinoiman yhteentoimivuuden testauksen perusteella ollaan ottamassa tuotantokäyttöön ja liittämässä valtakunnallisiin tietojärjestelmäpalveluihin. Jos tietoturvallisuuden arviointi tehtäisiin edeltäville versioille, on mahdollista, että järjestelmään tulisi yhteentoimivuuden testauksen aikana uutta arviointia edellyttäviä muutoksia. Tietoturvallisuutta koskevan todistuksen uudistamisen ja ylläpidon kannalta tilannetta selkiyttää, ettei puoltavaa yhteentoimivuustestauksen lausuntoa ole välttämättömänä ehtona todistuksen antamiselle, koska tietoturvallisuutta koskevan todistuksen uusiminen voi tulla tarpeelliseksi silloinkin, kun mitään yhteentoimivuuden testausta edellyttäviä yhteentoimivuuteen vaikuttavia muutoksia ei ole järjestelmään tehty.
Arvioinnin laajuuden olisi kuitenkin vastattava järjestelmän käyttötarkoitusta. Tietoturvallisuuden arviointi voi valtiovarainministeriön VAHTI 1/2013 Sovelluskehityksen tietoturvaohjeen mukaisesti sisältää hallinnollisen ja arkkitehtuuriauditoinnin lisäksi myös teknisen auditoinnin, jossa teknisesti todennetaan tietoturvakontrollien toimivuus. Erityisesti asiakastietoja käsitteleville hyvinvointisovelluksille tulee suorittaa tekninen auditointi, koska ne eivät ole sosiaali- ja terveydenhuollon palvelunantajien lakisääteistä toimintaa eivätkä ne näin ollen ole palvelunantajien omavalvonnan tai sosiaali- ja terveyspalveluihin kohdistuvan valvonnan piirissä. Teknisen tietoturva-auditoinnin avulla on mahdollista osaltaan varmentaa asiakas- ja potilastietojen tietoturvallinen käsittely ja samalla mahdollistaa kansalaisille erilaisten tietoturvallisiksi varmistettujen hyvinvointisovellusten käyttö hyvinvoinnin edistämisen tarkoituksiin.
Pykälän 3 momentissa säädettäisiin, että myönnetty tietoturvallisuuden arviointia koskeva todistus olisi voimassa enintään kolme vuotta. Arviointilaitos voisi päättää, että todistus olisi voimassa lyhyemmänkin ajan, jos tietojärjestelmän tai hyvinvointisovelluksen kehitysvaiheen tai tiedossa olevan olennaisten vaatimusten uudistamisen tai muiden vastaavien seikkojen perusteella olisi ilmeistä, että tietojärjestelmä tai hyvinvointisovellus ei täyttäisi olennaisia tietoturvavaatimuksia ilman merkittäviä muutoksia kolmea vuotta. Tietoturvallisuuden arviointilaitos voisi jatkaa todistuksen voimassaoloa. Tämä voitaisiin tehdä enintään kolmeksi vuodeksi kerrallaan. Arvioitaessa todistuksen voimassaolon jatkamista, tietoturvallisuuden arviointilaitos voisi vaatia tietojärjestelmäpalvelun tuottajalta tai hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi.
Muilta kuin edellä todetuin osin tietoturvallisuuden arviointia koskevan todistuksen antamiseen sovellettaisiin tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä olevia säännöksiä ja menettelyjä.
88 §. Kansaneläkelaitoksen ja tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus. Pykälän 1 momentissa säädettäisiin, että tietoturvallisuuden arviointilaitoksen olisi ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 87 §:ssä tarkoitetuista vaatimustenmukaisuustodistuksista. Momenttiin lisättäisiin vastaava ilmoitusvelvollisuus Kansaneläkelaitokselle, eli Kansaneläkelaitoksen olisi ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, tietoturvallisuuden arviointilaitokselle ja Terveyden ja hyvinvoinnin laitokselle kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 86 §:ssä tarkoitetuista todistuksista. Lisäys vahvistaisi valvonnasta ja ohjauksesta sekä tietoturvallisuusvaatimusten todentamisesta vastaavien tahojen tiedonsaantia tietojärjestelmien olennaisten vaatimusten tilanteesta kokonaisuutena. Tietoturvallisuuden arviointilaitoksella, jolle Kansaneläkelaitoksen olisi tehtävä ilmoitus, tarkoitettaisiin sitä tietoturvallisuuden arviointilaitosta, jota ilmoituksen kohteena olevan tietojärjestelmäpalvelun tuottaja tietojärjestelmänsä vaatimusten arvioinnissa käyttää.
Pykälän 2 momentissa säädettäisiin, että arviointilaitoksen olisi lisäksi annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle sen pyynnöstä kaikki valvonnan kannalta tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.
13 luku Tietojärjestelmien valvonta
89 §. Tietojärjestelmien valvonta ja tarkastukset. Pykälän 1 momentissa säädettäisiin siitä, että Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä olisi valvoa ja edistää sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuutta. Lain mukainen valvonta täydentäisi Sosiaali- ja terveysalan lupa- ja valvontaviraston ja aluehallintoviraston muuta sosiaali- ja terveydenhuollon valvontaa, jonka tavoitteena on varmistaa, että palvelujen antajat toimivat säännösten mukaisesti.
Valvonnan toteuttamisessa tarvittavista keinoista säädettäisiin 2 momentissa. Valvonnan toteuttamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oikeus tehdä tarkastuksia. Tarkastuksen tarkoituksen toteuttamiseksi se voitaisiin tehdä ennalta ilmoittamatta. Tarkastusten toteuttamiseksi tarkastuksen tekijällä olisi oikeus päästä kaikkiin niihin tietojärjestelmien valmistajien, tietojärjestelmäpalveluiden tuottajien, välittäjien ja palvelunantajien tiloihin, joissa voi olla tietojärjestelmien vaatimustenmukaisuuden arvioinnin kannalta merkityksellisiä tietoja. Tällaisia voisivat olla esimerkiksi tietojärjestelmien valmistajien toimitilat, arkistot ja muut vastaavat tilat sekä kaikki sosiaali- tai terveydenhuollon palvelunantajien toimitilat. Pysyväisluonteiseen asumiseen käytetyt tilat olisi kuitenkin rajattu tarkastusoikeuden ulkopuolelle. Lisäksi tarkastusta toteutettaessa olisi noudatettava mitä hallintolain (434/2003) 39 §:ssä säädetään. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, olisi Sosiaali- ja terveysalan lupa- ja valvontavirastolla oikeus saada poliisin tarpeellista virka-apua, josta säädetään poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa.
Tarkastuksen toteuttamisesta säädettäisiin 3 momentissa. Tarkastuksen tekijällä olisi oikeus saada nähtäväkseen kaikki tarkastuksen tekemiseksi tarvittava asiakirjat. Tarkastajalla olisi myös oikeus saada jäljennökset tarpeellisiksi katsomistaan asiakirjoista. Tarkastettavista tiloista voitaisiin ottaa myös valokuvia.
Pykälän 4 momentin perusteella tarkastuksesta olisi pidettävä pöytäkirjaa. Tarkastuksen kohteelle olisi annettava jäljennös pöytäkirjasta 30 päivän kuluessa tarkastuksesta. Jäljennöksen perusteella tarkastettava taho saisi yksityiskohtaisen tiedon tarkastuksesta ja siinä tehdyistä havainnoista. Sosiaali- ja terveysalan lupa- ja valvontaviraston olisi säilytettävä alkuperäinen tarkastuspöytäkirja olisi säilytettävä 10 vuotta tarkastuksen päättymisestä.
90 §. Ilmoittaminen tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin kohdistuvista tietoturvallisuuden häiriöistä. Pykälässä säädettäisiin toimijoiden velvoitteesta ilmoittaa tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin kohdistuvasta tietoturvallisuuden häiriöstä. Pykälän 1 momentti vastaisi voimassa olevan asiakastietolain sääntelyä. Pykälään ehdotetaan lisättäväksi säännökset, joilla pannaan täytäntöön verkko- ja tietoturvadirektiivin 14 artiklan 3–6 kohdat direktiivin liitteen II toimialan 5 eli terveydenhuollon osalta. Direktiivi edellyttää jäsenmaita varmistamaan, että keskeisten palvelujen tarjoajat toteuttavat asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden verkko- ja tietojärjestelmien turvallisuuteen, joita nämä keskeisten palvelujen tarjoajat käyttävät toiminnoissaan. Suomessa monet julkisen terveydenhuollon palvelunantajat katsotaan direktiivissä tarkoitetuiksi keskeisen palvelun tarjoajaksi. Direktiivissä verkko- ja tietojärjestelmillä tarkoitetaan käytännössä kaikkia ICT-järjestelmiä ja niissä käsiteltäviä digitaalisia tietoja eli määritelmä kattaa laajemman kokonaisuuden kuin esitettävän lain määritelmä tietojärjestelmästä. Uusi sääntely täydentäisi aiempaa sääntelyä erityisesti tietoverkkojen osalta. Poikkeaman vaikutuksen merkittävyyden määrittämisessä olisi huomioitava erityisesti käyttäjien lukumäärä, joihin keskeisen palvelun häiriö vaikuttaa, poikkeaman kerto sekä maantieteellinen levinneisyys alueella, johon poikkeama vaikuttaa.
Direktiivi koskee vain julkista terveydenhuoltoa, mutta on perusteltua kehittää samassa yhteydessä sääntelyä ja menettelyjä myös sosiaalihuollon ja apteekkien käyttöympäristöjen ja tietoverkkojen tietoturvallisuushäiriöihin liittyen.
Tietojärjestelmien tietoturvallisuuteen ja tietoturvapoikkeamien käsittelyä koskevaa sääntelyä on sosiaali- ja terveydenhuollossa ollut jo aiemmin, mutta ehdotettavassa pykälässä laajennetaan sääntelyä verkko- ja tietoturvadirektiivin mukaisilla velvoitteilla koskemaan myös tietoverkkoja eli keskeistä osuutta tietojärjestelmien käyttöympäristöistä.
Pykälän 1 momentissa säädettäisiin siitä, että jos palvelunantaja tai apteekki havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, olisi palvelunantajan ilmoitettava siitä tietojärjestelmäpalvelun tuottajalle. Jos tietojärjestelmän tai hyvinvointisovelluksen poikkeama voisi aiheuttaa merkittävän riskin asiakas- ja potilasturvallisuudelle, tietoturvalle tai tietosuojalle, olisi palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan, tietojärjestelmän valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Esimerkiksi palvelunantaja voisi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Myös muu taho tai toimija voisi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Momentissa olisi viittaus tietosuoja-asetuksen 33 artiklaan, jossa säädetään henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetulle.
Pykälän 2 momentissa säädettäisiin palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan ja välittäjänvelvoitteesta ilmoittaa viipymättä häiriöstä Sosiaali- ja terveysalan lupa- ja valvontavirastolle sellaisesti käyttöympäristöihin tai tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, joka voi vaarantaa merkittävästi tietojärjestelmien käyttöä ja sosiaali- ja terveyspalvelujen toteuttamista. Ehdotus laajentaisi siten tietoturvallisuushäiriöihin liittyviä ilmoitusvelvoitteita tietojärjestelmien lisäksi myös tietojärjestelmien käyttöympäristöihin ja tietoverkkoihin. Tietoturvallisuuteen liittyvällä häiriöllä tarkoitettaisiin mitä tahansa tapahtumaa, joka tosiasiassa vaikuttaa haitallisesti kyseessä olevien järjestelmien turvallisuuteen. Määritelmä vastaisi verkko- ja tietoturvadirektiivin mukaista poikkeaman määritelmää. Merkittävänä olisi pidettävä häiriötä, jonka seurauksena tietojärjestelmien käyttö ja sosiaali- ja terveyspalveluiden toteuttaminen voi merkittävästi vaarantua. Momentissa säädettäisiin myös Terveyden ja hyvinvoinnin laitoksen oikeudesta antaa tarkempia määräyksiä pykälässä tarkoitettujen ilmoituksen sisällöstä, muodosta ja toimittamisesta. Määräyksenanto valtuus olisi yhdenmukainen muiden Terveyden ja hyvinvoinnin laitoksen määräyksenantovaltuuksien kanssa, jotka liittyvät esimerkiksi tietoturvasuunnitelmaan liittyviin vaatimuksiin ja tietojärjestelmien poikkeamiin. Määräyksessä voitaisiin tarkemmin määrätä esimerkiksi siitä, milloin tietoturvallisuuteen liittyvää häiriötä olisi pidettävä merkittävänä sekä siitä missä muodossa tiedot olisi annettava.
Pykälän 3 momentissa säädettäisiin Sosiaali- ja terveysalan lupa- ja valvontaviraston mahdollisuudesta velvoittaa palvelunantaja, apteekki, Kansaneläkelaitos ja tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja tai välittäjä tiedottamaan 1 ja 2 momentissa tarkoitetusta tietoturvallisuuteen liittyvästä poikkeamasta tai häiriöstä yleisölle tai tiedottaa siitä itse kuultuaan ilmoitusvelvollista.
Pykälän 4 momentissa ehdotettaisiin Sosiaali- ja terveysalan lupa- ja valvontavirastolle velvoitetta arvioida, koskeeko 1 ja 2 momentissa tarkoitettu tietoturvallisuuteen liittyvä poikkeama tai häiriö muita Euroopan unionin jäsenvaltioita ja tarvittaessa ilmoittaa häiriöstä muille asiaan liittyville jäsenvaltioille. Tarkoituksena olisi varmistaa, että silloin kun häiriöllä on rajat ylittäviä vaikutuksia Euroopan unionissa ja Sosiaali- ja terveysalan lupa- ja valvontavirasto katsoo, että häiriöstä olisi tarpeen kertoa toiselle jäsenvaltiolle, jäsenvaltiot, joita häiriö koskee, saisivat häiriöstä tiedon. Ilmoitus voitaisiin tehdä esimerkiksi silloin, kun häiriö voisi rajat ylittävään asiakastietojen luovuttamiseen tai tietoturvahäiriö voi kohdistua myös muiden maiden käyttämiin tietojärjestelmiin tai tietoverkkoihin.
91 §. Sosiaali- ja terveysalan lupa- ja valvontaviraston tiedonsaantioikeus valvontaa varten. Säännöksen perusteella Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oikeus saada sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten valvontaa varten kaikki välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta, yksityisiltä henkilöiltä ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset valtakunnallisista tietojärjestelmistä koskevat. Tiedot tulisi antaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle salassapitosäännösten estämättä.
92 §. Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön. Sosiaali- ja terveydenhuollon tietojärjestelmät ja hyvinvointisovellukset ovat hyvin monenlaisia, monimutkaisia ja erilaisia ominaisuuksia käsittäviä tuotteita. Valvovalla viranomaisella ei voi olla palveluksessaan asiantuntijoita, jotka hallitsisivat kaikki erilaisten tietojärjestelmien ominaisuudet. Valvonta kuitenkin edellyttää usein asiantuntijan arvioita, minkä vuoksi pykälän 1 momentissa ehdotetaan, että Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oikeus tapauskohtaisesti käyttää ulkopuolisia asiantuntijoita apunaan tietojärjestelmien ja hyvinvointisovellusten arvioinnissa. Ulkopuoliset asiantuntijat voisivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä ja hyvinvointisovelluksia, mutta eivät käyttäisi julkista valtaa eivätkä tekisi hallintopäätöksiä. Ulkopuolisten asiantuntijoiden tehtävää voisikin luonnehtia lähinnä avustavaksi tehtäväksi.
Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Lisäksi sääntelyn on täytettävä perustuslain 124 §:stä johdetut vaatimukset toimivaltuuksien täsmällisestä sääntelystä, sääntelyn yleisestä tarkkuudesta ja muusta asianmukaisuudesta sekä asianomaisten henkilöiden sopivuudesta ja pätevyydestä. Aikaisemmassa asiakastietolaissa ollutta viittausta hallinnon yleislakeihin ei perustuslakivaliokunnan käytännön mukaan enää nykyisin ole perustuslain 124 §:n takia yleensä välttämätöntä sisällyttää julkisen hallintotehtävän antamista koskevaan lakiin, koska hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (ks. esim. PeVL 5/2014 vp, s. 4, PeVL 23/2013 vp, s. 3/II, PeVL 10/2013 vp, s.2/II, PeVL 37/2010 vp, s. 5/I, PeVL 13/2010 vp, s. 3/II, PeVL 42/2005 vp , s. 3/II).
Ulkopuolisella asiantuntijalla olisi mahdollisuus nähdä tietojärjestelmiä tarkastaessaan salassa pidettäviä asiakastietoja, jos tarkastusta ei voida asianmukaisesti toteuttaa ilman pääsyä salassa pidettäviin tietoihin. Sosiaali- ja terveydenhuollon asiakastietojen salassapidosta ja vaitiolovelvollisuudesta sekä hyväksikäyttökiellosta säädetään esitettävän lain 4 ja 5 §:ssä. Asiakastietojen käsittelyä koskevaa sääntelyä sovellettaisiin kuitenkin ainoastaan silloin, kun asiakastietoja käsitellään sosiaali- ja terveyspalvelujen järjestämisen ja toteuttamisen käyttötarkoituksessa. Laki sisältäisi julkisuuslakiin nähden ensisijaisesti sovellettavat säännökset sosiaali- ja terveydenhuollon järjestäjien ja toteuttajien salassapito- ja vaitiolovelvollisuudesta. Asiakastietolain 92 §:ssä tarkoitettujen asiantuntijoiden tai Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä ei kuitenkaan olisi sosiaali- ja terveydenhuollon järjestäminen tai toteuttaminen eikä niiden toimintaan siten lain soveltamisalaa koskevien säännösten perustella sovellettaisi kyseisiä säädöksiä.
Julkisuuslain 2 §:n 1 momentin mukaan julkisuuslaissa säädetään muun muassa viranomaisessa toimivan vaitiolovelvollisuudesta, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista samoin kuin viranomaisten velvollisuuksista lain tarkoituksen toteuttamiseksi. Lain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Lain soveltaminen yksityisiin on muun ohella riippuvainen siitä, sisältyykö niiden/heidän julkiseen tehtäväänsä julkisen vallan käyttämistä. Julkisuuslain 23 §:n 1 momentissa säädetään viranomaisen palveluksessa olevan ja luottamustehtävää hoitavan salassa pidettävää tietoa koskevasta vaitiolovelvollisuudesta. Pykälän 2 momentin mukaan pykälän 1 momentissa säädetty vaitiolovelvollisuus salassa pidettävästä tiedosta koskee myös muun muassa viranomaisen toimeksiannosta tehtävää hoitavaa tai tämän palveluksessa olevaa.
Edellä esitetyn perusteella on katsottava, että esitettävän lain salassapitoa koskevat säännökset eivät tulisi sovellettaviksi 92 §:ssä tarkoitettuihin asiantuntijoihin. Sen sijaan julkisuuslain vaitiolovelvollisuutta koskeva 23 § tulee sovellettavaksi Sosiaali- ja terveysalan lupa- ja valvontaviraston toimeksiannosta tehtäviä hoitaviin ulkopuolisiin asiantuntijoihin. Sosiaali- ja terveysalan lupa- ja valvontaviraston käyttämän ulkopuolisen asiantuntijan kanssa olisi kuitenkin suotavaa tehtävä toimeksiantosopimus, jossa sovittaisiin myös salassapidosta ja vaitiolovelvoitteesta. Lisäksi ulkopuolisen asiantuntijan tulisi antaa salassapito- ja vaitiolopitoa koskeva sitoumus.
93 §. Määräys velvollisuuksien täyttämiseksi. Pykälässä esitetään, että Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oikeus päätöksellään määrätä tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, hyvinvointisovelluksen valmistaja, välittäjä tai Kansaneläkelaitos täyttämään laissa säädetty velvollisuutensa, mikäli se on laiminlyönyt tietojärjestelmiin tai niiden käyttöön liittyvät lain mukaiset velvoitteensa. Säännös on tarpeen, koska valvontaviranomaisella olisi oltava käytössään riittävän tehokkaat keinot lain noudattamisen varmistamiseksi. Valvontaviranomaisen perustehtäviin kuuluisi puuttua asiaan, jos lain vaatimuksia ei noudateta. Jos viranomaisen kehotusta ei kuitenkaan noudatettaisi, Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi oltava mahdollisuus velvoittaa lain noudattamiseen määräajassa. Säännös kattaisi kaikki laissa tietojärjestelmille tai niiden käytölle asetetut velvollisuudet. Tietosuojaan liittyvissä asioissa toimivalta on kuitenkin tietosuojalain perusteella tietosuojavaltuutetulla.
94 §. Käytössä oleviin tietojärjestelmiin ja hyvinvointisovelluksiin kohdistuvat velvollisuudet. Jos tietojärjestelmä tai hyvinvointisovellus ei täyttäisi olennaisia vaatimuksia, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan olisi lähtökohtaisesti oma-aloitteisesti ryhdyttävä korjaaviin toimenpiteisiin. Tämän lisäksi Sosiaali- ja terveysalan lupa- ja valvontavirastolla olisi ehdotettavan säännöksen 1 momentin perusteella mahdollisuus 89 §:n perusteella tehtävän tietojärjestelmien ja hyvinvointisovellusten valvonnan ja tarkastuksen yhteydessä määrätä tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai hyvinvointisovelluksen valmistajan korjata tuotantokäytössä olevia tietojärjestelmiä ja hyvinvointisovelluksia koskevat puutteet, jos on aihetta epäillä, ettei tuottaja tai valmistaja muutoin toteuttaisi tietojärjestelmän korjaamiseksi tarvittavia toimenpiteitä.
Pykälän 2 momentin perusteella Sosiaali- ja terveysalan lupa- ja valvontavirasto voisi kieltää tietojärjestelmän tai hyvinvointisovelluksen käytön, jos sitä ei olisi korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa ja se voisi vaarantaa asiakas- tai potilasturvallisuuden. Kielto-oikeus koskisi myös tilanteita, joissa salassa pidettävien asiakas- ja potilastietojen tietosuoja olisi vaarantunut. Kielto voisi olla voimassa siihen saakka, kunnes turvallisuuden tai tietosuojan vaarantava ominaisuus olisi korjattu. Lisäksi Kansaneläkelaitos voisi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty ulkopuolinen järjestelmä tai sen käyttäjäorganisaation toiminta voisi vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.
Pykälän 3 momentin perusteella Sosiaali- ja terveysalan lupa- ja valvontavirasto voisi velvoittaa tietojärjestelmäpalvelun tuottajan, hyvinvointisovelluksen valmistajan tai niiden valtuuttaman edustajan tiedottamaan tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä. Sosiaali- ja terveysalan lupa- ja valvontavirasto voisi myös määrätä miten ja missä ajassa asiasta on tiedotettava. Velvoitteen tarkoituksena olisi varmistaa, että palvelunantajat ovat tietoisia tietojärjestelmien ja hyvinvointisovellusten puutteista ja käytön rajoituksista.
95 §. Muutoksenhaku. Pykälän 1 momentin mukaan tarkastuksen yhteydessä annettuun päätökseen ei saisi hakea muutosta, vaan siitä on ensin tehtävä oikaisuvaatimus Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Sen jälkeen todettaisiin informatiivisena viittauksena, että oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). Oikaisuvaatimusviranomaisesta tai oikaisuvaatimuksen määräajasta sen ollessa 30 päivää ei ole tarpeen erikseen säätää, koska nämä ovat hallintolain oikaisuvaatimusta koskevan 7 a luvun mukaisia pääsääntöjä, ja päällekkäistä sääntelyä yleissäännösten kanssa on syytä mahdollisuuksien mukaan välttää.
Hallintolain 49 b §:ssä on säädetty oikaisuvaatimuksen tekemisestä ja valituskiellosta. Lainkohdan mukaan oikaisua saa vaatia se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa. Hallintolain 46 §:ssä säädetään muun muassa, että oikaisuvaatimusohje on annettava samanaikaisesti päätöksen kanssa.
Pykälässä 2 momentissa säädetään muutoksenhausta Sosiaali- ja terveysalan lupa- ja valvontaviraston esitettävän lain nojalla tekemään päätökseen viittaamalla informatiivisista syistä lakiin oikeudenkäynnistä hallintoasioissa (808/2019). Kyseinen laki sääntelee yleislakina muutoksenhakua hallintoasioissa, ja sen 6 §:n mukaisesti hallintopäätökseen saa hakea muutosta valittamalla. Siten Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemistä päätöksistä ei ole tarpeen erikseen tässä ehdotetussa pykälässä todeta. Päätöksillä tarkoitetaan 90 §:n 3 momentin mukaista palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai välittäjän velvoittamisesta tiedottamaan yleisölle tietoturvallisuuteen liittyvästä häiriöstä sekä 94 §:n mukaista tietojärjestelmän tai hyvinvointisovelluksen käytön kieltämistä tai velvoittamista tiedottaa tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä. Oikeudenkäynnistä hallintoasioissa annetun lain 6 §:n ilmaisu kattaa myös oikaisuvaatimuksen johdosta tehdyn päätöksen. Valituslupamenettely on säädetty pääsäännöksi oikeudenkäynnistä hallintoasioissa annetun lain 107 §:ssä. Menettely vastaisi myös, mitä esimerkiksi lääkinnällisistä laitteista annetussa laissa on säädetty.
Pykälän 3 momentin mukaan Sosiaali- ja terveysalan lupa- ja valvontaviraston lain nojalla antamia päätöksiä olisi noudatettava oikaisuvaatimuksesta tai muutoksenhausta huolimatta, jollei oikaisuvaatimusviranomainen tai hallintotuomioistuin toisin määrää.
96 §. Uhkasakko. Ehdotuksen mukaan laissa säädettyjä velvollisuuksia voidaan tehostaa uhkasakolla siten kuin uhkasakkolaissa (1113/1990) säädetään. Vastaavasta menettelystä on säädetty lääkinnällisistä laitteista annetussa laissa.
III OSA. Erinäiset säännökset ja voimaantulo
14 luku Erinäiset säännökset
97 §. Ohjaus, valvonta ja seuranta. Pykälän 1 momentissa säädettäisiin siitä, että sosiaali- ja terveysministeriö vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, valtakunnallisten tietojärjestelmäpalvelujen ja niihin liittyvän tiedonhallinnan yleisestä strategisesta suunnittelusta, ohjauksesta ja valvonnasta sekä valtakunnallisten tietojärjestelmäpalvelujen kehittämiseen liittyvien ja muiden sosiaali- ja terveysministeriön vastuulle kuuluvien tiedonhallintahankkeiden rahoituksesta. Henkilötietojen käsittelyn lainmukaisuuden valvonnasta vastaa kuitenkin tietosuojavaltuutettu. Tällöin ministeriön vastuu olisi samanlainen kuin sen vastuu muutoinkin sosiaali- ja terveydenhuollon valtakunnallisesta suunnittelusta ja ohjauksesta. Ministeriön yleiseen ohjaustoimivaltaan sisältyy myös vastuu siitä, että sosiaali- ja terveydenhuollon tiedonhallintaa toteutettaessa huolehditaan tietojärjestelmien yhteentoimivuudesta.
Pykälän 2 momentin mukaan Terveyden ja hyvinvoinnin laitos vastaisi sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä esityksen 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen toteuttamisen ja käytön suunnittelusta, eri tietojärjestelmissä ja tietovarannoissa käytettävien tietorakenteiden yhteensovittamisesta, ohjauksesta ja seurannasta. Asiakastietojen käsittelyn ja siihen liittyvän tiedonhallinnan seuranta tarkoittaisi esimerkiksi sosiaali- ja terveydenhuollon tietojärjestelmäpalveluiden seurantaan ja arviointiin liittyvää tutkimusta, jota Terveyden ja hyvinvoinnin laitos on toteuttanut jo usean vuoden ajan. Tutkimustoimintaa on tarpeen myös laajentaa sitä mukaa kun tiedonhallinnan ratkaisut, mukaan lukien valtakunnalliset tietojärjestelmäpalvelujen laajenevat. Tutkimuksen avulla saadaan tietoa esimerkiksi valtakunnallisten tietojärjestelmäpalvelujen hyödyntämisestä sekä vaikutuksista asiakkaan asiointiin ja sosiaali- ja terveydenhuollon palvelutoimintaan.
Pykälän 3 momentissa todettaisiin, että Tietosuojavaltuutettu, Lääkealan turvallisuus- ja kehittämiskeskus, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaisivat ja valvoisivat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista. Tietojärjestelmien ja hyvinvointisovellusten valvontaan liittyvät Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävät on esitettävässä laissa koottu omaan lukuunsa, eli Sosiaali- ja terveysalan lupa- ja valvontavirasto valvoo tietojärjestelmille ja hyvinvointisovelluksille sekä niiden valmistajille ja tuottajille asetettuja velvoitteita, mukaan lukien käyttöympäristöjen ja tietoverkkojen tietoturvallisuutta koskevien häiriöilmoitusten vastaanotto ja tiedottamiseen liittyvät tehtävät. Apteekkien valvonta, mukaan lukien sairaala-apteekit, kuuluu Lääkealan turvallisuus- ja kehittämiskeskuksen vastuulle, eli se valvoisi asiakastietojen käsittelyä ja siihen liittyvien vastuiden, kuten esimerkiksi käytönvalvontaan ja tietoturvasuunnitelmaan liittyvien velvoitteiden sekä tietojärjestelmien käyttöä apteekeissa. Vastaavasti palvelunantajien valvonta, eli tässä laissa esitettävä asiakastietojen käsittelyyn, asiakirjoihin sekä tietoturvasuunnitelmaan ja tietojärjestelmien käyttöön liittyvien vaatimusten valvonta jakautuu Sosiaali- ja terveysalan lupa- ja valvontaviraston ja aluehallintoviraston vastuulle siten, kuin muualla laissa säädetään.
98 §. Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö. Pykälän mukaan sosiaali- ja terveysministeriön on huolehdittava siitä, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena olisi edistää tämän lain toteutumista. Yhteistyön kautta tapahtuvan toiminnan olisi myös tarkoitus kehittää toimintaa strategisesti ja ennakollisesti ohjaavaksi. Valtakunnallisten tietojärjestelmäpalvelujen käyttäjillä ja muilla sidosryhmillä olisi oltava mahdollisuus vaikuttaa heidän kannaltaan tärkeisiin seikkoihin tietojärjestelmäpalvelujen kehityksessä ja toteutuksessa. Tietojärjestelmäpalvelujen kehittämisen kannalta olennaisia asioita olisivat esimerkiksi tietojärjestelmien toimeenpanoon liittyvien säädösten, ohjeiden ja määritysten valmisteluun osallistuminen, valtakunnallisten tietojärjestelmien kehittämisen priorisointi, palvelujen käyttäjien tietojärjestelmien yhtenäistämisen ja kehittämisen edistäminen sekä valtakunnallisten tietojärjestelmäpalvelujen toteutuksen, talouden ja muiden voimavarojen sekä käyttäjämaksujen kehityksen seuraaminen. Säännöksessä ei sidottaisi sitä, miten yhteistyö järjestetään. Yhteistyön ja palvelujen käyttäjien sekä muiden sidosryhmien vaikuttamismahdollisuuksien edistämiseksi sosiaali- ja terveysministeriö voisi kutsua koolle työryhmiä tai muita yhteistyöelimiä.
Valtioneuvosto voisi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä. Asettaessaan yhteistyöelintä valtioneuvosto voi samalla päättää neuvottelukunnan tai yhteistyöelimen tehtävistä, toimikaudesta ja jäsenistä.
Pykälän 3 momentin mukaan Kansaneläkelaitoksen olisi huolehdittava siitä, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja –menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien, eli asiakas- ja potilastietojärjestelmien ja apteekkijärjestelmien toimittajien, alueellisten ict-palveluntuottajien, välittäjien ja muiden viranomaisten kanssa. Säännös edistäisi tuotantotoimintaan liittyvää yhteistyötä sidosryhmien kanssa ja lisäisi läpinäkyvyyttä ja avoimuutta 99 §:n 1 momentin mukaisilla käyttömaksuilla rahoitettavaan toimintaan.
99 §. Maksut. Pykälän 1 momentissa esitetään, että Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille ja apteekeille maksullista. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannus ten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.
Pykälän 2 momentissa esitetään, että Kansaneläkelaitoksen ja Digi- ja väestötietoviraston olisi toimitettava vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden käyttömaksujen perustana olevista kokonaiskustannuksista. Lisäksi Kansaneläkelaitoksen olisi toimitettava arvio seuraavien neljän vuoden investointisuunnitelmista. Palveluiden ylläpitoon liittyvistä investoinneista aiheutuvat kustannukset olisi näin mahdollista jakaa useammalle vuodelle ja varmistaa, etteivät yksittäisen vuoden kustannukset muodostu palvelunantajille kohtuuttoman korkeiksi. Investointeja voitaisiin rahoittaa hankintavaiheessa valtion talousarviosta hankintavaiheessa ja poistomenettelyn kautta laskuttaa takautuvasti palvelunantajilta ja apteekeilta, mikä mahdollistaisi kustannusten jakautumisen useammalle vuodelle. Käyttömaksuista annettava asetus olisi mahdollista antaa useammaksi vuodeksi kerrallaan, mikä toisi palvelunantajille ja apteekeille ennakoitavuutta maksujen määrää.
Pykälän 3 momentissa esitetään, että tietojärjestelmän tuottaja vastaisi vaatimustenmukaisuuden osoittamisen aiheuttamista kustannuksista. Kansaneläkelaitoksen 86 §:ssä tarkoitettuun yhteentoimivuuden testaukseen ilmoittautuminen olisi tietojärjestelmäpalvelun tuottajille maksullinen. Sosiaali- ja terveysalan lupa- ja valvontavirastolle tämän lain 80 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä. Kansaneläkelaitoksella on ollut jo aiemmin mahdollisuus periä maksu yhteentoimivuuden testauksesta omakustannusarvion mukaisesti. Koska yhteentoimivuuden testaukseen tarvittava työmäärä ja kustannukset vaihtelevat, esimerkiksi ensimmäisenä uutta toiminnallisuutta testaavan tietojärjestelmän työmäärä on suurempi kuin myöhemmin testaavilla, on tarkoituksenmukaista määrittää testaukseen ilmoittautuville yhdenmukainen, kohtuullinen maksu. Lisäksi testauksesta perittävä maksu kasvattaisi viime kädessä palvelunantajien kustannuksia, jos testaamisen kustannukset kokonaisuudessaan perittäisiin tietojärjestelmäpalveluiden tuottajilta. Ilmoittautumisen yhteydessä perittävä maksu voi kannustaa tietojärjestelmäpalvelun tuottajia ilmoittautumaan testaukseen vasta sitten, kun tietojärjestelmän valmiudet ovat riittävät hyvät ja todennäköisyys testauksen onnistumiseen on hyvä.
100 §. Rangaistussäännökset. Pykälässä säädettäisiin ehdotetun lain eräiden säännösten mukaisten velvoitteiden rikkomisesta sakkorangaistus, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.
Pykälän 1 momentissa esitetään säädettäväksi eräitä lain aineellisten säännösten rikkomistapoja rangaistavaksi rikosnimikkeellä sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomus.
Rangaistussäännös koskisi lain 2, 8 ja 9 lukujen säännöksiä. Mainitut luvut koskevat asiakastiedon käsittelyä, asiakastietojen luovuttamista sekä valtakunnallisia tietojärjestelmäpalveluja
Esitettävän pykälän 1 momentin rangaistussäännös on niin kutsuttu blankotyyppinen rangaistussäännös, jossa rikostunnusmerkistö muodostuu siitä aineellisesta säännöksestä, jonka rikkomisesta olisi kysymys ja itse rangaistussäännöksen tunnusmerkistöstä. Rikosoikeudellinen laillisuusperiaate asettaa blankotyyppisille rangaistussäännöksille seuraavat edellytykset: 1) säännösten välillä on asianmukaiset viittaus- ja valtuutusketjut, 2) se aineellinen käyttäytymisnormi, jonka rikkomisesta rangaistavuudessa on kysymys, on kirjoitettu tarkkarajaisesti, 3) itse rangaistussäännöksessä on jonkinlainen luonnehdinta rangaistavasta teosta ja 4) että käyttäytymisnormistoon sisältyy viittaus teon rangaistavuuteen.
Ensimmäisenä tekotapana olisi esitettävän pykälän 1 momentin 1 kohdan mukaan esityksen 8 §:n 1 momentissa säädetyn tunnistamisvelvollisuuden rikkominen.
Toisena tekotapana olisi pykälän 1 momentin 2 kohdan mukaan asiakastietojen luovuttaminen esityksen 8 luvun sääntelyn vastaisesti ilman asiakkaan antamaa lupaa, suostumusta tai laissa säädettyä oikeutta.
Kolmantena tekotapana olisi pykälän 1 momentin 3 kohdan mukaan esityksen 68 §:n 1 momentissa säädetyn informointivelvollisuuden rikkominen.
Kunkin tekotavan edellytysten ohella rangaistavuus edellyttäisi lisäksi sitä, että menettely vaarantaa asiakkaan yksityisyyden suojaa tai muutoin hänen oikeuksiaan. Kysymyksessä on niin kutsuttu konkreettista vaaraa edellyttävä tunnusmerkistö, jollainen on lähtökohtaisesti perusteltu tapa rajata rangaistavuutta.
Tekojen tai laiminlyöntien rangaistavuus edellyttäisi tahallisuutta tai törkeää huolimattomuutta. Rangaistussäännöksellä korostettaisiin sitä, että henkilöt, joilla on pääsy asiakastietoihin, voisivat käsitellä tietoja ainoastaan silloin, kun heillä on siihen asiakkaan suostumus tai muutoin lakiin perustuva nimenomainen oikeus. Rangaistus tietomurrosta säädetään rikoslain 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä.
15 luku Voimaantulo ja siirtymäsäännökset
101 §. Voimaantulo. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian hyväksymisen jälkeen. Lailla kumottaisiin asiakastietolaki sekä sosiaalihuollon asiakasasiakirjalaki.
Liitteessä tarkoitettuja säilytysaikoja sovellettaisiin myös ennen lain voimaantuloa laadittuihin asiakirjoihin, huomioiden kuitenkin mitä valtionarkisto, arkistolaitos ja Kansallisarkisto ovat erikseen määränneet asiakirjojen arkistoinnista. Potilasasiakirjojen säilytysajat ovat pääsääntöisesti samat kuin nykyisin voimassa olevassa säädöksessä. Siltä osin kuin säilytysaikaa on lyhennetty, lyhentäminen perustuu asiakirjan arvioituun, käyttötarkoitukseen perustuvaan säilyttämisen tarpeeseen, joten on perusteltua soveltaa säilytysaikoja kaikkiin potilasasiakirjoihin. Vastaava koskee myös sosiaalihuollon asiakasasiakirjoja.
102 §. Siirtymäsäännökset. Siirtymäsäännösten avulla turvattaisiin riittävä toimeenpanoaika laista johtuvien uusien vaatimusten toteuttamiseksi. Siirtymäaikaa edellyttävät vaatimukset liittyvät valtakunnallisiin tietojärjestelmäpalveluihin sisältäen asiakas- ja potilastietojen tallentamisen määräajat. Siirtymäsäännöksissä säilytetään asiakastietolakiin sisältyvät siirtymäsäännökset siltä osin kuin niiden määräaika on 1.1.2024 jälkeen. Siirtymäajoilla asetetaan määräaika, mihin mennessä kaikkien palvelunantajien on toteutettava muutokset tietojärjestelmiinsä ja toimintaansa, tai mihin mennessä muutokset on toteutettava valtakunnallisiin tietojärjestelmäpalveluihin.
Pykälän 1 momentin mukaan 53 §:n mukainen tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä tulisi toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026. Siirtymäaikaa tarvitaan, jotta valtakunnallisiin tietojärjestelmäpalveluihin saadaan toteutettua kyseinen tietojen luovuttaminen sekä suostumuksen että 53 §:n mukaisen tiedonsaantioikeuden perusteella silloin, kun tiedot on oikeus saada ilman asiakkaan suostumusta. Siirtymäaika koskisi vain valtakunnallisia tietojärjestelmäpalveluita. Palvelunantajat voivat toteuttaa tiedonsaantioikeuden omassa toiminnassaan hyödyntäen omia tietojärjestelmiään tai muulla tavoin, joten siirtymäaika ei ole tarpeen. Tieto asiakkaan antamasta suostumuksesta voidaan tallentaa palvelunantajan omaan tietojärjestelmään, joten suostumukseen perustuvan tiedonsaantioikeuden toteuttaminen on mahdollista jo ennen kuin valtakunnallisen tietojärjestelmäpalvelujen toteutus on valmis.
Pykälän 2 momentin mukaan lain 59 §:n 2 momentin mukainen kaikkiin potilastietoihin ja työterveyshuoltoon kohdistuvaa kielto on otettava käyttöön viimeistään 1 päivänä tammikuuta 2024.
Pykälän 3 momentissa olisi siirtymäaika sosiaalihuollon palveluiden yhteydessä annettavan terveyspalvelun potilastietojen tallentamisesta potilasrekisteriin. Siirtymäaikaa olisi 1 päivään lokakuuta 2026 saakka, ja siirtymäaika olisi sama kuin velvoitteella aloittaa kyseisten potilastietojen tallentaminen valtakunnalliseen asiakastietovarantoon. Siirtymäaika on tarpeen mahdollisten tietojärjestelmämuutosten toteuttamiseksi niin, että kyseisissä palveluissa käytettävä tietojärjestelmä täyttää käyttötarkoituksensa mukaiset vaatimukset.
Pykälän 4 momentissa olisi siirtymäsäännös 60 §:n mukaiselle potilastietojen luovuttamiselle ulkomaisille palvelunantajille valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Siirtymäaikaa olisi 1.1.2025 asti.
Pykälän 5 momentissa olisi siirtymäsäännökset sosiaalihuollon palvelunantajien liittymisvelvoitteelle valtakunnallisiin tietojärjestelmäpalveluihin. Julkisen ja julkisen palvelunantajan lukuun toimivan palvelunantajan olisi liityttävä 1.9.2024 mennessä. Yksityisen palvelunantajan, joka tuottaa palvelua pelkästään asiakkaiden kanssa tekemiensä sopimusten perusteella, määräaika olisi 1.1.2026. Säännös kuitenkin mahdollistaisi myöhemmän liittymisen ajankohdan siinä tilanteessa, että palvelunantajien tuottamien asiakirjojen tallentamisen 7 momentin mukainen määräaika olisi näitä liittymisvelvoitteen ajankohtia myöhemmin. Jos palveluntuottaja toteuttaa esimerkiksi ainoastaan lastensuojelun tai päihdehuollon palveluita, sen ei tarvitsisi liittyä ennen tallennusvelvoitteen alkamista.
Pykälän 6 momentti sisältäisi määräajat, mihin mennessä on alettava tallentaa valtakunnallisiin tietojärjestelmäpalveluihin niitä potilastietoja, joita ei vielä terveydenhuollon palvelunantajien liittymisvaiheessa tai aiemmin säädettyjen määräaikojen puitteissa ole tarvinnut vielä tallentaa.
Momentin 1 kohdan mukaan koulupsykologien laatimien asiakirjojen tallennus tulee aloittaa 1.3.2025 mennessä. Siirtymäaika on tarpeen, koska kunnallisten oppilaitosten koulupsykologit siirtyvät hyvinvointialueen järjestämisvastuulle 1.1.2023, ja kirjaamiskäytäntöjen ja tietojärjestelmien kehittämiseen tarvitaan riittävä toimeenpanoaika.
Momentin 2 kohdassa olisi voimassa olevan asiakastietolain mukainen siirtymäaika niille asiakirjoille, joiden määräaika on 1.10.2026. Kyse olisi sosiaalipalveluiden yhteydessä annettaviin terveyspalveluihin liittyvien potilasasiakirjojen, ajanvarausasiakirjan, seulontatutkimusten perusteella laadittavien laboratoriotulosten asiakirjoista sekä muita viranomaisia varten laadittavista todistuksista: ajoterveyteen liittyvät todistukset ja lomakkeet, tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet, lääkärinlausunto terveydentilasta (T-todistus), lääkärintodistus (TOD), lääkärintodistus C sekä kuolintodistus.
Momentin 3 kohdassa olisi voimassa olevan asiakastietolain mukainen siirtymäaika niille asiakirjoille, joiden tallentamisen määräaika on 1.10.2029. Kyse olisi hoitotyön päivittäismerkinnöistä sekä erilaisista kuva-aineistoista ja kuvantamistutkimuksiin liittyvistä tiedoista: seulontatutkimuksista syntyvät kuvantamisen asiakirjat, lääkinnällisillä laitteilla tuotettujen tutkimusten säteilyaltistustiedot, video- ja äänitallenteet sekä näkyvän valon kuvat, suun terveydenhuollon yksiköiden tallentamat kuvat sekä muut kuvat.
Näkyvän valon kuvia ovat esimerkiksi valokuvat, silmänpohjakuvat ja näkökenttäkuvat. Videotallenteisiin kuuluvat muut kuin radiologiset tallenteet, esimerkiksi ns. ultraäänikuvien ns. multi frame –kuvasarjat ja patologian näytelaseista otettavat kuvat. Seulontaan liittyvät kuvantamisen tallenteiden määräaika siirrettäisiin tähän kokonaisuuteen, koska valtakunnallisissa tietojärjestelmäpalveluissa on arvioitu olevan valmius kyseisten kuvien vastaanottamiseen vasta vuonna 2025, ja palvelunantajien toimeenpanolle on varattava riittävästi aikaa. Lakisääteisiä seulontana tehtäviä kuvantamistutkimuksia ovat mammografiatutkimukset. Muita kuvia voisivat olla terveydenhuollon ammattihenkilöiden laatimat esimerkiksi havainnekuvat, silloin kun ne on hoidon kannalta tarpeen tallentaa.
Pykälän 7 momentti sisältäisi määräajat sosiaalihuollon asiakastietojen tallennusvelvoitteen alkamiselle. Peruspalvelujen eli lapsiperheiden, työikäisten ja iäkkäiden palvelutehtävissä laadittavat asiakirjat olisi alettava tallentaa liittymisvaiheesta alkaen. Liittymisen määräajan jälkeen siirtymäaikoja olisi palvelutehtävittäin puolen vuoden välein siten, että 1.3.2025 mennessä olisi alettava tallentaa lastensuojelun palvelutehtävässä ja koulukuraattorin palveluissa syntyvät asiakirjat, 1.9.2025 mennessä vammaispalvelujen palvelutehtävässä syntyvät asiakirjat, 1.3.2026 mennessä päihdehuollon palvelutehtävässä syntyvät asiakirjat ja 1.9.2026 mennessä perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakirjat.
Koska yksityisillä, asiakkaan kanssa tehtyyn sopimukseen perustuvissa sosiaalipalveluissa palvelunantajan liittymisvelvoite on 1.1.2026, tulisi palvelunantajan aloittaa liittymisvaiheessa muiden paitsi päihdehuollon palvelutehtävissä syntyvien asiakirjojen tallentaminen. Perheoikeudellisten palvelutehtävien siirtymäaika ei koske yksityisiä palvelunantajia, koska kyseisiä palvelujen järjestämisestä vastaa julkinen palvelunantaja.
Pykälän 8 momentissa olisi määräaika, johon mennessä omatietovarantoon tallennettuja hyvinvointitietoja olisi voitava luovuttaa palvelunantajille. Määräaikaa olisi 1.1.2026 saakka. Määräaikaa pidennettäisiin voimassa olevan asiakastietolain mukaisesta, jotta Kansaneläkelaitos voisi toteuttaa omatietovarantoon tarvittavat muutokset samassa aikataulussa palvelunantajien kanssa.
Pykälän 9 momentissa säädettäisiin, milloin viimeistään valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja potilastietoja olisi alettava luovuttaa hyvinvointisovellusten avulla hyvinvointisovelluksia käyttävällä henkilölle. Potilastietojen siirtymäaikaa olisi 1.12.2024 saakka, ja määräaikaa esitetään pidennettäväksi vuodella voimassa olevaan asiakastietolakiin nähden. Reseptikeskukseen tallennettavien lääkemääräysten osalta siirtymäaikaa olisi kuitenkin 1.10.2027 asti. Siirtymäaika olisi siten sama kuin lääkemääräyslain mukaisella valtakunnallisen lääkityslistan käyttöönotolla. Tietojen luovutusten aloittaminen hyvinvointisovelluksille vasta lääkityslistan käyttöönoton jälkeen, kun reseptikeskuksen lääkemääräystiedot on saatu päivitettyä ajantasaiseksi, on tärkeää potilas- ja lääkitysturvallisuuden takia. Sosiaalihuollon asiakastietojen luovuttamiselle ei esitetä määräaikaa lainkaan, vaan Kansaneläkelaitos voisi toteuttaa toiminnallisuuden siinä aikataulussa, kun hyvinvointisovelluksilla olisi tarvetta saada kyseisiä tietoja.
Laista kumottaisiin sosiaalihuollon asiakastietojen käsittelyä, asiakasasiakirjoja, asiakastietojen luovuttamista sekä sosiaaliviranomaisen tiedonsaantioikeutta koskevat säännökset, jotka sisältyisivät sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaan lakiin. Lakiin lisättäisi viittaus esitettävään lakiin.
13 §. Asiakastietojen käsittelyä koskeva sääntely. Pykälän nykyinen otsikko ja sisältö kumottaisiin ja pykälässä olisi esityksen mukaan viittaus esitettävään asiakastietolakiin. Pykälän otsikko muutettaisiin sisältöä vastaavaksi. Koska asiakaslaista kumotaan kaikki asiakastietojen salassapitoa ja käsittelyä sekä asiakasasiakirjojen laatimista ja säilyttämistä koskeva sääntely, on siinä soveltamisen helpottamiseksi tarpeen olla kuitenkin viittaus lakiin, joista kyseisistä seikoista jatkossa säädettäisiin.
27 §. Tietosuojaa ja virka-apua koskevien säännösten soveltamisala. Pykälän 1 momenttia muutettaisiin siten, että niissä viittaisiin sosiaalihuollon asiakastietojen salassapitoa, tiedonsaantioikeuksia sekä tietojen luovuttamista koskevan sääntelyn osalta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettuun lakiin. Pykälän 2 ja 3 momentti kumottaisiin.
29 §. Rangaistusvastuu. Momentista poistettaisiin viittaus kumottavaksi esitettävään 20 §:ään. Rangaistusvastuu jäisi edelleen koskemaan 22 §:n 2 momentin mukaista virka-aputehtävään liittyvää tiedonantovelvoitetta.
Laista kumottaisiin potilastietojen käsittelyä, potilasasiakirjoja ja potilastietojen luovuttamista koskevat säännökset, jotka sisältyisivät sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaan lakiin. Lakiin lisättäisi viittaus esitettävään lakiin.
13 b §. Viittaus muuhun lainsäädäntöön. Pykälään lisättäisi uusi 2 momentti, jossa olisi potilastietojen salassapidon, potilastietojen käsittelyn sekä potilasasiakirjojen laatimisen ja säilyttämisen osalta viittaus esitettävään asiakastietolakiin. Koska potilaslaista kumotaan kaikki asiakastietojen salassapitoa ja käsittelyä sekä potilasasiakirjojen laatimista ja säilyttämistä koskeva sääntely, on siinä soveltamisen helpottamiseksi tarpeen olla kuitenkin viittaus lakiin, joista kyseisistä seikoista jatkossa säädettäisiin.
1 §. Lain tarkoitus. Pykälää ehdotetaan muutettavaksi siten, että lain tarkoituksena olisi lääkitysturvallisuuden parantaminen lääketurvallisuuden sijasta. Lain tarkoituksena on parantaa lääkkeiden käytön turvallisuutta potilaalla. Lailla sähköisestä lääkemääräyksestä ei siten edistetä lääketurvallisuutta, vaan lääketurvallisuutta edistetään muilla keinoilla, esimerkiksi lääkkeiden myyntilupamenettelyllä, lääkevarmennusjärjestelmällä ja lääkkeiden asianmukaisella jakelulla.
Pykälään ehdotetaan lisättäväksi myös, että lääkemääräysten lisäksi niihin liittyvät merkinnät voidaan tallettaa reseptikeskukseen. Lääkemääräykseen liittyvillä merkinnöillä tarkoitetaan esimerkiksi lääkemääräyksen toimittamis- ja lopettamismerkintöjä.
2 §. Lain soveltamisala. Pykälään ehdotetaan lisättäväksi, että laissa säädettäisiin lääkemääräyksen lisäksi lääkemääräykseen liittyvistä merkinnöistä ja valtakunnallisesta lääkityslistasta. Merkinnöillä tarkoitetaan esimerkiksi lääkemääräyksen lopettamismerkintää ja apteekin lääkemääräykseen tekemiä toimitusmerkintöjä.Pykälään lisättäisiin viittaus sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettuun lakiin (asiakastietolaki). Lääkemääräykset olisivat potilasasiakirjoja, joiden käsittelyssä sovellettaisiin asiakastietolakia, ellei laissa sähköisestä lääkemääräyksestä säädettäisi niiden käsittelystä.
3 §. Määritelmät. Kohdan 4 määritelmää reseptikeskuksesta ehdotetaan muutettavan siten, että reseptikeskus olisi jatkossa tietokannan sijaan tietovaranto, jotta käsitteistö on yhdenmukaista asiakastietolain kanssa. Reseptikeskuksen tietosisältöihin lisättäisiin myös lääkehoidon toteuttamista koskevat tiedot. Kohta 7) sähköinen allekirjoitus ehdotetaan poistettavaksi. Sähköisestä allekirjoituksesta säädettäisiin asiakastietolain 22 §:ssä. Kohta 8) pkv-lääkkeen määritelmää ehdotetaan muutettavan siten, että b) ja c) –kohtien sana ja muutettaisiin sanaksi tai. Pkv-lääkkeellä tarkoitettaisiin siten lääkevalmistetta, joka täyttäisi joko a, b tai c kohdan.
Kohtaan 5, joka on aiemmin kumottu, ehdotetaan lisättäväksi valtakunnallisen lääkityslistan määritelmä. Valtakunnallinen lääkityslista tarkoittaisi potilaskohtaista yhteenvetoa, joka koostettaisiin reseptikeskukseen tallennetuista lääkemääräyksistä ja niihin liittyvistä merkinnöistä. Valtakunnallinen lääkityslista tulisi hakea potilastietojärjestelmiin reseptikeskuksesta, jotta sen avulla voidaan selvittää ajantasainen tieto potilaalle määrätyistä lääkkeistä.
Pykälään ehdotetaan lisättäväksi uusi kohta 5 a, jossa määriteltäisiin käytössä oleva lääke. Sillä tarkoitettaisiin potilaalle lääkemääräyksellä määrättyä lääkettä, jonka käyttöä ei ole lopetettu lopettamismerkinnällä. Valtakunnallinen lääkityslista potilaan käytössä olevista lääkkeistä koostetaan niistä reseptikeskukseen tallennetuista lääkemääräyksistä, jotka potilaalle on määrätty ja joita ei ole merkitty lopetetuiksi.
4 §. Potilaan informoiminen. Pykälässä säädettäisiin, että potilaalle on annettava tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Pykälään lisättäisiin viittaus asiakastietolain 68 §:ään, jossa säädettäisiin, miten tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista olisi annettava potilaalle. Pykälän 2 ja 3 momentti ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisinä.
5 §. Lääkemääräyksen laatiminen. Pykälään ehdotetaan lisättäväksi selvyyden ja voimaan tulon porrastamisen vuoksi uusi ensimmäinen momentti. Samalla muutettaisiin koko pykälää uuden momenttijärjestyksen takia. Uuden momenttijärjestyksen vuoksi voimassa olevan pykälän 1 momentti ehdotetaan siirrettävän 2 momentiksi, 2 momentti 3 momentiksi ja 3 momentti 4 momentiksi.
Pykälän uudeksi ensimmäiseksi momentiksi ehdotetaan, että lääkkeen määrääjälle säädetään velvoite, jonka mukaan määrättäessä potilaalle lääkettä lääkkeen määrääjän olisi haettava tiedot potilaan käytössä olevasta ajantasaisesta lääkityksestä reseptikeskuksesta. Tarkistamisvelvollisuus on voimassa olevassa laissa sähköisestä lääkemääräyksestä vapaaehtoinen. Tällä pyrittäisiin siihen, että lääkkeen määrääminen perustuisi ajantasaisiin tietoihin potilaan lääkityksestä. Potilaan käytössä oleva lääkitys olisi tarkistettava valtakunnalliselta lääkityslistalta, jollei tarkistaminen olisi tilapäisen teknisen häiriön vuoksi mahdotonta. Valtakunnallinen lääkityslista sisältäisi ajantasaiset tiedot potilaalle määrätyistä lääkkeistä, niiden annostuksesta ja käyttötarkoituksesta sekä apteekkien tekemistä lääketoimituksista.
Lääkkeen määrääjän tulisi huomioida käytössä oleva lääkitys paitsi lääkemääräystä laatiessaan, myös uudistaessaan potilaalle aiemmin laaditun lääkemääräyksen. Tällä tavoin potilaan lääkehoidon kokonaisuus tulisi huomioiduksi jokaisella lääkkeen määräämiskerralla ja lääkkeen määrääjä voisi varmistua nykyistä paremmin, ettei määrättävällä lääkkeellä ole yhteisvaikutuksia potilaalle määrättyjen muiden lääkkeiden kanssa. Lääkityksen kokonaisuuden huomiointi pienentäisi myös riskiä määrätä tahattomasti tarpeettomia tai rinnakkaisia lääkemääräyksiä. Näin pyrittäisiin estämään esimerkiksi lääkkeiden väärinkäyttöä erityisesti pkv- ja huumausainelääkkeiden osalta. Lääkkeen määrääjän olisi myös helpompi huomioida, jos jokin toinen lääkityslistalla oleva lääkemääräys olisi toimitettu kokonaan tai lääkemääräys olisi vanhentunut.
Edellyttämällä potilaalle aiemmin määrättyjen lääkkeiden tarkistamista varmistettaisiin esimerkiksi, että lääkkeen määrääjä huomioi lääkkeen valinta- ja aloitusvaiheessa mahdolliset haitalliset yhteisvaikutukset aiemmin määrättyjen lääkkeiden kanssa eikä erehdyksessä määräisi päällekkäisiä lääkkeitä. Tarkistamisesta ei kuitenkaan tarvitsisi tehdä erillistä merkintää, eikä tarkistaminen tarkoittaisi vastuunottoa potilaalle aiemmin määrätyistä lääkkeistä.
Voimaantulosäännöksen yhteydessä esitetään siirtymäaikaa velvoitteelle tarkistaa potilaalle aiemmin määrätyt lääkkeet lääkemääräystä laadittaessa. Siirtymäaika on tarpeen tietojärjestelmätoteutusten ja uusien tietojärjestelmäversioiden käyttöönottojen riittävän toimeenpanoajan varmistamiseksi. Muutokset on toteuttava sekä reseptikeskukseen että lääkkeen määrääjien käyttämiin tietojärjestelmiin.
Pykälän 2 ja 3 momenttiin ei ehdoteta sisällöllisiä muutoksia.
Pykälän 4 momenttiin ehdotetaan lisättäväksi, että puhelinmääräystä ei saisi uudistaa ja että se olisi voimassa enintään kolme kuukautta, koska puhelinmääräyksellä määrättyä lääkettä ei voida teknisesti liittää potilaalle aiemmin määrättyyn lääkkeeseen (lääkejatkumo). Tämän vuoksi puhelinmääräyksellä jo aiemmin käyttöön määrätty lääke näkyisi kahteen kertaan esimerkiksi listalla potilaan käytössä olevista lääkkeistä.
5 a §. Sairaanhoitajan, farmaseutin ja proviisorin oikeus kirjata annostusmuutoksia. Lakiin ehdotetaan lisättäväksi uusi pykälä, jossa säädettäisiin sairaanhoitajan, farmaseutin ja proviisorin oikeudesta kirjata muutoksia lääkemääräyksen annostusohjeeseen. Lääkkeen määrääjän vastuu lääkkeen määräämisestä ja annostuksesta säilyisi entisellään. Tieto lääkkeenmäärääjästä ja annostusohjeen muutoksesta määränneestä tulee aina näkyä lääkemääräyksellä. Sairaanhoitajalla, farmaseutilla ja proviisorilla olisi oikeus muuttaa vain lääkemääräyksen annostusohjetta, ei esimerkiksi lääkettä tai lääkkeen vahvuutta. Lääkkeen annostusohjeen muuttaminen olisi sallittua lääkkeen määrääjän potilaalle ennalta laatiman lääkehoitosuunnitelman puitteissa ja rajattaisiin tilanteisiin, joissa lääkkeen määrääjä olisi sallinut sairaanhoitajan, farmaseutin ja proviisorin annostusmuutokset potilaan lääkemääräyksen tehtävällä merkinnällä. Koska tavoitteena on mahdollistaa ajantasainen valtakunnallinen lääkityslista, on esityksessä tarpeen mahdollistaa myös lääkkeiden annostelun ajantasaisuutta ylläpitävät ja varmistavat toimenpiteet.
Lääkehoitosuunnitelmassa lääkkeen määrääjän tulisi määrittää ennalta rajat, minkä mukaan sairaanhoitaja voisi muuttaa lääkkeen annostusta. Siten sairaanhoitaja, farmaseutti tai proviisori voisi tosiasiallisesti muuttaa annosta turvallisella ja asianmukaisella tavalla.
Oikeus tehdä annostusmuutoksia olisi ainoastaan palvelunantajien nimeämillä sairaanhoitajilla, farmaseuteilla ja proviisoreilla. Siten säännös mahdollistaisi moniammatillisen yhteistyöhön perustuvia toimintamalleja, joissa voidaan hyödyntää eri ammattiryhmien osaamista ja resursseja parhaimmaksi katsottavilla tavoilla. Sairaanhoitajalla tarkoitetaan tässä yhteydessä laillistettua sairaanhoitajaa, joten säännös koskee myös niitä terveydenhoitajia ja kätilöitä, jotka on laillistettu myös sairaanhoitajaksi. Ennen vuotta 2002 laillistukset myönnetty erikseen, joten kaikilla terveydenhoitajilla ja kätilöillä ei automaattisesti ole kyseistä laillistusta. Nykyisin terveydenhoitajat ja kätilöt laillistetaan suoraan myös sairaanhoitajaksi.
Muutosoikeuden taustalla on nykykäytäntö, jossa potilasta hoidetaan moniammatillisissa ryhmissä. Käytäntö on vakiintunut etenkin hoidettaessa syöpätauteja. Lain muutoksella haluttaisiin vahvistaa laissa määritellyin edellytyksin edellä mainittujen tilanteiden vakiintunut käytäntö siten että ajantasainen tieto lääkkeen annostuksesta olisi saatavilla lääkityslistan kautta. Nykytilanteessa hoitaja kirjaa potilaan annostuksen potilasasiakirjoihin, joista se ei välity lääkemääräyksiin eikä esimerkiksi apteekin tietoon. Esityksessä ehdotetaan, että sairaanhoitaja, farmaseutti tai proviisori kirjaisi annostusmuutoksen reseptikeskukseen tallennettavalla lääkemääräyksellä. Oikeus edesauttaisi ajantasaisen ja oikean annoksen näkymistä reseptikeskuksessa ja sitä kautta myös apteekissa. Tämä edistäisi tarkoituksenmukaista lääkehoitoa, kun todellinen annos näkyisi lääkkeen käyttäjälle toimitettavassa lääkepakkauksessa. Ehdotettu muutos tukisi myös sitä, että apteekissa olisi lääkettä toimitettaessa tieto potilaan käytössä olevasta annostuksesta.
Ehdotuksella ei estettäisi mahdollisuutta jatkossakin määrätä lääkkeitä, joissa annostus määräytyy erillisen annostusohjeen mukaan. Siten ehdotus ei muuta esimerkiksi varfariiniannostuksen säätämistä INR-arvon mukaisesti.
Sosiaali- ja terveysministeriölle säädettäisiin asetuksenantovaltuutus, jonka mukaan asetuksella annettaisiin tarkemmat säännökset siitä, millä edellytyksillä ja millaisiin tilanteisiin sairaanhoitajille, farmaseutille ja proviisorille voitaisiin antaa annostusmuutoksia koskeva kirjaamisoikeus. Asetuksella voitaisiin esimerkiksi säätää, mitä lääkkeitä ja mitä potilasryhmiä kirjaamisoikeus koskisi, minkälaisia perehdytys-, osaamis- ja koulutusvaatimuksia kirjaamisoikeus edellyttäisi ja edellyttääkö kirjaamisoikeus kirjallista lääkelupaa.
6 §. Lääkemääräyksen tietosisältö. Pykälän 1 momentin 6 kohtaan ehdotetaan lääkemääräyksen tunnisteen oheen lisättäväksi käytössä olevan lääkkeen tunniste. Käytössä olevan lääkkeen tunnisteella liitettäisiin hoidollisesti vastaavien lääkkeiden lääkemääräykset toimitusmerkintöineen reseptikeskuksessa yhteen (lääkejatkumoiksi). Hoidollisesti vastaavien lääkkeiden lääkemääräysten liittäminen yhteen selkeyttäisi potilaan lääkityksen tarkastelua sekä mahdollistaisi potilaan lääkityshistorian sekä lääkkeenkäytön paremman seurannan.
Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että säätää-verbin sijasta käytettäisiin ilmausta antaa tarkempia säännöksiä. Lisäksi momenttiin lisättäisiin viittaus asiakastietolain 20 §:ään, jossa säädettäisiin terveyden ja hyvinvoinnin laitoksen valtuudesta antaa määräyksiä valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen tietosisällöistä ja tietorakenteista.
7 §. Lääkemääräyksen allekirjoittaminen ja järjestelmävarmenteet. Pykälää ehdotetaan muutettavan kokonaisuudessaan. Pykälän 1 momenttiin ehdotetaan lisättäväksi viittaus asiakastietolain 22 §:ään, jossa säädettäisiin asiakirjojen eheyden, muuttumattomuuden ja kiistämättömyyden varmistamisesta ja valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen allekirjoituksesta. Momentissa säädettäisiin edelleen siitä, että sähköisessä lääkemääräyksessä tulisi olla sen laatijan todentava kehittynyt sähköinen allekirjoitus. Tämän lisäksi momenttiin siirrettäisiin voimassa olevan lain 10 §:ssä oleva säännös siitä, että lääkemääräyksen korjaaminen, mitätöiminen ja lopettaminen olisi allekirjoitettava sähköisesti. Ammattihenkilöiden luotettava tunnistamisessa ja sähköisessä allekirjoittamissa käytettävästä Digi- ja väestötietoviraston ylläpitämästä varmennepalvelusta säädettäisiin jatkossa asiakastietolain 65 § 3 momentissa.
Pykälän 2 momenttiin ehdotetaan lisättävän säännös, jonka mukaisesti Sosiaali- ja terveysalan lupa- ja valvontaviraston ylläpitämästä rooli- ja attribuuttipalvelusta tulisi tarkastaa tieto lääkkeen määrääjän ammattioikeuden voimassaolosta ja siitä, onko lääkkeen määrääjän lääkkeenmääräämisoikeutta rajoitettu Sosiaali- ja terveysalan lupa- ja valvontaviraston päätöksellä. Digi- ja väestötietoviraston ammattihenkilöille myöntämät varmenteet perustuvat ammattioikeuksiin, ja ammattioikeuden menettämisen seurauksena varmenne laitetaan niin sanotulle sulkulistalle eikä sitä enää voi käyttää ammattioikeuden todentamiseen. Lisäksi tietojärjestelmä tulisi toteuttaa siten, että sen olisi tarkistettava rooli- ja attribuuttipalvelusta ammattioikeuden voimassaolo ja ammattioikeuden rajoitukset. Rajoitus voi liittyä esimerkiksi tietyn lääkevalmisteen määräämiseen tai siihen, että lääkäri saa määrätä lääkkeitä vain julkisessa terveydenhuollossa. Ammattioikeuden ja rajoitusten tarkistamisen vaatimus vastaa nykyistä toimintamallia, josta on säädetty asetuksessa sähköisestä lääkemääräyksestä (458/2008).
Voimassa olevan lain 7 § 2 momentissa on asetuksenanto-oikeus lääkkeen määrääjän lääkkeenmääräämisoikeuden varmentamisesta ja sen toteuttamisesta. Ammattioikeuden ja rajoitusten tarkistamisesta säädetään asetuksessa sähköisestä lääkemääräyksestä. Nämä säännökset esitettäisiin nyt siirrettäväksi 7 § 2 momenttiin, johon ehdotetaan lisättävän, että lääkkeen määräämiseen käytettävä tietojärjestelmä tulee toteuttaa siten, että sen olisi tarkistettava ennen lääkemääräyksen allekirjoittamista lääkkeenmäärääjän ammattioikeuden voimassaolo ja ammattioikeuden rajoitukset Sosiaali- ja terveysalan lupa- ja valvontaviraston ylläpitämästä rooli- ja attribuuttipalvelusta. Ehdotus vastaisi tältä osin nykyistä käytäntöä. Ammattioikeuden rajoitus voi liittyä esimerkiksi tietyn lääkevalmisteen määräämiseen tai siihen, että lääkäri saa määrätä lääkkeitä vain julkisessa terveydenhuollossa.
9 §. Potilasohje. Pykälää ehdotetaan muutettavaksi siten, että potilasohjeessa tulisi olla potilaalle määrätyn lääkkeen tunniste lääkemääräyksen tunnisteen lisäksi. Mikäli lääkkeen ostaja pyytää apteekissa lääkettä toimitettavaksi potilasohjetta käyttäen apteekki voisi hakea voimassa olevan lääkemääräyksen käyttämällä potilasohjeessa olevaa lääkkeen tunnistetta. Potilasohjeen määrää ehdotetaan täsmennettäväksi siten, että kyse on lääkemääräyksellä toimitettavasta lääkkeen määrästä. Potilasohjeessa ei tulisi olla tietoa 13 §:n mukaisesta kiellosta.
Pykälän 1 momenttiin ehdotetaan muutettavaksi, että potilaalle voitaisiin antaa kooste valtakunnallisesta lääkityslistasta tai vastaavat tiedot lääkemääräyksistä lääkemääräysten sijaan. Vastaavat tiedot lääkemääräyksistä on annettava siirtymäaikana ennen kuin valtakunnallinen lääkityslista olisi käytössä. Koosteella voisi olla tieto potilaan käytössä olevista lääkkeistä sekä pyynnöstä myös lopetetuista lääkkeistä. Kooste voidaan antaa paperisena tulosteena tai muulla vastaavalla saavutettavalla tavalla.
Pykälän 2 momentissa on säädetty sosiaali- ja terveysministeriön mahdollisuudesta antaa tarkempia säännöksiä potilasohjeen ja yhteenvedon sisällöstä sekä syistä, joiden perusteella potilasohjetta ei tarvitse antaa potilaalle. Sosiaali- ja terveysministeriö ei ole antanut pykälän 2 momentin nojalla asetusta, joten 2 momenttia ehdotetaan kumottavaksi.
10 §. Lääkemääräyksen korjaaminen, lopettaminen, mitätöiminen ja uudistaminen. Otsikkoa ehdotetaan korjattavaksi siten, että lääkemääräyksen yhteydestä poistettaisiin sana lopettaminen ja täsmennettäisiin, että kyse on lääkkeen käytön lopettamista koskevasta lääkkeen määrääjän tekemästä merkinnästä. Lopettamismerkintä tehtäisiin lääkkeeseen, ei lääkemääräykseen. Tällainen merkintä lopettamisesta pitäisi tehdä esimerkiksi silloin kun tarve lääkkeen käyttöön olisi päättynyt tai kun kysymyksessä olisivat lääkkeen käytöstä aiheutuneet haittavaikutukset. Ehdotettu otsikko olisi muutetussa muodossaan Lääkemääräyksen korjaaminen, mitätöiminen ja uudistaminen sekä lääkkeen käytön lopettamista koskeva merkintä.
Esityksessä ehdotetaan, että lääkkeen määrääjän ja lääkkeen toimittajan yhteisymmärryksessä tapahtuva lääkemääräyksen mitätöinti kumotaan pykälän 2 momentista. Yhteisymmärryksessä tehtävää mitätöintiä on käytetty tilanteissa, joissa potilaalle määrätyn lääkkeen käyttö on päätetty lopettaa tai tilanteissa, joissa potilaalla on ollut useampi lääkemääräys samasta lääkkeestä. Esityksen mukaan mitätöinnin sijasta käytettäisiin lopettamismerkintää. Lopettamismerkintä päättäisi lääkemääräyksen voimassaolon ja poistaisi lääkkeen käytössä olevien lääkkeiden listalta.
Mitätöinti olisi edelleen mahdollista, jos lääkemääräys olisi laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla. Momenttia täsmennettäisiin siten, että ainoastaan toimittamaton tai osittain toimitettu lääkemääräys voitaisiin mitätöidä ja mitätöinnin jälkeen lääkkeen aiempi lääkemääräys tulisi voimaan sellaisena kuin se on ollut mitätöintihetkellä. Siten, jos lääkemääräyksellä olisi toimitettavaa lääkettä ja lääkemääräys olisi voimassa, sillä voisi toimittaa apteekista lääkemääräyksen mukaan lääkettä.
Pykälän 3 momentissa lääkemääräyksen uudistamista ehdotetaan muutettavaksi siten, että uusi lääkemääräys päättäisi aiemman lääkemääräyksen voimassaolon. Tämä mahdollistaisi sen, että kustakin potilaalle määrätystä lääkkeestä olisi voimassa vain yksi lääkemääräys. Momentissa ehdotetaan myös, että terveydenhuollon toimintayksikkö muutettaisiin terveydenhuollon palvelunantajaksi. Momenttiin on täsmennetty, että lääkkeenmäärääjä voi estää lääkemääräyksen uudistamispyynnön tekemisen uudistamisen sijaan.
Pykälän 4 momentissa esitetään, että lääkkeen määrääjän tulisi tallentaa merkintä lääkkeen lopettamisesta reseptikeskukseen. Lopettamismerkinnän avulla voidaan erottaa potilaan käytössä olevat lääkkeet ja potilaan käytössä aikaisemmin olleet lääkkeet (lopetetut lääkkeet). Lopettamismerkinnän voisi tehdä siirtymäaikana myös palvelunantajan nimeämä sairaanhoitaja, farmaseutti tai proviisori tai apteekissa lääkkeen toimittamiseen oikeutettu. Oikeus olisi ainoastaan, jos lääkemääräys olisi ilmeisen tarpeeton eikä sillä olisi käytössä olevan lääkkeen tunnistetta (lääkemääräys on tallennettu ”vanhalla rakenteella” ennen valtakunnallisen lääkityslistan käyttöönottoa ja se ei liittyisi käytössä olevaan lääkkeeseen).
Lääkkeen lopettamisen kirjaaminen on edellytys ajantasaisen lääkityslistan ylläpidolle. Lääkkeen käytön lopettamismerkintä vähentäisi epäselviä tilanteita esimerkiksi lääkkeen toimittamisen yhteydessä. Lisäksi menettelytapa parantaisi lääkitysturvallisuutta ja selkeyttäisi kokonaislääkityksen hallintaa. Nykyisin tieto lääkkeen lopettamisesta tallennetaan ainoastaan potilaskertomukseen, koska reseptikeskukseen tieto voidaan tallentaa ainoastaan mitätöimällä lääkemääräys tai asettamalla uudistamiskielto. Nämä eivät varsinaisesti ole tarkoitettu lääkkeen lopettamisen kirjaamiseen. Erillinen lopettamismerkintä, joka päättää samalla lääkemääräyksen voimassaolon, on selkeästi ymmärrettävä ja helppo tapa ylläpitää tiedot ajantasaisina valtakunnallisella lääkityslistalla.
Lopettamismerkintää ei kuitenkaan käytettäisi tilanteissa, joissa lääke tilapäisesti halutaan tauottaa tai keskeyttää. Näissä tilanteissa tieto tauotuksesta tallennetaan reseptikeskukseen Terveyden ja hyvinvoinnin laitoksen määrittelyjen mukaisesti annostustietojen avulla. 11 §. Apteekin tiedonsaantioikeus. Esityksessä ehdotetaan, apteekilla olisi oikeus saada reseptikeskuksesta tiedot valtakunnallisesta lääkityslistasta tai potilaan käyttöön määrätyistä lääkkeistä ja niihin liittyvistä merkinnöistä. Koska valtakunnallinen lääkityslista otetaan käyttöön vasta siirtymäajan jälkeen, tulee apteekin saada siirtymäaikana tiedot lääkemääräyksistä ja niihin liittyvistä merkinnöistä, joihin lääkityslista tulisi perustumaan. Tiedonsaantioikeus edellyttäisi potilaan tai hänen puolestaan toimivan pyyntöä. Pykälästä poistettaisiin vaatimus, että pyyntö pitäisi esittää suullisesti. Potilas tai hänen puolestaan toimiva henkilö voisivat esittää pyynnön myös muulla tavoin. Oleellista olisi, että tietojen käsittely perustuisi asiakkaan pyyntöön.
Apteekin tiedonsaantioikeutta ehdotetaan muutettavaksi siten, että apteekilla olisi oikeus saada tiedot valtakunnallisesta lääkityslistasta tai vastaavat tiedot potilaan käyttöön määrätyistä lääkkeistä jokaisen lääkkeen toimituksen yhteydessä. Pykälän ensimmäisestä momentista kumottaisiin kohdat 1-3. Apteekilla on myös velvollisuus osaltaan huolehtia lääkehoidon turvallisuudesta, eikä tämä ole mahdollista ilman, että apteekki saa tarvittavat tiedot. Se, että apteekilla on näkyvyys lääkettä toimittaessaan myös muihin asiakkaan käytössä oleviin, antaa apteekin farmaseuttiselle henkilöstölle mahdollisuuden yksilöllisempään lääkeneuvontaan ja edistää näin rationaalisen lääkehoidon toteuttamista.
Samoin väärinkäytettävien lääkkeiden osalta laajempi tiedonsaantioikeus helpottaisi lääkkeiden käytön kontrollointia ei-korvattavien pkv-lääkkeiden sekä pkv- ja huumausainelääkkeisiin kuulumattomien valmisteiden kohdalla. Lisäksi asiakas pyytää usein tietyn vaivan lääkkeitä ja näiden lääkkeiden lääkemääräykset saattavat olla vanhentuneita. Tällöin lääkityslistan mukainen käyttöön määrättyjen lääkkeiden näkeminen helpottaa tilanteen selvittämistä.
Pykälän 3 momentissa apteekin tiedonsaantioikeuden kohde muutettaisiin tallennetuista lääkemääräyksistä valtakunnalliseen lääkityslistaan tai reseptikeskukseen tallennetuista potilaan käyttöön määrätyiksi lääkkeiksi. Apteekkien tiedonsaantioikeutta lääkitystä koskevan tiedon osalta yhdenmukaistettaisiin terveydenhuollon palvelunantajien kanssa. Muutoksella varmistettaisiin apteekille tarpeellinen tiedonsaanti potilaalla käytössä olevista lääkkeistä ja niihin liittyvistä lääkemääräyksistä.
12 §. Lääkemääräyksen toimittaminen. Esityksessä täsmennetään, että lääkkeen ostajalle saataisiin antaa kooste, jossa saa potilaan suostumuksella olla tiedot potilaan valtakunnallisesta lääkityslistasta tai vastaavat tiedot lääkemääräyksistä. Selvityksestä potilas pystyisi näkemään käytössään olevan ajantasaisen lääkityksen sekä lääkkeistä laaditut lääkemääräykset. Selvityksessä voisi pyynnöstä olla tiedot myös lopetetuista lääkkeistä. Selvityksen antaminen edellyttäisi edelleen potilaan suostumusta.
Pykälän 3 momenttiin lisättäisiin viittaus lain 7 §:n 2 momenttiin, jossa säädetään ammattioikeuden ja sen mahdollisten rajoitusten tarkistamisesta.
13 §. Potilaan oikeus määrätä tietojen luovuttamisesta. Pykälän 1 momenttia muutettaisiin niin, että siinä käytettäisiin valtakunnallisen lääkityslistan käsitettä lääkemääräysten ja niihin liittyvien merkintöjen sijasta. Lisäksi 1 momentin kielto-oikeutta ehdotetaan muutettavaksi siten, että potilas saisi kieltää hänelle määrättyyn lääkkeeseen liittyvien tietojen luovuttamisen terveydenhuollon ja sosiaalihuollon palvelunantajille ja lääkkeen määrääjälle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Kiellon olisi kohdistuttava lääkkeeseen liittyviin tietoihin lääkemääräyksen sijasta, koska lääkemääräykset järjestäytyisivät reseptikeskuksessa peräkkäin jatkumoon. Kielto olisi voitava kohdistaa myös aikaisemmin määrättyyn lääkemääräykseen, jossa ei ole käytössä olevan lääkkeen tunnistetta ja joka ei kuulu jatkumoon. Lääkemääräykseen kohdistuva kielto ei olisi riittävä, koska potilaan aikaisemmat lääkemääräykset jäisivät näkyviin reseptikeskukseen. Vastaava muutos lääkemääräyksestä potilaalle määrättyyn lääkkeeseen liittyviin tietoihin tehtäisiin pykälän 3 momenttiin. Pykälän 1 momenttiin ehdotetaan lisättäväksi viittaus asiakastietolain 58 §:ään, joissa säädettäisiin kiellon antamisesta ja peruuttamisesta.
Koska 13 §:n 4 momenttia ehdotetaan muutettavaksi kokonaisuudessaan, samassa yhteydessä esitetään momentin kohtien numeroinnin muuttamista. Palvelunantajan tiedonsaantioikeudesta potilaan kiellosta huolimatta säädetään voimassa olevan momentin 4 a kohdassa, jota ehdotetaan siirrettäväksi uudeksi 5 kohdaksi. Tästä muutoksesta johtuen momentin jäljempänä olevien kohtien numerointi muuttuu myös kohtien 6 ja 7 osalta. Niitä ehdotetaan uusiksi 7 ja 8 kohdiksi.
Pykälän 3 viittaus potilaslain 9 §:n 2 momentista muutettaisiin asiakastietolain 51 §:ään, jossa säädettäisiin tilanteista, joissa alaikäisellä on oikeus käyttää kielto-oikeutta.
Pykälän 4 momentin 2 kohdassa säädettäisiin pkv- ja huumausainelääkkeisiin liittyvistä merkinnöistä toimitustietojen sijasta. Pykälän 3 kohdassa toimintayksikkö muutettaisiin palvelunantajaksi.
Pykälän 4 momentin 4 kohtaan lisättäisiin ”sekä 5 a §:n perusteella sairaanhoitajan, farmaseutin tai proviisorin reseptikeskukseen tallentamista”, jotta lääkkeen määrääjä saisi tiedon hoitosuhteesta riippumatta niistä lääkemääräyksistään, joihin sairaanhoitaja, farmaseutti tai proviisori olisi kirjannut annostusohjeen muutoksia.
Pykälän 4 momentin ehdotettuun kohtaan 6 on lisäksi tehty kielellinen täsmennys.
Pykälän 5 ja 6 momentti ehdotetaan kumottavaksi. Käyttöoikeudesta asiakastietoon sekä potilastietojen saamisesta hyvinvointisovelluksen kautta säädetään esitettävässä asiakastietolaissa.
14 §. Kieltoasiakirja. Pykälään 1 momenttiin ehdotetaan viittausta asiakastietolain 58 §:n 3 momenttiin, jossa säädettäisiin kieltoasiakirjasta. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että kiellon kohteena olisi lääkemääräyksen lisäksi potilaalle määrätty lääke. Pykälässä säädettäisiin lisäksi siitä, että tulosteessa olisi luetteloitava lääkemääräykset ja lääkkeet, joista ei saa luovuttaa tietoja sekä tieto tehdyn kiellon merkityksestä. Muilta osin pykälä ehdotetaan kumottavaksi.
16 §. Potilaan tiedonsaantioikeus ja reseptikeskuksessa olevien virheellisten tietojen oikaiseminen. Pykälä ehdotetaan kumottavaksi. Potilaan oikeudesta tutustua itseään koskeviin tietoihin ja tietojen oikaisusta säädetään tietosuoja-asetuksessa. Potilaan oikeudesta saada lokitietojen perusteella tiedot hänen tietojensa käsittelystä säädetään esitettävässä asiakastietolaissa.
16 a §. Tahdonilmaisupalvelu. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
17 §. Kansalaisen käyttöliittymä. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
19 §. Tietojen säilyttäminen. Pykälä ehdotetaan kumottavaksi.
20 §. Sähköisen lääkemääräyksen tietotekninen toteutus. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
22 a §. Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
22 b §. Tietoturvasuunnitelma. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
23 §. Sosiaali- ja terveydenhuollossa luovutettavat lääkkeet. Pykälän 2 momentti ehdotetaan kumottavaksi.
24 §. Ohjaus, seuranta ja valvonta. Pykälän 1 momentista poistettaisiin maininta Digi- ja väestötietoviraston hoitaman varmennepalvelun ohjauksen kuulumisesta sosiaali- ja terveysministeriön ja valtiovarainministeriön vastuulle yhteisesti. Muutos vastaa asiakastietolakiin ehdotettua muutosta. Pykälän 5 momentti ehdotetaan kumottavaksi.
25 §. Maksut. Pykälä ehdotetaan kumottavaksi asiakastietolain kanssa päällekkäisenä.
26 §. Rangaistus- ja viittaussäännökset. Pykälän otsikointia ehdotetaan muutettavan siten, että se olisi jatkossa Rangaistussäännökset.
7.5 Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 11 ja 55 §:n muuttamisesta
11 §. Organisaatioiden vastuut palveluista. Pykälän 1 momentin 2 kohtaan tehtäisiin lakitekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
55 §. Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet. Pykälän 5 momentti päivitettäisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
2 §. Pykälän 2 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia, jäljempänä asiakastietolaki.
34 §. Potilasta koskevien tietojen käyttö tutkimuksessa. Pykälän 1 momentissa olisi viittaus asiakastietolakiin, jonka 61 §:ssä säädetään tiedonsaantioikeudesta terveydenhuollon palvelunantajanpotilastietoihin kliinisen lääketutkimuksen toteuttamista varten. Palvelunantajalla tarkoitetaan julkista ja yksityistä organisaatiota, joka järjestää ja toteuttaa terveyspalveluja, esimerkiksi hyvinvointialuetta.
Pykälän 2 momentin mukaan kliinisen lääketutkimuksen toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen jäsenellä olisi salassapitosäännösten estämättä ja sen estämättä, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019 säädetään, oikeus saada Terveyden ja hyvinvoinnin laitokselta potilasta koskevat tiedot, jos tiedot ovat välttämättömiä tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi. Potilasta koskevat tiedot olisivat Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdassa tarkoitettuja tietoja.
Pykälän 3 momentin mukaan 1 ja 2 momentissa tarkoitettujen potilasta koskevien tietojen käsittelyssä käytettävien tietojärjestelmien tulisi täyttää tietoturvavaatimukset, joista säädetään lääketutkimusasetuksessa ja sekä tietosuoja-asetuksessa. Lääkealan turvallisuus- ja kehittämiskeskus antaisi tarkempia määräyksiä tietoturvavaatimuksista. Kliinisestä lääketutkimuksesta annetun lain 26 §:n mukaisesti Lääkealan turvallisuus- ja kehittämiskeskus vastaa kliinisten lääketutkimuksen ohjauksesta ja valvonnasta, joten määräyksen antaminen tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista olisi yksi keino sen valvontaan liittyvien tehtävien toteuttamiseksi.
21 c §. Potilasasiakirjoihin sisältyvien tietojen käyttö tutkimuksessa. Lain 21 c §:n otsikko muutettaisiin kuvaamaan sitä, että pykälässä säännellään potilasta koskevien tietojen käyttöä tutkimuksessa, ei vain potilasasiakirjoihin sisältyvien tietojen käyttöä. Uusi otsikko olisi potilasta koskevien tietojen käyttö tutkimuksessa. 1 momentissa olisi viittaus sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaan lakiin, jonka 61 §:ssä säädetään palvelunantajan oikeudesta luovuttaa potilastietoja lääketieteelliseen tutkimukseen.
Pykälän 2 momentti olisi informatiivinen, ja sen mukaan palvelunantajalta saatujen potilastietojen käsittelyssä käytettävien tietojärjestelmien tulisi täyttää tietosuoja-asetuksen mukaiset tietoturvavaatimukset.
Pykälän 3-5 momentti kumottaisiin, koska niiden sisältämä sääntely sisältyisi uuteen sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaan lakiin
2 §. Tehtävät. Pykälän 1 momentin 4 b kohtaa täydennettäisiin siten, että Terveyden ja hyvinvoinnin laitoksen sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskeviin tehtäviin lisättäisiin maininta tietorakenteiden yhteensovittamisesta. Lisäksi uudeksi asiakastietojen käsittelyyn liittyväksi tehtäväksi esitetään valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen ja tietorakenteiden oikeellisuuden seurantaa yhteistyössä Kansaneläkelaitoksen kanssa. Siten laitos voisi tehtävässään hyödyntää Kansaneläkelaitoksen toteuttamaa tietojen käsittelyä, mikä mahdollistaisi tiedon laadun ja oikeellisuuden varmistamiseen liittyvien tehtävien tehokkaan toteuttamisen ja päällekkäisten ratkaisujen välttämisen. Uusi tehtävä on tarpeen, jotta valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen ja tietorakenteiden yhteentoimivuuden varmistamiseen saadaan uusia keinoja, jotta tietoja on mahdollista käsitellä eri käyttötarkoituksissa, joihin niitä lain mukaan saa käyttää. Terveyden ja hyvinvoinnin laitos voisi toteuttaa tehtävää ja kehittää siihen liittyviä menettelyjä resurssiensa puitteissa. Keskeinen käyttötarkoitus on Terveyden ja hyvinvoinnin laitoksen vastuulle kuuluvien tiedonkeruiden toteuttaminen, joissa tavoitteena on hyödyntää valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja tietoja erillisten tiedonkeruiden sijasta. Lisäksi tietojen ja tietorakenteiden oikeellisuus, samoin kuin laatu ja kattavuus, on edellytyksenä tietojen hyödyntämiselle sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019), jäljempänä toisiolaki, mukaisissa käyttötarkoituksissa.
5 §. Oikeus saada ja käsitellä tietoja. Pykälän 1 momenttiin esitetään lisättäväksi 2 §:n 1 momentin 4 b kohta, johon liittyen tehtävien hoitamiseksi Terveyden ja hyvinvoinnin laitoksella olisi oikeus saada maksutta ja salassapitovelvoitteiden sekä muiden tietojen käyttöä koskevien rajoitteiden estämättä väestöä koskevia välttämättömiä tietoja. Siten laitoksella olisi oikeus saada käsitellä välttämättömiä tietoja, jotka liittyvät sille esitettävään tietojen ja tietorakenteiden oikeellisuuden seurantaan.
Pykälän 1 momenttiin lisättäisiin Terveyden ja hyvinvoinnin laitoksen tiedonsaantioikeuksia niin, että ne mahdollistaisivat hyvinvointialueiden valmiuteen, varautumiseen ja tilannekuvaan liittyvien tietojen keräämisen. Terveyden ja hyvinvoinnin laitos kokoaisi ja välittäisi kyseiset tiedot valtionhallinnon käyttöön. Sosiaali- ja terveydenhuollon valmiudesta, valmiussuunnittelusta ja tilannekuvasta on säädetty sosiaalihuoltolain (136/2021) ja terveydenhuoltolain (135/2021) muutoksilla, joissa sosiaalihuollosta vastaavia viranomaisia ja sairaanhoitopiirejä on velvoitettu kokoamaan ja välittämään valmiutta kuvaavaa tilannekuvaa sosiaali- ja terveydenhuollosta. Lisäksi lain sosiaali- ja terveydenhuollon järjestämisestä (612/2021) 7 luvussa säädetään hyvinvointialueiden ja yhteistyöalueiden valmiuteen, varautumiseen ja tilannekuvaan liittyvistä tehtävistä.
Sosiaali- ja terveysministeriö ja Terveyden ja hyvinvoinnin laitos ovat teettäneet esiselvityksen sosiaali- ja terveydenhuollon valtakunnallisen tilannekuvan ja valmiussuunnittelun jatkokehittämisestä (https://www.julkari.fi/handle/10024/143217). Sen pohjalta tehtyjen johtopäätösten mukaisesti toteutetaan sosiaali- ja terveydenhuollon palvelujärjestelmän ja THL:n yhteistä kyvykkyyttä tuottaa valtakunnallista tilannekuvaa pysyvärakenteisena ja häiriötilanteiden ennakointiin kykenevänä. Alueellisten tietojen lisäksi THL kokoaisi tiedot myös muilta viranomaisilta. Esityksen mukaisilla lisäyksillä tiedonsaantioikeuksiin varmistettaisiin Terveyden ja hyvinvoinnin laitoksen tiedonsaanti palvelujärjestelmän toiminnan lisäksi myös materiaalisesta valmiudesta ja lääkehuollon tilannekuvasta. Esityksellä tuettaisiin Covid 19-pandemian tilannekuvan kokoamiseksi käynnistettyjen käytäntöjen vakiinnuttamista ja laajentamista koskemaan kaikkia keskeisiä sosiaali- ja terveydenhuoltoa koskevia häiriötilanteita.
Pykälän 1 momentin 1 kohtaan lisättäisiin uutena tiedonsaantioikeutena tilannekuvaa koskevat tiedot. Pykälän 1 momentin 1 kohdan k alakohtaa muutettaisiin niin, että se mahdollistaisi tietojen keräämisen myös terveydenhuollon laitteista ja tarvikkeista pelkän tuoteturvallisuuden lisäksi. Kohtaan lisättäisiin o alakohta, joka mahdollistaisi tiedonkeruun varautumiseen käytetyistä resursseista.
Pykälän 1 momentin 2 kohdan alakohtaan b tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
Pykälän 1 momenttiin ehdotetaan lisättäväksi uusi 6 kohta, jonka perusteella Terveyden ja hyvinvoinnin laitoksella olisi oikeus saada hätäkeskustoiminnasta annetun lain (692/2010) 17 §:n mukaisia, Terveyden ja hyvinvoinnin laitoksen lakisääteisten tehtävien kannalta välttämättömät ensihoitoa ja sosiaalipäivystystä koskevat hätäkeskustietojärjestelmään tallennetut hälytys-, resurssi- ja tehtävätiedot. Tiedonsaantioikeus sisältäisi hätäkeskuslain 17 §:n 1 momentin 1 kohdan mukaiset ensihoidon ja sosiaalipäivystyksen tehtäviä suorittaviin yksiköihin liittyvät tiedot, 2 kohdan mukaiset ilmoituksen tekoaikaa ja –tapaa koskevat tiedot, 4 kohdan mukaiset ensihoidon ja sosiaalipäivystyksen tehtävän tai toimenpiteen vastaanottaneen yksikön tiedot aikoineen, 5 kohdan mukaiset ensihoidon ja sosiaalipäivystyksen tehtävään tai toimenpiteeseen liittyvän henkilön tiedot, liityntä asiaan ja kohteen yksilöintitiedot sijainti- tai paikkatietoineen sekä 6 kohdan mukaiset ensihoidon ja sosiaalipäivystyksen tehtävää tai toimenpiteitä koskevat tiedot sekä tehtävän käsittelyyn liittyvät riskinarvion tiedot.
Voimassa olevan pykälän 1 momentin johdantokappaleen mukaisesti tietojen on oltava välttämättömiä Terveyden ja hyvinvoinnin laitoksen lakisääteisten tehtävien kannalta. Kyseiset lakisääteiset tehtävät liittyvät väestön hyvinvoinnin ja terveyden sekä niihin vaikuttavien tekijöiden ja liittyvien ongelmien tutkimiseen ja seurantaan sekä hyvinvoinnin ja terveyden edistämisen toimenpiteiden kehittämiseen ja edistämiseen, sosiaali- ja terveydenhuollon toiminnan tutkimiseen, seurantaan, arviointiin ja kehittämiseen ja alan tutkimuksen harjoittamiseen, alan tiedostojen ja rekisterien ylläpitämiseen ja tehtäväalueen tietoperustasta huolehtimiseen sekä alan laaturekisterien ylläpitämiseen.
Lain 5 c §:n mukaan rekisterinpitäjällä, jonka rekisteritietoja Terveyden ja hyvinvoinnin laitoksen tiedonsaantioikeus koskee, on velvollisuus luovuttaa laitokselle 5 §:ssä tarkoitetut tiedot Terveyden ja hyvinvoinnin laitoksen tekemän päätöksen mukaisesti. Päätökseen saa vaatia oikaisua hallintolain (434/2003) mukaisesti, ja oikaisuvaatimukseen annetusta päätöksestä saa valittaa hallinto-oikeuteen. Myös tietosuojavaltuutetulla on oikeus vaatia oikaisua ja hakea muutosta päätökseen. Lain 5 d §:n mukaisesti laitoksella on velvoite neuvotella tiedonantajia edustavia organisaatioiden kanssa ja kuulla tietosuojavaltuutettua ennen tiedonantovelvollisuutta koskevan päätöksen tekemisestä, kun kyse on uudesta tiedonkeruusta tai olemassa olevan tiedonkeruun merkittävästä muutoksesta tai laajentamisesta. Neuvottelussa arvioidaan kerättävien tietojen tarpeellisuutta, tietosisältöjä ja niiden muutoksia sekä tietojen keräämistapaa ja tunnistetietojen tarpeellisuutta.
Siten Terveyden ja hyvinvoinnin laitoksen olisi neuvoteltava Hätäkeskuslaitoksen kanssa ja kuultava tietosuojavaltuutettua ennen ehdotettavaa tiedonkeruuta koskevan päätöksen tekemistä ja tiedonkeruun aloittamista. Lisäksi Terveyden ja hyvinvoinnin laitoksen olisi tehtävä 5 c §:n mukainen päätös tiedonkeruun aloittamisesta.
Voimassa oleva laki hätäkeskustoiminnasta (692/2010) mahdollistaa hätäkeskustietojärjestelmässä olevien tietojen luovuttamisen sosiaali- ja terveydenhuollon tietojen toisiokäyttöön vain sosiaali- ja terveysministeriölle toiminnan suunnittelu- ja kehittämistehtäviä sekä valvontatehtäviä varten. Terveyden ja hyvinvoinnin laitoksen lakisääteiset tehtävät edellyttävät kuitenkin kattavaa tietopohjaa myös ensihoidon ja sosiaalipäivystyksen hälytys-, tehtävä- ja resurssitiedoista. Ensihoidon ja sosiaalipäivystyksen organisaatiota ja yksikköjä koskevat tiedot ovat tarpeen esimerkiksi ensihoitokapasiteetin ja saavutettavuuden seurannan osalta. Hätäkeskustietojärjestelmässä oleva tieto sosiaalipäivystyksen ja ensihoitopalvelun resursseista, hälytyksistä ja tehtävistä on keskeistä tietoa sosiaali- ja terveyspalveluiden saatavuudesta ja saavutettavuudesta. Ensihoitopalvelun tieto on välttämätöntä esimerkiksi ensihoidon palvelutasopäätösten analysointiin ja palvelutasomekanismien kehittämiseen sekä sosiaali- ja terveydenhuollon palvelujärjestelmän arviointiin ja sitä koskevan tiedon tuottamiseen. Kun ensihoitoa koskevat resurssi-, tehtävä- ja hälytystiedot saataisiin yhdistettyä potilaiden jatkohoitoa koskeviin tietoihin, on mahdollista tuottaa tehtävätietojen ja tehtävien tavoittamisaikojen lisäksi välttämätöntä tietoa myös palveluketjujen toimivuudesta ja vaikuttavuudesta esimerkiksi potilaiden saaman terveyshyödyn näkökulmasta. Siten yhdistämällä hätäkeskustietojärjestelmään tallennettuja hätäilmoituksia ja ensihoidon yksiköitä koskevia tietoja potilasasiakirjojen potilastietoihin, saadaan tuotettua tietoa terveyspalvelujen vaikuttavuudesta niissä tilanteissa, joissa potilas on ohjautunut ensihoitoon hätäkeskukseen tehdyn ilmoituksen perusteella. Sen sijaan esimerkiksi tietoja hätäilmoituksen tekijästä tai hätäilmoituksen vastaanottaneesta henkilöstä ei voida pitää välttämättöminä Terveyden ja hyvinvoinnin laitoksen lakisääteisten tehtävien kannalta, joten tiedonsaantioikeus ei koske kyseisiä tietoja. Tiedonsaantioikeus koskisi vain ensihoitoon ja sosiaalipäivystykseen liittyviä tietoja, joten moniviranomaistehtävissä esimerkiksi poliisin riskiarviota ei olisi oikeus saada.
5 a§. Tietojen luovuttaminen. Pykälän 1 momenttiin lisättäisi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) lyhyeksi muodoksi toisiolaki.
Pykälän 2 momentissa säädettäisiin, että Terveyden ja hyvinvoinnin laitos voisi toisiolain estämättä luovuttaa 5 §:n 1 momentin nojalla keräämiään hoitoilmoitusrekisteriin ja perusterveydenhuollon avohoidon hoitoilmoitusrekisteriin sisältyviä tietoja kliinisen lääketutkimuksen toteuttamista varten siten kuin kliinisestä lääketutkimuksesta annetun lain (983/2021, lääketutkimuslaki) 34 §:n 2 momentissa säädetään. Lisäksi momentissa säädettäisiin tietojen luovuttamiselle edellytyksistä, joita olisivat lääketutkimuslain 11 §:ssä tarkoitettu kliinistä lääketutkimusta koskeva päätös, ja että tutkittava ja tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen siten kuin lääketutkimuslaissa säädetään. Kuitenkin jos kyse olisi ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 536/2014 eli lääketutkimusasetuksen 35 artiklassa tarkoitetusta hätätilanteessa suoritettavasta tutkimuksesta, potilastietoja olisi oikeus saada ja käsitellä, jos 35 artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät.
Muutos olisi tarpeen, jotta Terveyden ja hyvinvoinnin laitoksen sosiaali- ja terveydenhuollon organisaatioilta keräämiä, hoitoilmoitusrekistereihin sisältyviä tietoja voitaisiin luovuttaa käytettäväksi Suomessa tehtävässä merkittävässä lääketutkimuksessa. Tiedot täydentäisivät potilastietoja, joita kliinisen lääketutkimuksen toteuttamiseksi voi saada suoraan terveydenhuollon organisaatioilta. Lääketutkimusasetus edellyttää mahdollisuutta lähettää lääketutkimuksessa käytettävät tiedot tutkimuksen toimeksiantajalle, mitä toisiolaki ja sen vaatimukset tietoturvallisesta käyttöympäristöstä ei mahdollista.
Pykälän 3 momenttia muutettaisiin niin, että Terveyden ja hyvinvoinnin laitos voisi antaa tiedot takaisin aineiston alkuperäiselle rekisterinpitäjälle tietojen toimittajan lisäksi.
5 c §. Tiedonantovelvollisuus ja päätös tietojen keräämisestä. Pykälän 1 momenttiin lisättäisiin, että rekisterinpitäjällä ei olisi velvoitetta toimittaa Terveyden ja hyvinvoinnin laitokselle erikseen sellaisia tietoja, jotka Terveyden ja hyvinvoinnin laitos voisi saada valtakunnallisista tietojärjestelmäpalveluista. Muutoksella edistetään valtakunnallisten tietojärjestelmäpalvelujen hyödyntämistä Terveyden ja hyvinvoinnin laitoksen tiedonkeruissa ja vähennetään sosiaali- ja terveydenhuollon julkisten ja yksityisten palvelunjärjestäjien ja palveluntuottajien tietojen toimittamiseen liittyvää taakkaa. Myös sosiaali- ja terveydenhuollon ammattihenkilöiden asiakastietojen kirjaamiseen liittyvää taakkaa voidaan vähentää, kun Terveyden ja hyvinvoinnin laitos hyödyntäisi valtakunnallisia tietojärjestelmäpalveluita mahdollisimman kattavasti.
5 j §. Tiedonkeruu valtakunnallisten tietojärjestelmäpalvelujen avulla. Lakiin ehdotetaan lisättäväksi uusi pykälä, jonka mukaisesti Terveyden ja hyvinvoinnin laitoksen olisi toteutettava 5 §:n 1 momentin 1 kohdan mukainen tiedonsaantioikeutensa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavan lain 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla, silloin kun kyse on 2 §:n 1-3, 4 ja 4 d kohdissa tarkoitettujen tehtävien hoitamista varten kerättävistä tiedoista. Velvoite koskisi siten tietoja, joiden kerääminen liittyy väestön hyvinvoinnin ja terveyden sekä niihin liittyvien tekijöiden tutkimiseen ja seurantaan (1), sosiaali- ja terveydenhuollon toiminnan tutkimukseen, seurantaan, arvioimiseen ja kehittämiseen (2), alan tutkimuksen harjoittamiseen (3) alan tiedostojen ja rekisterien ylläpitämiseen sekä laitoksen tehtäväalueen tietoperustasta ja sen hyödyntämisestä huolehtimiseen (4) sekä laaturekistereiden ylläpitämiseen (4 d). Tiedonkeruut voisivat siten liittyä sekä säännöllisiin tiedonkeruisiin että yksittäisiin tietotarpeisiin. Ainoastaan silloin, jos tiedot eivät olisi saatavilla valtakunnallisista tietojärjestelmäpalveluista, tiedot voisi kerätä muulla tavoin.
Pykälän 1 momentissa säädettäisiin Terveyden ja hyvinvoinnin velvoitteesta toteuttaa tiedonkeruunsa valtakunnallisten tietojärjestelmäpalvelujen avulla. 2 momentin mukaan Terveyden ja hyvinvoinnin laitoksen olisi sovitettava yhteen tilasto- ja rekisteritoiminnassa käsittelemiensä tietojen tietorakenteen valtakunnallisiin tietojärjestelmäpalveluissa käytettävien asiakastietoja sisältävien asiakirjojen tietorakenteiden kanssa. Yhdenmukaiset tietorakenteet mahdollistavat tiedonkeruiden toteuttamisen valtakunnallisista tietojärjestelmäpalveluista.
Pykälän toimeenpanoa varten voimaantulosäännökseen sisältyisi määräaika, jonka mukaisesti Terveyden ja hyvinvoinnin laitoksen tulisi toteuttaa uuden 5 j §:n mukainen valtakunnallisten tietojärjestelmäpalvelujen hyödyntämistä tiedonkeruissaan. 5 j §:n 1 momentin mukainen tiedonkeruiden toteuttaminen valtakunnallisista tietojärjestelmäpalveluista tulisi toteuttaa viimeistään 31.12.2029 mennessä. Nykyisten erillisten tiedonkeruiden toteuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla edellyttää riittävän pitkää siirtymäaikaa. Siirtymäaika mahdollistaa sekä nykyisissä tiedonkeruissa käytettävien tietorakenteiden määrittelyjen yhteensovittamisen eli harmonisoinnin, joka on Terveyden ja hyvinvoinnin laitoksen vastuulla, että tarvittavien muutosten toteuttamisen sosiaali- ja terveysalan palveluja järjestävien ja tuottavien organisaatioiden käyttämiin tietojärjestelmiin ja uusien tietojärjestelmäversioiden käyttöönotot. Tietorakenteiden harmonisoinnissa on mahdollistettava iteratiivista kehittämistä, eli siirtymäajan tulee mahdollistaa määrittelyjen kokeilu ja edelleen kehittäminen kokemusten perusteella. Toisaalta harmonisoinnissa olisi edettävä ripeästi, jotta esimerkiksi sosiaali- ja terveydenhuollossa käyttöönotettaviin uusiin tietojärjestelmiin ei tarvitsisi toteuttaa siirtymäkaudelle päällekkäisiä tiedonkeruita. Lisäksi siirtymäajan tulee mahdollistaa päällekkäinen tiedonkeruu tarvittavan ajan (arviolta kaksi vuotta), jotta laitos voi validoida valtakunnallisten tietojärjestelmäpalvelujen kautta saatavan tiedon laadun ja siten varmistaa tiedonkeruun jatkuvuuden ja turvallisen siirtymän käyttämään valtakunnallisia tietojärjestelmäpalveluja tiedon lähteen. Mahdolliset uudet tiedonkeruut tulisi lähtökohtaisesti pyrkiä toteuttamaan valtakunnallisten tietojärjestelmäpalvelujen avulla.
12 e §. Palvelurahasto. Pykälän 1 momenttiin lisättäisiin sosiaali- ja terveystietojen toissijaisesta käytöstä annettu laki (552/2019) sekä Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 § säädöksinä, joihin perustustuvista valtakunnallisiin tietojärjestelmäpalveluihin liittyvistä velvoitteista aiheutuvia Kansaneläkelaitoksen kustannuksia voitaisiin maksaa palvelurahastosta. Lisäksi palvelurahastosta voitaisiin maksaa myös muiden lakien perusteella aiheutuvien vastaavien velvoitteiden kustannuksia. Lähtökohtana olisi, että muiden lakien aiheuttamiin tehtäviin tulisi varata erillinen rahoitus valtion talousarvioon, ja rahoitus voitaisiin kanavoida valtakunnallisten tietojärjestelmäpalvelujen kehittämiseen palvelurahaston kautta. Rahoitusta voitaisiin kuitenkin kanavoida muullakin tavalla, esimerkiksi Kansaneläkelaitoksen toimintamenoista silloin, jos valtakunnallisiin tietojärjestelmäpalveluihin liittyvät tehtävät kytkeytyvät muihin Kansaneläkelaitoksen tehtäviin.
2 momenttia täydennettäisiin siten, että palvelurahaston rahoitus perustuisi valtion talousarviorahoituksen ja valtakunnallisten tietojärjestelmäpalvelujen käyttäjiltä perittävien käyttömaksujen lisäksi valtakunnallisten tietojärjestelmäpalvelujen yhteentoimivuuden testaukseen osallistuvilta tietojärjestelmäpalvelujen tuottajilta perittäviin maksuihin.
Lain voimaantulosäännöksessä todettaisiin, että Kansaneläkelaitoksessa oleva sosiaali- ja terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin liittyvä käyttöomaisuus siirtyy osaksi palvelurahastoa esitettävän lain tullessa voimaan.
2 §. Tehtävät. Pykälän 1 momentin 1 kohtaan tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
7.11 Laki väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain 69 §:n muuttamisesta
69 §. Digi- ja väestötietoviraston tiedonsaanti- ja tarkastusoikeus. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
58 §. Asiakas- ja potilastietojen rekisterinpito. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa potilaslain, asiakaslain, sosiaalihuollon asiakasasiakirjalain ja asiakastietolain sijasta viitattaisiin esitettävään lakiin. Pykälän 2 momentti kumottaisiin, koska vastaava sääntely sisältyisi sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaan lakiin.
7.13 Laki sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain 25 §:n muuttamisesta.
25 §. Asiakas- ja potilastietojen rekisterinpito. Pykälän3 momenttiin tehtäisiin tekninen muutos, jossa potilaslain, asiakaslain, sosiaalihuollon asiakasasiakirjalain ja asiakastietolain sijasta viitattaisiin esitettävään lakiin.
18 §. Salassa pidettävien tietojen luovuttaminen . Pykälääntehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
21 §. Työterveyshuollon asiakirjojen laatiminen ja säilyttäminen. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.Pykälän 2 momentti kumottaisiin.
41 §. Julkisen terveydenhuollon toimintayksikön ilmoitusvelvollisuus. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
56 §. Julkisen terveydenhuollon toimintayksikön ilmoitusvelvollisuus. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
40 §. Ilmoitus muulle viranomaiselle asiakkaan tuen tarpeesta. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia (asiakastietolaki).
41 §. Monialainen yhteistyö. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa tietojen antamisen ja monialaiseen yhteistyöhön liittyvän kirjaamisen osalta viitattaisiin asiakastietolakiin asiakaslain sijasta.
16 §. Potilasasiakirjojen laatiminen ja säilyttäminen sekä niihin sisältyvien tietojen salassapito. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
5 §. Potilasrekisteri. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
6 §. Potilasrekisterissä olevien tietojen luovuttaminen. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
29 §. Salassapito. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
122 §. Kuvantaminen lääkinnällisellä laitteella. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
9 §. Lääkepäiväkirja. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia
9 a §. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
35 §. Oikeus saada terveyttä koskevia tietoja. Pykälän 1 momentin 2 kohtaan tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
32 §. Sotilasvirassa palvelevan tai sotilasvirkaan pyrkivän potilasasiakirjoihin sisältyvien terveydellisiä rajoituksia koskevien tietojen ilmoittaminen. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia. Rajavartiolaitoksen nimen kieliasu korjattaisiin nykyiseen vakiintuneeseen muotoonsa alkamaan isolla alkukirjaimella. Lisäksi maininta sisäasianministeristä muutetaan muotoon sisäministeri.
11 §. Passin myöntäminen alaikäiselle. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
13 §. Tiedon käyttäjien oikeus saada tietoja tulotietojärjestelmästä. Pykälän 18 ja 19 kohtaan tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
9 §. Sosiaalihuollon tietojen käsittely. Pykälän 1 momenttiin ja 2 momentin 1 kohtaan tehtäisiin tekniset muutokset, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain, sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain ja sosiaalihuollon asiakasasiakirjoista annetun lain sijasta Pykälän 3 momentissa viitattaisiin sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 64 §:n 1 momenttiin sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain 20 §:n 1 momentin sijasta.
14 §. Tietojen käsittelyyn oikeutetut. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa lain nimi muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
16 §. Oikeus saada tietoja muilta viranomaisilta ja tiedonantovelvollisilta. Pykälän 2 momentin johdantokappale päivitetään vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
31 §. Tietojen tarkistaminen ja poistaminen rekistereistä. Pykälän 5 momenttiin tehtäisiin tekninen muutos, jossa viitattava laki muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia sosiaali- ja terveydenhuollon asiakastietojen säh-köisestä käsittelystä annetun lain ja sosiaalihuollon asiakasasiakirjoista annetun lain sijasta.
12 §. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia
23 a §. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
11 a §. Lapsen huollosta ja tapaamisoikeudesta päättäminen huostassapidon aikana. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
16 §. Selvityksen hankkiminen hyvinvointialueelta. Pykälän 5 momenttiin tehtäisiin tekninen muutos, jossa viittaus sosiaalihuollon asiakkaan asemasta ja oikeuksista annettuun lain 18:n 1 momenttiin ja 19 §:ään korjattaisiin viittaukseksi sosiaali- ja terveydenhuollon asiakastietojen käsittelyä koskevan lain 63 §:n 1 momenttiin, jossa säädetään oikeudesta antaa tieto salassa pidettävästä asiakirjasta tuomioistuimelle tai muulle viranomaiselle asiakkaan suostumuksesta riippumatta.
7.32 Laki lapsen huoltoa ja tapaamisoikeutta koskevan päätöksen täytäntöönpanosta annetun lain 8 §:n muuttamisesta
8 §. Sovittelun aika, sovittelukertomus ja salassapidettävä tieto. Pykälän 4 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
7.33 Laki toimivallasta, sovellettavasta laista, toimenpiteiden tunnustamisesta ja täytäntöönpanosta sekä yhteistyöstä vanhempainvastuuseen ja lasten suojeluun liittyvissä asioissa tehdyn yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta ja sopimuksen soveltamisesta annetun lain 9 §:n muuttamisesta
9 §. Salassa pidettävän tiedon antaminen. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
9 §. Tiedonsaantioikeus. Pykälän 2 momenttiin tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia.
11 §. Lastenvalvojan oikeus saada tietoja. Pykälään tehtäisiin tekninen muutos, jossa lain nimi ja säädösnumero muutettaisiin vastaamaan uutta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettavaa lakia ja viranomaisen käsite muutettaisiin palvelunantajan käsitteeksi.
Ehdotus sisältää sosiaali- ja terveysministeriölle asetuksenantovaltuudet siitä, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää (9 §), potilasasiakirjojen erityissuojauksesta (26 §), sosiaali- ja terveydenhuollon välistä tiedonsaantioikeutta koskevan luovutusluvan kohdentamisesta (53 §), valtakunnallisten tietojärjestelmäpalvelujen käyttömaksuista sekä 80 §:n mukaisista tietojärjestelmien yhteentoimivuuden testaukseen osallistumiseen sekä rekisteröintiin liittyvistä maksuista (99 §). Valtioneuvoston asetuksenantovaltuus liittyisi valtioneuvoston mahdollisuuteen asettaa sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyötä varten neuvottelukunta (98 §). Lisäksi lääkemääräyslakiin (5 a §) sisältyisi ehdotus palvelunantajan nimeämien sairaanhoitajan, farmaseutin ja proviisorin annostusmuutoksen kirjaamisoikeutta koskevasta asetuksenantovaltuudesta.
Ehdotus sisältää Terveyden ja hyvinvoinnin laitokselle useita määräyksenantovaltuuksia. Määräysten antaminen liittyy teknisluonteisiin asioihin valtakunnallisten tietojärjestelmäpalveluiden toteuttamisessa. Määräyksennatovaltuudet liittyisivät lokirekistereihin tallennettaviin tietoihin ja tietosisältöihin (10 §), asiakasasiakirjojen tietorakenteisiin ja tietosisältöihin (20 §), kysely- ja välityspalvelun avulla välitettäviin asiakasasiakirjoihin (76 §), tietoturvasuunnitelmaan sisällytettäviin selvityksiin ja vaatimuksiin sekä tietoturvallisuuden todentamiseen (77 §), tietojärjestelmien luokkien määräytymiseen (79 §), tietojärjestelmien ja hyvinvointisovellusten merkittäviin poikkeamiin ja niitä koskeviin ilmoituksiin (82 §), tietojärjestelmien olennaisiin vaatimuksiin (84 §), vaatimusten mukaisuuden osoittamiseen (85 §) sekä käyttöympäristöihin ja tietoverkkoihin kohdistuvan tietoturvallisuuteen liittyvän häiriön merkittävyydestä sekä siitä tehtävän ilmoituksen sisällöstä, muodosta ja toimittamisesta (90 §).
Sosiaali- ja terveysalan lupa- ja valvontavirasto voisi antaa määräyksiä liittyen tietojärjestelmien rekisteri-ilmoituksiin ja rekisteriin merkittäviin tietoihin liittyen (80 §). Kliinisestä lääketutkimuksesta annetun lain 34 §:n mukaan Lääkealan turvallisuus- ja kehittämiskeskus antaisi määräyksiä kliinisessä lääketutkimuksessa käytettävien, potilastietoja käsittelevien tietojärjestelmien tietoturvallisuusvaatimuksista.
Lisäksi Kansaneläkelaitokselle annetaan määräysvalta tietojärjestelmien yhteentoimivuudessa noudatettaviin menettelyihin.
Lait ehdotetaan tulemaan voimaan 1.1. 2024. Lakeihin sisältyy siirtymäsäännöksiä, joita kuvataan tarkemmin säännöskohtaisissa perusteluissa.
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (784/2021) ja sosiaalihuollon asiakasasiakirjoista annettu laki (254/2015).
Esitys liittyy toimeentulotuesta annetun lain (1412/1997) ja hätäkeskustoiminnasta annetun lain (692/2010) sekä tulotietojärjestelmästä annetun lain (53/2018) muutoksiin sekä sosiaali- ja terveyspalveluiden valvontaa koskevaan lakiehdotukseen ja lääkehuollon kustannustehokkuuden parantamisen koskevaan lakiehdotukseen.
Esitys sisältää muutosehdotuksia useisiin lakeihin, joita on hyväksytty muutoksia niin sanotun sote100 -kokonaisuuden yhteydessä (HE 56/2021) ja muutokset tulevat voimaan 1.1.2023. Tällaisia lakeja, joiden kanssa samoja lainkohtia esitetään muutettavaksi tässä yhteydessä ovat asiakaslain 27 §:n 1 momentti), potilaslain 2 §:n 4 kohta, Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 669/2008 2 §:n 1 momentin 1 kohta, sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain 615/2021 25 §:n 3 momentti sekä toimivallasta, sovellettavasta laista, toimenpiteiden tunnustamisesta ja täytäntöönpanosta sekä yhteistyöstä vanhempainvastuuseen ja lasten suojeluun liittyvissä asioissa tehdyn yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta ja sopimuksen soveltamisesta annetun lain 435/2009 9 §.
Sisäministeriö on valmistellut hätäkeskustoiminnasta annetun lain (hätäkeskuslaki) muuttamista. Esityksellä muutettaisiin hätäkeskustoiminnasta annetun lain säännökset henkilötietojen käsittelystä vastaamaan EU:n yleistä tietosuoja-asetusta. Esityksessä säädettäisiin henkilötietojen käsittelyn lainmukaisuusvaatimuksesta ja henkilötietojen rekisterinpitäjistä. Henkilötietojen rekisterinpitäjänä poliisin tietojen osalta toimisi Poliisihallitus, sosiaali- ja terveydenhuollon tietojen osalta hyvinvointialue, Helsingin kaupunki ja HUS -yhtymä, pelastustoimen tehtävätietojen osalta hyvinvointialue ja Helsingin kaupunki ja Rajavartiolaitoksen tietojen osalta Rajavartiolaitoksen esikunta. Hätäkeskuslaitos vastaisi rekisterinpitäjyydestä omien valvontatehtävien hoitamiseen sekä Hätäkeskuslaitoksen muiden tehtävien ja muiden viranomaisten avustamiseen liittyvien tietojen osalta. Tämän esityksen 8. lakiehdotuksessa ehdotetaan, että hätäkeskustietojärjestelmän sisältämiä sosiaalipäivystyksen ja ensihoidon hälytys- ja tehtävätietoja saisi luovuttaa Terveyden ja hyvinvoinnin laitokselle. Voimassa olevan hätäkeskuslain mukaan tietojen luovuttajan roolissa olisi Hätäkeskuslaitos, mutta hätäkeskuslain uudistuksen myötä luovutuksesta vastaisivat rekisterinpitäjinä hyvinvointialueet sekä Helsingin kaupunki ja HUS-yhtymä.
Sosiaali- ja terveyspalveluiden valvontaa koskevassa lakiehdotuksessa säädetään valvontaviranomaisten tiedonsaantioikeudesta, johon liittyvää sääntelyä on myös tämän esityksen 2. lakiehdotuksessa (asiakaslaki).
Toimeentulotuesta annettua lakia koskevassa muutosehdotuksessa esitetään sääntelyä asiakastietojen käsittelystä Kansaneläkelaitoksen vastuulle kuuluvassa perustoimeentulotuessa. Lakiehdotuksessa on useita viittauksia tämän esityksen mukaiseen lakiin.
Valtiovarainministeriö on valmistellut muutosehdotukset tulotietojärjestelmästä annettuun lakiin siten, että siinä ehdotetaan muutettavaksi samoja 13 §:n 1 momentin 18 ja 19 kohtia kuin tässä esityksessä. Muutokset tulisi sovittaa yhteen eduskuntakäsittelyssä.
Lääkehuollon kustannustehokkuuden parantamista koskevassa lakiehdotuksessa esitetään muutettavaksi useita lääkemääräyslain pykäliä. Osa muutoksista kohdistuu samoihin pykäliin kuin tässä lakiehdotuksessa, kuitenkin pykälien eri momentteihin tai kohtiin joten ehdotukset eivät ole keskenään ristiriidassa.
Esitys liittyy valtion talousarvioon vuodelle 2023 ja on tarkoitettu käsiteltäväksi sen yhteydessä. Esitys edellyttää rahoitusta valtakunnallisten tietojärjestelmäpalvelujen muutoksia varten momentille 33.01.25 yhteensä 10,58 milj. euroa vuosille 2023-2026. Rahoitustarpeet kuvataan tarkemmin luvussa 4.2.1.
Henkilötietojen suoja on osa yksityiselämän suojaa, joka on perustuslain 10 §:ssä ja Suomea sitovissa Euroopan ihmisoikeussopimuksessa sekä EU:n perussopimuksissa ja EU:n perusoikeuskirjassa taattu perusoikeus. Henkilötietojen suoja on yksilön perusoikeus ja lisäksi henkilötietojen suoja kuuluu perustuslain 10 §:n 1 momentin nojalla lain alaan. Lisäksi sosiaali- ja terveydenhuollon asiakastietojen käsittelyn kannalta merkityksellinen on perustuslain 7 §:n mukainen oikeus henkilökohtaiseen vapauteen, joka sisältää myös tiedollisen itsemääräämisoikeuden. Esitys on merkityksellinen myös perustuslain 19 §, jonka mukaan jokaisella on oikeus välttämättömään huolenpitoon, ja julkisen vallan on turvattava jokaiselle riittävät sosiaali- ja terveyspalvelut ja edistettävä väestön terveyttä.
EU:n yleinen tietosuoja-asetus perustuu EU:n toiminnasta tehdyn sopimuksen (SEUT) 16 artiklaan ja EU:n perusoikeuskirjaan. Sääntelyssä on otettu huomioon myös Euroopan ihmisoikeussopimus ja sen 8 artikla. Euroopan ihmisoikeussopimuksen 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan (PeVL 28/2016 vp, s. 5).
EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja SEUT 16 artiklan ja EU:n perusoikeuskirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista.
Perustuslakivaliokunnan lausuntokäytännön mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4 - 5).
Lailla säätämisen vaatimus
Yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. Valiokunta on painottanut, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5 - 6).
Valiokunnan henkilötietojen suojaa koskevassa käytännössä on sinänsä korostettu lailla säätämisen tarvetta erityisesti silloin, kun henkilötietoja käsittelee viranomainen (ks. esim. PeVL 14/2018 vp, s. 4). Valiokunta on kiinnittänyt aiemmin huomiota kuitenkin myös siihen, että perustuslakivaliokunnan myötävaikutuksella (PeVL 25/1998 vp) säädetyn, sittemmin kumotun henkilötietolain 8 §:ssä mahdollistettiin henkilötietojen käsittely ensisijaisesti suostumuksen perusteella. Myös arkaluonteisten henkilötietojen käsittely oli lain 12 §:n nojalla poikkeuksellisesti mahdollista, mikäli rekisteröity on antanut siihen nimenomaisen suostumuksensa (PeVL 1/2018 vp, s. 9). Valiokunnan mukaan vastaavaa voidaan todeta perustuslakivaliokunnan myötävaikutuksella säädetystä viranomaisten toiminnan julkisuudesta annetusta laista, jonka 26 §:n mukaan viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon muun ohella, jos se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa. Tällainen asiakirja voi sisältää myös arkaluonteisia henkilötietoja (PeVL 43/1998 vp, ks. myös PeVL 42/2016 vp, s. 3). Tässä esityksessä ehdotetaan uutta laintasoisesta sääntelyä potilasasiakirjojen käsittelystä sekä toiminnan päättäneiden sosiaali- ja terveydenhuollon palveluntuottajien asiakirjojen säilyttämisestä ja rekisterinpitäjyydestä, eli aiheista, joista sääntely on puuttunut.
Tietojen luovuttaminen
Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (PeVL 15/2018 vp). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2-3). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 38/2016 vp, s. 3).
Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan (PeVL 15/2018 vp). Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (PeVL 17/2016 vp, s. 6).
Tiedollinen itsemääräämisoikeus
Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta keskeisenä tiedollista itse-määräämisoikeutta (ks. esim. PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8). Valiokunnan käytännössä itsemääräämisoikeuden on katsottu kiinnittyvän useisiin perusoikeuksiin, erityisesti perustuslain 7 §:n säännöksiin henkilökohtaisesta vapaudesta ja koskemattomuudesta sekä perustuslain 10 §:n säännöksiin yksityiselämän suojasta (ks. PeVL 48/2014 vp, s. 2/II).
EU:n perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Lisäksi tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista muun ohella silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tietosuoja-asetuksen 9 artiklan mukaan erityisten henkilötietoryhmien käsittely on mahdollista niin ikään nimenomaisen suostumuksen perusteella, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että erityisten henkilö-tietoryhmien lähtökohtaista käsittelykieltoa ei voida kumota rekisteröidyn suostumuksella. EU:n yleisen tietosuoja-asetuksen johdantokappaleessa 43 todetaan, että suostumuksen ei kuitenkaan pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.
Perustuslakivaliokunnan mukaan myös arkaluonteisten henkilötietojen käsittely voi tietyin edellytyksin perustua myös viranomaistoiminnassa perustuslain estämättä suostumukseen. Tämä ei kuitenkaan poista tarvetta varmistaa varsinkin käsillä olevan kaltaisessa arkaluontoisia henkilötietoja koskevassa perusoikeus- ja ihmisoikeusherkässä sääntely-yhteydessä, että sääntely kokonaisuutena arvioiden luo riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 20/2020 vp, s. 5—6). Tässä esityksessä suostumus tai laajemmassa muodossaan asiakastietojen luovutusta koskeva asiakkaan lupa olisi edellytyksenä ainoastaan asiakastietojen luovutuksille. Muu asiakastietojen käsittely perustuisi lainsäädäntöön.
Perustuslakivaliokunta on asiakastietolakia koskevassa lausunnossaan (PeVL 4/2021) katsonut, että suostumuksesta voidaan perustuslain estämättä säätää laaja suostumus, jos siihen kytketään mahdollisuus rajata suostumusta HE 212/2020 vp 18 §:ssä ehdotetun kaltaisin kielloin (ks. myös PeVL 10/2012 vp, s. 2—4). Suostumuksen sääntelyn on täytettävä valiokunnan käytännössä mainitut edellytykset. Suostumuksen on perustuttava esimerkiksi HE 212/2020 vp 15 §:n mukaisessa menettelyssä annettavaan riittävään tietoon (ks. myös esim. PeVL 23/2020 vp, s. 4—5), sen oltava vapaaehtoisesti annettu ja oltava myös peruutettavissa. Valiokunnan mielestä tällainen sääntely luo käsillä olleessa sääntelykontekstissa riittävät edellytykset itsemääräämisoikeuden tosiasialliselle toteutumiselle (ks. myös PeVL 20/2020 vp, s. 5—6). Valiokunta painotti, että sanottu ei estä säätämästä suostumusedellytykseen esimerkiksi potilaslain 13 §:ssä säädetyn kaltaisia poikkeuksia ja muita tiedonsaantioikeuksia. Olennaista tällöin on, että käsittelystä säädetään tietosuoja-asetuksen edellyttämällä tavalla asetuksen mukaiset edellytykset täyttävässä laissa, joka toimii käsittelyn asetuksen 6 ja 9 artiklassa tarkoitettuna perusteena.
Tässä esityksessä henkilöiden yksityiselämän suojaa ja itsemääräämisoikeutta suojattaisiin sosiaali- ja terveydenhuollon asiakastietojen salassapitoa ja vaitiolovelvollisuutta koskevalla sääntelyllä sekä asiakastietojen käsittelyä koskevalla sääntelyllä. Asiakas voisi määrätä asiakastietojensa luovutuksesta sosiaali- ja terveydenhuollossa luovutuslupien ja kieltojen avulla sekä potilaalle määrättyjä lääkkeitä koskevien kieltojen avulla. Asiakastietojen käsittelyä koskeva sääntely sisältäisi keinoja, joiden avulla varmistetaan käsittelyn asianmukaisuus sekä asiakkaan mahdollisuudet saada tieto asiakastietojensa käsittelystä. Myös tietojärjestelmille asetettavat vaatimukset sekä palvelunantajien velvoite laatia tietoturvasuunnitelma turvaa yksityisyydensuojaa osaltaan varmistamalla, että asiakastietojen käsittely palvelunantajien toiminnassa ja tietojärjestelmissä on asianmukaista. Rekisteröidyn oikeuksia ei esitetä rajoitettavaksi lukuun ottamatta henkilötietojen käsittelyn rajoittamista koskevaa rajoitusta.
Lasten oikeus määrätä asiakastietojensa käsittelystä vastaisi nykyistä sääntelyä, eikä esityksellä siten esitetä muutoksia lapsen itsemääräämisoikeuteen. Lapsen itsemääräämisoikeuden toteuttamiseen terveydenhuollossa vaikuttaa siten terveydenhuollon ammattihenkilön arvioima lapsen ikä ja kehitystaso. Hoidostaan päättämään kykenevä alaikäinen voi päättää potilastietojensa luovuttamisesta huoltajalle. Hoidostaan päättämään kykenevä lapsi voisi myös päättää luovutusluvan ja kiellon antamisesta. Lääkehoidon osalta hoidostaan päättämään kykenevä alaikäinen voi kieltää hänelle määrättyjä lääkkeitä koskevan tiedon luovuttamisen toiselle palvelunantajalle ja apteekille sekä huoltajalleen tai muulle lailliselle edustajalleen.
Lisäksi säilytettäisiin asiakastietolain säännös, jonka mukaisesti huoltaja voi tehdä luovutuskiellon lapsen tietojen luovuttamisesta, kuitenkin niin, ettei kielto koskisi niin sanottuja hätätilanteita eikä alaikäiselle määrättyjä lääkkeitä. Myös sosiaalihuollossa säilytettäisiin nykyinen sääntely, jonka mukaisesti alaikäinen voi painavasta syystä kieltää tietojensa luovuttamisen huoltajalle. Ammattihenkilön on tällöinen arvioitava, onko kiellolle riittävät perusteet. Huoltaja voi päättää asiakastietojen luovuttamista koskevan luovutusluvan ja kiellon tekemisestä alaikäisen lapsen puolesta pois lukien alaikäiselle lapselle määrättyä lääkettä koskevien tietojen luovutus.
Sosiaalihuollon asiakastietojen käsittelyperusteet
Perustuslakivaliokunta on todennut, että henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia kuvaavia tietoja ei yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa määritellä erityisiksi henkilötietoryhmiksi. Poissuljettua ei kuitenkaan ole, etteikö näihin tietoihin voisi sisältyä tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten esimerkiksi tietoja sosiaalihuollon asiakkaan terveydentilasta. Sosiaalihuollon palveluita koskevat tiedot eivät sisälly myöskään henkilötietolailla implementoidun henkilötietodirektiivin 8 artiklan 1 kohdassa lueteltuihin tietoihin. Kyseisten tietojen rekisteröinnin on kuitenkin kansallisesti katsottu sisältävän tavanomaista suuremman riskin kansalaisten yksityisyydelle ja oikeusturvalle, minkä vuoksi tietoja on perusteltua pitää arkaluonteisina (PeVL 15/2018 vp, HE 96/1998 vp, s. 4/I).
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen (PeVL 15/2018 vp). Tietosuoja-asetuksen 6 artiklan c -alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Artiklan e -alakohdan mukaan käsittely on lainmukaista, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (ks. PeVL 14/2018 vp, s. 4). Vaikka valiokunnan käsityksen mukaan sanotut artiklan alakohdat eivät yleensä edellytä tai edes mahdollista sitä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki, muodostaa henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia kuvaavien ja niihin rinnastuvien tietojen käsittely sellaisia riskejä ja uhkia yksityisen perusoikeuksille, että mainittujen tietojen käsittelystä on tietosuoja-asetuksen mahdollistamissa puitteissa säädettävä samanlaisella täsmällisyydellä ja tarkkuudella kuin muidenkin arkaluonteisten tietojen käsittelystä.
Lakiesityksessä on huomioitu EU:n tietosuoja-asetuksen mukainen sosiaali- ja terveydenhuollon tietojen erilainen oikeudellinen perusta. Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpitäjän lakisääteisenä velvoitteena on sosiaali- ja terveyspalvelujen järjestäminen. Sosiaali-ja terveydenhuollon ammattihenkilöllä on laissa säädetty tehtävä, jota tehtävää suorittaessaan sosiaali- ja terveydenhuollon ammattihenkilöllä on oikeus käsitellä vain välttämätöntä asiakas- ja potilastietoa. Sosiaali- ja terveydenhuollon tehtävistä on säädetty erityislainsäädännössä. Edellä mainitut seikat antavat oikeudellisen perusteen henkilötietojen käsittelylle asetuksen 6 artiklan 1 kohdan c -alakohdan mukaan.
Oikeus sosiaaliturvaan
Perustuslain 19 §:n mukaan jokaisella on oikeus välttämättömään huolenpitoon, ja julkisen vallan on turvattava riittävät sosiaali- ja terveyspalvelut ja edistettävä väestön hyvinvointia. Esitys osaltaan tukisi sosiaali- ja terveyspalvelujen järjestämistä mahdollistamalla asiakastietojen valtakunnallisen saatavuuden asiakkaiden määräämässä laajuudessa. Toisaalta esitys mahdollistaisi myös välttämättömien asiakastietojen luovuttamisen hoidon ja huolenpidon turvaamiseksi tilanteissa, joissa asiakas ei ole itse kykenevä päättämään asiakastietojensa luovutusta koskevan luvan tai suostumuksen antamisesta.
Julkisen hallintotehtävän antaminen muulle kuin viranomaiselle
Perustuslain 124 §:ssä säädetään hallintotehtävän antamisesta muulle kuin viranomaiselle. Sen mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Mainitun pykälän tarkoitus on sen esitöiden mukaan rajoittaa julkisten hallintotehtävien osoittamista varsinaisen viranomaiskoneiston ulkopuolelle.
Perustuslain 124 §:n perustelujen sekä perustuslakivaliokunnan tulkintakäytännön mukaan ”julkisella hallintotehtävällä” viitataan ”julkisen vallan käyttöä” laajempaan kokonaisuuteen. Julkinen hallintotehtävä voi olla luonteeltaan myös palvelutehtävä, joka ei välttämättä sisällä julkisen vallan käyttöä tai julkisen vallan käytön osuus siinä voi olla vähäinen.
Lisäksi perustuslain 124 §:n mukaan merkittävää julkista valtaa sisältävää tehtävää voi hoitaa vain viranomainen. Tällaista merkittävää julkista valtaa saattaisi sisältyä muun muassa käyttölupaharkintaan ja tietojen luovuttamista tämän lain perusteella koskeviin muihin päätöksiin. Julkisen hallintotehtävän hoitaminen on pykälän perusteella pääsääntöisesti viranomaisen tehtävä ja se voidaan antaa muille kuin viranomaisille vain rajoitetusti (HE 1/1998 vp, 178–179). Merkitystä on myös perustuslain 2 §:n 3 momentilla, jonka mukaan julkisen vallan käytön tulee perustua yksilöityyn säännökseen eduskuntalaissa.
Perustuslakivaliokunta on käytännössään jakanut 124 §:n mukaisen arvioinnin kolmeen osaan. Jako perustuu perustuslain esitöihin. Valiokunta on edellyttänyt, että:
kyseessä ei ole merkittävän julkisen vallan siirto;
tehtävän siirto on tarkoituksenmukainen mm. hallinnon tehokkuuden ja muiden hallinnon sisäisten tarpeiden sekä myös yksityisten henkilöiden ja yhteisöjen tarpeiden vuoksi; ja
siirrettäessä huolehditaan perusoikeuksien, oikeusturvan ja muiden hyvän hallinnon vaatimusten turvaamisesta.
Esityksessä ehdotetaan Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle oikeutta käyttää ulkopuolisia asiantuntijoita. Esitys vastaisi voimassa olevaa asiakastietolakia. Kyseessä olisi viranomaista avustava tehtävä, joten kyseessä ei ole merkittävän julkisen vallan siirto. Mahdollisuus käyttää ulkopuolisia asiantuntijoita olisi tarkoituksenmukaista hallinnon tehokkuuden kannalta, koska tietojärjestelmien valvonta ja tarkastukset voivat edellyttää sellaista teknistä asiantuntemusta, jota ei ole tarkoituksenmukaista palkata kokopäiväiseksi tai jatkuvaksi viranomaisen työvoimaksi.
Perusoikeuksien rajoitusedellytykset
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 42/2016 vp, s. 2-3). Lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4-5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (PeVL 38/2016 vp, s. 3).
EU:n tietosuoja-asetuksen 9 artiklan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
Esityksessä on otettu huomioon tietosuoja-asetuksen mukainen sosiaali- ja terveydenhuollon tietojen erityisluonteisuus ja tietoja koskeva salassapito säädettäessä ammattihenkilön oikeudesta käyttää asiakastietoa. Asiakastietojen käsittely perustuisi lähtökohtaisesti ammattihenkilölle tai asiakastietoja käsittelevälle henkilölle annettaviin käyttöoikeuksiin vain niihin asiakastai potilastietoihin, joita hän työtehtävässään tarvitsee. Ehdotuksen mukaan ammattihenkilön asiakasta koskevien arkaluonteisten tietojen käsittely rajoittuisi vain niihin asiakastietoihin, jotka ovat ammattihenkilön työn kannalta välttämättömiä. Käyttöoikeudet suojaisivat arkaluonteista ja salassa pidettävää asiakastietoa sen asiattomalta käsittelyltä. Samoin asiakas- ja potilastietoja saa luovuttaa muuhun käyttötarkoitukseen vain, jos sille on olemassa lakiperuste tai asiakkaan nimenomainen suostumus. Asiakastyössä käytettäviä terveydenhuollon tietoja ei voi salata tai pseudonymisoida, koska henkilön luotettava tunnistaminen ja hänen tunnisteellisten tietojensa käsittely, on työssä välttämätöntä ja koska potilastietojen käsittely perustuu lainsäädäntöön.
Tietoturva ja tietojen väärinkäyttöön liittyvät riskit
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia (PeVL 15/2018). Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I).
Myös EU:n yleisen tietosuoja-asetuksen johdantokappaleessa 51 painotetaan, että asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5).
Esityksessä on huomioitu EU:n tietosuoja-asetuksen mukaiset suojatoimet. Lakiesityksessä säädettävillä teknisillä ja organisatorisilla toimenpiteillä estetään väärinkäyttö ja lainvastainen pääsy asiakas- ja potilastietoihin. Näitä teknisiä ja organisatorisia toimenpiteitä ovat muun muassa käyttöoikeushallinta, asiakas- tai hoitosuhteen tekninen varmistaminen, henkilöstön kouluttaminen sekä luonnollisten henkilöiden, organisaatioiden ja tietoteknisten laitteiden luotettava tunnistaminen. Samalla estetään tietojen saattaminen rajoittamattoman henkilömäärän saataville ja varmistetaan, että käsitellään vain kulloinkin tarpeellisia henkilötietoja ja noudatetaan tietosuoja-asetuksen mukaista tietojen minimointiperiaatetta.
Tietosuoja-asetuksen mukaan riskien minimoimiseksi tekniikan kehitystä olisi seurattava, jotta tiedot voidaan suojata luotettavasti, ottaen kuitenkin huomioon uusimman tekniikan toteuttamiskustannukset. Perustuslakivaliokunta on arvioidessaan terveydenhuoltolain mukaisia potilastietorekistereitä korostanut, että potilastietorekisterin kaltaisen arkaluonteisia tietoja sisältävän rekisterin ollessa kyseessä on erityisen tärkeää varmistua siitä, että väärinkäytön estävät tietoturvajärjestelyt ovat toimivia ja käytettävissä heti, kun järjestelmä otetaan käyttöön (PeVL 41/2010 vp, s. 3/II).
Esitettävän asiakastietolain mukaan tietojärjestelmien ja asiakasasiakirjojen tietorakenteiden on mahdollistettava tietojen suojaaminen. Esityksen mukaan tietojärjestelmät on sertifioitava. Esityksessä on säännökset tietoturvasuunnitelmasta, tietoturvallisuuden omavalvonnan toteuttamisesta, sosiaali- ja terveydenhuollon tietojärjestelmien rekisteröinnistä, tietojärjestelmien käyttöönoton jälkeisestä seurannasta sekä tietojärjestelmille asetettavista vaatimuksista, joita ovat muun muassa tietoturvallisuuden arviointi. Lisäksi esityksessä on säännökset sosiaali- ja terveydenhuollon tietojärjestelmien valvonnasta ja tarkastuksesta.
Valtakunnallisten tietojärjestelmäpalvelujen osalta esityksessä olisi huolehdittu riittävistä sosiaali- ja terveydenhuollon asiakastietojen käsittelyn edellyttämistä teknisistä ja organisatorisista suojatoimista henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.
Rekisteröidyn oikeuksien turvaaminen
Rekisteröidyn oikeuksien turvaamiseksi asiakasta on esitettävän asiakastietolain mukaan informoitava tietojen käsittelystä valtakunnallisissa tietojärjestelmäpalveluissa. Laissa käytettävien käsitteiden selkiyttäminen ja yhtenäistäminen, tiedonsaantioikeuksia ja asiakastietojen luovutuksia koskevan sääntelyn selkiyttäminen sekä palvelunantajien välisen tiedonsaantioikeuden toteuttamisen keskittäminen mahdollisimman kattavasti valtakunnallisiin tietojärjestelmäpalveluihin parantaa rekisteröityjen oikeusturvaa, koska sääntely on ymmärrettävämpää ja helpommin sovellettavaa sekä sosiaali- ja terveydenhuollon toimijoille että asiakkaille. Tiedonsaantioikeuden toteuttaminen edellyttää pääsääntöisesti asiakkaan antamaa lupaa. Lisäksi asiakkaalla on oikeus kieltojen avulla rajoittaa määrittämiensä tietojen luovuttamista. Ilman suostumusta asiakastietoja voidaan luovuttaa sosiaali- ja terveydenhuollon palvelunantajille tai muille viranomaisille tai yhteisöille erityistilanteissa, joihin liittyvä sääntely on tässä lakiehdotuksessa säilytetty samankaltaisena kuin voimassa olevissa asiakas- ja potilaslaeissa. Myöskään potilaalle määrättyjä lääkkeitä koskevien tietojen luovuttaminen reseptikeskuksesta ei edellytä suostumusta, mutta potilaalle olisi oikeus kieltää lääkemääräysten tai hänelle määrättyjen lääkkeiden luovutus.
Sosiaali- ja terveyspalvelujen välillä asiakastietoja saisi luovuttaa ilman asiakkaan antamaa suostumusta, jos kyse on sosiaali- ja terveydenhuollon yhteisestä palvelusta tai jos asiakas ei ole kykenevä päättämään suostumuksen antamisesta. Tämä turvaa asiakkaan oikeutta välttämättömään hoitoon ja palveluun. Muutoin sosiaali- ja terveyspalvelujen välisissä asiakastietojen luovutuksissa edellytyksenä on asiakkaan antama suostumus.
Käyttö- ja luovutuslokitietojen keräämisellä ja lokivalvonnalla varmistetaan, että rekisteröity tai muu lokivalvontaa suorittava henkilö voi jälkikäteen tarkastaa, kuka on katsonut hänen tietojaan ja puuttua mahdollisiin väärinkäytöksiin. Näin varmistetaan rekisteröidyn oikeuksien toteutuminen.
Edellä esitetyn perusteella ehdotetut säännökset turvaavat asiakkaan yksityiselämän suojan sekä henkilötietojen suojan vaatimukset perustuslain ja tietosuoja-asetuksen edellyttämällä tavalla.
Norminantovaltuudet
Perustuslain 80 §:ssä säädetään asetuksen antamisesta ja lainsäädäntövallan siirtämisestä. Pykälän 1 momentin mukaan lailla on säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan.
Perustuslain 80 §:n 2 momentin mukaan muu viranomainen kuin valtioneuvosto tai ministeriö voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuuden on oltava soveltamisalaltaan täsmällisesti rajattu. Lisäksi perustuslaista johtuu, että valtuuden kattamat asiat on määriteltävä tarkasti laissa.
Laissa on säädettävä perusasioista ja laista tulee käydä selkeästi ilmi, mistä on tarkoitus antaa määräyksiä ja valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Esimerkiksi perustuslakivaliokunnan lausunnossa (PeVL 10/2014) painotetaan tarkkarajaisuuden ja täsmällisyyden vaatimuksia.
Lakiehdotukseen asiakastietolaiksi sisältyisi sosiaali- ja terveysministeriölle asetuksenantovaltuudet siitä, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää, potilasasiakirjojen erityissuojauksesta, sosiaali- ja terveydenhuollon välistä tiedonsaantioikeutta koskevan luovutusluvan kohdentamisesta, valtakunnallisten tietojärjestelmäpalvelujen käyttömaksuista sekä tietojärjestelmien yhteentoimivuuden testaukseen ja rekisteröintiin liittyvistä maksuista. Lisäksi lääkemääräyslakiin sisältyisi ehdotus palvelunantajan nimeämien sairaanhoitajan, farmaseutin ja proviisorin annostusmuutoksen kirjaamisoikeutta koskevasta asetuksenantovaltuudesta. Valtioneuvoston asetuksenantovaltuus liittyisi valtioneuvoston mahdollisuuteen asettaa sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyötä varten neuvottelukunta.
Esityksessä Terveyden ja hyvinvoinnin laitokselle annetaan määräysvaltaa useisiin alemman asteisiin säännöksiin. Norminantovalta on määritelty mahdollisimman tarkkarajaisesti ja täsmällisesti. Määräysten antaminen liittyy teknisluonteisiin asioihin valtakunnallisten tietojärjestelmäpalvelujen toteuttamisessa. Näin ollen sääntelyn tarve on varsin yksityiskohtaista ja teknisluonteista.
Lisäksi Kansaneläkelaitokselle annetaan määräysvalta tietojärjestelmien yhteentoimivuudessa noudatettaviin menettelyihin.
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi antaa määräyksiä tietojärjestelmän rekisteröinti-ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista. Lääkealan turvallisuus- ja kehittämiskeskus voisi antaa määräyksiä kliinisessä lääketutkimuksessa ja lääketieteellisessä tutkimuksessa käytettävien, potilastietoja käsittelevien tietojärjestelmien tietoturvallisuusvaatimuksista. Kliinisestä lääketutkimuksesta annetun lain 34 §:n mukaan Lääkealan turvallisuus- ja kehittämiskeskus antaisi määräyksiä kliinisessä lääketutkimuksessa käytettävien, potilastietoja käsittelevien tietojärjestelmien tietoturvallisuusvaatimuksista.
Edellä todetut Terveyden ja hyvinvoinnin laitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston, Lääkealan turvallisuus- ja kehittämiskeskuksen ja Kansaneläkelaitoksen norminantovaltuudet on lakiehdotuksessa määritelty mahdollisimman tarkkarajaisesti ja täsmällisesti. Määräysten antamiseen liittyy vain vähäisissä määrin tarkoituksenmukaisuusharkintaa. Valtuuksissa on pitkälti kyse teknisten ja tarkempien määräysten antaminen asioista, joissa tarkempi sääntely on välttämätöntä sääntelyn kohteen teknisen luonteen, teknisen kehityksen nopeuden ja sääntelyn edellyttämän erityisasiantuntemuksen vuoksi.
Ehdotetun lain norminantovaltuuksien ei edellä esitetyillä perusteilla voida katsoa olevan ristiriidassa perustuslain 80 §:n kanssa.
Hallitus katsoo edellä esitetyillä perusteilla, että esitys on sopusoinnussa perustuslain kanssa, minkä vuoksi ehdotettu laki voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.
Ponsi
Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:
1.
Eduskunnan päätöksen mukaisesti säädetään:
I OSALAIN SOVELTAMISALA JA ASIAKASTIETOJEN KÄSITTELY
1 luku
Yleiset säännökset
1 §Lain tarkoitus
Tämän lain tarkoituksena on yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveydenhuollossa sekä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa.
2 §Soveltamisala ja suhde muuhun lainsäädäntöön
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä.
Siltä osin kuin asiakastietojen käsittelystä ei säädetä tässä laissa, säädetään siitä julkisten palvelunantajien osalta viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019), jäljempänä tiedonhallintalaki, digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019) ja sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003). Digitaalisten palvelujen saavutettavuudesta säädetään julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/2102.
Kielellisistä oikeuksista asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä säädetään kielilaissa (423/2003). Kaikkien palvelunantajien osalta asiakastietojen käsittelystä säädetään tietosuojalaissa ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), jäljempänä toisiolaki. Arkistolaissa (831/1994) säädetään asiakirjojen arkistoinnista. Sähköisen lääkemääräyksen ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen käsittelystä säädetään tämän lain lisäksi sähköisestä lääkemääräyksestä annetussa laissa (61/2007), jäljempänä lääkemääräyslaki.
Sähköisestä tunnistamisesta, sähköisestä allekirjoituksesta ja sähköisistä luottamuspalveluista säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 910/2014, jäljempänä eIDAS-asetus sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), jäljempänä tunnistus- ja luottamuspalvelulaki, ja väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009).
Toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetussa Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/1148 säädetään yhteiskunnan kriittisen infrastruktuurin tarjoajien ja toimijoiden tietoturvavelvollisuuksista sekä tietoturvahäiriöistä ilmoittamisesta. Sähköisen asioinnin tukipalveluista säädetään hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016). Terveydenhuollon lääkinnällisistä laitteista säädetään lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745 sekä lääkinnällisistä laitteista annetussa laissa (719/2021).
3 §Määritelmät
Tässä laissa tarkoitetaan:
asiakkaalla sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, tarkoitettua sosiaalihuollon asiakasta sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, tarkoitettua potilasta;
asiakirjalla kirjallista ja kuvallista esitystä sekä sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla;
asiakasasiakirjalla asiakirjaa, joka on laadittu tai vastaanotettu tai joka sisältää tietoja asiakkaan sosiaali- tai terveyspalvelujen tarpeen arviointia varten, tarvittavien palvelujen järjestämistä tai toteuttamista varten taikka lääkkeen toimittamista varten;
potilasasiakirjalla potilasta koskevaa asiakasasiakirjaa;
sosiaalihuollon asiakasasiakirjalla sosiaalihuollon asiakasta koskevaa asiakasasiakirjaa;
asiakastiedolla potilastietoa ja sosiaalihuollon asiakastietoa;
potilastiedolla potilasasiakirjaan ja muuhun terveydenhuollossa laadittuun asiakirjaan sisältyvää potilaan terveydentilaa tai toimintakykyä tai tämän saamaa terveyspalvelua koskevaa asiakastietoa;
sosiaalihuollon asiakastiedolla sosiaalihuollon asiakasasiakirjaan ja muuhun sosiaalihuollossa laadittuun asiakirjaan sisältyvää sosiaalihuollon asiakkaan tuen tarvetta, hänen asiansa käsittelyä tai hänelle annettavaa sosiaalipalvelua koskevaa asiakastietoa;
hyvinvointitiedolla henkilön itsensä tuottamaa ja hallinnoimaa ja hänen terveyttään ja hyvinvointiaan koskevaa tietoa, jonka henkilö on tallentanut 18 kohdassa tarkoitettuun omatietovarantoon;
palvelunantajalla viranomaista ja yksityistä elinkeinonharjoittajaa, joka järjestää tai toteuttaa sosiaalipalveluja tai terveyspalveluja;
palvelunjärjestäjällä palvelunantajaa, jolla on:
viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; tai
yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun;
palveluntuottajalla palvelunantajaa, joka:
palvelunjärjestäjänä tuottaa itse sosiaali- tai terveyspalvelua; tai
palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua;
apteekilla lääkelain (395/1987) 38 §:n 1 kohdassa tarkoitettua apteekkia;
apteekkarilla lääkelain 38 §:n 6 kohdassa tarkoitettua henkilöä, jolle on myönnetty lupa apteekin pitämiseen sekä yliopiston apteekin ja sen sivuapteekin apteekin hoitajaa;
valtakunnallisella asiakastietovarannolla valtakunnallisiin tietojärjestelmäpalveluihin kuuluvaa asiakastietojen tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakasasiakirjoja, muita asiakastietoja sisältäviä asiakirjoja tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa;
tiedonhallintapalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja;
tahdonilmaisupalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, sosiaali- ja terveyspalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia;
omatietovarannolla hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä tietovarantoa;
hyvinvointisovelluksella sovellusta, joka liittyy omatietovarantoon ja jolla käsitellään hyvinvointitietoa, sekä sovellusta, johon henkilö voi saada asiakastietonsa valtakunnallisesta asiakastietovarannosta, reseptikeskuksesta tai tiedonhallintapalvelusta;
tietojärjestelmällä ohjelmistoa, järjestelmää tai osajärjestelmää, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakasasiakirjojen sähköiseen käsittelyyn, asiakirjojen tallentamiseen valtakunnallisiin tietojärjestelmäpalveluihin tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja;
tietojärjestelmäpalvelun tuottajalla tahoa, joka tarjoaa tai toteuttaa palvelunantajalle kohdassa 20 tarkoitettua tietojärjestelmää ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista;
tietojärjestelmän valmistajalla tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta;
välittäjällä palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä ylläpitotoimien yhteydessä tai muutoin salaamattomia asiakastietoja;
sertifioinnilla menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset;
tietoturvallisuuden arviointilaitoksella tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitettua yritystä, yhteisöä tai viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt.
2 luku
Asiakastietojen käsittelyä koskevat yleiset periaatteet
4 §Asiakastietojen salassapito
Sosiaali- ja terveydenhuollon asiakastiedot ovat pysyvästi salassa pidettäviä.
Salassa pidettävää asiakastietoa sisältävää asiakirjaa taikka sen kopiota tai tulostetta ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi. Sivullisella tarkoitetaan tässä laissa terveydenhuollossa muita kuin asianomaisen palvelunjärjestäjän tai apteekin palveluksessa, lukuun tai sen toimeksiannosta potilaan terveyspalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä ja sosiaalihuollossa muita kuin asianomaisen palvelunjärjestäjän palveluksessa, lukuun tai sen toimeksiannosta sosiaalihuollon asiakkaan sosiaalipalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä.
Terveydenhuollon toimintayksiköissä saa käsitellä palvelunjärjestäjän rekisteriin kuuluvia potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja salassapitosäännösten estämättä. Sosiaalihuollon toimintayksiköissä saa käsitellä palvelunjärjestäjän rekisteriin kuuluvia sosiaalihuollon toteuttamisen kannalta välttämättömiä asiakastietoja salassapitosäännösten estämättä.
5 §Vaitiolovelvollisuus ja hyväksikäyttökielto
Palvelunantaja ja apteekkari sekä niiden palveluksessa tai harjoittelijana oleva tai muu palvelunantajan ja apteekkarin toimeksiannosta tai sen lukuun toimiva taho samoin kuin sosiaalihuollon luottamustehtävää hoitava tai asiakastietoja palvelunantajalta tai apteekilta saanut taho ovat saamiensa asiakastietojen ja muiden asiakasta koskevien henkilökohtaisten tietojen osalta vaitiolovelvollisia. Vaitiolovelvollisuudesta säädetään tietosuojalain 35 §:ssä. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde tai tehtävä on päättynyt.
Asiakas, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asiakkuuden perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asiakasta itseään. Asiakas, hänen edustajansa tai avustajansa saa kuitenkin käyttää muitakin kuin häntä itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asiakkaan tiedonsaantioikeus on perustunut.
Edellä 1 tai 2 momentissa tarkoitettu henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi.
6 §Vaitiolovelvollisuudesta poikkeaminen
Vaitiolovelvollisuudesta saa poiketa asiakkaan suostumuksella tai jos siitä on tässä tai muussa laissa säädetty.
7 §Asiakastietojen käsittelyn ohjeet ja tiedonhallintamalli
Palvelunantajan vastaavan johtajan ja apteekkarin on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä.
Julkisen palvelunantajan velvoitteesta tiedonhallintamallin laatimiseen ja muutosvaikutusten arviointiin säädetään tiedonhallintalain 5 §:ssä. Kuvaus tiedonhallintamallista on toimitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle sekä toimivaltaiselle aluehallintovirastolle.
8 §Asiakastietojen käsittelyyn osallistuvien tunnistaminen
Asiakastietojen käsittelyssä asiakas, palvelunantaja, apteekki, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava luotettavasti.
Palvelunantajan, apteekin, Kansaneläkelaitoksen sekä tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan ja välittäjän on tarkistettava asiakastietoja käsittelevien henkilöiden sekä tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo noudattaen, mitä tunnistus- ja luottamuspalvelulain 25 §:n 4-6 momentissa säädetään.
9 §Käyttöoikeus asiakastietoon
Oikeuden käyttää asiakastietoja on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on oikeus käyttää vain työtehtävissään tarvitsemiansa välttämättömiä asiakastietoja. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä.
Sosiaali- ja terveysministeriön asetuksella säädetään mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää.
Palvelunantajan ja apteekin on määriteltävä, mitä välttämättömiä asiakastietoja sosiaali- ja terveydenhuollon ammattihenkilöllä ja muulla asiakastietoja käsittelevällä henkilöllä on oikeus käyttää. Palvelunantajan ja apteekin on pidettävä rekisteriä asiakastietojen käsittelyssä käytettävien tietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden oikeuksista käyttää asiakastietoja.
10 §Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta
Palvelunantajan on kerättävä lokitiedot rekisterikohtaisesti kaikesta asiakastietojen ja hyvinvointitietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. Apteekin on kerättävä käyttölokitiedot lääkemääräysten ja muiden lääkemääräyslain 3 §:n 1 momentin 4 kohdassa tarkoitettuun reseptikeskukseen tallennettujen lääkehoitoa koskevien merkintöjen käsittelystä.
Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjän nimestä ja yksilöivästä tunnisteesta, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytönvalvontaa ja seurantaa varten tarvittavista tiedoista. Reseptikeskusta koskeviin lokitietoihin on tallennettava tiedot siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tai muun reseptikeskukseen tallennetun lääkehoitoa koskevan merkinnän tietoja sekä toimenpiteen ajankohta.
Luovutuslokirekisteriin on tallennettava kuvaus luovutetuista asiakastiedoista sekä tieto siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, luovutuksen saajasta, luovutusajankohdasta, käyttötarkoituksesta, johon tiedot on luovutettu sekä luovutuksen perusteena oleva säännös taikka luovutuslupaa tai suostumusta koskevat tiedot sekä muut luovutusten valvontaa ja seurantaa varten tarvittavat tiedot.
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.
11 §Asiakkaan tiedonsaantioikeus tietojensa käsittelystä
Asiakkaalla on oikeus saada asiakastietojensa ja hyvinvointitietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta, Kansaneläkelaitokselta tai apteekilta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.
Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.
Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja, Kansaneläkelaitos tai apteekki voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 74 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua.
Jos palvelunantaja, Kansaneläkelaitos tai apteekki katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.
Jos asiakas katsoo, että hänen asiakastietojaan tai hyvinvointitietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan, Kansaneläkelaitoksen tai apteekin on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja, Kansaneläkelaitos tai apteekki arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.
12 §Oikeus kieltäytyä asiakkaan pyynnöstä rajoittaa tietojen käsittelyä
Palvelunjärjestäjä saa kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, jos tietojen käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.
3 luku
Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpito
13 §Asiakastietojen rekisterinpitäjä
Julkisessa ja yksityisessä sosiaali- ja terveydenhuollossa palvelunjärjestäjä on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä.
Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain (1383/2001) 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon.
14 §Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa
Kun palveluntuottaja antaa sosiaali- tai terveyspalveluja palvelunjärjestäjän lukuun, vastaa palveluntuottaja:
1) asiakastietojen kirjaamisesta ja tallentamisesta palvelunjärjestäjän lukuun;
2) käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan;
3) henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan;
4) alkuperäisten asiakasasiakirjojen toimittamisesta palvelunjärjestäjälle viipymättä; sekä
5) tietosuoja-asetuksessa ja julkisuuslaissa säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa.
Palvelunjärjestäjän ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista.
15 §Rekisterinpitäjän määräytyminen palvelunantajan muutostilanteissa
Jos palvelunjärjestäjän järjestämä sosiaali- tai terveyspalvelu siirretään toisen palvelunjärjestäjän järjestämisvastuulle, on palvelunjärjestäjän rekisterinpidossa olevat asiakasasiakirjat siirrettävä palvelua jatkavan palvelunjärjestäjän rekisterinpitoon. Julkisessa sosiaali- ja terveydenhuollossa palvelua jatkavan palvelunjärjestäjän rekisterinpitoon siirretään asiakasasiakirjat niistä palveluyksiköistä, jotka siirtyvät sen vastuulle.
Jos työnantaja vaihtaa työterveyshuollon palvelunantajaa, potilasasiakirjat jäävät aiemman palvelunantajan rekisterinpitoon.
16 §Rekisterinpitäjän vastuut yksityisen palvelunjärjestäjän toiminnan päätyttyä
Kun yksityisen palvelunjärjestäjän toiminta on päättynyt, on palvelunjärjestäjän rekisterinpidossa olevat asiakasasiakirjat, lokitiedot ja biologinen näytemateriaali siirrettävä sen hyvinvointialueen tai Helsingin kaupungin rekisterinpitoon, jonka alueella palvelunjärjestäjän kotipaikka on sijainnut. Toiminnan päätyttyä palvelunjärjestäjän on huolehdittava asiakirjojen toimittamisesta rekisterinpitäjän osoittamaan paikkaan säilytettäväksi ilman aiheetonta viivytystä. Jos toiminta on päättynyt palvelunjärjestäjän kuoleman tai konkurssin takia, asiakirjojen toimittamisesta vastaa kuolinpesä tai konkurssipesä. Päättyneen toiminnan asiakirjat on pidettävä erillään rekisterinpitäjän omasta potilasrekisteristä ja sosiaalihuollon asiakasrekisteristä.
Jos palvelunjärjestäjät ovat sopineet tietosuoja-asetuksen mukaisesta yhteisrekisterinpitäjyydestä, voi yhteyspisteenä toimiva palvelunjärjestäjä toimia rekisterinpitäjänä toimintansa päättäneen palvelunjärjestäjän asiakastiedoille.
Kansaneläkelaitos voi säilyttää ja käsitellä asiakasasiakirjoja hyvinvointialueiden ja Helsingin kaupungin lukuun. Sähköiset asiakirjat voidaan tallentaa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen valtakunnalliseen asiakastietovarantoon.
4 luku
Asiakasasiakirjojen käsittelyä koskevat periaatteet
17 §Velvollisuus asiakastietojen kirjaamiseen
Sosiaali- ja terveydenhuollon ammattihenkilön ja palvelun antamiseen osallistuvan avustavan henkilön tulee kirjata asiakasasiakirjoihin asiakkaan palvelun ja potilaan hoidon järjestämisen, suunnittelun, toteuttamisen, seurannan ja valvonnan turvaamiseksi tarpeelliset ja riittävät tiedot.
18 §Sosiaali- ja terveydenhuollon asiakasrekisterit
Palvelunantajan potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan potilasrekisteriin ja sosiaalihuollon asiakasasiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin.
Työterveyshuollon potilasasiakirjat reseptikeskukseen tallennettavia lääkemääräyksiä ja muita lääkehoitoon liittyviä merkintöjä lukuun ottamatta tallennetaan työterveyshuollon potilasrekisteriin työnantajittain.
19 §Asiakasasiakirjoissa käytettävä kieli
Asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä.
Kielellisistä oikeuksista viranomaisen järjestämässä sosiaali- ja terveydenhuollossa säädetään kielilaissa ja saamen kielilaissa (1086/2003).
20 §Asiakasasiakirjojen tietorakenteet
Asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttöoikeuksien kohdistaminen, käyttö, luovuttaminen, säilyttäminen ja suojaaminen sekä hyödyntäminen. Tietorakenteiden tulee mahdollistaa asiakastietojen hyödyntäminen myös toissijaisissa käyttötarkoituksissa 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen sekä palvelunantajien muiden tietojärjestelmien avulla.
Terveyden ja hyvinvoinnin laitos antaa määräykset asiakasasiakirjojen tietorakenteista ja tietosisällöistä sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista.
21 §Asiakirjan laatimista koskeva määräaika
Asiakasasiakirja tulee laatia ja tallentaa 65 §:n mukaisiin valtakunnallisiin tietojärjestelmäpalveluihin viivytyksettä, kun asiakirja on valmistunut.
Lähetteet tulee laatia ja toimittaa jatkohoitopaikkaan viivytyksettä. Yhteenveto potilaalle annetusta hoidosta jatkohoito-ohjeineen tulee toimittaa potilaalle sekä jatkohoitopaikkaan tai muuhun paikkaan, josta on potilaan kanssa sovittu, potilaan suostumuksen mukaisesti ja viivytyksettä. Yhteenveto tulee myös kiireettömässä tapauksessa lähettää viivytyksettä.
22 §Asiakirjojen eheyden, muuttumattomuuden ja kiistämättömyyden varmistaminen
Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava asiakastietojen käsittelyssä, tiedonsiirrossa ja säilytyksessä.
Sosiaali- ja terveydenhuollon ammattihenkilön allekirjoitus todistuksissa, lausunnoissa ja muissa allekirjoitusta edellyttävissä asiakirjoissa voi olla omakätinen tai sähköinen allekirjoitus. Sähköisellä allekirjoituksella tai sähköisellä leimalla on varmistettava valtakunnallisiin tietojärjestelmäpalveluihin tallennettavat asiakirjat. Lääkemääräysten allekirjoittamisesta säädetään lääkemääräyslain 7 §:ssä.
Luonnollisen henkilön sähköisessä allekirjoituksessa on käytettävä vähintään kehittynyttä sähköistä allekirjoitusta ja organisaatioiden ja tietoteknisten laitteiden on käytettävä luotettavuudeltaan vastaavaa sähköistä leimaa, joista säädetään eIDAS-asetuksessa.
23 §Asiakasasiakirjojen säilyttäminen
Alkuperäisiä asiakasasiakirjoja sekä potilaan tutkimuksessa ja hoidossa syntyviä biologista materiaalia sisältäviä näytteitä ja elinmalleja on säilytettävä liitteessä tarkoitettu aika. Säilyttämisestä vastaa rekisterinpitäjä. Valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakirjojen säilyttämisestä vastaa kuitenkin Kansaneläkelaitos.
Arkistoinnista säädetään arkistolaissa. Kansaneläkelaitos vastaa valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen siirtämisestä Kansallisarkistoon arkistolain 14 §:n mukaisesti. Siltä osin kuin asiakasasiakirjoja ei siirretä säilytettäväksi Kansallisarkistossa, Kansaneläkelaitos vastaa valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen pysyvästä säilyttämisestä.
24 §Asiakasasiakirjojen tuhoaminen
Kun asiakasasiakirjojen säilytysaika on päättynyt eikä asiakirjaa ole määrätty arkistoitavaksi, on palvelunjärjestäjän huolehdittava siitä, että asiakasasiakirjat ja muu materiaali tuhotaan välittömästi ja siten, että sivulliset eivät saa niistä tietoa.
Kansaneläkelaitoksen on huolehdittava valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakasasiakirjojen tuhoamisesta.
5 luku
Potilasasiakirjat
25 §Oikeus tehdä merkintöjä potilasasiakirjoihin
Potilasasiakirjoihin saavat tehdä merkintöjä potilaan terveyspalvelujen järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon ammattihenkilöt ja palvelunantajan vastaavan johtajan 7 §:ssä tarkoitettujen ohjeiden mukaisesti myös muut henkilöt siltä osin kuin he osallistuvat terveyspalvelun järjestämiseen ja toteuttamiseen. Lääkemääräyksen laatimisesta säädetään lääkemääräyslain 5 §:ssä. Potilaan terveyspalvelun järjestämiseen ja toteuttamiseen osallistuvat terveydenhuollon opiskelijat saavat tehdä merkintöjä toimiessaan laillistetun ammattihenkilön tehtävässä terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 2 §:n 3 momentin mukaisesti. Muutoin terveydenhuollon opiskelijan tekemät merkinnät hyväksyy hänen esimiehensä tai ohjaajansa taikka muu hyväksymiseen valtuutettu henkilö.
Terveydenhuollon ammattihenkilö vastaa sanelunsa perusteella tehdyistä potilasasiakirjamerkinnöistä.
Potilasasiakirjamerkinnät voivat lisäksi koostua terveydenhuollon lääkinnällisten laitteiden, ohjelmistojen ja robottien tuottamista hoidon kannalta tarpeellisista merkinnöistä.
26 §Potilasasiakirjoja koskevat periaatteet
Potilasasiakirjoihin kuuluvat ammattihenkilöiden palvelutapahtumista kirjaamat merkinnät, lääkemääräykset ja muut reseptikeskukseen tallennettavat lääkehoitoa koskevat merkinnät, diagnostiikkaan liittyvät tallenteet ja niihin liittyvät lausunnot ja muut potilaan terveyspalvelujen toteuttamiseen liittyvät kuva-, ääni- ja videotallenteet, potilaan terveyspalveluiden järjestämiseen liittyvät asiakirjat sekä terveydenhuoltoon muualta saapuneet asiakirjat.
Perinnöllisyyslääketieteen ja psykiatrian potilasasiakirjamerkinnät ja vastaaviin erityistä luottamuksellisuutta edellyttäviin palveluihin liittyvät potilasasiakirjamerkinnät tulee suojata erillisellä vahvistuspyynnöllä tai vastaavalla menettelyllä muiden kuin kyseisten erikoisalojen tai palveluiden palvelutapahtumissa. Suojausvaatimus ei kuitenkaan koske näihin tietoihin mahdollisesti sisältyviä lääkitystietoja ja riskitietoja. Sosiaali- ja terveysministeriön asetuksella säädetään tarkemmin, mitkä potilasasiakirjamerkinnät ovat erityissuojattavia.
Valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien potilasasiakirjojen tulee muodostaa ehyt asiakirjakokonaisuus yksilöityjen palvelutapahtumatunnusten avulla.
27 §Potilasasiakirjoihin merkittävät perustiedot
Potilasasiakirjoista tulee aina käydä ilmi:
potilaan nimi ja henkilötunnus tai jos henkilötunnus ei ole tiedossa, yksilöintitunnus tai syntymäaika;
palvelunjärjestäjän ja palveluntuottajan nimi ja yksilöintitunnus;
merkinnän tekijän nimi, merkinnän tekijän yksilöivä tieto, ammattinimike ja merkinnän ajankohta tai lääkinnällisen laitteen, ohjelmiston tai robotin tuottaman merkinnän tiedot täydennettynä mahdollisen merkinnän hyväksyjän tiedoilla; sekä
saapuneiden tietojen osalta saapumisajankohta ja lähde.
Potilasasiakirjoista tulee ilmetä myös seuraavat tiedot, jos tieto on tarpeen potilaan hoidon tai palvelun järjestämisen tai toteuttamisen taikka potilaan huollossa olevan alaikäisen lapsen tai potilaan omaishoidettavana olevan aseman kannalta:
alaikäisen potilaan osalta huoltajien tai muun laillisen edustajan nimi ja yhteystiedot sekä täysi-ikäiselle potilaalle määrätyn laillisen edustajan nimi ja yhteystiedot;
potilaan ilmoittaman lähiomaisen tai muun yhteyshenkilön nimi, mahdollinen sukulaisuussuhde ja yhteystiedot;
tieto potilaan huollossa olevasta alaikäisestä lapsesta;
tieto omaishoitajuudesta;
potilaan äidinkieli tai asiointikieli;
potilaan ammatti;
potilaan työnantajan vakuutusyhtiö, jos kyseessä saattaa olla työtapaturma tai ammattitauti;
vakuutusyhtiö, jos hoidon mahdollisesti maksaa vakuutusyhtiö; sekä
tietojen luovuttamista koskevat potilaan suostumukset.
Jos 1 momentin 3 kohdassa tarkoitetun merkinnän tekninen kirjaaja on eri kuin merkinnän sisällöstä vastaava merkinnän tekijä, potilasasiakirjasta tulee ilmetä myös merkinnän teknisen kirjaajan tiedot. Merkinnästä tulee ilmetä tietojen lähde, jos tieto ei perustu ammattihenkilön omiin havaintoihin tai jos potilasasiakirjoihin merkitään muita kuin potilasta itseään koskevia tietoja.
28 §Palvelutapahtumista kirjattavat merkinnät
Potilasasiakirjoihin on kirjattava jokaisesta palvelutapahtumasta potilasasiakirjamerkinnät. Merkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi potilaan terveydentilaa, annettua palvelua ja sairauden ja hoidon kulkua koskevat tiedot sekä taudinmäärityksen, valitun hoidon ja tehtyjen hoitoratkaisujen perusteet. Lääkemääräyksistä on kirjattava lääkemääräyslain 6 §:n mukaiset tiedot sekä valitun lääkehoidon perustelut siltä osin kuin tieto ei sisälly lääkemääräykseen.
Hoidon ja palvelun toteuttamiseen osallistuneet ammattihenkilöt ja muut henkilöt on kyettävä selvittämään.
Annetuista lääkärinlausunnoista ja todistuksista tulee tehdä merkinnät niiden antamisajankohdan mukaisesti.
Jos potilaan hoidon kannalta on välttämätöntä kirjata toisen henkilön itsestään kertomia tai muita muun henkilön yksityiskohtaisia arkaluonteisia tietoja, nämä tiedot kirjataan potilaan palvelutapahtuman asiakirjoihin kuuluvaan erilliseen asiakirjaan.
29 §Potilasasiakirjoihin kirjattavat keskeiset hoitotiedot
Potilasasiakirjamerkinnöistä tulee tarpeellisessa laajuudessa käydä ilmi tulosyy, esitiedot, nykytila, havainnot, tutkimustulokset, ongelmat, taudinmääritys tai terveysriski, johtopäätökset, hoidon suunnittelu, toteutus ja seuranta, sairauden kulku sekä loppulausunto. Merkinnöistä tulee käydä ilmi, miten hoito on toteutettu, onko hoidon aikana ilmennyt jotakin erityistä ja millaisia hoitoa koskevia ratkaisuja sen kuluessa on tehty.
Potilaalle suoritetusta leikkauksesta ja muusta toimenpiteestä tulee laatia leikkaus- tai toimenpidekertomus, joka sisältää riittävän yksityiskohtaisen kuvauksen toimenpiteen suorittamisesta ja sen aikana tehdyistä havainnoista. Kertomuksessa tulee esittää perustelut toimenpiteen aikana tehdyille ratkaisuille.
Tiedot potilaaseen pysyvästi asetetuista proteeseista, implanteista, hampaiden täytemateriaaleista ja muista materiaaleista tulee merkitä potilasasiakirjoihin sellaisella tarkkuudella, että ne ovat myöhemmin tunnistettavissa.
Jos potilaan itsemääräämisoikeutta rajoitetaan mielenterveyslain (1116/1990), päihdehuoltolain (41/1986), tartuntatautilain (1227/2016) tai muun lain nojalla, siitä tulee tehdä merkintä, josta käy ilmi toimenpiteen syy, luonne ja kesto sekä arvio sen vaikutuksesta potilaan hoitoon samoin kuin toimenpiteen määränneen lääkärin ja suorittajien nimet.
30 §Riskeistä, hoidon haitallisista vaikutuksista ja epäillyistä vahingoista tehtävät merkinnät
Potilasasiakirjoihin tulee tehdä merkinnät tiedossa olevasta potilaan lääkeaineallergiasta, materiaaliallergiasta, yliherkkyydestä sekä muista vastaavista hoidossa huomioon otettavista seikoista.
Työntekijälle työstä aiheutuvia terveysvaaroja koskevat tiedot tulee merkitä tai liittää häntä koskeviin työterveyshuollon potilasasiakirjoihin.
Potilaskertomukseen tulee merkitä tiedot todetuista tutkimus- ja hoitotoimenpiteiden haitallisista vaikutuksista ja hoidon tehottomuudesta.
Epäillyistä potilas-, laite- ja lääkevahingoista tulee tehdä potilaskertomukseen yksityiskohtaiset merkinnät, joista käy ilmi kuvaus vahingosta, selvitys hoidossa mukana olleista terveydenhuollon ammattihenkilöistä sekä laite- ja lääkevahinkojen osalta kuvaus vahingon epäillystä syystä. Lääkkeiden ja laitteiden tunnistetiedot tulee merkitä yksilöidysti. Merkinnät tulee tehdä välittömästi sen jälkeen, kun vahinkoepäily on syntynyt.
31 §Konsultaatioista ja hoitoneuvotteluista tehtävät merkinnät
Hoitovastuussa olevan terveydenhuollon ammattihenkilön tulee tehdä potilasasiakirjoihin merkinnät potilaan taudinmäärityksen tai hoidon kannalta merkittävästä puhelinneuvottelusta sekä muusta vastaavasta konsultaatiosta ja hoitoneuvottelusta. Merkinnöistä tulee käydä ilmi konsultaation tai neuvottelun ajankohta, asian käsittelyyn osallistuneet sekä tehdyt hoitoratkaisut ja niiden toteuttaminen.
Jos konsultaatio tapahtuu siten, että potilas voidaan tunnistaa, myös konsultaation antajan tulee 1 momentissa tarkoitetuissa tilanteissa tehdä potilasasiakirjoihin merkinnät antamastaan konsultaatiovastauksesta tai hänelle tulee muutoin jäädä antamansa vastauksen tiedot.
32 §Osastohoitoa ja pitkäaikaishoitoa koskevat merkinnät
Osastohoidossa ja pitkäaikaisen hoidon piirissä olevasta potilaasta tulee tehdä potilaan hoidon kannalta riittävän usein merkinnät hänen tilansa muutoksista, hänelle tehdyistä tutkimuksista ja hänelle annetusta hoidosta. Päivittäin on tehtävä merkinnät potilaan tilaan liittyvistä huomioista, hoitotoimista ja vastaavista seikoista.
Lääkärin tulee tehdä sairaalahoidossa olevan pitkäaikaispotilaan potilasasiakirjoihin vähintään kolmen kuukauden välein seurantayhteenveto riippumatta siitä, onko potilaan tilassa tapahtunut olennaisia muutoksia.
33 §Loppulausunto
Jokaisesta hoitojaksosta on laadittava loppulausunto, kun hoitojakson loputtua hoito päättyy taikka hoitovastuu siirtyy, jollei tästä poikkeamiseen ole erityistä syytä.
Loppulausuntoon on sisällytettävä annettua hoitoa koskevien yhteenvetojen lisäksi selkeät ja yksityiskohtaiset ohjeet potilaan seurannan ja jatkohoidon toteuttamiseksi. Loppulausunnossa tulee lisäksi kuvata mahdolliset poikkeavuudet potilaan toimenpiteen jälkeisessä toipumisessa ja potilaan tila palvelutapahtuman päättyessä.
34 §Merkinnät alaikäisen asiakkaan päätöskyvystä
Kun alaikäinen henkilö on terveydenhuollon asiakkaana, on palvelutapahtumakohtaisesti kirjattava tieto siitä, onko alaikäinen ollut kykenevä itse päättämään hoidostaan potilaslain 7 §:n tarkoittamalla tavalla. Merkinnöistä tulee käydä ilmi myös, salliiko hoidostaan päättämään kykenevä alaikäinen potilas terveydentilaansa tai kyseistä hoitoa koskevien tietojen antamisen hänen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle vai onko hän 51 §:n 1 momentin mukaisesti kieltänyt tietojen antamisen.
Alle 12 vuotiaan lapsen ollessa asiakkaana tietojärjestelmä voi tuottaa oletusarvoisesti asiakirjoille tiedon, ettei lapsi ole ollut kykenevä päättämään hoidostaan. Terveydenhuollon ammattihenkilön on tarvittaessa muutettava tieto, jos lapsi on kykenevä päättämään hoidostaan.
35 §Merkinnät hoitoon osallistumisesta erityistilanteissa
Jos täysi-ikäistä potilasta hoidetaan potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tilanteissa yhteisymmärryksessä hänen itsensä sijasta hänen laillisen edustajansa, lähiomaisensa tai muun läheisensä kanssa, tästä tulee tehdä merkintä potilasasiakirjoihin.
36 §Potilaan hoidon järjestämistä koskevat merkinnät
Jos potilas potilaslain 4 §:n 1 momentissa tarkoitetussa tilanteessa joutuu odottamaan hoitoon pääsyä, potilasasiakirjoihin tulee tehdä merkinnät viivästyksen syystä, potilaalle ilmoitetusta hoitoonpääsyajasta ja siitä, että mainitut tiedot on ilmoitettu potilaalle. Potilasasiakirjoihin merkitään myös tieto potilaan ohjaamisesta muuhun hoitopaikkaan. Jos ilmoitettu hoitoonpääsyaika muuttuu, potilasasiakirjoihin merkitään tiedot uudesta ajankohdasta, muutoksen syystä ja siitä, että muutoksesta on ilmoitettu potilaalle.
Potilasasiakirjoihin tulee tehdä merkinnät potilaslain 5 §:n 1 momentissa tarkoitetun potilaan hoitoon liittyviä seikkoja koskevan selvityksen antamisesta. Jos selvitystä ei ole annettu, peruste siihen tulee merkitä potilasasiakirjoihin.
Jos potilas kieltäytyy tutkimuksesta tai hoidosta, kieltäytymisestä tulee tehdä merkintä potilasasiakirjoihin.
Jos potilas haluaa ilmaista hoitoa koskevan vakaan tahtonsa tulevaisuuden varalle, tästä tulee tallentaa tieto tahdonilmaisupalveluun sekä tarvittaessa tehdä vastaava merkintä potilasasiakirjoihin ja liittää potilasasiakirjoihin erillinen potilaan itsensä varmentama potilaan tahdon ilmaiseva asiakirja. Potilasasiakirjoihin tulee lisäksi tehdä merkinnät siitä, että potilaalle on annettu riittävä selvitys hänen tahtonsa noudattamisen vaikutuksista.
6 luku
Sosiaalihuollon asiakasasiakirjat
37 §Sosiaalihuollon asiakasasiakirjoja koskevat periaatteet
Velvollisuus kirjata sosiaalihuollon asiakastiedot alkaa, kun palvelunantaja on saanut tiedon henkilön palveluntarpeesta tai ryhtynyt toteuttamaan sosiaalipalvelua.
Kaikista sosiaalihuollon asiakasrekisteriin tallennettavista sosiaalihuollon asiakasasiakirjoista on käytävä ilmi, mihin sosiaalihuollon palvelutehtävään tai palvelutehtäviin se liittyy.
Toisen lukuun tuotetussa sosiaalihuollossa tai sosiaalipalveluissa tallennetuista sosiaalihuollon asiakasasiakirjoista on ilmettävä niiden käsittelyperuste, palvelunjärjestäjä ja palveluntuottaja. Alihankintatilanteissa sosiaalihuollon asiakastiedoista on ilmettävä hankintaketju kokonaisuudessaan.
38 §Sosiaalihuollon asiakasasiakirjoihin kirjattavat perustiedot
Sosiaalihuollon asiakasasiakirjasta tulee aina käydä ilmi:
asiakirjan nimi;
asiakkaan nimi sekä henkilötunnus tai, jollei se ole tiedossa, hänet väliaikaisesti yksilöivä tunnus tai syntymäaika;
palvelunjärjestäjän ja palveluntuottajan nimi ja yksilöintitunnus;
asiakirjan laatijan tai kirjauksen tehneen henkilön nimi sekä virka-asema tai tehtävä; sekä
asiakirjan laatimisen tai kirjaamisen ajankohta.
Sosiaalihuollon asiakasasiakirjoihin on kirjattava seuraavat tiedot:
hyvinvointialue, jonka alueella asiakkaan kotikuntalaissa (201/1994) tarkoitettu kotikunta sijaitsee,
asiakkuuden alkamisen ajankohta;
tieto asiakkaan palveluista vastaavasta työntekijästä;
mahdollinen tieto asiakkaan tai hänen laillisen edustajansa yhteystietoja koskevasta turvakiellosta; sekä
asiakkuuden päättymisen ajankohta ja päättymisen peruste.
Lisäksi sosiaalihuollon asiakasasiakirjoihin kirjataan seuraavat asianosaisia koskevat perustiedot, jos ne vaikuttavat asiakkaan palveluun:
asiakkaan äidinkieli ja asiointikieli sekä yhteystiedot ja kotikunta;
huoltajan tai muun laillisen edustajan nimi, yhteystiedot ja toimivalta ja huoltajuudesta erotetun vanhemman mahdollinen tiedonsaantioikeus, jos asiakirja koskee alaikäistä asiakasta;
täysi-ikäiselle asiakkaalle määrätyn laillisen edustajan tai asiakkaan valtuuttaman henkilön nimi, yhteystiedot ja toimivalta; sekä
tarvittaessa asiakkaan omaisen, läheisen tai muun asiakkaan hoitoon tai huolenpitoon osallistuvan henkilön nimi, yhteystiedot ja rooli asiassa.
39 §Tietojen saamista koskevat merkinnät
Jos sosiaalihuollon asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tietojen vastaanottajan on voitava todentaa:
mitä tietoja on hankittu tai saatu;
keneltä tiedot on saatu tai muu tiedonlähde, jos tiedot on saatu teknisen käyttöyhteyden kautta;
milloin tiedot on saatu;
henkilö, joka tiedot on pyytänyt, jos ne on hankittu oma-aloitteisesti;
tiedon hankkimisen tai saamisen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä
käyttötarkoitus, johon tiedot on hankittu tai saatu.
40 §Alaikäisen asiakkaan kielto-oikeuden kirjaaminen
Jos alaikäinen sosiaalihuollon asiakas kieltää 51 §:n perusteella asiakastietojensa luovutuksen huoltajalle, muulle lailliselle edustajalle tai muulle tiedonsaantiin oikeutetulle henkilölle, on kielto ja sen perusteeksi esitetty painava syy kirjattava.
Jos alaikäisen oikeus kieltää asiakastietojensa luovutus evätään siksi, ettei alaikäinen asiakas ole esittänyt 1 momentissa tarkoitettua painavaa syytä kiellolle, tai siksi, että tietojen antamatta jättämisen katsotaan olevan selvästi vastoin alaikäisen asiakkaan omaa etua, on asiakasasiakirjaan kirjattava myös ratkaisun perustelut.
Asiakirjatyypeittäin kirjattavat tiedot
41 §Asian vireilletuloa koskevat asiakirjat
Asian vireilletuloa koskeviin sosiaalihuollon asiakasasiakirjoihin kirjataan:
henkilön tuen, huolenpidon, hoivan tai muun palvelun tarve;
mahdolliset perustelut palvelun tarpeelle;
asian vireille saattaja; sekä
asian vireille saattamisen ajankohta.
42 §Palvelutarpeen arvio
Sen lisäksi, mitä sosiaalihuoltolain (1301/2014) 37 §:ssä ja 39 §:n 2 momentin 1—3 ja 5 kohdassa säädetään, asiakkaan palvelutarpeen arviointia koskeviin sosiaalihuollon asiakirjoihin kirjataan tarvittaessa asiakkaan laillisen edustajan, omaisen, läheisen tai muun henkilön käsitys asiakkaan tuen tarpeesta.
Suunnitelmaa koskevaan arvioon kirjataan lisäksi asiakkaan ja muiden suunnitelman toteuttamiseen osallistuneiden käsitys ja työntekijän arvio siitä, miten suunnitelmassa esitetyt tavoitteet ovat toteutuneet.
43 §Asiakassuunnitelma
Sen lisäksi, mitä sosiaalihuoltolain 39 §:n 2 momentin 4 ja 6—9 kohdassa säädetään, asiakassuunnitelma-asiakirjaan kirjataan:
palvelutarpeen arvioon perustuva asiakkaan tuen tarve;
kuvaus asiakkaan tarvitsemista palveluista;
palvelulle ja asiakkuudelle asetetut tavoitteet sekä keinot niiden saavuttamiseksi; sekä
asiakkaan tukemiseen osallistuvat yksityishenkilöt ja heidän tehtävänsä.
44 §Asiakaskertomus
Asiakaskertomukseen kirjataan sekä asiakkaaseen tai asiakkuuteen liittyvät tapahtumat, joissa asiakkaan asiaa on käsitelty, asiakkaan saaman tuen tai palvelun ajankohta sekä tieto siitä, ketkä ovat osallistuneet asian käsittelyyn.
45 §Päätös
Tiedoista, jotka on kirjattava päätösasiakirjaan, säädetään hallintolain (434/2003) 44 §:n 1 momentissa sekä 45 §:n 1 momentissa.
7 luku
Kirjaaminen monialaisessa yhteistyössä
46 §Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon henkilöstön toteuttaessa palvelua yhdessä
Jos sosiaali- ja terveyspalvelua toteuttaa sosiaali- ja terveydenhuollon henkilöstö yhdessä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arvio, asiakassuunnitelma ja kyseistä palvelua koskevat asiakaskertomusmerkinnät sekä muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi ja asiakassuunnitelma sekä muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin. Asiakaskertomus tallennetaan sosiaalihuollon asiakasrekisteriin. Potilasasiakirjamerkinnät tallennetaan potilasrekisteriin.
47 §Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon yhteistyössä
Jos sosiaali- ja terveyspalveluita antavat sosiaali- ja terveydenhuollon henkilöstö yhteistyössä, asiakkaalle voidaan laatia yhteinen palvelutarpeen arviointi, asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Palvelutarpeen arviointi, asiakassuunnitelma ja muut yhteiset asiakasasiakirjat tallennetaan tarpeellisessa laajuudessa sekä sosiaalihuollon asiakasrekisteriin että potilasrekisteriin.
48 §Asiakastietojen kirjaaminen sosiaali- ja terveydenhuollon ja muiden toimialojen välisessä yhteistyössä
Sosiaali- ja terveydenhuollon ja muiden toimialojen monialaiseen yhteistyöhön osallistuvat henkilöt voivat salassapitosäännösten estämättä:
kirjata edustamansa organisaation asiakirjoihin sellaiset yhteistyössä saamansa sosiaali- ja terveydenhuollon asiakastiedot, jotka ovat välttämättömiä yhteisen asiakkaan asian hoitamiseksi sanotussa organisaatiossa; sekä
tallettaa yhteistyön perusteella laaditun asiakassuunnitelman sanotussa organisaatiossa, jos se on asiakkaan kannalta välttämätöntä siinä asiassa, jonka hoitamiseksi asiakirja on laadittu.
Edellä 1 momentissa tarkoitettuja asiakastietoja koskeviin salassapitovelvoitteisiin sovelletaan, mitä 4 §:n 1 momentissa ja tietosuojalain 35 §:ssä säädetään, riippumatta siitä, minkä organisaation asiakirjoihin ne sisältyvät. Asiakastietoja ei saa käyttää eikä luovuttaa muihin tarkoituksiin, kuin mitä varten tiedot on tallennettu. Asiakastietoja saa säilyttää ainoastaan sen aikaa, kuin käyttötarkoituksen kannalta on välttämätöntä.
8 luku
Tiedonsaantioikeus ja tietojen luovuttaminen
Toisen puolesta asiointi ja asiakastietojen luovuttaminen asiakkaan lailliselle edustajalle, lähiomaiselle tai muulle läheiselle
49 §Tietojen antaminen asiakkaan lailliselle edustajalle tai läheiselle erityistilanteissa
Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on potilaslain 6 §:n 2 ja 3 momentissa tarkoitetuissa tapauksissa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta.
Tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaisella tai muulla hänen läheisellään on oikeus saada tieto potilaan henkilöstä ja hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi näin menettelemästä.
Sosiaalihuollon asiakkaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on asiakaslain 7 §:n 2 momentissa ja lastensuojelulain (417/2007) 30 §:n 2 momentissa tarkoitetuissa tapauksissa oikeus saada asiakas-, palvelu- tai hoitosuunnitelman tekemistä varten tarpeelliset tiedot sekä asiakaslain 9 §:n 1 momentissa tarkoitetuissa tapauksissa oikeus saada asiakkaan tahdon selvittämistä varten tarpeelliset asiakasta koskevat tiedot.
50 §Tietojen käsittely toisen puolesta
Henkilöllä on oikeus käsitellä toista henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta tallennettuja tietoja, ellei 51 §:stä, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu.
51 §Alaikäisen oikeus kieltää tietojensa luovuttaminen huoltajalle
Jos terveydenhuollossa alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää potilastietojensa antaminen huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle.
Sosiaalihuollossa alaikäinen voi ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu painavasta syystä kieltää antamasta itseään koskevia tietoja huoltajalleen, muulle lailliselle edustajalleen tai muulle tiedonsaantiin oikeutetulle henkilölle, jollei se ole selvästi alaikäisen edun vastaista. Jos alaikäinen tai hänen laillinen edustajansa ovat asianosaisena sosiaalihuoltoa koskevassa asiassa, laillisella edustajalla on kuitenkin oikeus tiedonsaantiin. Tiedonsaannista säädetään julkisuuslain 11 §:ssä.
52 §Asiakastietojen luovuttaminen kuoleman jälkeen
Kuolleen henkilön elinaikana annettua sosiaali- tai terveyspalvelua koskevia tietoja saa luovuttaa perustellusta kirjallisesta hakemuksesta sille, joka tarvitsee tietoja tärkeiden etujensa tai oikeuksiensa selvittämistä tai toteuttamista varten siltä osin kuin tiedot ovat välttämättömiä etujen tai oikeuksien selvittämiseksi tai toteuttamiseksi. Luovutuksensaaja ei saa käyttää tai luovuttaa tietoja edelleen muuhun tarkoitukseen.
Tiedonsaantioikeus ja asiakastietojen luovuttaminen sosiaali- ja terveydenhuollossa sekä muille viranomaisille
53 §Tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä
Sosiaali- terveydenhuollon yhteistä palvelua toteutettaessa palvelun toteuttamiseen osallistuvilla henkilöillä on oikeus saada ja käyttää palvelun toteuttamisen kannalta välttämättömiä asiakasasiakirjoja.
Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä potilastietoja sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää sosiaalipalvelun järjestämiseksi ja toteuttamiseksi.
Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi. Edellytyksenä tiedon saamiselle ja käyttämiselle on asiakkaan antama luovutuslupa. Asiakkaan on yksilöitävä luovutusluvassaan, mitä sosiaalihuollon asiakastietoja terveydenhuollon palvelunantajalla on oikeus saada ja käyttää terveyspalvelun järjestämiseksi ja toteuttamiseksi.
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä 2 ja 3 momentissa tarkoitetun luvan kohdentamisesta potilastietoihin ja sosiaalihuollon asiakastietoihin.
Sosiaalihuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä potilastietoja asiakkaan sosiaalipalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa.
Terveydenhuollon palvelunantajalla on salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä sosiaalihuollon asiakastietoja asiakkaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa.
54 §Terveydenhuollon palvelunantajan oikeus saada potilastietoja ja potilastietojen luovuttaminen hoidon turvaamiseksi
Terveydenhuollon palvelunantajalla on oikeus saada ja käyttää potilastietoja potilaan terveyspalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa. Luovutuslupa koskee kaikkia potilaan potilastietoja, ja sen laajuutta voi rajata kieltojen avulla. Reseptikeskukseen tallennettujen lääkemääräysten ja muiden lääkehoitoa koskevia merkintöjen luovuttamisesta säädetään lääkemääräyslain 13 §:ssä.
Jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä potilastietoja potilaan välttämättömän terveyspalvelun järjestämiseksi tai toteuttamiseksi ilman potilaan antamaa luovutuslupaa.
Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantioikeutta ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan se toteuttaa muulla tavoin.
Palvelunantaja saa omasta aloitteestaan tai ulkomaalaisen terveydenhuollon toimintayksikön pyynnöstä luovuttaa välttämättömiä potilastietoja potilaan terveyspalvelun järjestämiseksi tai toteuttamiseksi, jos potilaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.
55 §Sosiaalihuollon palvelunantajan oikeus saada sosiaalihuollon asiakastietoja
Sosiaalihuollon palvelunantajalla on oikeus saada ja käyttää sosiaalihuollon asiakastietoja asiakkaan sosiaalipalvelun järjestämiseksi ja toteuttamiseksi. Tiedonsaantioikeuden edellytyksenä on asiakkaan antama luovutuslupa, jos kyse on muista kuin 56 §:n 1 momentissa tarkoitetuista tapauksista tai jollei muualla laissa ole säädetty tiedonsaantioikeudesta. Lupa koskee kaikkia sosiaalihuollon asiakkaan sosiaalihuollon asiakastietoja, ja sen laajuutta voi rajata kieltojen avulla.
Jos sosiaalihuollon asiakkaalla ei ole muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia edellytyksiä arvioida annettavan luovutusluvan merkitystä eikä hänellä ole laillista edustajaa, on palvelunantajalla salassapitosäännösten estämättä oikeus saada ja käyttää välttämättömiä sosiaalihuollon asiakastietoja sosiaalihuollon asiakkaan välttämättömän sosiaalipalvelun järjestämiseksi tai toteuttamiseksi.
Tiedonsaantioikeus toteutetaan ensisijaisesti valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Jos tiedonsaantia ei ole mahdollista toteuttaa valtakunnallisten tietojärjestelmäpalvelujen välityksellä, voidaan tiedonsaanti toteuttaa muulla tavoin.
56 §Sosiaalihuollon asiakastietojen luovuttaminen sosiaalihuollon asiakkaan hoidon ja huollon turvaamiseksi
Jos 55 §:ssä tarkoitettua asiakastietojen luovutusta koskevaa luovutuslupaa ei voida saada asiakkaan muistisairauden, mielenterveyden häiriön, kehitysvammaisuuden tai vastaavan syyn takia taikka jos asiakas tai hänen laillinen edustajansa kieltää tiedon luovuttamisen, sosiaalihuollon palvelunantaja saa luovuttaa asiakirjasta salassapitovelvollisuuden estämättä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, hoidon, huollon tai koulutuksen järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi. Tietoja saa kuitenkin luovuttaa vain, jos:
1) se, jota asiakirja koskee, on hoidon tai huollon ilmeisessä tarpeessa terveytensä, kehityksensä tai turvallisuutensa vaarantumisen vuoksi eikä hoidon tai huollon tarvetta muutoin voida selvittää taikka hoidon tai huollon toimenpiteitä toteuttaa;
2) tieto on tarpeen lapsen edun vuoksi; tai
3) tieto on tarpeen asiakkaan välttämättömien etujen ja oikeuksien turvaamiseksi eikä asiakkaalla itsellään ole edellytyksiä arvioida asian merkitystä.
Edellä 1 momentissa tarkoitetuissa tapauksissa tietoja saa luovuttaa toiselle sosiaalihuollon julkiselle palvelunantajalle ja sen lukuun toimivalle palveluntuottajalle tai sen toimeksiannosta sosiaalihuollon tehtäviä suorittavalle henkilölle tai yhteisölle sekä muulle suomalaiselle tai ulkomaiselle viranomaiselle.
Yksityiselle sosiaali- tai terveydenhuollon palvelunantajalle saa kuitenkin luovuttaa 1 momentissa tarkoitetuissa tapauksissa vain välttämättömät tiedot asiakkaan välittömän hoidon tai huollon toteuttamiseksi tai muusta tähän rinnastettavasta syystä. Muulle yksityiselle henkilölle tai yhteisölle saa luovuttaa välttämättömän tiedon, jos tiedon antaminen on välttämätöntä asiakkaan tahdon tai sosiaalihuollon tarpeen selvittämiseksi tai sosiaalihuollon toimenpiteen toteuttamiseksi.
57 §Tiedonsaantioikeuden toteuttaminen teknisen rajapinnan avulla
Edellä 53-55 §:ssä sekä 64 §:ssä tarkoitetun tiedonsaantioikeuden saa toteuttaa teknisen rajapinnan avulla sen jälkeen, kun hoitosuhteen tai asiakassuhteen olemassaolo potilaan tai sosiaalihuollon asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu.
Julkisen palvelunantajan tiedonsaantioikeuden toteuttamisesta teknisen rajapinnan avulla säädetään tiedonhallintalain 22 §:ssä.
58 §Luovutusluvan tai kiellon antaminen ja peruuttaminen
Tietojen luovuttamista koskevan luovutusluvan tai kiellon on oltava vapaaehtoisesti annettu. Luovutuslupa tai kielto on voimassa toistaiseksi ja sen voi peruuttaa. Huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen puolesta potilastietojen luovutusta potilaslain 8 §:n tarkoitetuissa tilanteissa.
Valtakunnallisia tietojärjestelmäpalveluja koskevan luovutusluvan tai kiellon on perustuttava 68 §:n mukaisessa menettelyssä annettavaan riittävään tietoon. Valtakunnallisia tietojärjestelmäpalveluja koskeva luovutuslupa tai kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta valtakunnallisia tietojärjestelmäpalveluita koskevasta luovutusluvasta tai kiellosta tahdonilmaisupalveluun viivytyksettä.
Luovutusluvan tai kiellon vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste luovutuslupa-asiakirjasta tai kieltoasiakirjasta taikka kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla.
Kansaneläkelaitos määrittelee luovutuslupa-asiakirjan ja kieltoasiakirjan tietosisällön. Luovutuslupa-asiakirjasta ja kieltoasiakirjasta on käytävä ilmi luovutusluvan ja kiellon merkitys asiakastietojen käsittelyssä.
Luovutusluvan ja kiellon peruuttamiseen sovelletaan, mitä 1-3 momentissa säädetään niiden antamisesta.
59 §Kieltojen kohdentaminen
Sosiaalihuollon asiakas voi kohdistaa sosiaalihuollon asiakastietojensa luovutusta koskevan kiellon sosiaalihuollon palvelunjärjestäjään, palvelutehtävään tai yksittäiseen sosiaalihuollon asiakasasiakirjaan.
Potilas voi kohdistaa potilastietojensa luovutusta koskevan kiellon kaikkiin potilastietoihinsa, julkisen terveydenhuollon palvelunjärjestäjään ja sen rekisteriin, yksityisen työterveyshuollon rekisteriin tai palvelutapahtumaan.
Lääkemääräysten ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen kiellon kohdentamisesta säädetään lääkemääräyslain 13 §:ssä.
60 §Rajat ylittävä tiedonvaihto
Jäljempänä 71 §:ssä tarkoitettuun tiedonhallintapalveluun sisältyviä potilastietoja saadaan luovuttaa ulkomaiselle terveydenhuollon palveluntuottajalle valtakunnallisten tietojärjestelmäpalvelujen välityksellä potilaan antaman suostumuksen perusteella potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU 14 artiklassa tarkoitettujen sähköisten terveyspalvelujen järjestämistä ja toteuttamista varten. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa.
Kansaneläkelaitos toimii Suomessa kansallisena teknisenä sähköisenä yhteyspisteenä valtakunnallisten tietojärjestelmäpalvelujen ja ulkomaan kansallisen yhteyspisteen välillä. Kansaneläkelaitos koostaa tiedonhallintapalveluun sisältyvistä potilastiedoista potilasyhteenvedon.
61 §Oikeus saada tietoja kliiniseen lääketutkimukseen ja lääketieteelliseen tutkimukseen
Salassapitosäännösten estämättä sekä sen estämättä, mitä toisiolaissa säädetään, toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen edustajalla on oikeus saada palvelunantajalta ja käsitellä potilastietoja ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 536/2014, jäljempänä lääketutkimusasetus, ja kliinisestä lääketutkimuksesta annetussa laissa (983/2021), jäljempänä lääketutkimuslaki, tarkoitetun kliinisen lääketutkimuksen ja lääketieteellisestä tutkimuksesta annetussa laissa (488/1999), jäljempänä tutkimuslaki, tarkoitetun lääketieteellisen tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi, jos tietojen saanti ja käsittely on välttämätöntä tutkimukseen liittyvän tehtävän tai velvoitteen hoitamiseksi.
Tietojen saaminen edellyttää kliinisessä lääketutkimuksessa lääketutkimuslain 11 §:ssä tarkoitettua kliinistä lääketutkimusta koskevaa Lääkealan turvallisuus- ja kehittämiskeskuksen myönteistä päätöstä ja lääketieteellisessä tutkimuksessa tutkimuslain 3 §:ssä tarkoitettua lääketieteellisen tutkimuseettisen toimikunnan myönteistä kirjallista lausuntoa.
Edellytyksenä potilastietojen saamiselle on, että tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen lääketutkimusasetuksen, lääketutkimuslain tai tutkimuslain mukaisesti. Jos tutkimus on lääketutkimusasetuksen 35 artiklassa tai tutkimuslain 10 a §:ssä tarkoitettu hätätilanteessa suoritettava tutkimus, potilastietoja on oikeus saada ja käsitellä, jos mainituissa lainkohdissa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät.
62 §Asiakasta koskevan tiedon ilmoittaminen poliisille uhkan arviointia ja uhkaavan teon estämistä varten
Palvelunantaja tai sen tehtäviä suorittava henkilö saa salassapitovelvollisuuden estämättä ilmoittaa poliisille henkeen tai terveyteen kohdistuvan uhkan arviointia ja uhkaavan teon estämistä varten välttämättömät tiedot, jos henkilö tämän lain mukaisia tehtäviä hoitaessaan on saanut tietoja olosuhteista, joiden perusteella hänellä on syytä epäillä jonkun olevan vaarassa joutua väkivallan kohteeksi.
63 §Sosiaalihuollon asiakastietojen luovuttaminen eräissä muissa tilanteissa
Sosiaalihuollon palvelunantaja saa, jos se on välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi, antaa tiedon salassa pidettävästä asiakirjasta asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta tuomioistuimelle tai muulle suomalaiselle tai ulkomaalaiselle viranomaiselle asiassa, jossa palvelunantajalle on laissa säädetty oikeus tai velvollisuus panna asia vireille taikka osallistua vireillä olevan asian käsittelyyn tai toimeenpanoon antamalla lausunto tai selvitys taikka muulla vastaavalla tavalla. Lisäksi tiedon salassa pidettävästä asiakirjasta saa antaa sosiaalietuuksia käsittelevälle viranomaiselle tai laitokselle etuutta koskevan väärinkäytöksen selvittämiseksi, jos väärinkäytöstä on perusteltua syytä epäillä.
Sosiaalihuollon palvelunantajan tulee pyydettäessä antaa asiakkaan tai tämän laillisen edustajan suostumuksesta riippumatta tieto salassa pidettävästä asiakirjasta poliisille, syyttäjäviranomaiselle ja tuomioistuimelle, jos se on tarpeen sellaisen rikoksen selvittämiseksi, jonka ilmoittamatta jättäminen on rangaistavaa rikoslain (39/1889) 15 luvun 10 §:n nojalla, taikka jonka enimmäisrangaistus on vähintään neljä vuotta vankeutta.
Salassa pidettävästä asiakirjasta saa sosiaalihuollon palvelunantaja antaa oma-aloitteisestikin tiedon, jos epäillään 2 momentissa tarkoitettua rikosta taikka silloin, jos epäillään jonkun syyllistyneen siinä mainittua vähäisempään rikokseen, jos sosiaalihuollon palvelunantaja arvioi sen olevan välttämätöntä lapsen edun taikka erittäin tärkeän yleisen tai yksityisen edun vuoksi.
Sosiaalihuollon julkinen palvelunantaja saa 1–3 momentissa tarkoitettujen tapausten lisäksi antaa tiedon salassa pidettävästä asiakirjasta, jos se on välttämätöntä tarkistettaessa sosiaalihuollon palvelunantajalle laissa säädetyn tehtävän hoitamiseksi olennaisen tärkeää tietoa tilanteissa, joissa palvelunantajalla itsellään on oikeus saada tieto.
Palvelunantajan oikeus salassa pidettäviin tietoihin
64 §Julkisen palvelunantajan tiedonsaantioikeus
Sosiaalihuollon julkisella palvelunantajalla on oikeus saada salassapitosäännösten estämättä pyynnöstä maksutta sosiaali- ja terveydenhuollon palvelunantajalta sekä terveydenhuollon ammattihenkilöltä, valtion ja kunnan viranomaiselta sekä muulta julkisoikeudelliselta yhteisöltä, Kansaneläkelaitokselta, Eläketurvakeskukselta, eläkesäätiöltä ja muulta eläkelaitokselta, vakuutuslaitokselta sekä koulutuksen järjestäjältä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka palvelunantajalle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä palvelunantajalle annettujen tietojen tarkistamista varten.
Mitä 1 momentissa säädetään velvollisuudesta antaa tietoja, koskee myös rahalaitosta, jos sosiaalihuollon palvelunantaja ei saa riittäviä tietoja ja selvityksiä 1 momentissa mainituilta tahoilta ja jos on perusteltua syytä epäillä asiakkaan tai hänen laillisen edustajansa antamien tietojen riittävyyttä tai luotettavuutta. Pyyntö tulee esittää kirjallisena rahalaitokselle. Pyynnön esittämistä koskevan päätöksen on oikeutettu tekemään sosiaalipalveluiden järjestämisestä vastaavan toimivaltaisen viranomaisen määräämä sosiaalihuollon viranhaltija. Ennen kuin pyyntö tehdään rahalaitokselle, on asiakkaalle annettava siitä tieto.
Sosiaali- ja terveydenhuollon julkisella palvelunantajalla on oikeus saada pyynnöstä maksutta veroviranomaiselta ja Kansaneläkelaitokselta salassa pidettäviä henkilötietoja asiakkaan suostumuksesta riippumatta maksun määräämistä ja tietojen tarkistamista varten. Sosiaali- ja terveydenhuollon palvelunantajan tulee etukäteen ilmoittaa asiakkaalle tietojen pyytämisestä.
II OSA
SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMÄT
9 luku
Valtakunnalliset tietojärjestelmäpalvelut
65 §Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut
Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut:
asiakastietovaranto;
lokirekisterien säilytyspalvelu;
ammattilaisen käyttöliittymä;
kansalaisen käyttöliittymä;
omatietovaranto;
tiedonhallintapalvelu;
tahdonilmaisupalvelu;
reseptikeskus;
lääketietokanta; sekä
kysely- ja välityspalvelu.
Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja siihen liittyviä koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitoksen on ylläpidettävä koodistopalvelua, jonka avulla ylläpidetään ja jaetaan valtakunnallisten tietojärjestelmäpalvelujen edellyttämät asiakasasiakirjojen tietorakenteet.
Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden tunnistus- ja luottamuspalvelulaissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot.
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista.
66 §Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa
Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.
Kansaneläkelaitos vastaa:
valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista;
valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen tietojen turvallisuuden varmistamisesta tiedonhallintalain 15 §:n mukaisesti sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen;
vastuullaan olevien valtakunnallisten tietojärjestelmäpalvelujen toteuttamisesta siten, että asiakas- tai hyvinvointietoja ja muita valtakunnallisiin tietojärjestelmäpalveluihin tallennettuja tietoja luovutetaan vain tämän lain ja toisiolain mukaisesti;
asiakas- ja hyvinvointitiedon käytön ja luovutuksen tallentumisesta lokirekisteriin;
koodistopalvelun tietoteknisestä toteuttamisesta;
valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle; sekä
valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta.
Kansaneläkelaitoksella on oikeus:
saada Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtävien hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä;
käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin valtakunnallisten tietojärjestelmänpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät;
päättää järjestelmän tietotekniseen toimintaan liittyvistä asioista, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu;
antaa tahdonilmaisupalvelussa olevia luovutusten hallintaan liittyviä asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutuksen seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista;
suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön sekä tietoliikenteeseen ja tietoliikenteen lokitietoihin kohdentuvaa valvontaa tietoturvan lisäämiseksi;
suorittaa lokirekisterien säilytyspalveluun tallennettujen tietojen valvontaa yhteistyössä rekisterinpitäjien kanssa asiakastietojen käsittelyn lainmukaisuuden varmistamiseksi;
salassapitovelvoitteiden estämättä saada Digi- ja väestötietovirastolta valtakunnallisia tietojärjestelmäpalveluita koskevien tehtävien hoitamiseksi tarvittavat välttämättömät tiedot;
suorittaa valtakunnallisten tietojärjestelmäpalvelujen käyttöön liittyvää seurantaa sekä julkaista palvelunantajien valtakunnallisten tietojärjestelmäpalvelujen käyttöä koskevat tiedot julkisilla internet-sivuilla; sekä
suorittaa valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen teknistä laadunvalvontaa yhteistyössä Terveyden ja hyvinvoinnin laitoksen kanssa tietorakenteiden oikeellisuuden ja yhteentoimivuuden varmistamiseksi.
Tietoturvallisuuden varmistamiseksi Kansaneläkelaitos ylläpitää valvontakeskusta, joka seuraa valvonnan kannalta tarpeellisia tietoja valtakunnallisten tietojärjestelmäpalveluiden ja palvelunantajien välillä sekä ryhtyy tarvittaviin toimenpiteisiin yhteistyössä palvelunantajien kanssa poikkeavaa toimintaa havaitessaan. Kansaneläkelaitoksen on viipymättä ilmoitettava Liikenne- ja viestintäviraston kyberturvallisuuskeskukselle havaitsemistaan tietoturvallisuusloukkauksista ja tietoturvallisuuden häiriöistä ja salassapitosäännösten estämättä annettava sille välttämättömät tiedot.
Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa. Kansaneläkelaitos voi laatia ja luovuttaa palvelunantajalle sen omassa rekisterissä oleviin, valtakunnallisiin tietojärjestelmäpalveluihin tallennettuihin asiakastietoihin ja lokitietoihin perustuvia yhteenvetoja, joilla on merkitystä palvelunantajan toiminnan kehittämisessä, seurannassa, raportoinnissa ja valvonnassa. Yhteenvedot eivät saa sisältää henkilötietoja.
Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisten tehtäväksi.
67 §Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi
Palvelunantajan ja apteekin on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, ja otettava käyttöön ne 65 §:n 1 momentissa tarkoitetut tietojärjestelmäpalvelut, joihin sillä on velvoite tallentaa asiakastietoja tai jonka avulla sille voidaan luovuttaa asiakastietoja.
Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään potilastietojen tai sosiaalihuollon asiakastietojen käsittelyyn tarkoitettu tietojärjestelmä.
Muut sosiaali- ja terveysalan toimijat kuin palvelunantajat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 65 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi.
Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi.
68 §Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista
Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä.
Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista.
69 §Valtakunnallinen asiakastietovaranto
Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet sekä jäljennökset kysely- ja välityspalvelun kautta välitettävistä asiakirjoista valtakunnalliseen asiakastietovarantoon lukuun ottamatta lääkemääräyksiä ja muita reseptikeskukseen tallennettavia lääkehoitoa koskevia merkintöjä. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen asiakastietovarantoon. Valtakunnalliseen asiakastietovarantoon voidaan tallentaa asiakasasiakirjojen lisäksi myös muita asiakastietoja sisältäviä asiakirjoja sekä sosiaali- ja terveydenhuollon järjestämiseen liittyviä asiakirjoja.
Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa asiakastietovarannossa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakasasiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja.
Kukin 13 §:ssä tarkoitettu asiakastietojen rekisterinpitäjä on valtakunnalliseen asiakastietovarantoon tallentamiensa asiakirjojen rekisterinpitäjä.
70 §Lokirekisterien säilytyspalvelu
Palvelunantajan on tallennettava 10 §:ssä tarkoitetut asiakastietojen luovutusta koskevat lokitiedot lokirekisterien säilytyspalveluun. Palvelunantaja voi tallentaa lokirekisterien säilytyspalveluun myös asiakastietojen käyttöä koskevat lokitiedot.
Kansaneläkelaitoksen on kerättävä ja tallennettava lokirekisterien säilytyspalveluun seurantaa ja valvontaa varten 65 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot.
Kukin sosiaali- ja terveydenhuollon palvelunantaja, apteekki ja Kansaneläkelaitos ovat toiminnassaan syntyneiden käyttölokien rekisterinpitäjiä.
Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös käyttölokitietojen luovuttamisesta. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään.
Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien yhteisrekisterinpitäjiä. Reseptikeskuksen luovutuslokin yhteisrekisterinpitäjiä ovat palvelunantajat, apteekit ja Kansaneläkelaitos. Lokirekisterien säilytyspalvelun tietoja tallentavat palvelunantajat vastaavat toiminnassaan syntyneiden tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä.
71 §Tiedonhallintapalvelu
Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset ajantasaiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille ja apteekeille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkehoitoa koskevat merkinnät, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:ssä tarkoitettu suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelu saa koostaa myös muita potilasasiakirjamerkintojä. Palvelunantajalla on oikeus saada ja käyttää tiedonhallintapalvelun tietoja siten kuin 53 ja 54 §:ssä säädetään. Tiedonhallintapalvelusta saatuja tietoja saa käsitellä 9 §:ssä säädettyjen käyttöoikeuksien puitteissa.
Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tiedonhallintapalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa myös tiedonhallintapalveluun tallennettujen tietojen luovuttamisesta.
72 §Tahdonilmaisupalvelu
Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja lääkemääräyslain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista.
Tahdonilmaisupalveluun voidaan tallentaa myös tieto muista kuin 1 momentissa tarkoitetuista henkilön:
terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista;
sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista.
Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat tahdonilmaisupalveluun tallennettujen sosiaali- ja terveydenhuoltoa koskevien 1 momentin ja 2 momentin 1 kohdassa tarkoitettujen tahdonilmausten yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen turvallisuuden varmistamisesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 66 §:ssä säädetään. Tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä, joka vastaa tahdonilmaisupalveluun tallennettujen tietojen luovuttamisesta.
73 §Omatietovaranto
Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta.
Kansaneläkelaitos on omatietovarannon rekisterinpitäjä. Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 3 momentin mukaisiin käyttötarkoituksiin.
Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi.
Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta.
74 §Kansalaisen käyttöliittymä ja hyvinvointisovellukset sekä niiden välityksellä näytettävät asiakastiedot
Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä.
Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän tai hyvinvointisovelluksen välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin, tietosuojalain 34 §:n tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja.
Sen estämättä, mitä 2 momentissa säädetään, henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi.
75 §Ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn
Kansaneläkelaitoksen tulee toteuttaa ammattilaisen käyttöliittymä, joka mahdollistaa sähköisten lääkemääräysten laatimisen ja käsittelyn tietoverkkojen välityksellä.
Lääkäri voi laatia ammattilaisen käyttöliittymän avulla sähköisiä lääkemääräyksiä ammattioikeuden perusteella muulloin kuin palvelunantajan lukuun toimiessaan.
Ammattilaisen käyttöliittymällä laadittavien lääkemääräysten rekisterinpitäjyydestä säädetään lääkemääräyslaissa.
76 §Kysely- ja välityspalvelu
Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla.
Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla.
10 luku
Tietoturvallisuuden ja tietosuojan omavalvonta
77 §Tietoturvasuunnitelma
Palvelunantajan, apteekin, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on selvitettävä, miten asiakas- ja potilastietojen käsittelyyn ja tietojärjestelmiin liittyvät vaatimukset varmistetaan:
henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus;
tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet;
tietojärjestelmiä käytetään tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti;
tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti;
tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön ja käyttöympäristöön ja tietojärjestelmiin kohdistuvien riskien hallinnasta huolehditaan;
tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia;
tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus ja jonka luotettavuus on varmistettu tiedonhallintalain 12 §:ssä tarkoitetulla tavalla, jos henkilö tehtävissään pääsee käsittelemään asiakastietoja tai jos hän muuten tehtävissään voi vaarantaa sosiaali- ja terveydenhuollon jatkuvuuden kannalta kriittisten tietojärjestelmien toimintaa;
tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset 84 §:ssä säädetyt olennaiset vaatimukset; sekä
palvelunantajalla, apteekilla, välittäjällä ja Kansaneläkelaitoksella on suunnitelma siitä, miten tietoturvan ja tietosuojan omavalvonta järjestetään ja toteutetaan sen toiminnassa.
Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan ja apteekin tietoturvasuunnitelmassa esitettävä myös selvitys siitä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu.
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta.
78 §Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu
Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan ja apteekkarin on huolehdittava, että 77 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Palvelunantajan, apteekin ja Kansaneläkelaitoksen tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti käsitellyt asiakastietoja.
Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla ja apteekilla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan tai apteekin henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi.
Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista.
Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37—39 artiklassa.
11 luku
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto
79 §Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset.
Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat:
Kansaneläkelaitoksen ylläpitämät valtakunnalliset tietojärjestelmäpalvelut;
valtakunnallisiin tietojärjestelmäpalveluihin liitettäviksi tarkoitetut tietojärjestelmät ja hyvinvointisovellukset;
muut kuin 1 ja 2 kohdassa tarkoitetut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät; sekä
välittäjien palvelut.
Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B.
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa tietojärjestelmän luokasta.
80 §Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti
Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä yhteyshenkilöstä. Lisäksi ilmoituksessa on oltava 85 §:n mukainen selvitys toiminnallisuutta koskevien vaatimusten toteutumisesta, 86 §:ssä tarkoitettu todistus yhteentoimivuuden testauksesta ja 87 §:ssä tarkoitettu todistus tietoturvallisuutta koskevien olennaisten vaatimusten täyttämisestä. Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän tai hyvinvointisovelluksen siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle.
Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava ajantasainen tieto:
tuotantokäyttöön tarkoitetuista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista;
luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista;
luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arvioinnista saadun tietoturvallisuuden arviointia koskevan todistuksen voimassaolosta; sekä
tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan.
Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.
81 §Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön
Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 85 §:n mukaisesti.
Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole ajantasaisia tietoja 80 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut. Luokkaan A kuuluvan tietojärjestelmän tuotantokäyttöönoton edellytyksenä on myös hyväksytty yhteentoimivuuden testaus niiden voimassa olevien yhteentoimivuutta koskevien vaatimusten osalta, jotka vastaavat järjestelmän käyttötarkoitusta.
Hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, jos se ei vastaa 84 §:ssä tarkoitettua toiminnallisten vaatimusten täyttymisen edellytyksenä olevaa terveyden ja hyvinvoinnin edistämisen käyttötarkoitusta.
82 §Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta
Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille ja apteekeille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.
Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontaviranomaiselle. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on lisäksi ilmoitettava tietoturvallisuuden arviointilaitokselle ja valtakunnallisiin tietojärjestelmäpalveluihin liitetyn tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia.
Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.
12 luku
Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset
83 §Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet
Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta.
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta.
Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä.
Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla.
84 §Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset
Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa.
Palvelunantajan ja apteekin käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan ja apteekin toimintaa ja täytettävä palvelunantajan ja apteekin toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.
Tietojärjestelmä tai hyvinvointisovellus täyttää olennaiset vaatimukset, jos se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot. Hyvinvointisovelluksen toiminnallisuutta koskevien vaatimusten täyttymisen edellytyksenä on, että hyvinvointisovellus edistää kansalaisten terveyttä ja hyvinvointia.
Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä, toimeenpanon määräajoista ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa. Ennen määräyksen antamista on pyydettävä Liikenne- ja viestintäviraston kyberturvallisuuskeskukselta lausunto tietoturvaa ja tietoturvavaatimusten todentamisen menettelyjä koskevista vaatimuksista.
85 §Vaatimustenmukaisuuden osoittaminen
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, sekä hyväksytyllä yhteentoimivuuden testauksella ja 87 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu.
Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten toiminnallisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen.
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai lääkemääräyslaissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.
86 §Yhteentoimivuuden testaaminen
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.
Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan todistuksen yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu.
Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille luokkaan A kuuluville tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei suoriteta erillistä yhteentoimivuuden testausta.
87 §Tietoturvallisuuden arviointi
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, tietojärjestelmän valmistajan, eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta.
Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti, jos tietojärjestelmä täyttää tietoturvallisuutta koskevat olennaiset vaatimukset. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti.
Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan.
88 §Kansaneläkelaitoksen ja tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus
Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 87 §:ssä tarkoitetuista todistuksista. Kansaneläkelaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, tietoturvallisuuden arviointilaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä 86 §:ssä tarkoitetuista todistuksista.
Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.
13 luku
Tietojärjestelmien valvonta
89 §Tietojärjestelmien valvonta ja tarkastukset
Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuutta.
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava hallintolain (434/2003) 39 §:ää. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on Sosiaali- ja terveysalan lupa- ja valvontavirastolla oikeus saada tarpeellista poliisin virka-apua. Poliisin antamasta virka-avusta säädetään poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa.
Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.
Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä.
90 §Ilmoittaminen tietojärjestelmän ja hyvinvointisovelluksen olennaisten vaatimusten poikkeamista sekä tietoverkkoihin kohdistuvista tietoturvallisuuden häiriöistä
Jos palvelunantaja tai apteekki havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos tietojärjestelmän tai hyvinvointisovelluksen poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetulle säädetään tietosuoja-asetuksen 33 artiklassa.
Palvelunantajan, apteekin, Kansaneläkelaitoksen ja tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan tai välittäjän on ilmoitettava viipymättä Sosiaali- ja terveysalan lupa- ja valvontavirastolle sellaisesta sen käyttämiin käyttöympäristöihin ja tietoverkkoihin kohdistuvasta merkittävästä tietoturvallisuuteen liittyvästä häiriöstä, jonka seurauksena tietojärjestelmien käyttö ja sosiaali- ja terveyspalveluiden toteuttaminen voi merkittävästi vaarantua. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, milloin häiriö on merkittävä, sekä ilmoituksen sisällöstä, muodosta ja toimittamisesta.
Jos 1 ja 2 momentissa tarkoitetusta tietoturvallisuuteen liittyvästä poikkeamasta tai häiriöstä ilmoittaminen on yleisen edun mukaista, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa palvelunantajan, apteekin, Kansaneläkelaitoksen, tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan taikka välittäjän tiedottamaan yleisölle asiasta taikka kuultuaan ilmoitusvelvollista tiedottaa asiasta itse.
Sosiaali- ja terveysalan lupa- ja valvontaviraston on arvioitava, koskeeko 1 ja 2 momentissa tarkoitettu julkista terveydenhuoltoa koskeva tietoturvallisuuteen liittyvä poikkeama tai häiriö muita Euroopan unionin jäsenvaltioita ja ilmoitettava tarvittaessa muille jäsenvaltioille.
91 §Sosiaali- ja terveysalan lupa- ja valvontaviraston tiedonsaantioikeus valvontaa varten
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten valvontaa varten välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.
92 §Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä ja hyvinvointisovelluksia, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).
93 §Määräys velvollisuuksien täyttämiseksi
Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, hyvinvointisovelluksen valmistaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi päätöksellään määrätä velvollisuuden täytettäväksi määräajassa.
94 §Käytössä oleviin tietojärjestelmiin ja hyvinvointisovelluksiin kohdistuvat velvollisuudet
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 89 §:n nojalla tietojärjestelmää tai hyvinvointisovellusta koskevan valvonnan ja tarkastuksen samalla päätöksellään määrätä tietojärjestelmäpalvelun tuottajan tai tietojärjestelmän valmistajan korjaamaan tuotantokäytössä olevaa tietojärjestelmää koskevat puutteet ja hyvinvointisovelluksen valmistajan korjaamaan tuotantokäytössä olevaa hyvinvointisovellusta koskevat puutteet.
Jos tietojärjestelmä tai hyvinvointisovellus voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän tai hyvinvointisovelluksen käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho taikka hyvinvointisovellus tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan, hyvinvointisovelluksen valmistajan tai niiden valtuuttaman edustajan tiedottamaan tietojärjestelmän tai hyvinvointisovelluksen tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla.
95 §Muutoksenhaku
Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää.
96 §Uhkasakko
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).
III OSA
ERINÄISET SÄÄNNÖKSET JA VOIMAANTULO
14 luku
Erinäiset säännökset
97 §Ohjaus, valvonta ja seuranta
Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden rahoituksesta kuuluvat sosiaali- ja terveysministeriölle.
Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen toteuttamisen ja käytön suunnittelusta, käytettävien tietorakenteiden yhteensovittamisesta, ohjauksesta ja seurannasta.
Tietosuojavaltuutettu, Lääkealan turvallisuus- ja kehittämiskeskus, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.
98 §Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö
Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista.
Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.
Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa.
99 §Maksut
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 65 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille ja apteekeille maksullista. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden maksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista.
Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksen 86 §:n tarkoitettuun yhteentoimivuuden testaukseen ilmoittautuminen on tietojärjestelmäpalvelun tuottajille maksullinen. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 80 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksuista säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.
100 §Rangaistussäännökset
Joka tahallaan tai törkeästä huolimattomuudesta
rikkoo 8 §:n 1 momentissa säädettyä tunnistamisvelvollisuutta,
luovuttaa asiakastietoja 8 luvussa säädetyn vastaisesti ilman asiakkaan luovutuslupaa, suostumusta tai laissa säädettyä oikeutta taikka
laiminlyö 68 §:n 1 momentissa säädetyn informointivelvollisuuden ja siten vaarantaa asiakkaan yksityisyyden suojaa,
on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon.
Rangaistus tietomurrosta säädetään rikoslain 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä.
15 luku
Voimaantulo- ja siirtymäsäännökset
101 §Voimaantulo
Tämä laki tulee voimaan päivänä kuuta 20 .
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (784/2021) sekä sosiaalihuollon asiakasasiakirjoista annettu laki (254/2015).
Tämän lain liitteessä tarkoitettuja säilytysaikoja sovelletaan myös ennen lain voimaantuloa laadittuihin asiakirjoihin. Lisäksi sovelletaan, mitä valtionarkisto, arkistolaitos ja Kansallisarkisto ovat erikseen määränneet asiakirjojen arkistoinnista.
102 §Siirtymäsäännökset
Lain 53 §:ssä tarkoitettu tiedonsaantioikeus sosiaali- ja terveydenhuollon välillä tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.
Lain 59 §:n 2 momentissa tarkoitettua kaikkiin potilastietoihin ja työterveyshuoltoon kohdistuvaa kielto on otettava käyttöön viimeistään 1 päivänä tammikuuta 2024.
Sosiaalihuollon palveluiden järjestämisen ja toteuttamisen yhteydessä kirjattavat potilastiedot tulee tallentaa potilasrekisteriin viimeistään 1 päivänä lokakuuta 2026.
Lain 60 §:ssä tarkoitettu potilastietojen luovuttaminen ulkomaille on toteutettava viimeistään 1 päivästä tammikuuta 2025.
Julkisen sosiaalihuollon palvelunantajan on liityttävä 65 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietovarantoon viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026. Jos palvelunantajien tallentamien asiakirjojen 7 momentin mukainen tallentamisvelvoitteen määräaika on näiden ajankohtien jälkeen, on sen liityttävä valtakunnalliseen asiakastietovarantoon viimeistään silloin, kun tallentamisvelvoite alkaa.
Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen terveydenhuollon palvelunantajan tulee aloittaa asiakirjojen tallentaminen seuraavasti:
1) viimeistään 1 päivänä maaliskuuta 2025 koulupsykologien laatimat asiakirjat;
2) viimeistään 1 päivänä lokakuuta 2026:
a) sosiaalipalveluiden yhteydessä annettaviin terveyspalveluihin liittyvät potilasasiakirjat;
b) ajanvarausasiakirja asiakkaalle ilmoitettavista terveydenhuollon ajanvarauksista;
c) seulontatutkimuksista syntyvät laboratoriotulokset;
d) ajoterveyteen liittyvät todistukset ja lomakkeet;
e) tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet;
f) lääkärinlausunto terveydentilasta (T-todistus);
g) lääkärintodistukset C ja TOD; sekä
h) jäljennös kuolintodistuksesta;
3) viimeistään 1 päivänä lokakuuta 2029:
a) hoitotyön päivittäismerkinnät;
b) seulontatutkimuksista syntyvät kuvantamistutkimukseen liittyvät asiakirjat;
c) lääkinnällisillä laitteilla tuotettujen tutkimusten säteilyaltistustiedot;
d) video- ja äänitallenteet sekä näkyvän valon kuvat;
e) suun terveydenhuollon yksiköiden tallentamat kuvat; sekä
h) muut kuvat.
Lain 69 §:n 1 momentissa säädetystä velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen asiakastietovarantoon poiketen sosiaalihuollon palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen asiakastietovarantoon seuraavasti:
1) lastensuojelun palvelutehtävässä ja koulukuraattorin palvelussa syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2025;
2) vammaispalvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2025;
3) päihdehuollon palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä maaliskuuta 2026;
4) perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2026; sekä
5) kaikissa palvelutehtävissä syntyvät video- ja äänitallenteet viimeistään 1 päivänä lokakuuta 2029.
Lain 73 §:n 3 momentissa tarkoitettu mahdollisuus luovuttaa hyvinvointitietoja palvelunantajalle on toteutettava valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä tammikuuta 2026.
Potilastietojen luovuttaminen hyvinvointisovelluksille lain 74 §:n 2 momentin mukaisesti tulee toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin viimeistään 1 päivänä joulukuuta 2024, reseptikeskukseen tallennettavien lääkemääräystä osalta kuitenkin viimeistään 1 päivänä lokakuuta 2027.
2.
Eduskunnan päätöksen mukaisesti
kumotaan sosiaalihuollon asiakkaan asemasta annetun lain (812/2000) 3 §:n 3 kohta, 11 §, 13 §:n 2 momentti, 3 luku, 20, 21 ja 26 §, 27 §:n 2 ja 3 momentti, 28 § sekä 29 §:n 1 momentti,
sellaisena kuin niistä on 21 § laissa 935/2019, sekä
muutetaan 3 §:n 2 kohta, 13 §:n otsikko ja 1 momentti, 27 §:n 1 momentti ja 29 §:n 2 momentti,
sellaisena kuin niistä on 3 §:n 2 kohta laissa 1313/2014, seuraavasti:
3 §Määritelmät
Tässä laissa tarkoitetaan:
2) sosiaalihuollolla sosiaalihuoltolain (1301/2014) 14 §:ssä mainittuja sosiaalipalveluja sekä mainittuihin palveluihin liittyviä toimenpiteitä, joiden tarkoituksena on edistää ja ylläpitää yksityisen henkilön tai perheen sosiaalista turvallisuutta ja toimintakykyä.
13 §Asiakastietojen käsittelyä koskeva sääntely
Sosiaalihuollon asiakastietojen salassapidosta ja asiakastietojen käsittelystä sekä asiakasasiakirjojen laatimisesta ja säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ).
27 §
Tietosuojaa ja virka-apua koskevien säännösten soveltamisala
Mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa säädetään hyvinvointialueen oikeudesta saada ja luovuttaa salassa pidettäviä tietoja sekä mitä tämän lain 22 §:ssä säädetään virka-avusta, koskee myös sosiaalihuollon ohjauksesta ja valvonnasta vastaavia viranomaisia niiden hoitaessa yksittäistä henkilöä koskevia ja valvontaan liittyviä tehtäviä.
29 §
Rangaistusvastuu
Joka rikkoo 22 §:n 2 momentissa tarkoitetun tiedonantovelvollisuuden, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa säädetyn tiedonantovelvollisuuden rikkomisesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tämä laki tulee voimaan päivänä kuuta 20 .
3.
Eduskunnan päätöksen mukaisesti
kumotaan potilaan asemasta ja oikeuksista annetun lain (785/1992) 2 §:n 5 kohta, 5 §:n 3 momentti, 9 §:n 1 ja 2 momentti sekä 12,13, 13 a ja 14 §,
sellaisina kuin niistä ovat 5 §:n 3 momentti, 12 ja 14 § laissa 653/2000, 9 §:n 1 momentti laissa 489/1999, 13 § osaksi laeissa 653/2000, 271/2015 ja 556/2019 sekä 13 a § laissa 789/2021,
muutetaan 2 §:n 4 kohta, sekä
lisätään 13 b §:ään, sellaisena kuin se on laissa 690/2012, uusi 2 momentti seuraavasti:
2 §Määritelmät
Tässä laissa tarkoitetaan:
4) terveydenhuollon toimintayksiköllä hyvinvointialueen terveydenhuollon toimintayksiköitä, jotka hoitavat sosiaali- ja terveydenhuollon järjestämisestä annetun lain (612/2021) mukaisia terveydenhuollon tehtäviä, yksityisestä terveydenhuollosta annetussa laissa (152/1990) tarkoitettua terveydenhuollon palveluja tuottavaa yksikköä, työterveyslaitosta siltä osin kuin se tuottaa työterveyslaitoksen toiminnasta ja rahoituksesta annetussa laissa (159/1978) tarkoitettuja terveyden- ja sairaanhoidon palveluja, valtion mielisairaaloista annetussa laissa (1292/1987) tarkoitettuja valtion mielisairaaloita, terveydenhuollon järjestämisestä puolustusvoimissa annetussa laissa (322/1987) tarkoitettua terveydenhuollon järjestämisvastuussa olevaa puolustusvoimien yksikköä siltä osin kuin se tuottaa terveyden- ja sairaanhoidon palveluja, ja Vankiterveydenhuollon yksiköstä annetussa laissa (1635/2015) tarkoitettua Vankiterveydenhuollon yksikköä.
13 b §Viittaus muuhun lainsäädäntöön
Potilastietojen salassapidosta ja käsittelystä sekä potilasasiakirjojen laatimisesta ja säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
4.
Eduskunnan päätöksen mukaisesti
kumotaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 7 kohta, 4 §:n 2 ja 3 momentti, 9 §:n 2 momentti, 14 §:n 2 momentti, 16, 16 a, 17, 19, 20, 22 a ja 22 b §, 23 §:n 2 momentti, 24 §:n 5 momentti, 25 ja 28 §,
sellaisina kuin ne ovat, 3 §:n 7 kohta, 4 §:n 3 momentti, 9 §:n 2 momentti ja 23 §:n 2 momentti laissa 251/2014, 4 §:n 2 momentti, 14 §:n 2 momentti, 16 a, 19, 22 a ja 22 b § sekä 24 §:n 5 momentti laissa 786/2021, 16 § osaksi laissa 786/2021, 17 § laeissa 251/2014 ja 786/2021, 20 § osaksi laissa 251/2014, 25 § laeissa 1196/2019 ja 786/2021 sekä 28 § laeissa 251/2014, 1196/2019 ja 786/2021,
muutetaan 1 ja 2 §, 3 §:n 4 kohta ja 8 kohdan b alakohta, 4 §:n 1 momentti, 5 §, 6 §:n 1 momentin 6 kohta ja 3 momentti, 7 §, 9 §:n 1 momentti, 10 §:n otsikko ja 2-5 momentti, 11 §:n 1 ja 3 momentti, 12 §:n 2 ja 3 momentti, 13 §, 14 §:n 1 momentti, 24 §:n 1 momentti ja 26 §:n otsikko,
sellaisina kuin niistä ovat 1 §, 3 §:n 4 kohta, 4 §:n 1 momentti, 10 §:n otsikko sekä 4 ja 5 momentti, 11 §:n 3 momentti, 12 §:n 2 momentti, 14 §:n 1 momentti ja 24 §:n 1 momentti laissa 786/2021, 2 §, 3 §:n 8 kohdan b alakohta, 9 §:n 1 momentti, 10 §:n 2 ja 3 momentti laissa 251/2014, 5 § laeissa 251/2014 ja 786/2021, 7 § ja 11 §:n 1 momentti osaksi laissa 786/2021 ja 13 § osaksi laeissa 251/2014 ja 786/2021, sekä
lisätään 3 §:ään siitä lailla 786/2021 kumotun 5 kohdan tilalle uusi 5 kohta ja mainittuun pykälään uusi 5 a kohta sekä lakiin uusi 5 a § seuraavasti:
1 §Lain tarkoitus
Tämän lain tarkoituksena on parantaa potilas- ja lääkitysturvallisuutta sekä helpottaa ja tehostaa lääkkeen määräämistä ja toimittamista toteuttamalla järjestelmä, jossa potilaan lääkemääräykset ja niihin liittyvät merkinnät voidaan tallettaa sähköisesti valtakunnalliseen reseptikeskukseen ja jossa reseptikeskukseen tallennettujen lääkemääräysten perusteella lääkkeet voidaan toimittaa potilaalle hänen haluamanaan ajankohtana hänen valitsemastaan apteekista. Lain tarkoituksena on lisäksi mahdollistaa potilaan kokonaislääkityksen selvittäminen sekä huomioon ottaminen lääkehoitoa toteutettaessa sekä reseptikeskukseen koottujen tietojen hyödyntäminen terveydenhuollon viranomaistoiminnassa.
2 §Lain soveltamisala
Tässä laissa säädetään sähköisestä lääkemääräyksestä ja siihen liittyvistä merkinnöistä.
Siltä osin kuin lääkemääräysten ja niihin liittyvien merkintöjen käsittelystä ei säädetä tässä laissa, säädetään siitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa jäljempänä asiakastietolaki ( / ). Jollei tästä laista tai asiakastietolaista muuta johdu, sähköistä lääkemääräystä laadittaessa, toimitettaessa ja käsiteltäessä on noudatettava, mitä muualla säädetään potilaan asemasta ja oikeuksista, potilaan kielellisistä oikeuksista, lääkkeen määräämisestä ja toimittamisesta, henkilötietojen käsittelystä, viranomaisten toiminnan julkisuudesta, sähköisestä viestinnästä ja asioinnista sekä sähköisistä allekirjoituksista.
3 §Määritelmät
Tässä laissa tarkoitetaan:
reseptikeskuksella tietovarantoa, joka koostuu lääkkeen määrääjien tallentamista sähköisistä lääkemääräyksistä, apteekkien 12 §:ssä säädetyillä perusteilla tallentamista lääkemääräyksistä, sosiaali- ja terveydenhuollon palvelunantajien 23 §:ssä säädetyillä perusteilla potilaille luovutettuja lääkkeitä koskevista tiedoista, lääkemääräyksiin liitetyistä toimitustiedoista ja lääkehoidon toteuttamiseen ja arviointiin liittyvistä merkinnöistä;
valtakunnallisella lääkityslistalla potilaskohtaista yhteenvetoa, joka koostetaan reseptikeskukseen tallennetuista lääkemääräyksistä ja niihin liittyvistä merkinnöistä;
a) käytössä olevalla lääkkeellä potilaalle lääkemääräyksellä määrättyä lääkettä, jonka käyttöä ei ole lopetettu lopettamismerkinnällä;
8) pkv-lääkkeellä lääkevalmistetta:
b) joka on mainittu Lääkealan turvallisuus- ja kehittämiskeskuksen vahvistamassa luettelossa pkv-lääkeistä; tai
4 §
Potilaan informoiminen
Potilaalle on annettava tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Valtakunnallisia tietojärjestelmäpalveluita koskevasta informoinnista säädetään asiakastietolain 68 §:ssä.
5 §
Lääkemääräyksen laatiminen
Lääkkeen määrääjän on lääkettä määrätessään tarkistettava potilaalle aiemmin määrätyt lääkkeet valtakunnalliselta lääkityslistalta, jollei tarkistaminen tilapäisen teknisen häiriötilanteen takia ole mahdotonta.
Lääkemääräys on laadittava sähköisesti lukuun ottamatta pro auctore -lääkemääräystä ja lääkkeellisiä kaasuja koskevia lääkemääräyksiä, jotka voidaan laatia kirjallisesti sekä potilaskohtaisen erityisluvan edellyttäviä lääkevalmisteita koskevia lääkemääräyksiä, jotka voidaan laatia joko kirjallisesti tai sähköisesti. Jos sähköinen määrääminen ei ole teknisen häiriön vuoksi mahdollista, lääkemääräyksen voi tehdä myös kirjallisesti tai puhelinlääkemääräyksenä. Kirjallisen tai puhelinlääkemääräyksen voi tehdä myös apteekin pyynnöstä, jos apteekki ei pysty toimittamaan sähköistä lääkemääräystä teknisen häiriön takia. Lisäksi lääkemääräyksen voi laatia kirjallisesti tai puhelimitse, jos lääkehoidon tarve on kiireellinen eikä lääkemääräystä voi olosuhteiden poikkeuksellisuuden vuoksi tai muusta erityisestä syystä laatia sähköisesti.
Ulkomailla tapahtuvaa ostoa varten sähköisestä lääkemääräyksestä voidaan antaa allekirjoitettu kirjallinen jäljennös. Jos lääkemääräyksestä annetaan jäljennös ulkomailla tapahtuvaa ostoa varten, lääkkeen toimittaminen sähköisellä lääkemääräyksellä estetään samalla teknisesti. Toimitetusta sähköisestä lääkemääräyksestä saa lisäksi antaa potilaalle lääkkeen määrääjän tai apteekin allekirjoituksella vahvistetun jäljennöksen, jos se on tarpeen potilaan ulkomaan matkan takia.
Kirjallisessa ja puhelinlääkemääräyksessä on perusteltava, miksi sitä ei ole annettu sähköisesti. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kirjallisen tai puhelinlääkemääräyksen perusteista ja sisällöstä, niillä määrättävistä lääkkeistä ja ulkomailla tapahtuvaa ostoa tai ulkomaan matkaa varten annettavasta jäljennöksestä. Puhelinlääkemääräystä ei saa uudistaa, ja se voi olla voimassa enintään kolme kuukautta.
5 a §Sairaanhoitajan, farmaseutin ja proviisorin oikeus kirjata annostusmuutoksia
Palvelunantajan nimeämällä sairaanhoitajalla, farmaseutilla ja proviisorilla on oikeus lääkkeen määrääjän laatiman potilaan lääkehoidon suunnitelman mukaisesti tehdä lääkemääräyksen annostusohjeen muutoksia, jos lääkkeen määrääjä on sallinut muutosten tekemisen. Sosiaali- ja terveysministeriön asetuksella annetaan tarkemmat säännökset, millä edellytyksillä sairaanhoitajille, farmaseutille ja proviisorille voidaan antaa annostusmuutoksia koskeva kirjaamisoikeus.
6 §Lääkemääräyksen tietosisältö
Sähköisessä lääkemääräyksessä tulee olla:
käytössä olevan lääkkeen ja lääkemääräyksen tunnisteet.
Sähköisen lääkemääräyksen tarkemmasta sisällöstä voidaan tarvittaessa antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella. Terveyden ja hyvinvoinnin laitoksen valtuudesta antaa määräyksiä valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen tietosisällöistä ja tietorakenteista säädetään asiakastietolain 20 §:ssä.
7 §Lääkemääräyksen allekirjoittaminen ja ammattioikeuden tarkistaminen
Valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen sähköisestä allekirjoituksesta säädetään asiakastietolain 22 §:ssä. Sähköisessä lääkemääräyksessä tulee olla sen laatijan todentava kehittynyt sähköinen allekirjoitus. Myös lääkemääräyksen korjaaminen, mitätöiminen ja käytössä olevan lääkkeen lopettamismerkintä on allekirjoitettava sähköisesti. Kaikki samaan potilaskäyntiin liittyvät lääkemääräykset ja niihin liittyvät muut merkinnät voi allekirjoittaa yhdellä allekirjoitustoiminnolla.
Lääkemääräyksen laatijan oikeus lääkkeen määräämiseen tulee varmentaa ennen allekirjoitusta. Sähköisen lääkemääräyksen laatimisessa käytettävä tietojärjestelmä on toteutettava siten, että tieto ammattioikeuden voimassaolosta ja siitä, onko ammattioikeutta rajoitettu, tarkistetaan Sosiaali- ja terveysalan lupa- ja valvontaviraston asiakastietolain 65 §:n 2 momentin mukaisesti ylläpitämästä rooli- ja attribuuttipalvelusta.
9 §Potilasohje
Sähköisestä lääkemääräyksestä on annettava potilaalle erillinen selvitys (potilasohje). Potilasohjetta ei kuitenkaan tarvitse antaa, jos potilas ei ole lääkkeen määrääjän vastaanotolla lääkemääräystä laadittaessa. Potilasohjetta ei myöskään tarvitse antaa, jos sen antaminen ei ole teknisistä syistä mahdollista tai jos sähköinen lääkemääräys on laadittu laitteella, jolla ei ole kiinteää sijaintia. Potilasohjeessa tulee olla ainakin potilaan nimi ja syntymäaika, lääkevalmisteen nimi ja lääkeaine sekä sen vahvuus ja lääkemuoto, käyttötarkoitus ja annostus, tieto lääkemääräyksellä toimitettavasta lääkkeen määrästä, potilaalle määrätyn lääkkeen ja lääkemääräyksen tunnisteet, lääkkeen määrääjän tai terveydenhuollon toimintayksikön yhteystiedot sekä lääkemääräyksen laatimispäivä. Potilasohjeeseen voidaan merkitä tiedot kaikista potilaalle samalla kerralla määrätyistä lääkkeistä. Lisäksi potilaalle voidaan antaa kooste valtakunnallisesta lääkityslistasta tai vastaavat tiedot lääkemääräyksistä.
10 §
Lääkemääräyksen korjaaminen, mitätöiminen ja uudistaminen sekä lääkkeen käytön lopettamista koskeva merkintä
Lääkemääräyksen laatija ja 12 §:n 4 momentissa tarkoitetun lääkemääräyksen tallentamisen tehnyt proviisori tai farmaseutti voi mitätöidä reseptikeskuksessa olevan toimittamattoman tai osittain toimitetun lääkemääräyksen ilman potilaan suostumusta, jos lääkemääräys on laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla. Mitätöinnin jälkeen aiempi saman lääkkeen määräys tulee voimaan sellaisena, kuin se on mitätöintihetkellä ollut. Lisäksi potilaan kaikki lääkemääräykset mitätöityvät potilaan kuoltua.
Sähköinen lääkemääräys uudistetaan laatimalla uusi lääkemääräys reseptikeskuksessa olevan lääkemääräyksen perusteella, jolloin uusi lääkemääräys päättää aiemman lääkemääräyksen voimassaolon. Potilas tai potilaan pyynnöstä apteekki voi tehdä lääkemääräyksen uudistamispyynnön lääkkeen määrääjälle ja terveydenhuollon palvelunantajalle. Lääkkeen määräämiseen oikeutettu voi kuitenkin estää reseptikeskukseen tallennetun lääkemääräyksen uudistamispyynnön tekemisen lääketieteellisillä perusteilla sekä silloin, kun lääkemääräys on laadittu potilaan tarkoituksellisesti antamien virheellisten tietojen perusteella tai pakottamalla.
Jos lääkkeen määrääjä päättää potilaalla käytössä olevan lääkkeen käytön lopettamisesta, lääkkeen määrääjän tulee tallentaa merkintä lopettamisesta reseptikeskukseen. Lopettamismerkintä päättää lääkkeestä tallennetun lääkemääräyksen voimassaolon. Jos lääkemääräyksellä ei ole käytössä olevan lääkkeen tunnistetta ja lääkemääräys on ilmeisen tarpeeton, lopettamismerkinnän voi tehdä yhteisymmärryksessä potilaan kanssa myös palvelunantajan nimeämä sairaanhoitaja, farmaseutti tai proviisori taikka apteekissa lääkkeen toimittamiseen oikeutettu.
Edellä 1-4 momentissa tarkoitettu korjaus, mitätöinti, uudistamisen estäminen tai käytössä olevan lääkkeen lopettaminen on perusteltava.
11 §
Apteekin tiedonsaantioikeus
Potilaan tai hänen puolestaan toimivan henkilön (lääkkeen ostaja) pyynnöstä apteekilla on oikeus saada reseptikeskuksesta tiedot valtakunnallisesta lääkityslistasta tai potilaan käyttöön määrätyistä lääkkeistä ja niihin liittyvistä merkinnöistä.
Apteekilla on oikeus saada tietoja valtakunnallisesta lääkityslistasta tai reseptikeskukseen tallennetuista potilaan käyttöön määrätyistä lääkkeistä ja niiden toimitustiedoista niin pitkältä ajalta kuin ne ovat apteekin tehtävien hoitamisen kannalta välttämättömiä, kuitenkin enintään 42 kuukautta lääkemääräyksen laatimisesta.
12 §Lääkemääräyksen toimittaminen
Lääkkeen luovutuksen yhteydessä lääkkeen ostajalle on annettava kirjallinen selvitys toimitetusta lääkkeestä sekä tieto lääkemääräyksen toimittamatta olevasta osasta, jollei ostaja ilmoita, että hän ei halua selvitystä. Lisäksi lääkkeen ostajalle saadaan antaa kooste, jossa saa potilaan suostumuksella olla tiedot potilaan valtakunnallisesta lääkityslistasta tai vastaavat tiedot lääkemääräyksistä. Jos lääkkeen noutaa joku muu kuin potilas itse tai hänen laillinen edustajansa, saadaan kaikki lääkemääräystiedot sisältävä kooste antaa kuitenkin vain, jos potilas tai hänen laillinen edustajansa on antanut siihen valtuutuksen. Valtuutuksesta säädetään varallisuusoikeudellisista oikeustoimista annetussa laissa (228/1929). Valtuutuksen voi tehdä myös hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016) tarkoitetussa asiointivaltuutuspalvelussa.
Lääkemääräyksen toimitustiedot liitetään reseptikeskuksessa olevaan lääkemääräykseen. Lääkkeen toimittanut apteekki voi korjata virheellisen toimitustiedon. Toimitustiedot ja niiden korjaukset on allekirjoitettava kehittyneellä sähköisellä allekirjoituksella. Sähköinen allekirjoitus tulee toteuttaa siten, että lääkkeen toimittajan oikeus toimittamiseen tulee varmennetuksi ennen allekirjoitusta. Ammattioikeuden ja siihen liittyvien rajoitusten tarkistamisesta säädetään 7 §:n 2 momentissa. Kaikkien samalla kerralla toimitettavien lääkemääräysten toimitustiedot voi allekirjoittaa yhdellä allekirjoitustoiminnolla.
13 §
Potilaan oikeus määrätä tietojen luovutuksesta
Reseptikeskuksessa olevia valtakunnallisen lääkityslistan tietoja potilaalle määrätyistä lääkkeistä ja niihin liittyvistä merkinnöistä saa luovuttaa salassapitosäädösten estämättä terveydenhuollon ja sosiaalihuollon palvelunantajille ja lääkkeen määrääjälle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Potilas voi kuitenkin kieltää hänelle määrättyyn lääkkeeseen liittyvien tietojen luovutuksen edellä tarkoitetuille tahoille ja apteekeille. Kiellon antamisesta ja peruuttamisesta säädetään asiakastietolain 58 §:ssä.
Jos alaikäinen potilas kykenee potilaan asemasta ja oikeuksista annetun lain (785/1992), jäljempänä potilaslaki, 7 §:n 1 momentissa tarkoitetulla tavalla ikänsä ja kehitystasonsa perusteella itse päättämään hoidostaan, hän voi päättää myös tämän pykälän 1 momentissa tarkoitetun kiellon tekemisestä ja sen peruuttamisesta. Alaikäisen huoltajalla tai laillisella edustajalla ei ole oikeutta tehdä luovutuskieltoa. Asiakastietolain 51 §:n 1 momentissa tarkoitetulla alaikäisellä on lisäksi oikeus kieltää määrättyyn lääkkeeseen liittyvien tietojen luovuttaminen huoltajalleen tai muulle lailliselle edustajalleen.
Sen estämättä, mitä 1 momentissa säädetään, saadaan luovuttaa:
1 momentissa tarkoitettuja tietoja, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty;
pkv- ja huumausainelääkettä määräävälle tiedot kaikista potilaalle määrätyistä pkv- ja huumausainelääkkeistä ja niihin liittyvistä merkinnöistä;
lääkemääräyksen uudistamisesta vastaavalle terveydenhuollon tai sosiaalihuollon palvelunantajalle taikka lääkkeen määrääjälle potilaan uudistettavaksi pyytämän lääkemääräyksen tiedot;
lääkkeen määrääjälle hoitosuhteen jatkuessa tiedot hänen reseptikeskukseen tallentamistaan lääkemääräyksistä ja niihin liittyvistä merkinnöistä sekä hoitosuhteesta riippumatta niistä apteekin 12 §:n 3 momentin perusteella reseptikeskukseen tallentamista lääkemääräyksistä ja 5 a §:n perusteella sairaanhoitajan, farmaseutin tai proviisorin reseptikeskukseen tallentamista lääkemääräyksen annostusohjeen muutoksista; joihin hänet on merkitty lääkkeen määrääjäksi sekä näihin lääkemääräyksiin liittyvistä merkinnöistä;
hoitosuhteen jatkuessa reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niihin liittyvistä merkinnöistä;
terveydenhuollon tai sosiaalihuollon palvelunantajalle taikka terveydenhuollon ammattihenkilölle tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niihin liittyvistä merkinnöistä potilaslain 8 §:ssä tarkoitetun kiireellisen hoidon tilanteissa; jos tietojen luovutus on kielletty 1 momentin mukaisesti, tietoja saa luovuttaa vain, jos potilas on erikseen ilmoittanut, että niitä saadaan kuitenkin luovuttaa edellä tarkoitetussa tilanteessa;
terveydenhuollon palvelunantajan, Kansaneläkelaitoksen tai tietojärjestelmän toimittajan palveluksessa olevalle tekniselle henkilöstölle tietoja häiriö- ja virhetilanteiden selvittämisen edellyttämässä laajuudessa; sekä
valvonta-asiaan liittyviä selvityksiä varten reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niihin liittyvistä merkinnöistä.
14 §Kieltoasiakirja
Kieltoasiakirjasta säädetään asiakastietolain 58 §:n 3 momentissa. Potilaalle määrättyihin lääkkeisiin liittyvien tietojen kieltoja koskevassa tulosteessa on oltava 13 §:ssä tarkoitetut tiedot kielletyistä lääkemääräyksistä ja potilaalle määrätyistä lääkkeistä sekä kiellon merkityksestä.
24 §
Ohjaus, seuranta ja valvonta
Sähköisen lääkemääräyksen ja tässä laissa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle.
26 §
Rangaistussäännökset
Tämä laki tulee voimaan päivänä kuuta 20 . Lain 5 §:n 1 momentti tulee voimaan kuitenkin vasta 1 päivänä lokakuuta 2027.
5.
Eduskunnan päätöksen mukaisesti
muutetaan sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 11 §:n 1 momentti ja 55 §:n 5 momentti, sellaisina kuin ne ovat, 11 §:n 1 momentti osaksi laissa 793/2021 ja 55 §:n 5 momentti laissa 793/2021, seuraavasti:
11 §Organisaatioiden vastuut palveluista
Tietolupaviranomainen vastaa aina 10 §:n 3–7 kohdassa tarkoitetuista palveluista, kun kyse on 45 §:ssä tarkoitetusta tietopyynnöstä tai kun tietolupahakemus koskee:
1) usean 6 §:ssä tarkoitetun rekisterinpitäjän henkilörekistereitä;
2) sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja; tai
3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.
55 §
Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet
Potilaalla on oikeus kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kielto kirjataan asiakastietolain 72 §:ssä tarkoitettuun tahdonilmaisupalveluun. Potilas voi tehdä kiellon kirjallisesti missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä taikka sähköisesti asiakastietolain 74 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä.
Tämä laki tulee voimaan päivänä kuuta 20 .
6.
Eduskunnan päätöksen mukaisesti
muutetaan kliinisestä lääketutkimuksesta annetun lain (983/ 2021) 2 §:n 2 momentti ja 34 § seuraavasti:
2 §Suhde muuhun lainsäädäntöön
Tutkimuslääkkeistä ja oheislääkkeistä sekä niiden valvonnasta säädetään lääketutkimusasetusta täydentävin osin lääkelaissa (395/1987). Potilasasiakirjoihin tehtävistä merkinnöistä ja potilasasiakirjojen säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), jäljempänä asiakastietolaki.
34 §
Potilasta koskevien tietojen käyttö tutkimuksessa
Tiedonsaantioikeudesta terveydenhuollon potilastietoihin kliinisen lääketutkimuksen toteuttamista varten säädetään asiakastietolain 61 §:ssä.
Salassapitosäännösten estämättä sekä sen estämättä, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019) säädetään, toimeksiantajalla, hänen edustajallaan, tutkijalla ja tutkimusryhmän jäsenellä sekä tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen edustajalla on oikeus saada Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n 1 momentin 1 kohdan nojalla kerätyt hoitoilmoitusrekisteriin ja perusterveydenhuollon avohoidon hoitoilmoitusrekisteriin sisältyvät potilasta koskevat tiedot Terveyden ja hyvinvoinnin laitokselta, jos tiedot ovat välttämättömiä tutkimuksen toteuttamiseksi.
Edellä 1 ja 2 momentissa tarkoitettujen potilasta koskevien tietojen käsittelyssä käytettävien tietojärjestelmien tulee täyttää tietoturvavaatimukset. Tietoturvavaatimuksista säädetään lääketutkimusasetuksessa ja tietosuoja-asetuksessa. Lääkealan turvallisuus- ja kehittämiskeskus antaa tarkempia määräyksiä tietoturvavaatimuksista.
Tämä laki tulee voimaan päivänä kuuta 20 .
7.
Eduskunnan päätöksen mukaisesti
muutetaan lääketieteellisestä tutkimuksesta annetun lain (488/1999) 21 c §, sellaisena kuin se on laissa (984/2021), seuraavasti:
21 c §Potilasta koskevien tietojen käyttö tutkimuksessa
Tiedonsaantioikeudesta terveydenhuollon palvelunantajan potilastietoihin lääketieteellisen tutkimuksen toteuttamista varten säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 61 §:ssä.
Potilastietojen käsittelyssä käytettävien tietojärjestelmien tulee täyttää tietosuoja-asetuksen mukaiset tietoturvavaatimukset.
Tämä laki tulee voimaan päivänä kuuta 20 .
8.
Eduskunnan päätöksen mukaisesti
muutetaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 2 §:n 1 momentin 4 b kohta, 5 §:n 1 momentin johdantokappale, 1 kohdan johdantokappale ja k alakohta, 2 kohdan b alakohta sekä 4 ja 5 kohta, 5 a § sekä 5 c §:n 1 momentti, sellaisina kuin ne ovat, 2 §:n 1 momentin 4 b kohta laissa 1231/2010 ja 5 §:n 1 momentin johdantokappale, 1 kohdan johdantokappale ja k alakohta, 2 kohdan b alakohta sekä 4 ja 5 kohta, 5 a § ja 5 c §:n 1momentti laissa 553/2019, sekä
lisätään 5 §:n 1 momentin 1 kohtaan uusi o alakohta ja mainittuun momenttiin uusi 6 kohta sekä lakiin uusi 5 j § seuraavasti:
2 §Tehtävät
Laitoksen tehtävänä on:
_— — — — — — — — — — — — — — — — — — — — — — — — — — — — — —4 b) vastata sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn, siihen liittyvän tietohallinnon ja valtakunnallisten tietojärjestelmäpalvelujen käytön ja toteuttamisen suunnittelusta, tietorakenteiden yhteensovittamisesta, ohjauksesta ja seurannasta sekä yhteistyössä Kansaneläkelaitoksen kanssa valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien tietojen ja tietorakenteiden oikeellisuuden seurannasta;
5 §
Oikeus saada ja käsitellä tietoja
Edellä 2 §:n 1 momentin 1–3, 4, 4b, ja 4 d kohdassa Terveyden ja hyvinvoinnin laitokselle säädettyjen tehtävien hoitamista varten laitoksella on oikeus saada maksutta sekä salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä tunnistetietoineen väestöä koskevat välttämättömät tiedot seuraavasti:
1) viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n mukaisilta sosiaali- ja terveydenhuoltoa järjestäviltä viranomaisilta sekä yksityisesti sosiaali- ja terveysalan palveluja järjestäviltä ja tuottavilta sosiaali- ja terveydenhuollon laitoshoitoa ja avopalveluita, tilannekuvaa sekä ensihoitoa koskevat tiedot:
k) terveydenhuollon laitteista ja tarvikkeista sekä niiden tuoteturvallisuudesta;
o) varautumiseen käytetyistä resursseista;
2) Kansaneläkelaitokselta:
c) sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennetut tiedot;
4) Väestörekisterikeskukselta henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja väestötietojärjestelmästä ja Digi ja väestötietoviraston varmennepalveluista annetun lain (661/2009) 3 §:ssä tarkoitetusta väestötietojärjestelmästä;
5) Tilastokeskukselta kuolemansyyn selvittämisessä annetussa laissa (459/1973) tarkoitetut tiedot;
6) ensihoitoa ja sosiaalipäivystystä koskevat Hätäkeskustoiminnasta annetun lain (692/2010) 17 §:n 1 momentin 1 kohdassa tarkoitetut tehtäviä suorittaviin yksiköihin liittyvät tiedot, 2 kohdassa tarkoitetut ilmoituksen tekoaikaa ja –tapaa koskevat tiedot, 4 kohdassa tarkoitetut tehtävän tai toimenpiteen vastaanottaneen yksikön tiedot aikoineen, 5 kohdassa tarkoitetut tehtävään tai toimenpiteeseen liittyvän henkilön tiedot, liityntä asiaan ja kohteen yksilöintitiedot sijainti- tai paikkatietoineen ja 6 kohdassa tarkoitetut tehtävää tai toimenpiteitä koskevat tiedot sekä tehtävän käsittelyyn liittyvät riskinarvion tiedot.
5 a §Tietojen luovuttaminen
Tämän lain 5 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voidaan luovuttaa noudattaen, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019) säädetään.
Sen estämättä, mitä 1 momentissa mainitussa laissa säädetään, tämän lain 5 §:n 1 momentin 1 kohdan nojalla kerättyjä hoitoilmoitusrekisteriin ja perusterveydenhuollon avohoidon hoitoilmoitusrekisteriin sisältyviä tietoja voidaan luovuttaa kliinisen lääketutkimuksen toteuttamista varten kliinisestä lääketutkimuksesta annetun lain (983/2021) 34 §:n 2 momentissa säädetyn mukaisesti. Tietojen luovuttaminen kliiniseen lääketutkimukseen edellyttää mainitun lain 11 §:ssä tarkoitettua kliinistä lääketutkimusta koskevaa päätöstä. Edellytyksenä potilastietojen luovuttamiselle on, että tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen mainitun lain mukaisesti. Jos tutkimus on ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 536/2014 35 artiklassa tarkoitettu hätätilanteessa suoritettava tutkimus, potilastietoja on oikeus saada ja käsitellä, jos mainitussa artiklassa säädetyt edellytykset tutkimuksen suorittamiselle täyttyvät.
_Sen estämättä, mitä muualla laissa säädetään oikeudesta tai velvollisuudesta luovuttaa salassa pidettäviä tietoja, tämän lain nojalla kerättyjä tietoja ei saa luovuttaa käytettäviksi yksittäistä henkilöä tai perhettä koskevassa hallinnollisessa päätöksenteossa eikä muussa vastaavassa asioiden käsittelyssä.
Mitä 2 momentissa tai muussa laissa säädetään, ei estä tietojen antamista takaisin sille viranomaiselle tai palvelunantajalle, joka on toimittanut tietoaineiston laitokselle tai on aineiston alkuperäinen rekisterinpitäjä.
5 c §Tiedonantovelvollisuus ja päätös tietojen keräämisestä
Rekisterinpitäjällä, jonka rekisteritietoja 5 §:n 1 momentissa tarkoitettu Terveyden ja hyvinvoinnin laitoksen tiedonsaantioikeus koskee, on velvollisuus luovuttaa laitokselle 5 §:ssä tarkoitetut tiedot laitoksen päätöksen mukaisesti. Rekisterinpitäjällä ei kuitenkaan ole velvollisuutta toimittaa erikseen sellaisia tietoja, jotka Terveyden ja hyvinvoinnin laitos voi saada valtakunnallisista tietojärjestelmäpalveluista.
5 j §
Tiedonkeruu valtakunnallisista tietojärjestelmäpalvelujen avulla
Terveyden ja hyvinvoinnin laitoksen tulee kerätä 2 §:n 1 momentin 1-3, 4 ja 4 d kohdassa tarkoitettujen tehtävien hoitamista varten tarvittavat tiedot sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 65 §:ssä tarkoitettujen valtakunnallisia tietojärjestelmäpalveluiden avulla. Jos tietoja ei ole mahdollista saada valtakunnallisista tietojärjestelmäpalveluista, tiedot voidaan kerätä muulla tavoin.
Terveyden ja hyvinvoinnin laitoksen on yhteensovitettava tilasto- ja rekisteritoiminnassa käsittelemänsä tietojen tietorakenteet valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakas- ja potilastietojen tietorakenteiden kanssa siten, että laitoksen tarvitsemat asiakas- ja potilastietoja sisältävät säännönmukaiset tiedonkeruut voidaan toteuttaa valtakunnallisten tietojärjestelmäpalveluiden avulla.
Tämä laki tulee voimaan päivänä kuuta 20 .
Tämän lain 5 j §:n 1 momentissa tarkoitettu tiedonkeruu valtakunnallisten tietojärjestelmäpalvelujen avulla tulee toteuttaa viimeistään 31 päivänä joulukuuta 2029.
9.
Eduskunnan päätöksen mukaisesti
muutetaan Kansaneläkelaitoksesta annetun lain (731/2001) 12 e §:n 1 ja 2 momentti, sellaisena kuin niistä on 12 e §:n 1 momentti laissa 1193/2019, seuraavasti:
12 e §Palvelurahasto
Palvelurahastosta maksetaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) ja sähköisestä lääkemääräyksestä annetussa laissa (61/2007) tarkoitettujen tehtävien hoidosta Kansaneläkelaitokselle aiheutuvia kustannuksia. Lisäksi palvelurahastosta voidaan maksaa myös muita sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:ssä tai muussa laissa Kansaneläkelaitokselle valtakunnallisiin tietojärjestelmäpalveluihin liittyvien tehtävien hoidosta aiheutuvia kustannuksia. Lisäksi palvelurahastosta voidaan suorittaa Digi- ja väestötietovirastolle sen mainittujen lakien perusteella tuottamien varmennepalvelujen aiheuttamat kustannukset.
Palvelurahaston rahoitus perustuu 1 momentissa mainittujen lakien perusteella sosiaali- ja terveydenhuollon valtakunnallisten tietojärjestelmäpalvelujen käyttäjiltä sekä yhteentoimivuuden testaukseen osallistuvilta tietojärjestelmäpalveluiden tuottajilta perittäviin maksuihin. Lisäksi valtio voi suorittaa palvelurahastoon tietojärjestelmäpalvelujen ylläpidon sekä suunnittelun ja toteuttamisen edellyttämien kustannusten kattamiseksi varoja siten kuin niistä erikseen säädetään tai päätetään.
Tämä laki tulee voimaan päivänä kuuta 20 .
Kansaneläkelaitoksessa oleva sosiaali- ja terveydenhuollon valtakunnallisiin tietojärjestelmäpalveluihin liittyvä käyttöomaisuus siirtyy osaksi palvelurahastoa tämän lain tullessa voimaan.
10.
Eduskunnan päätöksen mukaisesti
muutetaan sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 2 §:n 1 momentin 1 kohta, sellaisena kuin se on laissa 790/2021, seuraavasti:
2 §Tehtävät
Viraston tehtävänä on huolehtia:
terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994), sosiaalihuollon ammattihenkilöistä annetussa laissa (817/2015), hyvinvointialueesta annetussa laissa (611/2021), sosiaali- ja terveydenhuollon järjestämisestä annetussa laissa (612/2021), työterveyshuoltolaissa (1383/2001), terveydenhuoltolaissa (1326/2010), mielenterveyslaissa (1116/1990), yksityisestä terveydenhuollosta annetussa laissa (152/1990), tartuntatautilaissa (1227/2016), terveydenhuollon järjestämisestä puolustusvoimissa annetussa laissa (322/1987), sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), sähköisestä lääkemääräyksestä annetussa laissa (61/2007), sosiaalihuoltolaissa (1301/2014), yksityisistä sosiaalipalveluista annetussa laissa (922/2011), kehitysvammaisten erityishuollosta annetussa laissa (519/1977), terveydensuojelulaissa (763/1994), alkoholilaissa (1102/2017), tupakkalaissa (549/2016) ja Vankiterveydenhuollon yksiköstä annetussa laissa (1635/2015) sille säädetystä lupahallinnosta, ohjauksesta ja valvonnasta;
Tämä laki tulee voimaan päivänä kuuta 20 .
11.
Laki väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain 69 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain (661/2009) 69 §:n 1 momentti, sellaisena kuin se on laissa 1175/2019, seuraavasti:
69 §Digi- ja väestötietoviraston tiedonsaanti- ja tarkastusoikeus
Digi- ja väestötietovirastolla on oikeus salassapitosäännösten estämättä saada 67 §:ssä tarkoitetulta viranomaiselta, yritykseltä ja yhteisöltä sekä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) ja sähköisestä lääkemääräyksestä annetussa laissa (61/2007) tarkoitetuilta viranomaisilta ja palvelun antajilta tarpeellisia tietoja tässä laissa tarkoitetun Digi- ja väestötietoviraston tuottaman varmenteen myöntämistä ja peruuttamista koskevan toiminnallisen ja teknisen menettelyn luotettavuuden seurantaa ja valvontaa varten.
Tämä laki tulee voimaan päivänä kuuta 20 .
12.
Eduskunnan päätöksen mukaisesti
kumotaan sosiaali- ja terveydenhuollon järjestämisestä annetun lain (612/2021) 58 §:n 2 momentti sekä
muutetaan 58 §:n 1 momentti seuraavasti:
58 §Asiakas- ja potilastietojen rekisterinpito
Hyvinvointialueen sosiaali- ja terveydenhuollon palveluiden järjestämisestä vastaava toimivaltainen viranomainen on luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) tarkoitettu rekisterinpitäjä sen järjestämisvastuulle kuuluvassa toiminnassa syntyneille sekä sille kuntien ja kuntayhtymien hallinnasta siirtyneille sosiaali- ja terveydenhuollon asiakas- ja potilastiedoille. Näistä asiakas- ja potilastiedoista ja niiden käsittelystä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), julkisuuslaissa ja tietosuojalaissa (1050/2018).
Tämä laki tulee voimaan päivänä kuuta 20 .
13.
Laki sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain 25 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain (615/2021) 25 §:n 3 momentti seuraavasti:
25 §Asiakas- ja potilastietojen rekisterinpito
Asiakas- ja potilastiedoista ja niiden käsittelystä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja tietosuojalaissa (1050/2018).
Tämä laki tulee voimaan päivänä kuuta 20 .
14.
Eduskunnan päätöksen mukaisesti
muutetaan työterveyshuoltolain (1383/2001) 18 §:n johdantokappale ja 21 § seuraavasti:
18 §Salassa pidettävien tietojen luovuttaminen
Salassa pidettävien potilastietojen luovuttamisesta säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 8 luvussa. Sen lisäksi, mitä mainitussa laissa säädetään, työterveydenhuollon palvelujen tuottajan palveluksessa oleva työterveyslääkäri saa salassapitosäännösten estämättä antaa:
21 §
Työterveyshuollon asiakirjojen laatiminen ja säilyttäminen
Työterveyshuollon potilasasiakirjojen laatimisesta ja säilyttämisestä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 4 ja 5 luvussa.
Tämä laki tulee voimaan päivänä kuuta 20 .
15.
Eduskunnan päätöksen mukaisesti
muutetaan työtapaturma- ja ammattitautilain (459/2015) 41 §:n 1 momentti seuraavasti:
41 §Julkisen terveydenhuollon toimintayksikön ilmoitusvelvollisuus
Julkisen terveydenhuollon toimintayksikön on täyskustannusmaksun saamiseksi annettava salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä vakuutuslaitokselle tämän lain mukaisen korvausvastuun selvittämistä ja täyskustannusmaksun maksamista varten sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 5 luvussa tarkoitetut potilastiedot, siltä osin kuin ne ovat välttämättömiä asian ratkaisemiseksi. Tiedot on annettava viipymättä vahingoittuneen hakeuduttua vahinkotapahtuman vuoksi hoitoon. Vakuutuslaitokselle on samalla ilmoitettava työnantaja, jonka työssä vahinkotapahtuman on ilmoitettu sattuneen. Tiedot voidaan sisällyttää myös 2 momentissa tarkoitettuun ilmoitukseen.
Tämä laki tulee voimaan päivänä kuuta 20 .
16.
Eduskunnan päätöksen mukaisesti
muutetaan liikennevakuutuslain (460/2016) 56 §:n 1 momentti seuraavasti:
56 §Julkisen terveydenhuollon toimintayksikön ilmoitusvelvollisuus
Julkisen terveydenhuollon toimintayksikön on täyskustannusmaksun saamiseksi annettava salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä vakuutusyhtiölle korvausvastuun selvittämistä ja täyskustannusmaksun maksamista varten sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 5 luvussa tarkoitetut potilastiedot, siltä osin kuin ne ovat välttämättömiä asian ratkaisemiseksi. Tiedot on annettava viipymättä vahinkoa kärsineen hakeuduttua vahinkotapahtuman vuoksi hoitoon. Vakuutusyhtiölle on samalla ilmoitettava ne liikennevahinkoon osallisen tai sen aiheuttaneen ajoneuvon yksilöintitiedot, jotka julkisen terveydenhuollon toimintayksikkö saa tietoonsa vahinkoa kärsineeltä. Tiedot voidaan sisällyttää myös 2 momentissa tarkoitettuun ilmoitukseen.
Tämä laki tulee voimaan päivänä kuuta 20 .
17.
Eduskunnan päätöksen mukaisesti
muutetaan sosiaalihuoltolain (1301/2014) 40 §:n 3 momentti ja 41 §:n 3 momentti seuraavasti:
40 §Ilmoitus muulle viranomaiselle asiakkaan tuen tarpeesta
Tietojen luovuttamisesta ilman asiakkaan lupaa tai suostumusta säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), jäljempänä asiakastietolaki. Asiakkaan ohjaamisesta toimivaltaiseen viranomaiseen säädetään hallintolaissa.
41 §Monialainen yhteistyö
Asiakastietojen kirjaamisesta monialaisessa yhteistyössä sekä sosiaali- ja terveydenhuollon yhteisissä palveluissa säädetään asiakastietolain 7 luvussa. Tietojen antamisesta ilman asiakkaan lupaa sosiaali- ja terveydenhuollon yhteisissä palveluissa sekä muihin terveyspalveluihin välttämättömien terveyspalvelujen järjestämiseksi ja toteuttamiseksi säädetään asiakastietolain 53 §:ssä. Sosiaalihuollon viranomaisen oikeudesta saada laissa säädettyjen tehtäviensä suorittamiseksi tarpeellista virka-apua muilta viranomaisilta säädetään sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa.
Tämä laki tulee voimaan päivänä kuuta 20 .
18.
Eduskunnan päätöksen mukaisesti
muutetaan terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 16 § seuraavasti:
16 §Potilasasiakirjojen laatiminen ja säilyttäminen sekä niihin sisältyvien tietojen salassapito
Terveydenhuollon ammattihenkilön velvollisuudesta laatia ja säilyttää potilasasiakirjat sekä pitää salassa niihin sisältyvät tiedot säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
19.
Eduskunnan päätöksen mukaisesti
kumotaan Vankiterveydenhuollon yksiköstä annetun lain (1635/2015) 5 §:n 3 momentti ja
muutetaan 5 §:n 1 momentti sekä 6 §:n 1 momentin johdantokappale, sellaisena kuin niistä on 6 §:n 1 momentin johdantokappale laissa 229/2022, seuraavasti:
5 §Potilasrekisteri
Vankiterveydenhuollon yksikkö pitää potilasrekisteriä, johon tallennetaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ), jäljempänä asiakastietolaki, tarkoitetut potilasasiakirjat. Potilastietojen käsittelyyn sovelletaan, mitä asiakastietolaissa säädetään.
6 §
Potilasrekisterissä olevien tietojen luovuttaminen
Sen lisäksi, mitä potilastietojen luovuttamisesta säädetään asiakastietolain 8 luvussa tai muussa laissa, saa vankien ja tutkintavankien terveydenhuollosta vastaava lääkäri tai hänen ohjeidensa mukaan muu terveydenhuollon ammattihenkilö luovuttaa potilasrekisteriin tallennettuja tietoja seuraavasti:
Tämä laki tulee voimaan päivänä kuuta 20 .
20.
Eduskunnan päätöksen mukaisesti
muutetaan hedelmöityshoidoista annetun lain (1237/2006) 29 § seuraavasti:
29 §Salassapito
Tässä laissa tarkoitetut asiakirjat ovat sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) tarkoitettuja potilasasiakirjoja. Hoitosuostumukseen merkitystä luovuttajan tunnuksesta ja sen perusteella tietoja luovutusrekisteristä saadaan antaa vain sille, jolla on 23 §:n mukaan tiedonsaantioikeus.
Tämä laki tulee voimaan päivänä kuuta 20 .
21.
Eduskunnan päätöksen mukaisesti
muutetaan säteilylain (859/2018) 122 §:n 1 momentti, sellaisena kuin se on laissa 723/2021, seuraavasti:
122 §Kuvantaminen lääkinnällisellä laitteella
Kuvantamisessa, jossa käytetään lääkinnällistä laitetta, sovelletaan, mitä 30 §:ssä säädetään laadunvarmistuksesta, 66 §:ssä laitteen käytönaikaisesta säteilyturvallisuudesta sekä 13 luvussa lääketieteellisestä altistuksesta. Kuvantamista koskevien tietojen kirjaamiseen ja säilyttämiseen sovelletaan, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) säädetään potilasasiakirjojen laatimisesta ja säilyttämisestä.
Tämä laki tulee voimaan päivänä kuuta 20 .
22.
Eduskunnan päätöksen mukaisesti
muutetaan laiva-apteekista annetun lain (584/2015) 9 §:n 3 momentti seuraavasti:
9 §Lääkepäiväkirja
Lääkepäiväkirjan sisältämien tietojen salassapitoon sovelletaan, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) säädetään potilasasiakirjoihin sisältyvien tietojen salassapidosta.
Tämä laki tulee voimaan päivänä kuuta 20 .
23.
Eduskunnan päätöksen mukaisesti
muutetaan terveydenhuollon järjestämisestä puolustusvoimissa annetun lain (322/1987) 9 a §:n 1 momentti, sellaisena kuin se on laissa 513/2013, seuraavasti:
9 a §Tässä laissa tarkoitettuihin potilasasiakirjoihin sisältyvien tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) ja terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994).
Tämä laki tulee voimaan päivänä kuuta 20 .
24.
Eduskunnan päätöksen mukaisesti
muutetaan henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019) 35 §:n 1 momentin 2 kohta seuraavasti:
35 §Oikeus saada terveyttä koskevia tietoja
Sen lisäksi, mitä muualla laissa säädetään, rekisterinpitäjällä sekä asevelvollisen tai naisten vapaaehtoiseen asepalvelukseen hakeutuneen, palveluksessa olevan tai palveluksen suorittaneen terveydentilaa kutsuntaa edeltävässä terveystarkastuksessa, kutsunnassa tai palveluksen aikana tarkastavalla terveydenhuollon ammattihenkilöllä on oikeus saada palveluskelpoisuuden määrittämistä, palvelusturvallisuuden ylläpitämistä sekä potilaan tutkimuksen ja hoidon järjestämistä varten salassapitosäännösten estämättä välttämättömiä tietoja seuraavasti:
2) Kansaneläkelaitokselta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 65 §:ssä tarkoitetusta valtakunnallisesta tietojärjestelmästä tietoja asevelvollisen ja naisten vapaaehtoiseen asepalvelukseen hakeutuneen terveydentilasta.
Tämä laki tulee voimaan päivänä kuuta 20 .
25.
Eduskunnan päätöksen mukaisesti
muutetaan rajavartiolaitoksen hallinnosta annetun lain (577/2005) 32 §:n 1 momentti seuraavasti:
32 §Sotilasvirassa palvelevan tai sotilasvirkaan pyrkivän potilasasiakirjoihin sisältyvien terveydellisiä rajoituksia koskevien tietojen ilmoittaminen
Jos lääkäri toteaa palveluskelpoisuustarkastuksessa, palvelukseen ottamista koskevassa terveystarkastuksessa tai muussa terveystarkastuksessa, että Rajavartiolaitoksen sotilasvirassa palvelevalla tai siihen otettavalla henkilöllä on sellaisia terveydellisiä rajoituksia, jotka vaikuttavat asianomaisen palveluskelpoisuusluokkaan, palvelusturvallisuuteen tai suoriutumiseen virkatehtävissä, lääkärin on, sen estämättä, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) ja terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994) säädetään potilasasiakirjoihin sisältyvien tietojen salassapidosta, annettava viivytyksettä lausunto tarkastuksesta tehtävistä johtopäätöksistä sen hallintoyksikön päällikölle, jossa palvelevaa tai jonka palvelukseen otettavaa virkamiestä lausunto koskee. Hallintoyksikön päällikköä koskeva lausunto annetaan Rajavartiolaitoksen päällikölle. Rajavartiolaitoksen päällikköä koskeva lausunto annetaan sisäministerille.
Tämä laki tulee voimaan päivänä kuuta 20 .
26.
Eduskunnan päätöksen mukaisesti
muutetaan passilain (671/2006) 11 §:n 3 momentti, sellaisena kuin se on laissa 695/2021, seuraavasti:
11 §Passin myöntäminen alaikäiselle
Lastensuojelulain 45 §:n 1 momentissa tarkoitettu toimielin on velvollinen antamaan passin myöntävän viranomaisen pyynnöstä lausunnon siitä, onko passin epääminen selvästi vastoin lapsen etua. Viranomainen antaa lausuntonsa niissä tapauksissa, joissa viranomaisella on ennestään hallussaan alaikäistä tai hänen huoltajiaan koskevia tietoja. Lausunto voi sisältää myös sellaista tietoa, joka sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) nojalla on pidettävä salassa, jos tämä on lapsen edun kannalta välttämätöntä.
Tämä laki tulee voimaan päivänä kuuta 20 .
27.
Eduskunnan päätöksen mukaisesti
muutetaan tulotietojärjestelmästä annetun lain (53/2018) 13 §:n 1 momentin 18 ja 19 kohta, sellaisena kuin ne ovat laissa 1206/2020, seuraavasti:
13 §Tiedon käyttäjien oikeus saada tietoja tulotietojärjestelmästä
Tulorekisteriyksikkö välittää ja luovuttaa tulorekisterin tietoja, jotka tiedon käyttäjä on salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä oikeutettu muun lain nojalla saamaan suorituksen maksajalta tai toiselta tiedon käyttäjältä, seuraavasti:
18) kunnalle sosiaali- ja terveydenhuollon asiakasmaksuista annetussa laissa (734/1992) ja varhaiskasvatuksen asiakasmaksuista annetussa laissa (1503/2016) tarkoitetun asiakasmaksun määräämistä varten, sosiaali- ja terveydenhuollon palvelusetelistä annetussa laissa (569/2009) ja varhaiskasvatuslaissa (540/2018) tarkoitetun palvelusetelin arvon määräämistä varten sekä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) säädetyn tiedonsaantioikeuden toteuttamiseksi;
19) kuntayhtymälle sosiaali- ja terveydenhuollon asiakasmaksuista annetussa laissa ja varhaiskasvatuksen asiakasmaksuista annetussa laissa tarkoitetun asiakasmaksun määräämistä varten, sosiaali- ja terveydenhuollon palvelusetelistä annetussa laissa ja varhaiskasvatuslaissa tarkoitetun palvelusetelin arvon määräämistä varten sekä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa säädetyn tiedonsaantioikeuden toteuttamiseksi;
Tämä laki tulee voimaan päivänä kuuta 20 .
28.
Eduskunnan päätöksen mukaisesti
muutetaan henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1301/2021) 9 §:n 1 momentti, 2 momentin 1 kohta ja 3 momentti, 14 §:n 3 momentti, 16 §:n 2 momentin johdantokappale ja 31 §:n 5 momentti seuraavasti:
9 §Sosiaalihuollon tietojen käsittely
Rikosseuraamuslaitos saa käsitellä seuraamusselvityksen laatimisessa sekä rangaistusajan suunnitelman laatimisessa, täsmentämisessä, muuttamisessa ja toteuttamisessa välttämättömiä, 7 ja 8 §:ssä tarkoitettuihin tietoihin liittyviä sosiaalihuollon tietoja, jotka koskevat rikoksesta epäillyn, tuomitun, vangin, tutkintavangin ja yhdyskuntaseuraamusta suorittavan sosiaalihuoltolain (1301/2014) mukaista sosiaalihuollon tarvetta ja hänen saamiaan sosiaalipalveluita, tukitoimia ja muita sosiaalietuuksia (sosiaalihuollon tiedot). Sosiaalihuollon tietoja koskevasta salassapitovelvollisuudesta ja muusta käsittelystä säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ).
Sosiaalihuollon tiedot voivat sisältyä sosiaaliviranomaiselta tämän lain 16 §:n 2 momentin nojalla saatuihin seuraaviin asiakirjoihin:
1) sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 42 §:ssä tarkoitettuun palvelutarpeen arviointiin, 43 §:ssä tarkoitettuun asiakassuunnitelmaan ja 44 §:ssä tarkoitettuun asiakaskertomukseen;
Edellä 1 momentissa tarkoitettuja tietoja Rikosseuraamuslaitos voi saada 16 §:n 2 momentin nojalla sosiaaliviranomaisen lisäksi muilta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 64 §:n 1 momentissa tarkoitetuilta tiedonantovelvollisilta.
14 §
Tietojen käsittelyyn oikeutetut
Edellä 2 momentin 1 ja 2 kohdassa tarkoitettujen tietojen käsittelyssä noudatetaan lisäksi, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa säädetään käsittelyn valvonnasta.
16 §Oikeus saada tietoja muilta viranomaisilta ja tiedonantovelvollisilta
Rikosseuraamuslaitoksella on salassapitosäännösten estämättä tietopyynnön yksilöityään ja perusteltuaan oikeus saada tehtäviensä hoitamiseksi välttämättömät tiedot kunnan sosiaali- ja terveysviranomaisilta sekä muilta sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 64 §:ssä tarkoitetuilta tiedonantovelvollisilta:
31 §
Tietojen tarkistaminen ja poistaminen rekistereistä
Edellä 9 §:ssä tarkoitettujen sosiaalihuollon tietojen tarkistamiseen ja poistamiseen rekisteristä sovelletaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettua lakia.
Tämä laki tulee voimaan päivänä kuuta 20 .
29.
Eduskunnan päätöksen mukaisesti
muutetaan oikeudenkäymiskaaren 17 luvun 12 §:n 1 momentti, sellaisena kuin se on laissa 194/2019, seuraavasti:
12 §Virkamies tai julkisyhteisön työntekijä taikka julkista valtaa käyttävä tai julkista luottamustehtävää hoitava taikka muu, joka on viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 23 §:n nojalla vaitiolovelvollinen, ei saa todistaa siitä, mitä sisältyy mainitun lain 11 §:n 2 momentin tai oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain (370/2007) 12 §:n 2 momentin nojalla asianosaiselta salassa pidettävään asiakirjaan tai oikeudenkäyntiasiakirjaan, eivätkä myöskään siitä, mikä olisi asiakirjaan merkittynä pidettävä jommankumman mainitun lainkohdan nojalla asianosaiselta salassa, ellei se, jonka hyväksi salassapitovelvollisuus on säädetty, suostu todistamiseen tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 16 §:n 5 momentista, sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 63 §:n 1 momentista tai muusta vastaavasta lainkohdasta muuta johdu.
Tämä laki tulee voimaan päivänä kuuta 20 .
30.
Eduskunnan päätöksen mukaisesti
muutetaan avioliittolain (234/1929) 23 a §, sellaisena kuin se on laissa 196/2019, seuraavasti:
23 a §Sovittelijan vaitiolovelvollisuuteen sovelletaan, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 5 §:ssä ja 100 §:ssä säädetään. Sovittelijaan ei sovelleta, mitä mainitun lain 64 §:ssä säädetään tietojenantovelvollisuudesta. Sovittelijalla ei ole oikeutta oma-aloitteisesti hankkia perheestä tietoja muilta viranomaisilta.
Tämä laki tulee voimaan päivänä kuuta 20 .
31.
Eduskunnan päätöksen mukaisesti
muutetaan lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 11 a §:n 3 momentti ja 16 §:n 5 momentti, sellaisina kuin ne ovat laissa 190/2019, seuraavasti:
11 a §Lapsen huollosta ja tapaamisoikeudesta päättäminen huostassapidon aikana
Tuomioistuimen oikeudesta saada julkisen ja yksityisen sosiaalihuollon palvelunantajalta lasta koskevia tietoja säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 63 §:ssä.
16 §Selvityksen hankkiminen hyvinvointialueelta
Selvityksessä ja asiaa koskevassa oikeudenkäynnissä saa ilmaista myös salassa pidettäviä tietoja soveltaen, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 63 §:n 1 momentissa sekä sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 27 §:n 4 momentissa säädetään.
Tämä laki tulee voimaan päivänä kuuta 20 .
32.
Laki lapsen huoltoa ja tapaamisoikeutta koskevan päätöksen täytäntöönpanosta annetun lain 8 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan lapsen huoltoa ja tapaamisoikeutta koskevan päätöksen täytäntöönpanosta annetun lain (619/1996) 8 §:n 4 momentti, sellaisena kuin se on laissa 819/2000, seuraavasti:
8 §Sovittelun aika, sovittelukertomus ja salassapidettävä tieto
Sovittelijalla on oikeus saada asiassa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 64 §:n 1 momentin mukaisesti tietoa sekä sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 12 §:n mukaisesti tietoja ja 22 §:ssä tarkoitettua virka-apua. Sovittelijan ja muiden asiassa salassa pidettäviä tietoja saaneiden salassapitovelvoitteisiin sovelletaan, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain 5 §:ssä säädetään. Sovittelijan tulee ottaa kertomukseensa sellaiset salassa pidettävät tiedot, joiden hän arvioi olevan lapsen edun kannalta välttämättömiä tuomioistuimen ratkaistessa tässä laissa tarkoitettua asiaa.
Tämä laki tulee voimaan päivänä kuuta 20 .
33.
Laki toimivallasta, sovellettavasta laista, toimenpiteiden tunnustamisesta ja täytäntöönpanosta sekä yhteistyöstä vanhempainvastuuseen ja lasten suojeluun liittyvissä asioissa tehdyn yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta ja sopimuksen soveltamisesta annetun lain 9 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan toimivallasta, sovellettavasta laista, toimenpiteiden tunnustamisesta ja täytäntöönpanosta sekä yhteistyöstä vanhempainvastuuseen ja lasten suojeluun liittyvissä asioissa tehdyn yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta ja sopimuksen soveltamisesta annetun lain (435/2009) 9 §:n 1 momentti seuraavasti:
9 §Salassa pidettävän tiedon antaminen
Sosiaalihuollon järjestäjä tai toteuttaja saa sopimuksen 34 artiklassa tarkoitetuilla edellytyksillä antaa Suomen keskusviranomaiselle tai tietoa sopimuksen nojalla pyytävälle vieraan valtion viranomaiselle sellaisen salassa pidettävän tiedon, jonka se saisi sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 63 §:n 1 momentin mukaan antaa Suomen tuomioistuimelle tai muulle viranomaiselle.
Tämä laki tulee voimaan päivänä kuuta 20 .
34.
Eduskunnan päätöksen mukaisesti
muutetaan nuoren rikoksesta epäillyn tilanteen selvittämisestä annetun lain (633/2010) 9 §:n 2 momentti seuraavasti:
9 §Tiedonsaantioikeus
Sosiaaliviranomaisella ja Rikosseuraamuslaitoksella on oikeus salassapitosäännösten estämättä saada tässä laissa säädettyjä tehtäviään varten sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain ( / ) 64 §:n 1 momentissa tarkoitetuilta tahoilta nuoren rikoksesta epäillyn tilanteen selvittämiseksi tarpeelliset tiedot.
Tämä laki tulee voimaan päivänä kuuta 20 .
35.
Eduskunnan päätöksen mukaisesti
muutetaan vanhemmuuslain (775/2022) 11 § seuraavasti:
11 §Lastenvalvojan oikeus saada tietoja
Lastenvalvojan oikeuteen saada tietoja vanhemmuuden selvittämistä varten sovelletaan, mitä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa ( / ) säädetään sosiaalihuollon palvelunantajan tiedonsaantioikeudesta. Lastenvalvojalla on oikeus saada mahdollisen isän henkilöllisyyden ja asuinpaikan selvittämiseksi välttämättömiä tietoja salassapitosäännösten estämättä myös äidin ilmoittaman henkilön työnantajalta sekä majoitus- ja ravitsemistoiminnasta annetussa laissa (308/2006) tarkoitetun majoitustoiminnan harjoittajalta.
Tämä laki tulee voimaan päivänä kuuta 20 .
Helsingissä 27.10.2022
Pääministeri
Sanna Marin
Perhe- ja peruspalveluministeri
Krista Kiuru