Viimeksi julkaistu 2.9.2021 14.06

Valiokunnan mietintö StVM 11/2021 vp HE 212/2020 vp Sosiaali- ja terveysvaliokunta Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä eräiksi siihen liittyviksi laeiksi (HE 212/2020 vp): Asia on saapunut sosiaali- ja terveysvaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan lausunnon antamista varten. 

Lausunto

Asiasta on annettu seuraava lausunto: 

  • perustuslakivaliokunta 
    PeVL 4/2021 vp

Asiantuntijat

Valiokunta on kuullut (etäkuuleminen): 

  • hallitusneuvos Joni Komulainen 
    sosiaali- ja terveysministeriö
  • erityisasiantuntija Anna Kärkkäinen 
    sosiaali- ja terveysministeriö
  • lainsäädäntöneuvos Virpi Koivu 
    oikeusministeriö
  • oikeusneuvos, OTT Eija Siitari 
    korkein hallinto-oikeus
  • apulaistietosuojavaltuutettu Jari Råman 
    Tietosuojavaltuutetun toimisto
  • apulaisprofessori Antti Honkela 
    Helsingin yliopisto
  • dosentti Marjut Salokannel 
    Helsingin yliopisto
  • professori Martti Lehto 
    Jyväskylän yliopisto
  • kehitysjohtaja Merja Tepponen 
    Etelä-Karjalan sosiaali- ja terveyspiiri Eksote
  • lakimies Kirsi Talonen 
    Findata – Sosiaali- ja terveysalan tietolupaviranomainen
  • pääarkkitehti Konstantin Hyppönen 
    Kansaneläkelaitos
  • kanta-liiketoiminnan palvelupäällikkö Outi Lehtokari 
    Kansaneläkelaitos
  • yli-insinööri Antti Härkönen 
    Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira)
  • kehittämispäällikkö Riitta Konttinen 
    Terveyden ja hyvinvoinnin laitos (THL)
  • johtava asiantuntija Juha Mykkänen 
    Terveyden ja hyvinvoinnin laitos (THL)
  • kehittämisylilääkäri Juuso Tamminen 
    Pohjois-Savon sairaanhoitopiiri
  • erityisasiantuntija Marjo Orava 
    Suomen Kuntaliitto
  • tietoturvapäällikkö Janne Mutanen 
    Varsinais-Suomen sairaanhoitopiiri
  • johtava konsultti Pasi Korhonen 
    F-Secure Oyj
  • asiantuntija Jarno Talvitie 
    Hyvinvointiala HALI ry

Valiokunta on saanut kirjalliset lausunnot: 

  • Eduskunnan oikeusasiamiehen kanslia
  • valtiovarainministeriö
  • Etelä-Suomen aluehallintovirasto
  • Länsi- ja Sisä-Suomen aluehallintovirasto
  • Kansallisarkisto
  • Valtakunnallinen lääketieteellinen tutkimuseettinen toimikunta TUKIJA
  • Valtakunnallinen sosiaali- ja terveysalan eettinen neuvottelukunta ETENE
  • DigiFinland Oy
  • Espoon kaupunki
  • Helsingin ja Uudenmaan sairaanhoitopiiri
  • CGI Suomi Oy
  • Oy Apotti Ab
  • Una Oy
  • Suomen Apteekkariliitto ry
  • Suomen Hammaslääkäriliitto ry
  • Suomen Kuntoutusyrittäjät ry
  • Suomen Lääkäriliitto ry
  • Suomen Psykologiliitto ry
  • Suomen Yrittäjät ry
  • Vammaisfoorumi ry

Valiokunta on saanut ilmoitukset, ei lausuttavaa: 

  • Lääkealan turvallisuus- ja kehittämiskeskus Fimea
  • SOSTE Suomen sosiaali ja terveys ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi uusi laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä tehtäväksi tarvittavat muutokset eräisiin muihin lakeihin. Lailla kumottaisiin voimassa oleva laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä. Ehdotettu laki pohjautuu pääosin voimassa olevaan lakiin. 

Esitys on laadittu valtiopäivien päättymisen ja eduskuntavaalien toimittamisen johdosta rauenneen hallituksen esityksen HE 300/2018 vp pohjalta. 

Terveydenhuollossa on otettu vaiheittain vuodesta 2010 alkaen käyttöön valtakunnalliset sähköiset tietojärjestelmäpalvelut. Lakiin ehdotettavat muutokset luovat edellytykset valtakunnallisten tietojärjestelmäpalvelujen käyttöönotolle sosiaalihuollossa asettamalla sosiaalihuollon palvelunantajille velvoitteen liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi sekä mahdollistamalla tietojen luovutuksen sosiaalihuollon asiakastiedon arkistosta. 

Lakiehdotus sisältää sosiaali- ja terveydenhuollon kannalta tarpeelliset tiedonhallintaa koskevat säännökset sekä EU:n yleisen tietosuoja-asetuksen edellyttämät välttämättömät muutokset. Terveydenhuollossa käytössä olevasta potilaalta kysytystä laajasta suostumuksesta luovuttaisiin. Asiakkaalla olisi edelleen mahdollisuus kieltää tietojensa luovutus terveydenhuollon rekisterinpitäjien välillä ja vastaava luovutuskielto otettaisiin käyttöön myös sosiaalihuollossa. Terveydenhuollossa asiakastietojen käsittelyn edellytyksenä olisi myös jatkossa tietoteknisesti varmistettu hoitosuhde tai muu lakiin perustuva oikeus. Vastaavasti edellytys asiakastietojen käsittelylle sosiaalihuollossa olisi tietoteknisesti varmistettu asiakassuhde tai muu lakiin perustuva oikeus. 

Esityksessä ehdotetaan valtakunnallisten tietojärjestelmäpalvelujen sisällön laajentamista siten, että asiakas itse voisi tallentaa omia hyvinvointitietojaan tai erilaisten hyvinvointisovellusten tuottamia tietoja omatietovarantoon. Hyvinvointitiedot olisivat ammattihenkilön käytettävissä ja hyödynnettävissä asiakkaan suostumuksen perusteella tietoturvallisesti. Asiakkaalla olisi mahdollisuus valtuuttaa toinen henkilö asioimaan puolestaan sähköisesti. 

Sähköisestä lääkemääräyksestä annettua lakia muutettaisiin siten, että reseptiarkistosta luovuttaisiin. Jatkossa tiedot tallennettaisiin vain reseptikeskukseen, jossa niitä myös säilytettäisiin. Tietojen käsittelyperuste yhdenmukaistettaisiin ehdotetun uuden lain mukaiseksi. 

Esitys liittyy valtion vuoden 2021 täydentävään talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä. 

Lait on tarkoitettu tulemaan voimaan 1 päivänä huhtikuuta 2021. 

VALIOKUNNAN YLEISPERUSTELUT

Ehdotettujen muutosten tavoitteet

Valiokunta pitää esitystä tärkeänä ja toteaa, että se on monin tavoin sosiaali- ja terveydenhuollon asiakastietojen sähköiseen käsittelyyn ja sen kehittämiseen myönteisesti vaikuttava kokonaisuus. 

Lakiin ehdotettavat muutokset luovat edellytykset Kansaneläkelaitoksen ylläpitämien valtakunnallisten tietojärjestelmäpalvelujen (Kanta-palvelut) käyttöönotolle sosiaalihuollossa asettamalla sosiaalihuollon palvelunantajille velvoitteen liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi sekä mahdollistamalla tietojen luovutuksen sosiaalihuollon asiakastiedon arkistosta. Tämä parantaa valiokunnan näkemyksen mukaan sosiaalihuollon tietojen käsittelyn tietoturvaa sekä edistää sujuvaa tietojen luovuttamista sosiaali- ja terveydenhuollon välillä. 

Valiokunta pitää myönteisenä valtakunnallisten tietojärjestelmäpalvelujen laajentamista siten, että asiakas voi itse tallentaa omia hyvinvointitietojaan tai erilaisten hyvinvointisovellusten tuottamia tietoja omatietovarantoon, josta nämä tiedot ovat ammattihenkilön käytettävissä suostumuksen perusteella tietoturvallisesti. Valiokunta pitää omatietovarantoa kannatettavana ja asiakkaiden palveluja parantavana uudistuksena. Ehdotetun omatietovarannon avulla on mahdollista siirtyä valtakunnalliseen tietovarantoon, eikä organisaatioiden tarvitse toteuttaa omia hyvinvointitiedon arkistoja. 

Valiokunta pitää myönteisenä sähköisestä lääkemääräyksestä annettuun lakiin tehtäviä tarkennuksia, jotka johtuvat pääsääntöisesti EU:n yleisestä tietosuoja-asetuksesta. Valiokunta pitää lisäksi tärkeänä, että lääkkeiden väärinkäyttämisen estämiseksi sähköistä lääkemääräystä koskevat säännökset mahdollistavat edelleen, että pääasiassa keskushermostoon vaikuttavaa ja huumausainelääkettä määräävälle luovutetaan tiedot kaikista potilaalle määrätyistä vastaavista lääkkeistä. Tämä ehkäisee osaltaan tehokkaasti mahdollisuuksia lääkkeiden väärinkäyttöön. 

Ehdotettu asiakastietolaki pohjautuu pääosin voimassa olevaan asiakastietolakiin kuitenkin niin, että lain rakennetta, kirjoitusasua ja terminologiaa on selkeytetty ja muutettu johdonmukaisemmaksi. Nykyistä selkeämpi ja johdonmukaisempi sääntely on valiokunnan näkemyksen mukaan tärkeää sekä sosiaali- ja terveydenhuollon asiakkaiden että henkilöstön oikeusturvan kannalta. Selkeät ja johdonmukaiset säännökset turvaavat yhtäältä asiakkaan yksityisyyden suojaa sekä toisaalta tiedon sujuvaa luovutusta.  

Asiakastietojen luovuttaminen

Hallituksen esityksessä ehdotetaan (s. 52), että sosiaalihuollon asiakastietojen ja potilastietojen luovutus salassapitosäännösten estämättä valtakunnallisten tietojärjestelmäpalvelujen avulla perustuu pääsääntöisesti informointiin, esitettävään lainsäädäntöön sekä asiakas- ja hoitosuhteen olemassaoloon eikä asiakkaalta kysyttävään suostumukseen. Potilasta sekä asiakasta koskevan tiedon luovutus palvelunantajille toteutettaisiin valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun henkilöä on informoitu lakiehdotuksen 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo potilaan tai asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei potilas tai asiakas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta vain välttämättömiin asiakas- ja potilastietoihin säädetään 15 §:ssä. 

Terveydenhuollossa on voimassa olevan sääntelyn nojalla valtakunnallisten tietojärjestelmäpalvelujen avulla tapahtuvassa potilastietojen luovutuksessa käytössä kaikkiin tietoihin kohdistuva niin sanottu laaja suostumus, jonka lisäksi potilaalla on mahdollisuus kieltää yksittäisten tai useampien tietojensa luovuttaminen. Nykyisin potilas voi näin ollen antaa yhdellä tahdonilmaisulla suostumuksen potilastietojensa luovuttamiseen muille rekisterinpitäjille (palvelunantajille) ja halutessaan rajata suostumuksen laajuutta kielloin. 

Tällaisesta laajasta suostumuksesta luopuminen perustuu hallituksen esityksen mukaan (s. 52) EU:n yleisen tietosuoja-asetuksen vaatimukseen suostumuksen muodosta. Laaja, tulevaisuuteen suuntautuva suostumus ei esityksen mukaan täytä tietosuoja-asetuksen asettamaa vaatimusta siitä, että suostumuksen on oltava yksilöity, tietoinen, vapaaehtoinen, yksiselitteinen ja erityisten henkilötietoryhmien, kuten esimerkiksi terveystietojen, osalta myös nimenomainen. 

Perustuslakivaliokunnan kannanotot

Perustuslakivaliokunta ilmaisee huolensa valitun suostumuksesta irtaantuvan sääntelyratkaisun päämääristä itsemääräämisoikeuden rajoituksen hyväksyttävyyden kannalta (PeVL 4/2021 vp, s. 8). Sääntely ei kokonaisuutena arvioiden täytä niitä edellytyksiä, joita ehdotetun kaltainen itsemääräämisoikeutta turvaavasta suostumusedellytyksen pääsääntöisyydestä luopuminen edellyttäisi itsemääräämisoikeuden varaan rakentuvassa sosiaali- ja terveydenhuollon sääntely-ympäristössä (s. 11). Perustuslakivaliokunnan mielestä aktiivista reagointia edellyttävä kielto-oikeus ei ole riittävä itsemääräämisoikeuden turvaamisen tae. Hallituksen esityksen 1. lakiehdotuksen (asiakastietolaki) 20 §:n 1 momentin ja 21 §:n 1 momentin sääntelyä tiedon luovuttamisesta on perustuslakivaliokunnan mukaan muutettava. Muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä.  

Perustuslakivaliokunnan käsityksen mukaan säätämisjärjestyskysymykseksi edellä todettu muutosvaatimus itsemääräämisoikeutta paremmin turvaavaksi sääntelyksi voidaan tehdä eduskuntakäsittelyssä luopumalla ehdotetusta itsemääräämisoikeuden rajoituksen pääsääntöisyydestä säätämällä 20 ja 21 §:ssä tarkoitetun luovutuksen edellytykseksi suostumus (s. 11). 

Perustuslakivaliokunnan mielestä suostumuksesta voidaan perustuslain estämättä säätää voimassa olevan lain mukainen laaja suostumus, jos siihen kytketään mahdollisuus rajata suostumusta 18 §:ssä ehdotetun kaltaisin kielloin (ks. myös PeVL 10/2012 vp, s. 2—4). Suostumuksen sääntelyn on täytettävä valiokunnan käytännössä mainitut edellytykset.  

Perustuslakivaliokunnan saaman selvityksen ja valtioneuvoston eräissä hallituksen esityksissä omaksuman kannan mukaan tällainen sääntely on myös EU:n tietosuoja-asetuksen näkökulmasta mahdollinen (s. 11). Henkilön antama hyväksyntä tietojen siirtämiseen täydentää oikeusperustaa henkilötietojen käsittelyn suojatoimena. 

Olennaista perustuslakivaliokunnan mukaan (s. 12) tällöin on, että käsittelystä säädetään tietosuoja-asetuksen edellyttämällä tavalla asetuksen mukaiset edellytykset täyttävässä laissa, joka toimii käsittelyn asetuksen 6 ja 9 artiklassa tarkoitettuna perusteena. Sosiaali- ja terveysvaliokunnan on perustuslakivaliokunnan mukaan tällöin varmistuttava sääntelyn asianmukaisuudesta ja oikeasuhtaisuudesta tietosuoja-asetuksen kannalta (s. 12) sekä siitä, ettei ehdotettu sääntely ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa (s. 4). 

Sosiaali- ja terveysvaliokunnan ehdotukset

Sosiaali- ja terveysvaliokunta yhtyy perustuslakivaliokunnan kantaan ja ehdottaa, että asiakastietolain 20 §:n 1 momenttia ja 21 §:n 1 momenttia muutetaan perustuslakivaliokunnan lausunnon johdosta siten, että tietoja ei saa luovuttaa toimialan sisällä toiselle palvelunantajalle ilman nykyisen laajan suostumuksensa kaltaista asiakkaan tahdonilmaisua tai muussa laissa säädettyä oikeutta luovutukseen. Toimialan sisäisen luovutuksen tietosuoja-asetuksen tarkoittamana oikeusperusteena on asiakastietolain luovutuksen oikeuttava säännös tahdonilmaisun ollessa suojatoimi. Sosiaalihuollon ja terveydenhuollon välisissä luovutuksissa säilyy oikeusperusteena hallituksen esityksen 20 §:n 2 momentissa ja 21 §:n 2 momentissa säädetty EU:n yleisen tietosuoja-asetuksen tarkoittama suostumus. Valiokunnan saaman selvityksen mukaan toimialan sisäisen luovutuksen edellyttämästä tahdonilmaisusta on käytettävä eri ilmaisua, jotta on selvää, milloin on kyseessä tietosuoja-asetuksen tarkoittamasta ja siinä säädetystä suostumuksesta ja milloin suojatoimena toimivasta tahdonilmaisusta. Valiokunta ehdottaa, että toimialojen sisäisen luovutuksen edellytyksenä olevasta tahdonilmaistusta käytetään ilmaisua luovutuslupa. 

Asiakastietolaissa suostumus on tarkkarajainen, yksilöity ja nimenomainen suostumus, josta säädetään EU:n yleisessä tietosuoja-asetuksessa. Luovutusluvalla puolestaan tarkoitetaan suojatoimena annettavaa tahdonilmaisua, joka voidaan antaa siten kuin nykyisin Kanta-palvelussa käytössä oleva niin sanottu laaja suostumus annetaan eikä siltä siten edellytetä vastaavaa tarkkarajaisuutta tai luovutettavien tietojen yksilöintiä kuin suostumukselta. Luovutusluvan laajuutta tulee kuitenkin voida rajata yksilöidyin kielloin.  

Sosiaali- ja terveysvaliokunta korostaa tietojen luovuttamista koskevan sääntelyn merkitystä yhtäältä asiakkaan yksityisyyden suojan sekä toisaalta tiedon sujuvan liikkumisen näkökulmasta. Säännösten tulee olla riittävän selkeitä ja kattavia, jotta asiakkaan tiedollinen itsemääräämisoikeus voi toteutua ja asiakas voi säilyttää luottamuksellisen suhteen palvelunantajaan. Toisaalta valiokunta pitää tärkeänä, että tietojen luovutus tapahtuu mahdollisimman sujuvasti silloin, kun niiden luovuttamiselle on olemassa oikeusperusta. 

Tiedon sujuvalla liikkuvuudella on valiokunnan näkemyksen mukaan keskeinen merkitys hoidon ja hoivan laadun sekä potilasturvallisuuden varmistamisessa. Samalla tulee kuitenkin huolehtia yksityisyyden suojasta. Hoidon tai sosiaalipalvelun luottamuksellisuus voi herkästi vaarantua, jos asiakkaan tai potilaan arkaluonteiset tiedot ovat hyvin laajasti sähköisten järjestelmien avulla saatavissa. Useissa hoitotapahtumissa ei tarvita potilaasta laajoja taustatietoja. Toisaalta silloin, kun nämä tiedot ovat tarpeellisia tai jopa hengen taikka terveyden suojelemiseksi välttämättömiä, on välttämätöntä turvata tietojen saatavuus nopeasti ja luotettavasti.  

Valiokunnan näkemyksen mukaan toimialan sisäisessä palveluntuottajien välisessä tietojen luovuttamisessa edellä todetun nykyisen laajan suostumuksen kaltainen luovutuslupa on perusteltu, koska asiakkaalla ja potilaalla on luovutusluvan lisäksi mahdollisuus rajata kyseistä luovutusta eri laajuisilla kielloilla. Laajojen kieltomahdollisuuksien avulla luovutettavien tietojen joukkoa on mahdollista rajata käytännössä myös erittäin vähäiseen tietojoukkoon. Valiokunta pitää EU:n tietosuoja-asetuksen tarkoittaman suostumuksen sijaan luovutuslupaa yhdistettynä kielto-oikeuksiin toimialan sisäisessä luovutuksessa hyväksyttävänä ja oikeasuhtaisena erityisesti, koska tiedoilla on tällöin sama käyttötarkoitus. Tämän vuoksi tietojen tarve terveydenhuollon palvelunantajien kesken tai vastaavasti sosiaalihuollon palvelunantajien kesken on sekä sisällöllisesti että määrällisesti suurempi.  

Lisäksi nykyisin Kanta-palvelussa annettujen laajojen suostumusten määrä on erittäin suuri. Suostumuksen oli vuoden 2020 maaliskuun loppuun mennessä antanut noin 3,8 miljoonaa henkilöä. Luovutuksia rajoittavia kieltoja sen sijaan on tehty annettuihin suostumuksiin suhteutettuna vähän.Kieltojen määrä 30.4.2021 mennessä on 127 730. Lukema kertoo, kuinka moni henkilö on ainakin kerran asettanut kiellon tietojensa luovuttamiselle. Henkilö on tämän jälkeen voinut tehdä muutoksia luovutuskieltoon (peruuttaminen/kiellon asettaminen uudelleen), joten lukema ei kerro voimassa olevien kieltojen määrää. Tästä voidaan päätellä, että hyvin moni potilas haluaa, että potilastiedot näkyvät häntä hoitavalle terveydenhuollon ammattihenkilölle laajasti. Terveydenhuollon palvelunantajien väliselle tietojen laajalle luovutukselle on potilaiden näkökulmasta siten suuri hyväksyntä. Tietojen luovutus laajana suostumuksena on lisäksi jo olemassa oleva toiminto valtakunnallisissa tietojärjestelmissä, joten luovutusluvan toteutus ei siten vaadi pitkiä siirtymäaikoja. 

Valiokunta toteaa, että sosiaalihuollon ja terveydenhuollon välisessä tietojen luovutuksessa korostuu tietojen käyttötarkoitussidonnaisuuden vaatimus, koska tiedot on kerätty eri käyttötarkoituksiin. Asiakas- tai hoitosuhteen luottamuksellisuuden näkökulmasta olisi valiokunnan näkemyksen mukaan kestämätöntä, jos luovutus sosiaalihuollosta terveydenhuoltoon tai päinvastoin ei perustuisi asiakkaan yksilöityyn ja tarkkarajaiseen suostumukseen tai luovutuksen oikeuttavaan lain säännökseen. Sekä sosiaalihuollon että terveydenhuollon piiriin kuuluu paljon sellaisia palveluja, jotka toimivat toisistaan täysin erillisinä, eikä tiedonsaantitarvetta toimialojen välillä ole. Tällöin asiakkaan tiedollisen itsemääräämisoikeuden näkökulmasta tietojen käsittelyn erillisyysvaatimus on korostunut. Näin ollen valiokunta pitää perusteltuna, että 20 §:n 2 momentissa ja 21 §:n 2 momentissa säädetyssä toimialojen välisessä suostumuksessa tulee antaa hallituksen esityksessä ehdotettu EU:n tietosuoja-asetuksen tarkoittama yksilöity ja nimenomainen suostumus.  

Valiokunta kuitenkin toteaa, että käytännössä joidenkin yhteisten palvelujen kohdalla voidaan tunnistaa sosiaalihuollon asiakastiedoille ja terveydenhuollon potilastiedoille hyvin samansuuntainen käyttötarkoitus. Tämä koskee erityisesti sellaisia tilanteita, joissa sekä sosiaali- että terveydenhuollon piiriin kuuluvia palveluja annetaan käytännössä yhdessä yhteisten tavoitteiden toteuttamiseksi. Tällaisesta palvelusta voidaan mainita esimerkkinä vanhusten kotihoitoon liittyvät palvelut, joissa palvelu voi olla terveydenhuollon kotisairaanhoitoa tai sosiaalihuollon kotipalvelua. Valiokunta korostaa tietojen sujuvan käsittelyn tarvetta erityisesti tämän kaltaisissa palveluissa. Erityisen korostunut tämä tarve on silloin, kun asiakkaana on henkilöitä, joilla ei itsellään ole kykyä arvioida tiedon tarpeen merkitystä palvelun sisällölle ja laadulle. Kansanterveyslain 2 a luvussa säädetyn kotihoidon kokeilun taustalla on tässä yhteisessä tarkoituksessa tapahtuva tietojen liikkuvuuden sujuvuus. Säännösten mukaan kotihoidon toimintayksikön henkilöstöllä on oikeus käyttää tehtäviensä edellyttämällä tavalla kotihoidon rekisteritietoja. Valiokunta toteaa, että vuoden 2005 alusta aloitettu kokeilu on välttämätöntä arvioida jäljempänä yleisperustelujen lopussa todetun kokonaisuudistuksen yhteydessä ja säätää tietojen käsittelystä asianmukaisesti toistaiseksi voimassa olevalla lainsäädännöllä. 

Luovutusta koskevien ehdotusten arviointi EU:n tietosuoja-asetuksen näkökulmasta

Perustuslakivaliokunta edellytti, että sosiaali- ja terveysvaliokunnan on varmistuttava luovutusta koskevan sääntelyn asianmukaisuudesta ja oikeasuhtaisuudesta tietosuoja-asetuksen kannalta (s. 12). Sosiaali- ja terveysministeriöltä saadun selvityksen perusteella sosiaali- ja terveysvaliokunta toteaa seuraavaa: 

EU:n yleinen tietosuoja-asetus mahdollistaa henkilötietojen luovutuksen perustuen sekä yksilöityyn ja nimenomaiseen asetuksen tarkoittamaan suostumukseen tai asetuksen edellytysten täyttyessä lain säännökseen. Valiokunnan ehdottama käsittelyperuste eroaisi sen mukaan, onko kyseessä toimialan sisäinen luovutus vaiko toimialojen välinen luovutus. 

Valiokunnan ehdottama toimialojen sisäisessä palveluntuottajien välisessä tietojen luovutuksessa annettava luovutuslupa ei ole tietosuoja-asetuksen mukainen käsittelyperuste, vaan luovutuksen ehdoksi asetettava suojatoimi, josta voidaan säätää kansallisesti. Näin ollen 20 §:n 1 momentin ja 21 §:n 1 momentin tarkoittama tietojen luovutus perustuu perustuslakivaliokunnan lausunnon mukaisesti valtiosääntöisesti perustuslakivaliokunnan edellyttämällä tavalla asiakkaan tai potilaan tahdonilmaisuun, mutta sen luovutusperusta on tietosuoja-asetuksen valossa luovutuksen oikeuttavat asiakastietolain 20 §:n 1 momentin ja 21 §:n 1 momentin säännökset, jotka on säädetty tietosuoja-asetuksen 6 artiklan 1 (c) alakohdan ja 3 (b) alakohdan sekä 9 artiklan 2 (h) alakohdan perusteella. 

Toimialojen sisällä palveluntuottajien välinen tietojen luovuttaminen on edellä tarkemmin kuvatuista syistä perusteltu 20 §:n 1 momentin sekä 21 §:n 1 momentin säännösten sekä suojatoimena toimivan luovutusluvan nojalla, koska tiedoilla on tällöin sama käyttötarkoitus ja tiedon tarve useissa tilanteissa on laajaa. Olennainen merkitys asiakkaan yksityisyyden suojan näkökulmasta on tällöin myös sillä, että asiakkaalla ja potilaalla on lisäksi mahdollisuus rajata antamaansa laajaan suostumukseen perustuvaa luovutusta eri laajuisilla kielloilla. 

EU:n yleisessä tietosuoja-asetuksessa ei säädetä nimenomaisesti ehdotetun kaltaisesta luovutusluvasta suojatoimena. Valiokunnan saaman selvityksen mukaan suojatoimena toimivasta luovutusluvasta on mahdollista säätää kansallisesti EU:n tietosuoja-asetuksen 6 artiklan 4 (e) alakohdan, 9 artiklan 2 (h) alakohdan ja erityisesti 9 artiklan 4 alakohdan perusteella ja vastaavasti myös tietosuojalain 6 §:n perusteella. 

Sosiaalihuollon ja terveydenhuollon välisissä luovutuksissa edellytettävä suostumus luovutuksen perusteena on hallituksen esityksessä ehdotetun mukaisesti EU:n yleisen tietosuoja-asetuksen tarkoittama suostumus. Toimialojen välisessä luovuttamisessa käsittelyn oikeusperuste on tietosuoja-asetuksen 6 artiklan 1 (a) alakohdan ja 9 artiklan 2 (a) alakohdan mukainen suostumus. Tällöin henkilön on jo suostumusta antaessaan muun muassa kohdennettava yksilöity suostumus tiettyihin luovutettaviin tietoihin. Valiokunta pitää tätä perusteltuna, koska tiedoilla on tällöin eri käyttötarkoitus ja myös luovutettavien tietojen tarve on sisällöllisesti ja määrällisesti näin ollen huomattavasti vähäisempi kuin toimialan sisällä.  

Sekä luovutuslupa että suostumus edellyttävät riittävää informaatiota. Ehdotettu asiakastietolain 16 § sisältää säännökset asiakkaan informoinnista, johon suojatoimena toimivan luovutusluvan on perustuttava. Luovutusperusteena toimivaan suostumukseen liittyvästä informointivelvoitteesta säädetään tietosuoja-asetuksessa.  

Valiokunnan ehdottaman asiakastietolain 20 §:n 1 momentin ja 21 §:n 1 momentin mukainen henkilötietojen luovutus perustuu käsiteltävänä olevaan asiakastietolakiin rajoittaen perustuslain 10 §:n mukaisia yksityisyyden suojaan liittyviä perusoikeuksia ja -vapauksia. Lakiehdotuksessa ei kuitenkaan rajoiteta tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia. Tietosuoja-asetuksen 23 artiklan 1 kohdan (e) alakohdan mukaisesti perusoikeuksia ja -vapauksia voidaan rajoittaa muun muassa silloin, kun tavoitteena on taata kansanterveys ja sosiaaliturva. Asiakas- ja potilastietojen valtakunnallinen saatavuus valtakunnallisten tietojärjestelmäpalvelujen välityksellä on perusteltua ehdotetun lain nojalla kansanterveyttä ja sosiaaliturvaa edistävien terveyspalvelujen sekä sosiaalipalvelujen järjestämiseksi ja toteuttamiseksi.  

EU:n yleisen tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin  

  • käsittelytarkoitusta tai käsittelyn ryhmiä; 
  • henkilötietoryhmiä; 
  • käyttöön otettujen rajoitusten soveltamisalaa;  
  • suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen; 
  • rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;  
  • tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;  
  • rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja  
  • rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen. 

Asiakastietolakiehdotus (1. lakiehdotus) sisältää useita edellä mainittuja toimenpiteitä, joilla suojataan rekisteröityjen oikeuksia ja jotka koskevat myös 20 §:n 1 momentissa ja 21 §:n 1 momentissa tarkoitettuja luovutuksia, joiden edellytykseksi valiokunta ehdottaa säädettäväksi luovutusluvan. Lakiehdotuksessa ja muussa voimassa olevassa sosiaali- ja terveydenhuollon tiedonhallinnan sääntelyssä on säännökset asiakas- ja potilastietojen käsittelyn tarkoituksesta palvelujen järjestämisen ja tuottamisen tarkoituksiin. Säännöksissä on rajattu ryhmät, joilla on oikeus käsitellä asiakas- ja potilastietoja. Lisäksi säännöksissä on eritelty eri käyttötarkoitusten johdosta sosiaalihuollon asiakastietoja ja terveydenhuollon potilastietoja koskevia säännöksiä sekä säädetty, että sosiaali- ja terveydenhuollossa on oikeus käsitellä vain välttämättömiä asiakas- ja potilastietoja. Lakiehdotuksessa säädetään käyttöoikeuksista asiakastietoihin siten, että käyttöoikeudet perustuvat ammattihenkilön tai muun asiakastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun. Asiakas voi antaa 20 §:n 1 momentin ja 21 §:n 1 momentin mukaiseen tietojensa luovuttamiseen luovutusluvan sekä rajata sitä kieltojen avulla. Kaikki asiakastietojen käsittelijät on tunnistettava luotettavasti, ja asiakastietojen käytöstä ja luovutuksesta kerätään lokitiedot. Luovutuksia koskevat tiedot näytetään kansalaisen käyttöliittymässä (Omakanta).  

Valtakunnallisten tietojärjestelmäpalvelujen toiminnan taustalla on painava, yksilön ja yhteiskunnan perusoikeuksien ydintä koskeva sosiaali- ja terveydenhuollon järjestämistä (PL 19 § oikeus sosiaaliturvaan) ja samalla yhteiskunnan turvallisuutta (PL 7 § oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen) varmistava merkittävä intressi. Tarpeellisen ja välttämättömän tiedon sujuvalla liikkumisella on lähes aina annettavan palvelun laadun ja joskus jopa hengen ja terveyden turvaamisen näkökulmasta keskeinen merkitys. Valiokunta pitää edellä tarkemmin todetuin perustein lakiperusteista luovutuslupaa toimialan sisäisessä luovutuksessa oikeasuhtaisena, kun siihen yhdistetään mahdollisuus luovutuskieltoihin. Keskeistä arvioinnissa on tietojen sama käyttötarkoitus, jonka johdosta tietojen tarve terveydenhuollon palvelunantajien kesken tai vastaavasti sosiaalihuollon palvelunantajien kesken on sekä sisällöllisesti että määrällisesti suurempi. Laajalla terveydenhuollon toimijoiden välisellä potilastietojen luovutuksella on lisäksi edellä todetulla tavoin potilaiden laaja hyväksyntä. 

Valiokunta toteaa lisäksi, että hallituksen esityksessä on (s. 48—49) arvioitu kriittisesti mallia, joka perustuisi EU:n tietosuoja-asetuksen mukaiseen suostumukseen. Arvioinnin kritiikki kohdistuu kuitenkin valiokunnan näkemyksen mukaan erityisesti toimialan sisäisen laajan suostumuksen muuttamiseen nimenomaiseksi yksilöidyksi EU:n tietosuoja-asetuksen mukaiseksi suostumukseksi. Hallituksen esityksessä toimialojen välinen suostumus on ehdotettu olevan yksilöity suostumus. Tämän taustalla ovat valiokunnan näkemyksen mukaan edellä esitetyt syyt. Toimialojen välisen suostumuksen toteuttamiseen esitetään sen toteuttamisen vaatiman ajan vuoksi myös siirtymäaikaa. 

Alaikäisen tietojen luovutuskielto

Hallituksen esityksen mukaisessa asiakastietolakiehdotuksen 18 §:ssä säädetään, että alaikäisen huoltajalla ei olisi oikeutta tehdä tietojen luovutusta koskevaa kieltoa alaikäisen huollettavansa puolesta. Pykälän yksityiskohtaisten perustelujen mukaan (s. 102) "Huoltajalla ei olisi oikeutta tehdä kieltoa alaikäisen huollettavansa puolesta. Tämä perustuu siihen, että potilaslain 9 §:n 4 momentin mukaan potilaan huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavaa tarpeellista hoitoa. Tätä periaatetta sovelletaan myös sosiaalihuollossa, jossa keskeinen periaate on lapsen edun huomioiminen. Terveydenhuollossa hoidostaan päättämään kykenevä lapsi voi tehdä kiellon itse." 

Valiokunta pitää esitettyä laajaa puhevallan rajoitusta ongelmallisena. Lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n mukaan lapsen huoltaja edustaa lain tarkoittamissa asioissa lasta ja käyttää niissä lapsen puhevaltaa. Tästä pääsäännöstä on tehty tarkoin määriteltyjä poikkeuksia, muun muassa sosiaalihuollossa lapsen puhevallan käytöstä ja edunvalvojan määräämisestä lapselle. Potilaan asemasta ja oikeuksista annetun lain (785/1992, jäljempänä potilaslaki) 9 §:n 4 momentin tarkoittama henkeä ja terveyttä uhkaava vaara ei valiokunnan näkemyksen mukaan perustele näin laajaa tietojen käsittelyä koskevaa huoltajan puhevallan rajoitusta. Esityksessä ehdotettu säännös ei siten ole kaikilta osin yhdenmukainen siviilioikeudessa ja voimassa olevassa sosiaali- ja terveydenhuollon lainsäädännössä nykyisin noudatettavien lapsen omaa ja vanhempien puhevaltaa koskevien oikeusperiaatteiden kanssa. 

Valiokunta ehdottaa, että säännöstä muutetaan vastaamaan esityksen perusteluja siten, että huoltajan tai muun laillisen edustajan oikeus tehdä tietojen luovutukseen kieltoja alaikäisen puolesta sallitaan muissa paitsi potilaslain 13 §:n 3 momentin 3 kohdan tarkoittamissa hätätilanteissa. Näin ollen alaikäisen huoltajan tai muun laillisen edustajan oikeutta rajataan siihen, mitä hallituksen esityksen perusteluissa esitetään. Tämä tarkoittaa, että huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää tietojen luovutusta silloin, kun on kyse alaikäisen potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavasta tarpeellisesta hoidosta. Aiemmin kirjatut potilastiedot voivat olla välttämättömiä potilaan hoidon järjestämiseksi ja toteuttamiseksi, minkä vuoksi on tarpeen varmistaa, että alaikäisen lapsen potilastiedot ovat saatavilla valtakunnallisista tietojärjestelmäpalveluista erityisesti hätätilanteissa ilman, että huoltaja tai muu laillinen edustaja voi tietojen luovutusta kieltää.  

Valtakunnallisiin tietojärjestelmäpalveluihin on jo toteutettu toiminnallisuus, jonka avulla henkilö voi erikseen sallia tai kieltää tietojensa luovuttamisen potilaslain 13 §:n 3 momentin 3 kohdan mukaisissa hätätilanteissa. Näin ollen myös nyt ehdotettu huoltajan kielto-oikeuden rajoitus voidaan toteuttaa valtakunnallisiin tietojärjestelmäpalveluihin poistamalla alaikäisen kohdalla huoltajan tai muun laillisen edustajan mahdollisuus valita, että kielto koskisi kyseisiä hätätilanteita. 

Oikeus tietojen poistamiseen ja käsittelyn vastustamiseen

Perustuslakivaliokunta toteaa (s. 4), että sosiaali- ja terveysvaliokunnan on syytä kiinnittää erityistä huomiota oikeudesta tietojen poistamiseen ja käsittelyn vastustamisesta tietosuoja-asetuksessa säädettyyn. 

Sosiaali- ja terveysvaliokunta toteaa, että ehdotetussa asiakastietolaissa ei esitetä rekisteröityjen oikeuksien rajoittamista. Tietosuoja-asetuksen mukaiset rekisteröityjen oikeudet ovat erilaiset riippuen siitä, mistä käsittelyn oikeusperustasta on kyse. 

Tietosuoja-asetuksen 17 artiklan 3 (b) ja (c) alakohtien mukaan oikeutta poistaa omia tietoja ei ole, jos käsittely on tarpeen rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten tai kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan (h) ja (i) alakohdan sekä 9 artiklan 3 kohdan mukaisesti. Asiakastietolain mukaista tietojen käsittelyä koskevat edellä mainitut tietosuoja-asetuksen 17 artiklan kohdat. 

Asiakas- ja potilastietojen säilyttäminen Kanta-palveluissa ja lainsäädännön mukaiset säilytysajat turvaavat valiokunnan näkemyksen mukaan sekä ammattihenkilöiden että sosiaali- ja terveydenhuollon asiakkaiden oikeuksia ja etuja. Pahimmillaan poistamisoikeus estäisi asiakkaiden ja ammattihenkilöiden oikeuksien toteutumisen ja vaarantaisi potilasturvallisuuden. Tietoja voidaan tarvita myös vahinkotilanteiden selvittämiseen. Esimerkiksi epäillystä potilasvahingosta on mahdollisuus ilmoittaa jopa 10 vuotta sen jälkeen, kun vahinko olisi pitänyt huomata. Tietojen poistamismahdollisuus vaarantaisi tällaisissa tilanteissa sekä asiakkaan että ammattihenkilön oikeusturvaa. 

Tietosuoja-asetuksen 21 artiklan mukaisen vastustamisoikeuden osalta valiokunta toteaa, että asiakastietolain käsittelyn oikeusperusta on tietosuoja-asetuksen 6 artiklan 1 (c) alakohta ja 9 artiklan 2 (h) alakohta, jotka eivät siis luo rekisteröidylle vastustamisoikeutta. Asiakastietolakiin valittu käsittelyn oikeusperusta ei sulje pois muita oleellisia rekisteröidyn oikeuksia, kuten oikeutta pyytää käsittelyn rajoittamista, virheellisen tai vanhentuneen tiedon poistamista tai oikaisemista.  

Asiakkaan tiedonsaantioikeus tietojensa käsittelystä

Valiokunta toteaa, että asiakkaan oikeus lokitietoihin on keskeinen oikeus, jonka avulla asiakas voi arvioida, onko hänen tietojaan käsitelty laillisesti ja asianmukaisesti. Lokitietoja koskevan tiedonsaantioikeuden perusteella asiakas voi tarvittaessa ryhtyä toimenpiteisiin, jos hän epäilee, että hänen tietojaan on käsitelty lainvastaisesti taikka muutoin epäasianmukaisesti. Ilman tätä oikeutta asiakkaan mahdollisuudet varmistua tietojensa asianmukaisesta käsittelystä olisivat käytännössä vähäiset. 

Asiakkaalla on oikeus lokitietoihin jo voimassa olevan asiakastietolain 18 §:n nojalla. Oikeus lokitietoihin sisältyy ehdotetun asiakastietolain 26 §:ään. Sen mukaan asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tiedonhallintapalvelun, tahdonilmaisupalvelun, reseptikeskuksen ja omatietovarannon lokitiedot, käytettyjen tai luovutettujen asiakas- ja hyvinvointitietojen lokitiedot sekä tiedot käyttö- ja luovutusajankohdasta siltä osin kuin tiedot kuuluvat Kansaneläkelaitoksen rekisterinpitoon. 

Pykälän 4 momentissa ehdotetaan säädettäväksi tietosuojavaltuutetulle uusi tehtävä, jonka mukaan asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain (1050/2018) 21 §:n 1 momentin mukaisesti. Jos palvelunantaja tai Kansaneläkelaitos katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös.  

Tietosuojavaltuutetun tehtäviin ei nykyisen sääntelyn mukaan kuulu ehdotetun asiakastietolain 18 §:n kaltaista tiedonsaantioikeuden toteutumisen arviointia. Tietosuojavaltuutettu ei ole arvioinut myöskään muissa yhteyksissä asiakkaan oikeutta saada lokitietoja. Tietosuojavaltuutettu on lausunnossaan katsonut, että esityksellä olisi uuden tehtävän myötä merkittävästi tietosuojavaltuutetun tehtäviä lisäävä vaikutus sosiaali- ja terveydenhuollon toimialalla. 

Käytännössä on ollut myös jossain määrin epäselvää, mistä haetaan muutosta, kun yksityinen toimija kieltäytyy antamasta lokitietoja, koska nykyinen asiakastietolaki ei sisällä säännöstä muutoksenhausta. Oikeus saada lokitietoja perustuu yleisesti viranomaistoimijoiden kohdalla julkisuuslakiin.  

Sosiaali- ja terveysministeriö on arvioinut tarvittavia lisäresursseja hallinto-oikeuksien ratkaisujen perusteella. Ministeriöltä saadun selvityksen mukaan eräissä hallinto-oikeuksissa on ollut lokitietojen antamatta jättämiseen liittyviä tapauksia vain muutamia useamman vuoden ajanjaksolla ja joissain hallinto-oikeuksissa tapauksia ei ole ollut. Palvelunantajista Helsingin sosiaali- ja terveysvirastossa sekä Helsingin ja Uudenmaan sairaanhoitopiirissä tapauksia on ollut enintään yksi vuodessa. Määrä on siten ollut vähäinen. 

Valiokunta pitää tärkeänä, että lokitietoja koskevat oikeusturvakeinot ovat selkeät ja riittävän kattavat, joten ehdotettu säännös on perusteltu. Valiokunta pitää asiakkaan oikeusturvan toteutumisen kannalta merkityksellisenä myös sitä, että ehdotettu lokitietojen saamatta jäämistä koskeva oikeusturvamenettely on ilmainen. Samalla valiokunta kuitenkin toteaa, että käsittelymäärien voidaan tästä syystä arvioida kasvavan. Lisäksi yksityistä sektoria koskevat asiat ovat jääneet hallinto-oikeuksien ulkopuolelle, mikä kasvattaa jatkossa tapausten määrää. Lisäresursseja vaatii myös tähän liittyvä neuvonta- ja ohjaustehtävä. 

Valiokunta pitää välttämättömänä tietosuojavaltuutetun toimiston riittävän resursoinnin varmistamista. Asiakkaiden oikeusturva ei voi toteutua, jos sitä koskeviin menettelyihin ei ole tosiasiassa riittäviä resursseja. Valiokunta painottaa, että valtioneuvoston tulee seurata tarkoin käsittelyn aiheuttamia henkilöresurssitarpeita ja tarvittaessa ryhtyä toimenpiteisiin voimavarojen turvaamiseksi.  

Asiakkaiden informointi

Esityksen 16 §:n mukaan palvelunantajan on informoitava asiakasta valtakunnallisista tietojärjestelmäpalveluista, niiden toimintaperiaatteista ja valtakunnallisiin tietojärjestelmäpalveluihin liittyvistä asiakkaan oikeuksista. Valtakunnallisia tietojärjestelmäpalveluja koskevan informoinnin tietosisällöstä vastaa lakiehdotuksen mukaisesti Terveyden ja hyvinvoinnin laitos. Kansaneläkelaitos vastaa informointimateriaaleista. Informoinnin tiedot on annettava viimeistään henkilön ensimmäisen asioinnin yhteydessä. 

Valiokunta pitää lakisääteistä informointivelvoitetta tärkeänä. Riittävällä, ymmärrettävällä ja oikea-aikaisella informaatiolla on keskeinen merkitys yhtäältä asiakkaan yksityisyyteen liittyvän oikeusturvan sekä toisaalta hänen sosiaali- ja terveyspalvelujen saatavuuteen sekä laatuun liittyvien oikeuksiensa toteutumisen kannalta. 

Valiokunta painottaa, että informoinnissa on huomioitava erityisryhmät. Sosiaali- ja terveydenhuollossa on asiakkaina myös haavoittuvassa asemassa olevia henkilöitä, joiden kyky omaksua tietoa saattaa olla alentunut. Tällöin korostuu velvollisuus antaa informaatiota asiakkaan ymmärtämällä ja hänen olosuhteensa huomioon ottavalla saavutettavalla tavalla. Informaatiota on oltava saatavilla lainsäädännön velvoittamilla kielillä sekä käyttämällä eri informaatiokeinoja.  

Valiokunta korostaa myös alaikäisille asiakkaille annettavan riittävän selkeän tiedon merkitystä, jotta alaikäisen oikeudet voivat tietojen käsittelyssä toteutua siten kuin ne on lainsäädännössä turvattu. Alaikäisen oikeudet ovat kiinteästi kytköksissä yhtäältä hänen asemaansa asiakkaana tai potilaana sekä toisaalta suhteessa hänen huoltajaansa tai muuhun lailliseen edustajaansa. Alaikäiselle itselleen sekä huoltajalle on annettava riittävä ja selkeä informaatio tietojen käsittelystä sekä heidän oikeuksistaan. 

Tietojärjestelmien ja hyvinvointisovellusten vaatimukset

Asiakastietolakiehdotuksen 29 §:ssä ehdotetaan säädettäväksi tietojärjestelmien luokituksesta. Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat muun muassa Kansaneläkelaitoksen itse ylläpitämät valtakunnalliset tietojärjestelmäpalvelut sekä tietojärjestelmät ja hyvinvointisovellukset, jotka käsittelevät asiakastietoja ja jotka on tarkoitettu liitettäväksi Kanta-palveluihin. A-luokkaan kuuluviksi katsotaan myös ne välityspalvelut, joita käytetään terveydenhuollon alueellisessa tai paikallisessa tietojärjestelmässä olevien tietojen siirtämiseksi Kanta-palveluihin.  

Luokan B tietojärjestelmät ovat sellaisia, jotka eivät ole suoraan tai välityspalvelun kautta yhteydessä valtakunnallisiin tietojärjestelmäpalveluihin. Esimerkiksi laboratoriojärjestelmä, jonka tuottamat tiedot tallennetaan potilastietojärjestelmässä oleviin potilastietoihin, on luokan B järjestelmä, vaikka potilastietojärjestelmä tallentaa laboratoriovastauksen tiedot myöhemmin edelleen Kanta-palvelujen arkistointipalveluun. 

Terveyden ja hyvinvoinnin laitos voi esityksen 29 §:n 4 momentin mukaan antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. 

Asiakastietolakiehdotuksen 35 §:ssä säädetään menettelystä, jolla tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan olisi osoitettava, että tietojärjestelmä tai hyvinvointisovellus täyttää olennaiset vaatimukset.  

Valiokunta kannattaa menettelyä, jossa kaikilla sähköisillä tietojärjestelmillä asiakastietoja käsittelevillä palvelunantajilla on oltava luokkaan A kuuluva tietojärjestelmä, jolla ne liittyvät valtakunnallisiin tietojärjestelmäpalveluihin. Esitetty asiakastietolaki laajentaa yksityisten palvelunantajien liittymisvelvoitetta. Valiokunta pitää myönteisenä, että samalla laajenee myös A-luokkaan kuuluvien tietojärjestelmien joukko. Koska näiden tietojärjestelmien tulee läpäistä Kanta-palveluiden yhteentoimivuuden lisäksi tietoturvallisuuden arviointilaitoksen suorittama tietoturvallisuuden arviointi, vähentää uudistus yksittäisten toimijoiden asiakastietojärjestelmien haavoittuvuutta. Valiokunta toteaa, että samalla korostuu kuitenkin velvoite huolehtia Kanta-palvelujen tietoturvan tasosta.  

Valiokunta pitää valvonnan näkökulmasta tärkeänä, että luokkaan B kuuluvien tietojärjestelmien vaatimustenmukaisuuden osoittamiseksi annettavasta tuottajan selvityksestä annetaan laissa säädettyä tarkemmat määräykset. Tähän saakka tarkentavat määräykset ovat valiokunnan saaman selvityksen mukaan koskeneet pääosin A-luokan järjestelmiä. Valiokunta toteaa, että olennaisia vaatimuksia on jatkossa esityksen mahdollistamalla tavalla tarpeen kohdistaa yhteentoimivuuden ja tietoturvallisuuden varmistamiseksi myös luokan B tietojärjestelmiin.  

Säilytysajat

Perustuslakivaliokunnan mukaan arkaluonteisiin henkilötietoihin kohdistuva lailla säätämisen vaatimus kohdistuu myös säilytysaikoihin (PeVL 14/2018 vp, s. 2 ja 6). Perustuslakivaliokunta toteaa, että sääntelyä on täydennettävä. 

Sosiaali- ja terveysvaliokunta toteaa, että voimassa oleva asiakastietolaki ja uusi lakiehdotus eivät sisällä valtakunnallisiin tietojärjestelmäpalveluihin liittyvää säilytysaikasääntelyä. Potilasasiakirjojen säilytysaikoja koskevan sääntelyn perusta on potilaslain 12 §:ssä. Potilasasiakirjojen säilytysaikojen tarkempi sääntely on sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista. Sosiaalihuollon asiakasasiakirjojen säilytysajoista säädetään sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 27 §:ssä sekä lain liitteessä. Säädetyt säilytysajat koskevat myös valtakunnallisiin tietojärjestelmäpalveluihin tallennettavia tietoja. 

Valiokunnan saaman selvityksen mukaan tarkoituksena on valmisteilla olevan kokonaisuudistuksen yhteydessä saattaa potilasasiakirjojen säilytystä koskeva tarkempi sääntely tarpeellisilta osin laintasoiseksi. Samalla kyseinen sääntely myös päivitetään sisällöllisesti. Ministeriössä on tätä varten käynnistetty vuoden 2021 lokakuun loppuun mennessä toteutettava arvonmääritys eli selvitys erilaisten asiakirjojen välttämättömyydestä tai tarpeellisuudesta potilaiden terveyden- ja sairaanhoidon järjestämisen sekä tuottamisen kannalta.  

Valiokunta toteaa, että säilytysaikoja koskeva sääntely ei nykysäännösten valossa kuulu nyt ehdotettuun asiakastietolakiin, koska säilytysaikoja koskevan sääntelyn perusta on muussa lainsäädännössä. Säännökset koskevat sekä sähköisiä tietoja että paperisia asiakirjoja. Valiokunta toteaa, että säilytysaikoja on syytä tarkastella kokonaisuutena riippumatta siitä, missä muodossa aineisto on. Näin ollen valiokunta pitää tarkoituksenmukaisena, että säilytysaikoja koskeva sääntely uudistetaan edellä todetun kokonaisuudistuksen yhteydessä. Valiokunta kuitenkin ehdottaa, että asiakastietolain 8 §:ään lisätään tässä vaiheessa lain eheyden ja informatiivisuuden vuoksi viittaussäännös säilytysaikoja koskevaan sääntelyyn.  

Esityksen taloudelliset vaikutukset

Valiokunnan kuulemisissa on nostettu esiin esityksen osin puutteellinen vaikutusten arviointi. Saatujen lausuntojen perusteella kustannuksia arvioidaan aiheutuvan sekä viranomaistoiminnoille että sosiaali- ja terveyspalvelujen antajille toiminnallisesta muutoksesta ja teknisistä investoinneista. Ehdotuksen mukaisten muutosten tekemisen kustannuksia erityisesti palvelunantajien asiakas- ja potilastietojärjestelmiin ei esityksessä ole kuitenkaan tarkemmin yksilöity tai arvioitu. Myös henkilöstön koulutuksesta ja toimeenpanon tuesta todetaan aiheutuvan kustannuksia.  

Kuulemisissa on tuotu toisaalta esiin myös esitykseen liittyvät kustannushyödyt. Etenkin aluksi on kustannusten kasvun riski kuitenkin merkittävä tarvittavien investointien vuoksi.  

Valiokunta toteaa, että Kansaneläkelaitoksen ylläpitämien Kanta-palvelujen riittävä rahoitus tulee turvata rahoitusmallilla, joka tukee laajan ja edelleen kasvavan järjestelmäkokonaisuuden kehittämistä pitkäjänteisesti, suunnitelmallisesti ja läpinäkyvästi. 

Terveyden ja hyvinvoinnin laitos arvioi esityksen lisäävän ja laajentavan tehtäviä nykyisestä. Lisäresurssitarpeen arvioidaan olevan vuosittain 600 000 euroa. 

Myös Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira toteaa sen nykyisten henkilöresurssien olevan esityksen myötä laajentuviin tehtäviin riittämätön.  

Tietosuojavaltuutetun voimavarojen riittävyyden seurantatarpeesta on todettu edellä. 

Valiokunta korostaa, että riittävä resursointi on tietojärjestelmien toimivuuden sekä niiden uskottavan ja vaikuttavan valvonnan toteutuksen edellytys.  

Valiokunta toteaa, että yksityisinä sosiaalipalvelujen tuottajina on paljon pieniä palveluntuottajia, joiden antamat sosiaalipalvelut ovat merkittävä osa palvelujärjestelmää. Lakiuudistuksella ei saa vaarantaa pienten palveluntuottajien olemassaoloa ja toimintaedellytyksiä. Olennaista valiokunnan näkemyksen mukaan on, että valtakunnallisiin tietojärjestelmäpalveluihin liittyminen tehdään mahdollisimman helpoksi ja edulliseksi. 

Toimeenpanon aikataulu

Valiokunnan kuulemisissa on tuotu esiin huoli ehdotetun asiakastietolain toimeenpanon liian kireästä aikataulusta. Valiokunta ehdottaa jäljempänä siirtymäsäännöksiin muutoksia, jotka perustuvat sosiaali- ja terveysministeriöltä saatuun selvitykseen. Valiokunta kuitenkin painottaa, että ministeriön on seurattava uudistusten toimeenpanon toteutusta sekä arvioitava ja esitettävä oikea-aikaisesti mahdollisia muutostarpeita siirtymäaikoihin. Lisäksi tulee toimeenpanon yhteydessä huolehtia säännösten kohteena olevien tahojen sekä kansalaisten informoinnista ja yleisestä viestinnästä sekä tietojärjestelmien toiminnallisuuksien muutoksiin liittyvästä sosiaali- ja terveydenhuollon henkilöstön kouluttamisesta.  

Lopuksi

Valiokunta kiinnittää vakavaa huomiota siihen, että hallituksen esitykseen on ollut tarpeen tehdä lukuisia muutoksia eduskuntakäsittelyn aikana sekä perustuslakivaliokunnan lausunnon että sosiaali- ja terveysvaliokunnan kuulemisten johdosta. Eduskuntavaiheen käsittely ei vaivatta sovellu laajojen muutosten tekemiseen. Lakiehdotusten tulee perustua eduskunnassa riittävän kattaviin perusteluihin ja vaikutusarviointeihin sekä julkiseen ja kaikkien saatavilla olevaan ehdotukseen, jotta turvataan lainsäädännön läpinäkyvyys ja laatu. Eduskuntavaiheen runsaiden muutosten myötä myös lain esitöiden kokonaisuudesta muodostuu vaikeasti hahmottuva, mikä on omiaan tekemään lain soveltamisesta vaivalloista. 

Valiokunta toteaa myös, että vaikka esityksellä selkeytetään asiakastietojen sähköistä käsittelyä koskevaa sääntelyä, jää sosiaali- ja terveydenhuollon tietosuojaa sekä tiedonhallintaa koskeva lainsäädäntökokonaisuus edelleen pirstaleiseksi, vaikeaselkoiseksi ja osin puutteelliseksi. Sääntely jakautuu useisiin eri lakeihin ja asetuksiin eikä sääntely kaikilta osin vastaa EU:n yleisen tietosuoja-asetuksen edellytyksiä. Kyseinen sääntely on myös osin vanhentunutta ja ristiriitaista, jolloin monen eri lain samanaikainen soveltaminen ja yhteensovittaminen on käytännössä haasteellista. Valiokunnan käsittelyssä on noussut esiin eri esitysten yhteydessä myös asiakas- ja potilastietojen käsittelyä koskevien lakien osin epäselvä suhde toisiinsa. Erityisesti sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain suhde muuhun sääntelyyn on osoittautunut haasteelliseksi, minkä johdosta valiokunta painottaa tämän niin sanotun toisiolain päivittämisen tarvetta. 

Valiokunnan saaman selvityksen mukaan sosiaali- ja terveysministeriössä on käynnistetty sosiaali- ja terveydenhuollon tiedonhallintasäädösten kokonaisuudistus, jonka yhteydessä kyseisiä puutteita on tarkoitus korjata. Kokonaisuudistus on laaja hanke, joten se vaiheistetaan useamman hallituskauden ajalle. Ensimmäisen vaiheen hallituksen esitys on selvityksen mukaan tavoitteena saada eduskunnan käsiteltäväksi vielä tämän hallituskauden aikana.  

Valiokunta painottaa tarvetta uudistaa sosiaali- ja terveydenhuollon tietojen käsittelyn säädöspohjaa siten, että se muodostaa selkeän ja yhdenmukaisen sekä kattavan kokonaisuuden, joka vastaa Euroopan perusoikeuskirjan, perustuslain ja Euroopan yleisen tietosuoja-asetuksen vaatimuksia sekä tukee sosiaali- ja terveydenhuollon palvelujärjestelmää sekä sosiaali- ja terveydenhuollon integraatiota. Sääntelyä tulee yhtenäistää ja selkiyttää siten, että henkilötietojen käsittely ja rekisteröityjen oikeudet ilmenevät niistä ymmärrettävästi ja yksiselitteisesti. Myös eri lakien suhde toisiinsa on välttämätöntä selkiyttää siten, että ei jää epäselvyyttä siitä, mitä lakia kulloinkin sovelletaan. Valiokunta ehdottaa asiasta lausumaa. (Valiokunnan lausumaehdotus

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

3 §. Määritelmät.

Pykälän 11 kohdan viittaussäännös ehdotetaan korjattavaksi viittaamaan 16 kohdan sijaan 12 kohdan omatietovarantoon. Koska 20 §:n 1 momenttiin ja 21 §:n 1 momenttiin lisätään edellytys luovutusluvasta, lisätään 3 pykälän 16 kohtaan tahdonilmaisupalvelussa ylläpidettäväksi asiakirjaksi myös luovutuslupa. 

4 §. Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpitäjä.

Valiokunta ehdottaa, että pykälän 1 momenttia selkeytetään siten, että siitä poistetaan epäselvyyden ja harhaanjohtavuuden vuoksi maininta siitä, että omatietovarantoon tallennetut hyvinvointitiedot eivät kuulu Kansaneläkelaitoksen rekisterinpitoon. Kyseinen säännös on ristiriidassa momentin ensimmäisen virkkeen kanssa, jonka mukaan Kansaneläkelaitos on omatietovarannon rekisterinpitäjä. Valiokunta ehdottaa lisäksi 1 momenttia täsmennettäväksi siten, ettei Kansaneläkelaitoksella olisi oikeutta luovuttaa omatietovarantoon tallennettuja tietoja muihin kuin asiakastietolain 13 §:n 2 momentissa tarkoitettuihin käyttötarkoituksiin. Toisin sanoen omatietovarantoon tallennettuja henkilötietoja voi käyttää vain henkilön suostumuksella ainoastaan sosiaali- ja terveyspalvelujen järjestämiseksi ja tuottamiseksi, ei muihin käyttötarkoituksiin kuten esimerkiksi tieteelliseen tutkimukseen.  

8 §. Valtakunnalliseen arkistointipalveluun tallennettavat asiakirjat.

Hallituksen esityksen perustelujen mukaan (s. 88) ehdotettu 8 §:n 3 momentti mahdollistaisi sen, että arkistopalveluun tallennettaisiin ensi vaiheessa ne asiakirjat, jotka ovat keskeisimpiä sosiaali- ja terveydenhuollon eri toimintojen ja tietojenvaihdon kannalta. Tällä mahdollistettaisiin myös sosiaalihuollon vaiheittainen liittyminen valtakunnallisiin tietojärjestelmäpalveluihin. 

Perustuslakivaliokunta ei ole katsonut tämänkaltaisten hallinnollisten toimenpiteiden aikatauluun liittyvien syiden täyttävän perustuslain 79 §:n 3 momentissa tarkoitetun erityisen syyn vaatimusta (ks. myös PeVL 3/2019 vp, s. 2—3). Tällaiset toimet ovat tavanomaisia lainsäädännössä, ja tarvittava aika niille voidaan varata päätettäessä lain voimaantuloajankohdasta lakia vahvistettaessa (PeVL 11/2014 vp, s. 7/II, PeVL 4/2014 vp, s. 5/II, PeVL 7/2005 vp, s. 11—12). Hallituksen esityksen 1. lakiehdotuksen 8 §:n 3 momenttia on perustuslakivaliokunnan mukaan muutettava, jotta lakiehdotus voidaan näiltä osin käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 4/2021 vp, s. 13). 

Sosiaali- ja terveysvaliokunta ehdottaa, että 3 momenttia muutetaan siten, että hallituksen esityksessä ehdotetun 3 momentin säännökset poistetaan ja säännökset valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen määräajoista lisätään siirtymäsäännöksiä koskevaan 52 §:ään. Valiokunta ehdottaa, että 8 §:n 3 momenttiin lisätään perustuslakivaliokunnan lausunnon johdosta edellä yleisperusteluista ilmenevistä syistä viittaussäännökset potilaslain 12 §:n sekä sosiaalihuollon asiakasasiakirjalain 27 §:n säilytysaikaa koskeviin säännöksiin. 

12 §. Tahdonilmaisupalvelu.

Pykälän 1 momenttiin lisätään tahdonilmaisupalveluun tallennettavana tietona tieto henkilölle annetuista luovutusluvista. 

18 §. Luovutuslupa, suostumus ja kielto.

Pykälään ehdotetaan perustuslakivaliokunnan lausunnon johdosta edellä yleisperusteluissa ilmenevistä syistä lisättäväksi uudet luovutuslupaa ja suostumusta koskevat 1—3 momentit. 

Uudessa 1 momentissa säädetään luovutusluvan ja suostumuksen antamistavasta valtakunnallisten tietojärjestelmäpalvelujen välityksellä. 

Uudessa 2 momentissa säädetään luovutuslupaan liittyvästä informointivelvollisuudesta, vapaaehtoisuudesta, voimassaolosta sekä oikeudesta peruuttaa luovutuslupa. Koska 20 §:n 2 momentin ja 21 §:n 2 momentin tarkoittama suostumus on EU:n yleisessä tietosuoja-asetuksessa tarkoitettu suostumus, viitataan suostumusten osalta tietosuoja-asetukseen. 

Uudessa 3 momentissa säädetään laillisen edustajan oikeudesta antaa luovutuslupa tai suostumus, jos asiakkaalla ei ole edellytyksiä arvioida niiden merkitystä.  

Hallituksen esityksessä ehdotettu kielto-oikeutta koskeva 1 momentti siirtyy pykälän 4 momentiksi. Valiokunta ehdottaa muutettavaksi momenttiin sisältyvää huoltajan kielto-oikeutta koskevaa säännöstä edellä yleisperusteluissa esitetyistä syistä siten, että huoltajan oikeus tehdä kieltoja alaikäisen puolesta sallitaan muissa paitsi potilaslain 13 §:n 3 momentin 3 kohdan tarkoittamissa hätätilanteissa. Säännös ehdotetaan koskevan huoltajan lisäksi muuta laillista edustajaa, jos tämä käyttää puhevaltaa alaikäisen puolesta huoltajan sijaan. Näin ollen alaikäisen huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavaa tarpeellista hoitoa.  

Esityksessä ehdotettu 2 momentti siirtyy 5 momentiksi. Valiokunta toteaa, että kyseinen momentti on ristiriidassa hallituksen esityksen perustelujen kanssa siltä osin, että perusteluissa todetaan (s. 102), että kiellon voisi kohdentaa sosiaali- ja terveydenhuollon rekisterinpitäjään. Pykälästä tämä ei kuitenkaan ilmene. Valiokunta ehdottaa säännöstä tältä osin täydennettäväksi ja samalla momentin säännösten järjestystä muutettavaksi kiellon kohteena olevien kokonaisuuksien laajuuden mukaisesti johdonmukaisempaan järjestykseen. 

Esityksessä ehdotettu 3 momentti siirtyy 6 momentiksi. Valiokunta ehdottaa, että momenttiin lisätään asiakkaan lisäksi potilas, koska tahdonilmaisut kohdistuvat erikseen sosiaalihuollon asiakastietoihin ja terveydenhuollon potilastietoihin.  

Esityksessä ehdotettu 4 momentti siirtyy 7 momentiksi. Esityksen mukainen kieltoa koskeva pykälä ei sisällä säännöksiä kiellon perusteena olevasta informointivelvoitteesta tai kiellon vapaaehtoisuudesta. Valiokunta ehdottaa, että kiellon voimassaoloa ja peruutusta koskevaa momenttia tältä osin täydennetään. 

Edellä mainittujen muutosten johdosta myös pykälän otsikkoa ehdotetaan muutettavaksi koskemaan luovutuslupaa, suostumusta ja kieltoa.  

19 §. Luovutusluvan, suostumuksen ja kiellon antaminen ja peruuttaminen.

Perustuslakivaliokunnan lausunnon johdosta lain 20 §:n 1 momenttiin ja 21 §:n 1 momenttiin ehdotetaan lisättäväksi luovutuksen edellytykseksi luovutuslupa. Kyseisen muutoksen johdosta myös 19 §:n 1—4 momenttien ehdotetaan koskevan kiellon antamisen lisäksi myös luovutusluvan ja suostumuksen antamista.  

Lisäksi pykälän 2 momenttiin ehdotetaan lisättävän maininta siitä, että luovutuslupa-asiakirja, suostumusasiakirja ja kieltoasiakirja tulee tarvittaessa antaa vaihtoehtoisesti muulla saavutettavalla tavalla. Valiokunta pitää lisäystä tärkeänä, jotta kyseisten asiakirjojen tiedot ovat yhdenvertaisesti saavutettavissa erilaisista asiakkaan toimintarajoitteista riippumatta.  

Pykälän 3 momentin säännöksiä täydennetään koskemaan myös luovutuslupa- ja suostumusasiakirjoja. 

Pykälän otsikkoa muutetaan siten, että myös siinä mainitaan luovutuslupa ja suostumus.  

20 §. Potilastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla.

Valiokunta ehdottaa, että perustuslakivaliokunnan lausunnon johdosta edellä yleisperusteluissa todetuin perustein pykälän 1 momenttiin lisätään, ettei potilastietoja saa luovuttaa ilman potilaan antamaa luovutuslupaa tai potilaslain 13 §:n 3 momentin 3 kohdassa tai muussa luovutukseen oikeuttavassa laissa säädettyä perustetta. Valiokunta ehdottaa, että potilaan antamasta tahdonilmaisusta käytetään 1 momentissa ilmaisua luovutuslupa, koska se ei näissä luovutuksissa ole EU:n tietosuoja-asetuksen mukainen käsittelyperuste, vaan edellä yleisperusteluissa kuvattu luovutuksen ehdoksi asetettava suojatoimi. Toisin kuin EU:n tietosuoja-asetuksen tarkoittama tarkkarajainen, nimenomainen ja yksilöity suostumus, luovutuslupa voidaan antaa siten kuin nykyisin Kanta-palvelussa käytössä oleva niin sanottu laaja suostumus annetaan. 

Pykälän 2 momenttiin lisätään selvyyden vuoksi viitaussäännös tietosuoja-asetuksen 7 artiklaan. 

21 §. Sosiaalihuollon asiakastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla.

Valiokunta ehdottaa, että pykälään tehdään vastaavat muutokset kuin edellä 21 §:ään lukuun ottamatta viittausta potilaslakiin, joka liittyy potilastietojen luovutukseen. 

24 §. Kansalaisen käyttöliittymä ja sen välityksellä näytettävät asiakastiedot ja tahdonilmaisut.

Pykälän 2 momentissa säädetään, että henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja. Valiokunta toteaa, että käyttöliittymän kautta tulee kuitenkin olla mahdollista näyttää henkilön puolesta asioineen henkilön nimi. Valiokunta ehdottaa, että pykälään lisätään tätä koskeva uusi 3 momentti. 

25 §. Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta.

Pykälän 4 momentin sääntely jättää epäselväksi sen, mitä organisaation tulee tallentaa lokirekisterin säilytyspalveluun. Valiokunta ehdottaa momenttia muutettavaksi siten, että asiakasrekisteritietojen sijaan säädetään asiakasasiakirjojen luovuttamista koskevista lokitiedoista.  

34 §. Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset.

Viranomaisen hyväksymän sovelluksen on oltava julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta annetun Euroopan parlamentin ja neuvoston direktiivin (2016/2102) mukainen. Tämän niin sanotun saavutettavuusdirektiivin toimeenpanon edellyttämä sääntely sisältyy digitaalisten palvelujen tarjoamisesta annettuun lakiin (306/2019), mutta se koskee ainoastaan viranomaisen palveluja. Valiokunta ehdottaa, että pykälän 1 momenttiin lisätään vaatimus siitä, että hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. 

36 §. Yhteentoimivuuden testaaminen.

Pykälän tarkoittama yhteentoimivuuden testaus on tarkoituksenmukainen vain niissä luokan A järjestelmissä, jotka liittyvät valtakunnallisiin tietojärjestelmäpalveluihin. Valiokunta ehdottaa, että pykälän 3 momenttia täsmennetään siten, että erillistä yhteentoimivuuden testausta ei suoriteta valtakunnallisten tietojärjestelmäpalvelujen lisäksi myöskään niille A-luokan tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin. 

40 §. Tietojärjestelmien valvonta ja tarkastukset.

Valiokunta toteaa, että ehdotettu säännös ei vastaa perusteluja (s.  123), joiden mukaan tarkastukset voidaan tehdä myös ennalta ilmoittamatta ja valvontaviranomaisella on oikeus virka-apuun. Valiokunta ehdottaa, että kyseiset säännökset lisätään pykälän 2 momenttiin. 

43 §. Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön.

Pykälästä puuttuu viittaus rikosoikeudelliseen virkavastuuseen, eikä virkavastuukysymystä ole käsitelty myöskään säännöksen perusteluissa. Valiokunta toteaa, että selvyyden sekä rikosoikeudellisen laillisuusperiaatteen vuoksi ehdotettuun säännökseen on syytä lisätä säännös siitä, että asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä ja että vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). 

47 §. Maksut.

Valiokunta ehdottaa, että 1 momentin termi muutetaan kielellisesti yhdenmukaiseksi lakiehdotuksen muiden säännösten kanssa. 

48 §. Rangaistussäännökset.

Pykälän 1 momentin johdantolauseessa syyksiluettavuusvaatimuksen jälkeen oleva sana "rikkoo" ehdotetaan siirrettäväksi momentin 1 kohdan tekotapatunnusmerkistön alkuun, johon se kiinteästi liittyy.  

Pykälän 1 momentin 2 kohdan tekotapatunnusmerkistöön sisältyvä ilmaisu "ilman asiakkaan suostumusta tai luovutuksen oikeuttavaa lain säännöstä" ehdotetaan muutettavaksi hallituksen esityksestä ilmenevien (s. 128) pykälän perustelujen mukaiseen muotoon "ilman asiakkaan suostumusta tai laissa säädettyä oikeutta" kuitenkin niin, että siihen lisätään myös luovutuslupa.  

Pykälän 1 momentin 3 kohdan vaarantamistunnusmerkissä mainitaan yksityisyyden suojan vaarantumisen ohella se, että menettely vaarantaa "muutoin hänen oikeuksiaan". Valiokunta ehdottaa ilmaisun poistamista, koska sen sisältö ei ole riittävän tarkkarajainen eikä sille anneta sisältöä esityksen perusteluissa. 

52 §. Siirtymäsäännökset.

Koska perustuslakivaliokunta on lausunnossaan edellyttänyt edellä todettua 20 §:n 1 momentissa ja 21 §:n 1 momentissa säädettävää luovutuslupaa tietojen luovutuksen ehdoksi, muuttuu hallituksen esityksessä ehdotetun kaikkiin asiakas- ja potilastietoihin kohdistettavan kiellon merkitys siten, että sitä ei ole välttämätöntä saada välittömästi käyttöön. Valiokunta ehdottaa, että pykälän 2 momenttiin lisätään kaikkiin asiakas- ja potilastietoihin kohdistettavalle kiellolle vastaava siirtymäaika, joka koskee työterveyshuollon tietoja. Siirtymäaika mahdollistaa valiokunnan saaman selvityksen mukaan sen, että kyseinen kaikki tiedot kattava kielto voidaan toteuttaa suoraan asiakas- ja potilastietojärjestelmiin ilman erillistä käyttöliittymää, mikä vähentää kustannuksia sekä sosiaali- ja terveydenhuollon palvelunantajien työtä kuitenkaan vaarantamatta asiakkaiden oikeuksia. 

Valiokunta ehdottaa, että riittävän siirtymäajan turvaamiseksi kaikkia siirtymäaikoja muutetaan suhteessa lain voimaantuloon. Pykälän 5 momentissa säädettyä siirtymäaikaa ehdotetaan saadun selvityksen perusteella pidennettävän noin kahteen vuoteen lain voimaantulosta. 

Pykälän 1 momentissa säädettyjä sosiaalihuollon liittymisaikatauluja ei kuitenkaan ehdoteta muutettavaksi, koska kyseiset siirtymäajat ovat sosiaali- ja terveysministeriöltä saadun selvityksen mukaan riittäviä. 

Viitaten edellä 8 §:n 3 momentin yksityiskohtaisiin perusteluihin valiokunta ehdottaa, että perustuslakivaliokunnan lausunnon johdosta siirtymäsäännöksiä koskevaan lain 52 §:ään lisätään uudet 8—13 momentit, joihin sisällytetään säännökset valtakunnallisiin tietojärjestelmäpalveluihin tallennettavien asiakirjojen määräajoista. Ehdotetut määräajat perustuvat sosiaali- ja terveysministeriöltä saatuun selvitykseen tarpeellisista siirtymäajoista. 

3. Laki sähköisestä lääkemääräyksestä annetun lain muuttamisesta

10 §. Lääkemääräyksen korjaaminen, lopettaminen, mitätöiminen ja uudistaminen.

Pykälään on hallituksen esityksessä ehdotettu lisättäväksi uusi 4 momentti, jonka mukaan lääkkeen määrääjän tulee tallentaa käytössä olevan lääkkeen käytön lopettamisesta merkintä reseptikeskukseen. Valiokunta ehdottaa, että myös pykälän 5 momentiksi siirtyvään momenttiin lisätään lääkemääräyksen lopettaminen. Kyseisessä momentissa säädetään velvollisuudesta liittää lääkemääräykseen perustelu toimenpiteelle, jos lääkemääräykseen tehdään korjaus, mitätöinti tai uudistamisen estäminen. Valiokunnan näkemyksen mukaan lääkemääräyksen lopettaminen on yhtä lailla hoitopäätös ja myös sillä voi olla vaikutusta lääkehoidon toteuttamiseen jatkossa. Näin ollen syy lopettamiselle tulee olla jäljitettävissä. 

11 §. Apteekin tiedonsaantioikeus.

Pykälän 1 momentissa käytetään termiä "allekirjoitettu suostumus", vaikka lain 12 §:ssä vastaava termi on hallituksen esityksessä ehdotettu muutettavan valtuutukseksi. Valiokunta ehdottaa, että myös pykälän 1 momenttia muutetaan vastaamaan tältä osin lain 12 §:ää. 

13 §. Potilaan oikeus määrätä tietojen luovutuksesta.

Pykälän 1 momenttiin ehdotetaan lisättäväksi lääkemääräyksen lopettaminen. Valiokunta pitää potilasturvallisuuden näkökulmasta perusteltuna, että säännöksessä mainitaan luovutettavana tietona myös lääkemääräyksien lopettamiset, koska niillä voi olla vaikutusta potilaan hoitoon. 

Pykälän kirjaukset sekä sen yksityiskohtaiset perustelut ovat hallituksen esityksessä keskenään ristiriitaiset. Lakiehdotuksessa nykyinen 2 momentti ehdotetaan kumottavaksi, kun taas perusteluissa (sekä liitteen rinnakkaisteksteissä) sitä ehdotetaan muutettavaksi. Selvyyden vuoksi valiokunta toteaa, että nykyinen 2 momentti kumotaan.  

Pykälän 2 momentiksi siirtyvässä nykyisessä 3 momentissa ei ole määritelty 1 momentin tapaan kiellon peruuttamista. Valiokunta ehdottaa säännöstä tältä osin täydennettäväksi.  

Myös pykälän 4 momentin 5 kohtaan ehdotetaan lisättäväksi luovutettavana tietona lääkemääräyksien lopettamiset, koska niillä voi olla vaikutusta potilaan hoitoon erityisesti, jos lääkemääräyksen lopettaminen on aiheutunut siitä, että lääke ei ole sopinut potilaalle tai se on aiheuttanut vaaraa hänen terveydelleen. 

Valiokunnan saaman selvityksen mukaan 5 kohdan uusi muotoilu tarkoittaisi olennaista muutosta reseptikohtaisen kiellon toimintaan potilaslain 8 §:n mukaisessa tilanteessa, jossa kiireellinen hoito on annettava ja potilas on tajuton tai muutoin sellaisessa tilassa, ettei kykene arvioimaan kiellon merkitystä ja vaikutuksia sekä sen mahdollista peruuttamista. Valiokunta ehdottaa kohdan säilyttämistä voimassa olevan lain muodossa, koska esitetyn muodon toteutus tarkoittaisi muutoksia kaikkiin potilastietojärjestelmiin ja olisi näin ollen mahdoton esitetyllä aikataululla. Reseptipalvelu ja Kanta-arkisto toimisi selvityksen mukaan vastaavalla tavalla nykyistä niin sanottua hätähakua käytettäessä. 

14 §. Kieltoasiakirja.

Valiokunta ehdottaa, että pykälän 1 momenttiin lisätään maininta siitä, että kieltoon on tehty poikkeus potilaslain 8 §:ssä tarkoitetun tilanteen varalle, koska näissä tilanteissa kyseiset tiedot tulee luovuttaa. 

16 a §. Tahdonilmaisupalvelu.

Valiokunta toteaa, että sosiaali- ja terveysministeriön mukaan hallituksen esityksessä pykälään on jäänyt epähuomiossa tiedonhallintapalvelua koskevia kohtia sekä pykälän otsikkoon että sanamuotoon. Tarkoituksena ei ole ollut esittää säädettäväksi, että tiedonhallintapalvelun kautta voitaisiin näyttää tiedot reseptikeskuksessa olevista lääkemääräyksistä ja niiden toimitustiedoista siinä laajuudessa kuin tämän lain 13 §:ssä säädetään. Pykälää ja sen otsikkoa ehdotetaan tältä osin muutettavaksi. 

17 §. Kansalaisen käyttöliittymä.

Valiokunnan näkemyksen mukaan potilaalle tulisi näyttää kansalaisen käyttöliittymän avulla myös tiedot lopetetuista lääkemääräyksistä. Pykälän 1 momenttiin ehdotetaan tehtäväksi kyseinen lisäys.  

Valiokunta ehdottaa lisäksi, että 1 momenttiin lisätään asiakastietolain 24 §:ään tehtyä lisäystä vastaava säännös siitä, että käyttöliittymän kautta annetaan potilaan puolesta asioineen henkilön nimi. 

24 §. Ohjaus, seuranta ja valvonta.

Pykälästä on hallituksen esityksessä ehdotettu poistettavaksi 4 momentti, koska siinä on esityksen perustelujen mukaan säädetty rekisterinpitäjän tehtävistä, joista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjien tehtäviä ei voi säätää kansallisesti EU:n tietosuoja-asetuksen kanssa, eikä rekisterinpitäjien tehtävien osalta ole kansallista liikkumavaraa. Valiokunta toteaa kuitenkin, että edellä todettu perustelu ei koske poistettavaksi ehdotetun 4 momentin loppuosaa, jossa säädetään siitä, että terveydenhuollon toimintayksiköllä, sosiaalihuollon toimintayksiköllä ja apteekilla on oikeus saada Kansaneläkelaitokselta seurannan ja valvonnan toteuttamiseksi lokitiedot siltä osin kuin asianomaisen toimintayksikön ja apteekin henkilökunta on katsellut ja käsitellyt reseptikeskuksessa olevia tietoja. Näin ollen nykysääntelyn mukaan mahdollisissa lokeihin liittyvissä ongelmatilanteissa on tähän asti voitu luottaa siihen, että Kansaneläkelaitokselta on saatavissa lokitiedot, jos apteekin tai palvelunantajan järjestelmien loki ei tuota riittäviä tietoja tai ole muusta syystä saavutettavissa. Kyseisen säännöksen poisto vie pois tämän mahdollisuuden. Valiokunta ehdottaa, että pykälään lisätään nykyisestä 4 momentista tätä koskeva säännös. Yhdenmukaisuuden vuoksi käytetään kuitenkin termiä sosiaali- ja terveydenhuollon palvelunantaja. 

Pykälän 4 momentiksi ehdotettu momentti siirtyy 5 momentiksi. Valiokunta ehdottaa, että siihen lisätään Kansaneläkelaitos, jotta velvollisuudet olisi kirjattu kaikille toimijoille yhtenevästi lukuun ottamatta tietosuojavastaavan nimeämistä, joka seuraa EU:n yleisen tietosuoja-asetuksen 37—39 artiklan sekä tietosuojalain (1050/2018) 6 §:n sääntelystä. 

9. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 55 §:n muuttamisesta

55 §. Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet.

Sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 55 §:n 5 momentissa säädetään potilaan oikeudesta kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kyseisen säännöksen mukaan kielto kirjataan asiakastietolaissa tarkoitettuun potilaan tiedonhallintapalveluun. Hallituksen esityksessä ei kuitenkaan esitetä kyseistä säännöstä muutettavaksi. Valiokunta ehdottaa, että mainittua momenttia muutetaan vastaamaan säännösviittausten osalta ehdotettua asiakastietolain sääntelyä.  

VALIOKUNNAN PÄÄTÖSEHDOTUS

Sosiaali- ja terveysvaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 212/2020 vp sisältyvät 2. ja 4.—6. ja 8. lakiehdotuksen. Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 212/2020 vp sisältyvät 1., 3. ja 7. lakiehdotuksen. (Valiokunnan muutosehdotukset) Eduskunta hyväksyy uuden, 9. lakiehdotuksen. (Valiokunnan uusi lakiehdotus) Eduskunta hyväksyy yhden lausuman. (Valiokunnan lausumaehdotus) 

Valiokunnan muutosehdotukset

1. Laki  sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 

Eduskunnan päätöksen mukaisesti säädetään: 
1 luku 
Yleiset säännökset 
1 § 
Lain tarkoitus 
Tämän lain tarkoituksena on edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Lain tarkoituksena on myös edistää asiakkaan tiedonsaantimahdollisuuksia asiakastietojensa käsittelystä. 
2 § 
Soveltamisala ja suhde muuhun lainsäädäntöön 
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679 (yleinen tietosuoja-asetus) jäljempänä tietosuoja-asetus täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sähköisesti terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä. 
Siltä osin kuin asiakastietojen käsittelystä ei säädetä tässä laissa, säädetään siitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki,  sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019), tietosuojalaissa, sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa(552/2019), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019), väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994). Kielellisistä oikeuksista asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä säädetään kielilaissa (423/2003). Terveydenhuollon laitteista säädetään terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010). 
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
1) asiakkaalla asiakaslaissa tarkoitettua sosiaalihuollon asiakasta sekä potilaslaissa tarkoitettua potilasta; 
2) asiakasasiakirjalla asiakaslaissa ja sosiaalihuollon asiakasasiakirjoista annetussa laissa (254/2015), jäljempänä asiakasasiakirjalaki, tarkoitettua sosiaalihuollon asiakasasiakirjaa sekä potilaslaissa tarkoitettua potilasasiakirjaa; 
3) sosiaalihuollon asiakastiedolla asiakasta koskevaa henkilötietoa, joka sisältyy asiakaslaissa ja asiakasasiakirjalaissa tarkoitettuun asiakirjaan; 
4) potilastiedolla potilasta koskevaa henkilötietoa, joka sisältyy potilaslaissa tarkoitettuun potilasasiakirjaan; 
5) asiakastiedolla 3 ja 4 kohdassa tarkoitettua sosiaalihuollon asiakastietoa ja potilastietoa; 
6) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja; 
7) palvelunantajalla sosiaali- ja terveyspalvelujen järjestäjää ja sosiaali- ja terveyspalveluntuottajaa; 
8) palvelunjärjestäjällä palvelunantajaa, jolla on: 
a) viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; ja 
b) yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun; 
9) palveluntuottajalla palvelunantajaa, joka: 
a) palvelunjärjestäjän asemassa tuottaa itse sosiaali- tai terveyspalvelua; ja 
b) palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua; 
10) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella suorittamaan tietoturvallisuuden arviointeja; 
11) hyvinvointitiedolla henkilön itsensä tuottamia terveyttään ja hyvinvointiaan koskevia tietoja, jotka henkilö on tallentanut Valiokunta ehdottaa sisältöä muutettavaksi 12 Muutosehdotus päättyy kohdassa tarkoitettuun omatietovarantoon; 
12) omatietovarannolla hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä sähköistä tietovarantoa; 
13) hyvinvointisovelluksella yksityishenkilön käyttämää omatietovarantoon liittyvää sovellusta, jolla käsitellään hyvinvointitietoja, ja johon henkilö voi saada asiakastietonsa arkistointipalvelusta, reseptikeskuksesta ja tiedonhallintapalvelusta; 
14) arkistointipalvelulla tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakastietoa tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa ja johon hyväksytyt tietojärjestelmät voidaan liittää; 
15) tiedonhallintapalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja; 
16) tahdonilmaisupalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, Valiokunta ehdottaa sisältöä muutettavaksi luovutuslupa-, Muutosehdotus päättyy suostumus- ja kieltoasiakirjoja, muita terveyden ja sairaudenhoitoon ja sosiaalipalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia; 
17) tietojärjestelmäpalvelun tuottajalla tahoa, joka tarjoaa tai toteuttaa palvelunantajalle tietojärjestelmää, jossa käsitellään asiakas- tai hyvinvointitietoa, ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista; 
18) tietojärjestelmän valmistajalla tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta; 
19) välittäjällä palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä salaamattomia asiakastietoja, esimerkiksi ylläpitotoimien yhteydessä; sekä 
20) sertifioinnilla menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset. 
2 luku  
Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpito 
4 § 
Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpitäjä 
Kansaneläkelaitos on omatietovarannon, luovutuslokirekisterin lokitietojen säilytyspalvelun ja sen omaan toimintaansa liittyvien käyttölokien rekisterinpitäjä. Valiokunta ehdottaa sisältöä muutettavaksi Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin tämän lain 13 §:n 2 momentin mukaisiin käyttötarkoituksiin siten kuin mainitussa momentissa säädetään. Muutosehdotus päättyy 
Kukin sosiaali- ja terveydenhuollon palvelunantaja on toiminnassaan syntyneiden käyttölokien rekisterinpitäjä. 
Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien ja tiedonhallintapalvelun sekä tahdonilmaisupalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 14 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat ja tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä. 
Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii käyttöliittymän käyttölokien yhteyspisteenä. 
Reseptikeskuksen rekisterinpitäjästä säädetään sähköisestä lääkemääräyksestä annetun lain (61/2007) 18 §:ssä. 
5 § 
Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa 
Kun palveluntuottaja antaa sosiaali- ja terveyspalveluja palvelunjärjestäjän lukuun, vastaa palveluntuottaja: 
1) asiakastietojen kirjaamisesta ja tallentamisesta palvelunjärjestäjän lukuun; 
2) käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan; 
3) henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan; 
4) alkuperäisten asiakasasiakirjojen toimittamisesta palvelunjärjestäjälle viipymättä; sekä 
5) tietosuoja-asetuksessa ja julkisuuslaissa säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa. 
Palvelunjärjestäjän ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista. 
3 luku  
Valtakunnallisten sosiaali- ja terveydenhuollon tietojärjestelmäpalvelujen toteuttaminen 
6 §  
Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut 
Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut: 
1) valtakunnallinen asiakastietojen arkistointipalvelu; 
2) lokirekisterien säilytyspalvelu; 
3) ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn; 
4) kansalaisen käyttöliittymä; 
5) omatietovaranto; 
6) tiedonhallintapalvelu; 
7) tahdonilmaisupalvelu; 
8) reseptikeskus; 
9) lääketietokanta; sekä 
10) kysely- ja välityspalvelu. 
Lisäksi valtakunnallisten tietojärjestelmäpalvelujen toteuttaminen edellyttää koodistopalvelua ja rooli- ja attribuuttipalvelua. Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitos vastaa koodistopalvelun sisällöstä. 
Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista. 
7 §  
Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi 
Palvelunantajan on liityttävä 6 §:n 1 momentin 1, 6, 7 ja 8 kohdassa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. 
Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään asiakas- ja potilastietojen käsittelyyn tarkoitettu tietojärjestelmä. 
Muut sosiaali- ja terveysalan toimijat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 6 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi. 
Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi. 
8 § 
Valtakunnalliseen arkistointipalveluun tallennettavat asiakirjat 
Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa arkistointipalvelussa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja. 
Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. Arkistointipalveluun voidaan tallentaa asiakasasiakirjojen lisäksi myös muita sosiaali- ja terveydenhuollon järjestämiseen ja tiedonhallintaan liittyviä asiakirjoja. 
Valiokunta ehdottaa sisältöä muutettavaksi Sosiaalihuollon asiakasasiakirjojen säilytysajoista säädetään sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 27 §:ssä. Potilasasiakirjojen säilytysajoista säädetään potilaslain 12 §:ssä. Muutosehdotus päättyy 
9 §  
Valtakunnallisiin tietojärjestelmäpalveluihin liittyvien tietojärjestelmien ja asiakasasiakirjojen tietorakenteet 
Tietojärjestelmien ja asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttö, luovuttaminen, säilyttäminen ja suojaaminen 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla. 
Terveyden ja hyvinvoinnin laitos antaa määräykset valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämistä tietojärjestelmien asiakasasiakirjojen tietosisällöistä ja tietorakenteista sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista. 
10 §  
Asiakirjan sähköinen allekirjoittaminen  
Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. 
Luonnollisen henkilön sähköisessä allekirjoittamisessa on käytettävä kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93 EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa säädetään sähköisestä allekirjoituksesta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta. 
11 §  
Tiedonhallintapalvelu 
Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja, jotka tiedonhallintapalvelu voi koostaa, ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkitystiedot, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:n mukainen suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelun kautta saa luovuttaa tietoja siten kuin 20 §:ssä säädetään. Tiedonhallintapalvelussa olevia tietoja saa käsitellä 15 §:ssä säädettyjen käyttövaltuuksien puitteissa. 
12 § 
Tahdonilmaisupalvelu 
Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja sähköisestä lääkemääräyksestä annetun lain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista lValiokunta ehdottaa sisältöä muutettavaksi uovutusluvista, Muutosehdotus päättyy suostumuksista ja kielloista. 
Tahdonilmaisupalveluun voidaan tallentaa myös tieto: 
1) muista kuin 1 momentissa tarkoitetuista henkilön terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista; 
2) muista kuin 1 momentissa tarkoitetuista henkilön sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista. 
13 §  
Omatietovaranto 
Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta. 
Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi. 
Hoitoon tai palveluun vaikuttavien tietojen kirjaamisesta asiakas- tai potilasasiakirjoihin säädetään potilaslaissa, asiakaslaissa ja asiakasasiakirjalaissa. 
Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta. 
14 §  
Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa 
Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle. 
Kansaneläkelaitos vastaa: 
1) valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista; 
2) valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen, hyvinvointitietojen ja muiden tietojen turvallisuuden varmistamisesta siten kuin julkisen hallinnon tiedonhallinnasta annetun lain 14 §:ssä säädetään sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen; 
3) vastuullaan olevien valtakunnallisten tietojärjestelmäpalvelujen toteutuksista siten, että asiakas- tai hyvinvointietoja ja muita valtakunnalliseen tietojärjestelmäpalveluihin tallennettuja tietoja luovutetaan vain siten kuin tässä laissa ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa säädetään; 
4) asiakas- ja hyvinvointitiedon käytön ja luovutuksen tallentumisesta lokirekisteriin; 
5) koodistopalvelun tietoteknisestä toteuttamisesta; 
6) valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle; 
7) valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta. 
Kansaneläkelaitoksella on oikeus: 
1) saada Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtävien hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä; 
2) käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin valtakunnallisten tietojärjestelmänpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät; 
3) päättää järjestelmän tietotekniseen toimintaan liittyvistä asioista, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu; 
4) luovuttaa Kansaneläkelaitoksen rekisterinpidossa olevia asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutuksen seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista; 
5) suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön kohdentuvaa valvontaa tietoturvan lisäämiseksi; 
6) salassapitovelvoitteiden estämättä saada Digi- ja väestötietovirastolta valtakunnallisia tietojärjestelmäpalveluita koskevien tehtävien hoitamiseksi tarvittavat välttämättömät tiedot. 
Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa. 
Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisille. 
4 luku  
Asiakastietojen käsittely sosiaali- ja terveydenhuollossa 
15 § 
Käyttöoikeus asiakastietoon 
Käyttöoikeuksien on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakas- ja potilastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on käyttöoikeus vain työtehtävissään tarvitsemiinsa välttämättömiin asiakastietoihin, joihin hänellä on tiedonsaantioikeus. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu lakiin perustuva oikeus. 
Sosiaali- ja terveysministeriön asetuksella säädetään mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää. 
Palvelunantajan on määriteltävä sosiaali- ja terveydenhuollon ammattihenkilön tai muun asiakastietoja käsittelevän henkilön oikeus käyttää asiakastietoja. Palvelunantajan on pidettävä rekisteriä asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista. 
16 §  
Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista 
Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä. 
Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista. 
17 §  
Asiakastietojen käsittelijöiden tunnistaminen 
Asiakastietojen sähköisessä käsittelyssä asiakas, palvelunantaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet on tunnistettava luotettavasti. Asiakastietoja käsittelevät henkilöt, palvelunantajat, tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava todentamalla. 
Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa. 
18 § 
Valiokunta ehdottaa sisältöä muutettavaksi Luovutuslupa, suostumus ja kielto Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Asiakas voi antaa 20—21 §:ssä tarkoitetut luovutusluvat ja suostumukset valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Muutosehdotus päättyy (Uusi) 
Valiokunta ehdottaa sisältöä muutettavaksi Jäljempänä 20 §:n 1 momentissa ja 21 §:n 1 momentissa tarkoitettujen luovutuslupien on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja niiden on oltava vapaaehtoisesti annettuja. Luovutuslupa on voimassa toistaiseksi ja sen voi peruuttaa. Jäljempänä 20 §:n 2 momentissa ja 21 §:n 2 momentissa tarkoitetusta suostumuksesta säädetään tietosuoja-asetuksessa. Muutosehdotus päättyy (Uusi) 
Valiokunta ehdottaa sisältöä muutettavaksi Jos asiakkaalla ei ole edellytyksiä arvioida luovutusluvan tai suostumuksen merkitystä, asiakastietoja saa luovuttaa hänen laillisen edustajansa antaman luovutusluvan tai suostumuksen perusteella. Asiakkaan laillisella edustajalla on oikeus salassapitovelvollisuuden estämättä saada luovutusluvan tai suostumuksen antamista ja toteuttamista varten välttämättömät asiakasta koskevat tiedot. Muutosehdotus päättyy (Uusi) 
Asiakkaalla on oikeus kieltää sosiaalihuollon rekisterinpitäjää luovuttamasta itseään koskevia sosiaalihuollon asiakastietoja toiselle sosiaalihuollon rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Potilaalla on oikeus kieltää terveydenhuollon rekisterinpitäjää luovuttamasta häntä koskevia potilastietoja toiseen terveydenhuollon rekisteriin tai toiselle terveydenhuollon rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Huoltajalla Valiokunta ehdottaa sisältöä muutettavaksi tai muulla laillisella edustajalla Muutosehdotus päättyy ei ole oikeutta Valiokunta ehdottaa sisältöä muutettavaksi kieltää Muutosehdotus päättyy alaikäisen Valiokunta ehdottaa sisältöä muutettavaksi puolesta potilastietojen luovutusta potilaslain 13 §:n 3 momentin 3 kohdan mukaisissa tilanteissa Muutosehdotus päättyy
Asiakas tai potilas voi kohdistaa kiellon kaikkiin sosiaalihuollon asiakastietoihinsa ja potilastietoihinsa. Valiokunta ehdottaa sisältöä muutettavaksi Kiellon voi kohdentaa julkisen sosiaali- ja terveydenhuollon rekisterinpitäjään ja sen rekisteriin sekä yksityisen sosiaalihuollon rekisterinpitäjään ja yksityisen työterveyshuollon rekisteriin. Muutosehdotus päättyy Sosiaalihuollossa kiellon voi kohdentaa sosiaalihuollon palvelutehtävään tai yksittäiseen asiakasasiakirjaan. Terveydenhuollossa kiellon voi kohdentaa palvelutapahtumaan. Valiokunta ehdottaa sisältöä poistettavaksi Lisäksi kiellon voi kohdentaa julkiseen sosiaali- ja terveydenhuollon rekisterinpitäjään ja sen rekisteriin sekä työterveydenhuollon rekisteriin. Poistoehdotus päättyy 
Kiellolla ei voi estää ammattihenkilön tai viranomaisen lakiin perustuvaa ja asiakkaan Valiokunta ehdottaa sisältöä muutettavaksi tai potilaan Muutosehdotus päättyy tahdonilmaisusta riippumatonta tiedonsaantioikeutta tietoon. 
Valiokunta ehdottaa sisältöä muutettavaksi Kiellon on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja sen on oltava vapaaehtoisesti annettu. Muutosehdotus päättyy Kielto on voimassa toistaiseksi ja sen saa peruuttaa. 
19 §  
Valiokunta ehdottaa sisältöä muutettavaksi Luovutusluvan, suostumuksen tai Muutosehdotus päättyy kiellon antaminen ja peruuttaminen 
Asiakastietojen luovuttamista Valiokunta ehdottaa sisältöä muutettavaksi koskeva luovutuslupa, suostumus ja Muutosehdotus päättyy kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta Valiokunta ehdottaa sisältöä muutettavaksi luovutusluvasta, suostumuksesta ja Muutosehdotus päättyy kiellosta tahdonilmaisupalveluun viivytyksettä. 
Valiokunta ehdottaa sisältöä muutettavaksi Luovutusluvan, suostumuksen ja kiellon Muutosehdotus päättyy vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste Valiokunta ehdottaa sisältöä muutettavaksi luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta tai kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla Muutosehdotus päättyy
Kansaneläkelaitos määrittelee Valiokunta ehdottaa sisältöä muutettavaksi luovutuslupa-asiakirjan, suostumusasiakirjan ja Muutosehdotus päättyy kieltoasiakirjan tietosisällön. Valiokunta ehdottaa sisältöä muutettavaksi Luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta Muutosehdotus päättyy on käytävä ilmi Valiokunta ehdottaa sisältöä muutettavaksi luovutusluvan, suostumuksen ja Muutosehdotus päättyy kiellon merkitys asiakastietojen käsittelyssä. 
Valiokunta ehdottaa sisältöä muutettavaksi Luovutusluvan, suostumuksen ja kiellon Muutosehdotus päättyy peruuttamiseen sovelletaan, mitä 1—3 momentissa säädetään Valiokunta ehdottaa sisältöä muutettavaksi niiden Muutosehdotus päättyy antamisesta. 
20 §  
Potilastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla 
Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle terveydenhuollon palvelunantajalle tai toiseen saman palvelunantajan potilasrekisteriin potilaan terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Valiokunta ehdottaa sisältöä muutettavaksi Potilastietoja ei kuitenkaan saa luovuttaa ilman potilaan antamaa luovutuslupaa tai potilaslain 13 §:n 3 momentin 3 kohdassa taikka muussa luovutuksen oikeuttavassa laissa säädettyä perustetta. Muutosehdotus päättyy 
Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä sosiaalihuollon palvelunantajalle sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi potilaan antaman suostumuksen perusteella. Valiokunta ehdottaa sisältöä muutettavaksi Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. Muutosehdotus päättyy 
Potilasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun potilasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei potilas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin potilastietoihin säädetään 15 §:ssä. 
Potilastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen potilaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
21 §  
Sosiaalihuollon asiakastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla  
Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle sosiaalihuollon palvelunantajalle asiakkaan sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Valiokunta ehdottaa sisältöä muutettavaksi Asiakastietoja ei kuitenkaan saa luovuttaa ilman asiakkaan antamaa luovutuslupaa tai luovutuksen oikeuttavassa laissa säädettyä perustetta. Muutosehdotus päättyy 
Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä terveydenhuollon palvelunantajalle terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi asiakkaan antaman suostumuksen perusteella. Valiokunta ehdottaa sisältöä muutettavaksi Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. Muutosehdotus päättyy 
Luovutuspyyntöön perustuva asiakasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun asiakasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei asiakas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin asiakastietoihin säädetään 15 §:ssä. 
Sosiaalihuollon asiakastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
22 §  
Asiakastietojen välittäminen valtakunnallisten tietojärjestelmäpalveluiden avulla sosiaali- ja terveydenhuollon ulkopuolelle 
Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakasasiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla. 
Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla. 
23 §  
Sähköinen asiointi ja tietojen käsittely toisen puolesta  
Henkilöllä on oikeus käsitellä toisen henkilön puolesta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja kyseistä henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja tietoja, ellei asiakaslain 11 §:n 3 momentista, potilaslain 9 §:n 2 momentista, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu. 
24 §  
Kansalaisen käyttöliittymä ja sen välityksellä näytettävät asiakastiedot ja tahdonilmaisut 
Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä. 
Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja. 
Valiokunta ehdottaa sisältöä muutettavaksi Sen estämättä, mitä 2 momentissa säädetään henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi. Muutosehdotus päättyy (Uusi) 
25 §  
Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta 
Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. 
Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytönvalvontaa ja seurantaa varten tarvittavista tiedoista. 
Luovutuslokirekisteriin on tallennettava tieto luovutetuista asiakastiedoista, siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta, luovutusajankohdasta sekä muista luovutusten valvontaa ja seurantaa varten tarvittavista tiedoista. 
Kansaneläkelaitoksen on kerättävä seurantaa ja valvontaa varten 6 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot. Edellä 6 §:ssä tarkoitettuun lokirekisterien säilytyspalveluun tallennetaan palvelunantajan Valiokunta ehdottaa sisältöä muutettavaksi asiakasasiakirjojen Muutosehdotus päättyy luovuttamista koskevat lokitiedot. Lokirekisterin säilytyspalveluun voidaan tallentaa käyttöä koskevat lokitiedot. 
Lokitietojen säilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä. 
26 § 
Asiakkaan tiedonsaantioikeus tietojensa käsittelystä 
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tiedonhallintapalvelun, tahdonilmaisupalvelun, reseptikeskuksen ja omatietovarannonlokitiedot, käytettyjen tai luovutettujen asiakas- ja hyvinvointitietojen lokitiedot sekä tiedot käyttö- ja luovutusajankohdasta siltä osin kuin tiedot kuuluvat Kansaneläkelaitoksen rekisterinpitoon. 
Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten. 
Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja tai Kansaneläkelaitos voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 24 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua. 
Jos palvelunantaja tai Kansaneläkelaitos katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti. 
Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan tai Kansaneläkelaitoksen on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin. 
5 luku  
Tietoturvallisuuden ja tietosuojan omavalvonta 
27 § 
Tietoturvasuunnitelma  
Palvelunantajan, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on oltava selvitykset, miten seuraavat asiakas- ja potilastietojen ja järjestelmien käsittelyyn liittyvät vaatimukset varmistetaan: 
1) henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus; 
2) tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet; 
3) tietojärjestelmiä käytetään tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti; 
4) tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti; 
5) tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön; 
6) tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia; 
7) tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus; 
8) 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset 34 §:ssä säädetyt olennaiset vaatimukset; sekä 
9) palvelunantajalla, välittäjällä ja Kansaneläkelaitoksella on suunnitelma siitä, miten omavalvonta järjestetään ja toteutetaan sen toiminnassa. 
Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan tietoturvasuunnitelmassa selvitettävä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu. 
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta. 
28 §  
Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu 
Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan on huolehdittava, että 27 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Vastaavan johtajan on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. 
Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi. 
Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista. 
Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37—39 artiklassa. 
6 luku  
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto 
29 § 
Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu 
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset. 
Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat: 
1) Kansaneläkelaitoksen ylläpitämät valtakunnalliset tietojärjestelmäpalvelut; 
2) valtakunnallisiin tietojärjestelmäpalveluihin liitettäviksi tarkoitetut asiakastietoja käsittelevät tietojärjestelmät ja hyvinvointisovellukset; 
3) muut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät, hyvinvointisovellukset ja välittäjien palvelut. 
Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B. 
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa kuuluuko tietojärjestelmä luokkaan A tai B. 
30 § 
Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti 
Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä 35 ja 36 §:n mukaiset selvitykset ja 37 §:ssä tarkoitettu todistus käyttötarkoituksen mukaisten olennaisten vaatimusten täyttämisestä. Jos tietojärjestelmäpalvelun tuottaja on eri taho kuin valmistaja, ilmoituksessa on oltava tieto myös tietojärjestelmäpalvelun tuottajasta. Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmän tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava tieto: 
1) tuotantokäyttöön tarkoitetuista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista; 
2) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista; 
3) luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arvioinnista saadun tietoturvallisuuden arviointia koskevan todistuksen voimassaolosta; sekä 
4) tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan. 
Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista. 
31 §  
Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön  
Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 35 §:n mukaisesti. 
Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja 30 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut. 
32 §  
Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta  
Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle. 
Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia. 
Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.  
Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään. 
7 luku  
Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset  
33 § 
Tietojärjestelmäpalvelun tuottajan ja valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet  
Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta. 
Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta. 
Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä. 
Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla. 
34 §  
Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset  
Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Valiokunta ehdottaa sisältöä muutettavaksi Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Muutosehdotus päättyy Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa. 
Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta. 
Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot. 
Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa. 
35 §  
Vaatimustenmukaisuuden osoittaminen  
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteentoimivuuden testauksella ja 37 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu. 
Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten toiminnallisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen. 
Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä. 
36 §  
Yhteentoimivuuden testaaminen 
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa. 
Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu. 
Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille Valiokunta ehdottaa sisältöä muutettavaksi sekä niille A-luokan tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, Muutosehdotus päättyy ei suoriteta erillistä yhteentoimivuuden testausta. 
37 §  
Tietoturvallisuuden arviointi 
Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, valmistajan, eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta. 
Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti. 
Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan. 
38 §  
Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus  
Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä todistuksista. 
Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen. 
8 luku  
Ohjaus ja valvonta 
39 §  
Ohjaus, valvonta ja seuranta  
Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden kokonaisrahoituksesta kuuluvat sosiaali- ja terveysministeriölle. Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. 
Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista. 
40 §  
Tietojärjestelmien valvonta ja tarkastukset  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Valiokunta ehdottaa sisältöä muutettavaksi Tarkastus voidaan tehdä ennalta ilmoittamatta. Muutosehdotus päättyy Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:ssä säädetään. Valiokunta ehdottaa sisältöä muutettavaksi Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on valvontaviranomaisella oikeus saada poliisin virka-apua siten kuin poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa säädetään. Muutosehdotus päättyy 
Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista. 
Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä lukien. 
41 §  
Ilmoittaminen tietojärjestelmän olennaisten vaatimusten poikkeamista 
Jos palvelunantaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos poikkeama voi aiheuttaa merkittävän riskin asiakasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Jos palvelunantaja tai muu taho havaitsee tietojärjestelmän olennaisten vaatimusten täyttymisessä tietosuojapoikkeamia, sen on ilmoitettava asiasta tietosuojavaltuutetulle. 
42 §  
Tiedonsaantioikeus  
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat. 
43 §  
Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Valiokunta ehdottaa sisältöä muutettavaksi Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Muutosehdotus päättyy 
44 § 
Määräys velvollisuuksien täyttämiseksi  
Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, palvelunantaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa. 
45 §  
Käytössä oleviin tietojärjestelmiin kohdistuvat velvollisuudet  
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 40 §:n nojalla tietojärjestelmää koskevan valvonnan ja tarkastuksen samalla määrätä tietojärjestelmäpalvelun tuottajan tai valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet. 
Jos tietojärjestelmä voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan tai sen valtuuttaman edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla. 
9 luku  
Erinäiset säännökset 
46 §  
Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö  
Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista. 
Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä. 
Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa. 
47 §  
Maksut  
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on Valiokunta ehdottaa sisältöä muutettavaksi palvelunantajille Muutosehdotus päättyy maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla. 
Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden käyttömaksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista. 
Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 36 §:ssä tarkoitetusta yhteentoimivuuden testauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 30 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä. 
48 § 
Rangaistussäännökset 
Joka tahallaan tai törkeästä huolimattomuudesta Valiokunta ehdottaa sisältöä poistettavaksi rikkoo Poistoehdotus päättyy 
1) Valiokunta ehdottaa sisältöä muutettavaksi rikkoo Muutosehdotus päättyy 17 §:n 1 momentissa säädettyä tunnistamisvelvollisuutta 
2) luovuttaa asiakastietoja 20—22 §:n vastaisesti ilman asiakkaan Valiokunta ehdottaa sisältöä muutettavaksi luovutuslupaa, Muutosehdotus päättyy suostumusta tai Valiokunta ehdottaa sisältöä muutettavaksi laissa säädettyä oikeutta Muutosehdotus päättyy taikka 
3) laiminlyö 16 §:n 1 momentissa säädetyn informointivelvollisuuden ja siten vaarantaa asiakkaan yksityisyyden suojaaValiokunta ehdottaa sisältöä poistettavaksi  tai muutoin hänen oikeuksiaan Poistoehdotus päättyy,  
on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta sakkoon. 
Rangaistus tietomurrosta säädetään rikoslain (39/1889) 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä. 
49 § 
Uhkasakko  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990). 
50 §  
Muutoksenhaku  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun määräykseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa. 
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 
Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää. 
10 luku  
Voimaantulo- ja siirtymäsäännökset 
51 §  
Voimaantulo 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (159/2007). 
52 §  
Siirtymäsäännökset 
Julkisen sosiaalihuollon palvelunantajan on liityttävä 6 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietojen arkistointipalveluun viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026. 
Lain 13 §:n 2 momenttia, 18 §:n Valiokunta ehdottaa sisältöä muutettavaksi 5 Muutosehdotus päättyy momentin mukaista Valiokunta ehdottaa sisältöä muutettavaksi kaikkiin asiakas- ja potilastietoihin kohdistuvaa kieltoa ja Muutosehdotus päättyy työterveyshuoltoon kohdistuvaa kieltoa, 20 §:n 2 momenttia ja 21 §:n 2 momenttia sovelletaan viimeistään 1 päivänä Valiokunta ehdottaa sisältöä muutettavaksi tammikuuta 2024 Muutosehdotus päättyy
Lain 18 §:ää sovelletaan Valiokunta ehdottaa sisältöä muutettavaksi kaikkiin asiakas- ja potilastietoihin ja Muutosehdotus päättyy työterveyshuollon rekisteriin kohdistettavaa kieltoa lukuun ottamatta viimeistään silloin, kun asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta. 
Lain 19 §:ää sovelletaan sosiaalihuollossa 1 päivästä Valiokunta ehdottaa sisältöä muutettavaksi tammikuuta 2023 Muutosehdotus päättyy tai viimeistään silloin, kun sosiaalihuollon asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta. 
Lain 20 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä joulukuuta Valiokunta ehdottaa sisältöä muutettavaksi 2023 Muutosehdotus päättyy
Lain 21 §:n 1 ja 3 momenttia sovelletaan viimeistään 1 päivänä Valiokunta ehdottaa sisältöä muutettavaksi tammikuuta 2023 Muutosehdotus päättyy
Lain 21 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä Valiokunta ehdottaa sisältöä muutettavaksi toukokuuta 2025 Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2026 seuraavien asiakirjojen tallentaminen: Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 1) ajanvarausasiakirja asiakkaalle varatuista ja hänelle ilmoitettavista terveydenhuollon ajanvarauksista; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 2) seulontatutkimuksista syntyvät kuvantamistutkimukseen liittyvät asiakirjat ja laboratoriotulokset; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 3) ajoterveyteen liittyvät todistukset ja lomakkeet; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 4) tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 5) lääkärinlausunto terveydentilasta (T-todistus); Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 6) lääkärintodistus (TOD); Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 7) lääkärintodistus C; sekä Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 8) kuolintodistus. Muutosehdotus päättyy (Uusi 8 mom.)
 
Valiokunta ehdottaa sisältöä muutettavaksi Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa seuraavien kuvantamistutkimuksiin liittyvien asiakirjojen tallentaminen viimeistään 1 päivänä lokakuuta 2029: Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 1) säteilyrasitustiedot; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 2) video- ja äänitallenteet sekä valokuvat; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 3) patologian kuva-aineistot; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 4) biosignaalit; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 5) suun terveydenhuollon yksiköiden tallentamat kuvat; sekä Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 6) muut kuvat: piirustukset ja havainnekuvat. Muutosehdotus päättyy (Uusi 9 mom.)
 
Valiokunta ehdottaa sisältöä muutettavaksi Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2029 hoitotyön päivittäismerkintöjen tallentaminen. Muutosehdotus päättyy (Uusi 10 mom.) 
Valiokunta ehdottaa sisältöä muutettavaksi Julkisen sosiaalihuollon ja sen lukuun toimivan palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen arkistointipalveluun seuraavasti: Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 1) lapsiperheiden, työikäisten ja iäkkäiden palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä syyskuuta 2024; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 2) lastensuojelun palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2025; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 3) vammaispalvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2025; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 4) päihdehuollon palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä maaliskuuta 2026; sekä Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 5) perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2026. Muutosehdotus päättyy (Uusi 11 mom.)
 
Valiokunta ehdottaa sisältöä muutettavaksi  Palveluntuottajan ja asiakkaan väliseen sopimukseen perustuvassa yksityisessä sosiaalihuollossa syntyvien asiakasasiakirjojen tallentaminen valtakunnallisiin tietojärjestelmäpalveluihin on aloitettava seuraavasti: Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 1) lapsiperheiden, työikäisten, iäkkäiden ja vammaispalvelujen palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä tammikuuta 2026; Muutosehdotus päättyy
Valiokunta ehdottaa sisältöä muutettavaksi 2) päihdehuollon palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2026. Muutosehdotus päättyy (Uusi 12 mom.)
 
Valiokunta ehdottaa sisältöä muutettavaksi  Sosiaalihuollon palvelutehtävissä syntyvien video- ja äänitallenteiden tallentaminen tulee kuitenkin aloittaa viimeistään 1 päivänä lokakuuta 2029. Muutosehdotus päättyy (Uusi 13 mom.) 
 Lakiehdotus päättyy 

2. Laki sosiaalihuollon asiakasasiakirjoista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 3 §:n 9 kohta, 21 §, 23 §:n 2 momentti, 24 §, 25 §:n 1 ja 2 momentti ja 27 §:n 2 momentti sekä  
muutetaan 2 §:n 2 ja 3 momentti, 3 §:n 6 kohta, 6 §:n 1 momentti, 7 ja 9—11 §, 13 §:n 1 momentti, 22 §, 23 §:n otsikko ja 1 momentti, 26 § ja 27 §:n 1 momentti, sellaisina kuin niistä ovat 2 §:n 2 ja 3 momentti laissa 1202/2019, seuraavasti: 
2 § 
Soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tätä lakia sovelletaan sosiaalihuollon, luonnollisten henkilöiden suojelusta henkilötietojen käsittelystä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tarkoitettujen, asiakastietojen käsittelyyn julkisessa ja yksityisessä sosiaalihuollossa. 
Asiakastietojen käsittelystä säädetään lisäksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa ( / ), jäljempänä asiakastietolaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, hallintolaissa (434/2003), tietosuojalaissa (1050/2018), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019), väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009), arkistolaissa (831/1994), julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992). 
3 § 
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6) asiakastiedolla sosiaalihuollossa saatua henkilötietoa, joka on kirjattu tai on tämän lain mukaan kirjattava sosiaalihuollon asiakasasiakirjaan; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 § 
Asiakirjoissa käytettävä kieli 
Asiakasasiakirjoissa käytettävän kielen on oltava selkeää ja ymmärrettävää, ja niissä saa käyttää vain yleisesti tunnettuja ja hyväksyttyjä käsitteitä ja lyhenteitä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
7 § 
Sosiaali- ja terveydenhuollon asiakastietojen kirjaaminen sosiaalihuollon toimintayksikön sisäisessä yhteistyössä 
Jos sosiaalipalvelua toteuttaa sosiaalihuollon toimintayksikössä sosiaali- ja terveydenhuollon henkilöstö yhdessä, asiakkaasta laaditaan yhteinen toteuttamiskertomus. Lisäksi asiakkaalle voidaan laatia yhteinen asiakassuunnitelma ja muita tarpeellisia yhteisiä asiakasasiakirjoja. Tässä momentissa tarkoitetut yhteiset asiakasasiakirjat tallennetaan sosiaalihuollon asiakasrekisteriin. 
Henkilöllä, joka osallistuu 1 momentissa tarkoitetun yhteisen palvelun toteuttamiseen, on oltava pääsy tehtävissään tarvitsemiinsa yhteisiin asiakasasiakirjoihin. Yhteisestä asiakassuunnitelmasta voidaan tallentaa tarvittaessa kopio potilasrekisteriin. 
Lisäksi terveydenhuollon ammattihenkilön terveyden- ja sairaanhoitoa koskevat potilastiedot merkitään potilasasiakirjoihin ja tallennetaan potilasrekisteriin siten kuin siitä erikseen säädetään. 
9 § 
Asiakasasiakirjoihin kirjattavat perustiedot 
Asiakasasiakirjoihin kirjataan aina seuraavat perustiedot: 
1) asiakirjan nimi; 
2) asiakkaan nimi sekä henkilötunnus tai, jollei se ole tiedossa, hänet väliaikaisesti yksilöivä tunnus tai syntymäaika; 
3) palvelunjärjestäjän, palveluntuottajan ja tarvittaessa palveluntoteuttajan nimi ja yksilöintitunnus; 
4) asiakirjan laatijan tai kirjauksen tehneen henkilön nimi sekä virka-asema tai tehtävä toimintayksikössä; 
5) asiakirjan laatimisen tai kirjaamisen ajankohta; sekä 
6) mahdollinen tieto asiakkaan tai hänen laillisen edustajansa yhteystietoja koskevasta turvakiellosta. 
Lisäksi asiakirjoihin kirjataan seuraavat asianosaisia koskevat perustiedot, jos ne vaikuttavat asiakkaan palveluun tai asiakirjassa esitettyihin ratkaisuihin: 
1) asiakkaan äidinkieli ja asiointikieli sekä yhteystiedot ja kotikunta; 
2) huoltajan tai muun laillisen edustajan nimi, yhteystiedot ja toimivalta ja huoltajuudesta erotetun vanhemman mahdollinen tiedonsaantioikeus, jos asiakirja koskee alaikäistä asiakasta; 
3) täysi-ikäiselle asiakkaalle määrätyn laillisen edustajan tai asiakkaan valtuuttaman henkilön nimi, yhteystiedot ja toimivalta; sekä 
4) tarvittaessa asiakkaan omaisen, läheisen tai muun asiakkaan hoitoon tai huolenpitoon osallistuvan henkilön nimi, yhteystiedot ja rooli asiassa. 
10 § 
Merkinnät tietojen luovuttamisesta 
Jos asiakasta koskevia tietoja luovutetaan sivulliselle, tietojen luovuttajan on voitava todentaa: 
1) mitä tietoja on luovutettu; 
2) kenelle tiedot on luovutettu; 
3) milloin tiedot on luovutettu; 
4) kuka tiedot on luovuttanut; 
5) luovutuksen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä 
6) käyttötarkoitus, johon tiedot on luovutettu. 
11 §  
Merkinnät tietojen saamisesta 
Jos asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään, tietojen vastaanottajan on voitava todentaa: 
1) mitä tietoja on hankittu tai saatu; 
2) keneltä tiedot on saatu; 
3) milloin tiedot on saatu; 
4) henkilö, joka tiedot on pyytänyt, jos ne on hankittu oma-aloitteisesti; 
5) tiedon hankkimisen tai saamisen perusteena oleva säännös tai suostumusta koskevat tiedot; sekä 
6) käyttötarkoitus, johon tiedot on hankittu tai saatu. 
13 § 
Asiakastietojen korjaaminen 
Asiakasasiakirjoissa olevien tietojen korjaamisesta säädetään tietosuoja-asetuksen 16 artiklassa. Tietojen korjaaminen tulee aina tehdä alkuperäiseen asiakirjaan. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 § 
Tietojen tallentaminen sosiaalihuollon asiakasrekisteriin 
Sosiaalihuollon viranomaisen velvollisuudesta huolehtia asiakirjojen tallentamisesta säädetään asiakastietolain 8 §:ssä. 
Sosiaalihuollon viranomaisen on tallennettava asiakasasiakirjat sosiaalihuollon asiakasrekisteriin. 
Kaikista asiakasrekisteriin tallennettavista asiakasasiakirjoista on käytävä ilmi, mihin sosiaalihuollon palvelutehtävään tai palvelutehtäviin se liittyy. 
Terveyden ja hyvinvoinnin laitos antaa määräykset sosiaalihuollon palvelutehtävien luokituksesta. 
23 § 
Sähköisesti tallennettujen asiakastietojen käyttöoikeudet 
Sähköisesti tallennettujen asiakastietojen käyttöoikeuksista säädetään asiakastietolain 15 §:ssä. Sosiaali- ja terveydenhuollon ammatillisen henkilöstön käyttöoikeudet sähköisesti tallennettuihin sosiaalihuollon asiakastietoihin on määriteltävä sosiaalihuollon palvelutehtävittäin ja ottaen huomioon kunkin henkilön tehtävät. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
26 §  
Asiakastietojen käytön ja luovutuksen seuranta 
Sosiaali- ja terveydenhuollon palvelunantajan asiakastietojen sähköisen käytön ja luovutuksen seurantaan liittyvistä lokitiedoista, käyttöloki- ja luovutuslokirekistereistä sekä niiden säilytysajoista säädetään asiakastietolain 25 §:ssä. 
27 § 
Asiakastietojen säilyttäminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sosiaalihuollon asiakasasiakirjoja on säilytettävä liitteessä tarkoitettu aika. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

3. Laki sähköisestä lääkemääräyksestä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
kumotaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 5 kohta, 13 §:n 2 momentti, 19 §:n 2 momenttiValiokunta ehdottaa sisältöä poistettavaksi , 24 §:n 4 momentti Poistoehdotus päättyy ja 28 §:n 3 momentti, 
sellaisina kuin niistä ovat 3 §:n 5 kohta, 13 §:n 2 momentti Valiokunta ehdottaa sisältöä muutettavaksi ja Muutosehdotus päättyy 19 §:n 2 momenttiValiokunta ehdottaa sisältöä muutettavaksi , Muutosehdotus päättyyValiokunta ehdottaa sisältöä poistettavaksi ja 24 §:n 4 momentti Poistoehdotus päättyy laissa 251/2014, 
muutetaan 1 §, 3 §:n 4 kohta, 4 §:n 1 ja 2 momentti, 5 §:n 1 momentti, 6 §:n 2 momentti, 7 §:n otsikko ja 2 momentti, 10 §:n otsikkoValiokunta ehdottaa sisältöä muutettavaksi , 4 Muutosehdotus päättyy ja 5 momentti, Valiokunta ehdottaa sisältöä muutettavaksi 11 §:n 1 momentin 3 kohta, Muutosehdotus päättyy 12 §:n otsikko ja 2 ja 4 momentti, 13 §:n 1 ja 3 momentti ja 4 momentin 5 ja 6 kohta sekä pykälän 5 momentti, 14 §, 15 §:n 1 momentin johdantokappale ja 3—5 momentti, 16 §:n otsikko ja 1—3 momentti, 16 a §, 17 §:n 1 momentti, 2 momentin 2 kohta ja pykälän 4 momentti, 18 §, 19 §:n 1 momentti, 22 a ja 22 b §, 23 §:n 1 momentti, 23 a §:n 1 momentti ja 3 momentin 2 kohta, 24 §:n 1Valiokunta ehdottaa sisältöä muutettavaksi , 4 Muutosehdotus päättyy ja 5 momentti ja 25 §:n 1 momentti, 
sellaisina kuin niistä ovat 3 §:n 4 kohta, 4 §:n 1 ja 2 momentti, 5 §:n 1 momentti, 10 §:n otsikkoValiokunta ehdottaa sisältöä muutettavaksi , 4 Muutosehdotus päättyy ja 5 momentti, 12 §:n 4 momentti, 13 §:n 1 ja 3 momentti, 4 momentin 5 ja 6 kohta ja 5 momentti, 14 §, 15 §:n 1 momentin johdantokappale, 16 §:n 3 momentti, 16 a §, 17 §:n 1 momentti, 2 momentin 2 kohta ja 4 momentti, 22 a ja 22 b §, 23 §:n 1 momentti, 23 a §:n 1 momentti ja 3 momentin 2 kohta, 24 §:n 5 momentti ja 28 §:n 1 momentti laissa 251/2014, 7 §:n 2 momentti, 24 §:n 1 momentti, 25 §:n 1 momentti ja 15 §:n 4 ja 5 momentti laissa 557/2019, sekä 
lisätään 3 §:ään sellaisena kuin se on osaksi laeissa 436/2010 ja 251/2014 uusi 8 a kohta, 10 §:ään, sellaisena kuin se on laissa 251/2014, uusi 4 momentti, jolloin nykyinen 4 momentti ja muutettu 5 momentti siirtyvät 5 ja 6 momentiksi, 11 §:ään, sellaisena kuin se on osaksi laissa 251/2014, uusi 3 momentti, Valiokunta ehdottaa sisältöä poistettavaksi 13 §:n 4 momenttiin, sellaisena kuin se on laissa 251/2014, Poistoehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi 13 §:ään Muutosehdotus päättyy uusi Valiokunta ehdottaa sisältöä muutettavaksi 4 momentin Muutosehdotus päättyy 4 a ja 7 kohta ja Valiokunta ehdottaa sisältöä muutettavaksi uusi 6 momentti Muutosehdotus päättyy, sellaisena kuin Valiokunta ehdottaa sisältöä muutettavaksi ne ovat Muutosehdotus päättyy mainitussa laissa, Valiokunta ehdottaa sisältöä poistettavaksi uusi 5 momentti  Poistoehdotus päättyyseuraavasti: 
1 §  
Lain tarkoitus 
Tämän lain tarkoituksena on parantaa potilas- ja lääketurvallisuutta sekä helpottaa ja tehostaa lääkkeen määräämistä ja toimittamista toteuttamalla järjestelmä, jossa potilaan lääkemääräykset voidaan tallettaa sähköisesti valtakunnalliseen reseptikeskukseen ja jossa reseptikeskukseen tallennettujen lääkemääräysten perusteella lääkkeet voidaan toimittaa potilaalle hänen haluamanaan ajankohtana hänen valitsemastaan apteekista. Lain tarkoituksena on lisäksi mahdollistaa potilaan kokonaislääkityksen selvittäminen sekä huomioon ottaminen lääkehoitoa toteutettaessa sekä reseptikeskukseen koottujen tietojen hyödyntäminen terveydenhuollon viranomaistoiminnassa. 
3 §  
Määritelmät 
Tässä laissa tarkoitetaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4) reseptikeskuksella tietokantaa, joka koostuu lääkkeen määrääjien tallentamista sähköisistä lääkemääräyksistä, apteekkien 12 §:ssä säädetyillä perusteilla tallentamista lääkemääräyksistä, sosiaali- ja terveydenhuollon palvelunantajien 23 §:ssä säädetyillä perusteilla potilaille luovutettuja lääkkeitä koskevista tiedoista, lääkemääräyksiin liitetyistä toimitustiedoista ja lääkehoidon arviointiin liittyvistä merkinnöistä; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
8 a) pro auctore -lääkemääräyksellä kirjallista lääkemääräystä, jolla lääkäri, hammaslääkäri, optikko tai suuhygienisti määrää ammattinsa harjoittamisen yhteydessä tarvittavaa lääkettä; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 §  
Potilaan informoiminen 
Potilaalle on annettava tiedot sähköisestä lääkemääräyksestä ja siihen liittyvistä potilaan oikeuksista ennen lääkemääräyksen laatimista. Lisäksi potilaalle tulee antaa tiedot sähköiseen lääkemääräykseen liittyvistä valtakunnallisista tietojärjestelmäpalveluista, niiden yleisistä toimintaperiaatteista sekä näiden tietojärjestelmäpalvelujen järjestäjästä. 
Terveydenhuollon palvelunantajan tulee antaa tiedot potilaalle henkilökohtaisesti kirjallisesti tai suullisesti. Tiedot voidaan antaa myös potilaan yksilöivän sähköisen palvelun välityksellä. Jos tiedot annetaan muulla tavalla kuin kirjallisesti, potilaalla on oltava mahdollisuus saada tiedot myös kirjallisena. Annetuista tiedoista tulee tehdä merkintä 16 a §:ssä tarkoitettuun tahdonilmaisupalveluun. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
5 § 
Lääkemääräyksen laatiminen 
Lääkemääräys on laadittava sähköisesti lukuun ottamatta pro auctore -lääkemääräystä ja lääkkeellisiä kaasuja koskevia lääkemääräyksiä, jotka voidaan laatia kirjallisesti sekä potilaskohtaisen erityisluvan edellyttäviä lääkevalmisteita koskevia lääkemääräyksiä, jotka voidaan laatia joko kirjallisesti tai sähköisesti. Jos sähköinen määrääminen ei ole teknisen häiriön vuoksi mahdollista, lääkemääräyksen voi tehdä myös kirjallisesti tai puhelinlääkemääräyksenä. Kirjallisen tai puhelinlääkemääräyksen voi tehdä myös apteekin pyynnöstä, jos apteekki ei pysty toimittamaan sähköistä lääkemääräystä teknisen häiriön takia. Lisäksi lääkemääräyksen voi laatia kirjallisesti tai puhelimitse, jos lääkehoidon tarve on kiireellinen eikä lääkemääräystä voi olosuhteiden poikkeuksellisuuden vuoksi tai muusta erityisestä syystä laatia sähköisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 § 
Lääkemääräyksen tietosisältö 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Lääkemääräyksessä saa olla 1 momentissa tarkoitettujen tietojen lisäksi muuta lääkkeen määräämisen, käytön ja toimittamisen sekä lääkehoidon toteuttamisen ja seurannan kannalta merkityksellistä tietoa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
7 § 
Lääkemääräyksen allekirjoittaminen ja järjestelmävarmenteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Digi- ja väestötietovirasto vastaa varmennepalvelusta sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007), jäljempänä asiakastietolaki, 6 §:n mukaisesti. Sosiaali- ja terveysministeriön asetuksella annetaan tarkemmat säännökset siitä, miten lääkemääräyksen laatijan oikeus lääkkeen määräämiseen varmennetaan ja varmennepalvelu toteutetaan. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa siltä osin kuin asiassa on kysymys edellä tarkoitetusta Digi- ja väestötietovirastolle kuuluvasta tehtävästä. 
10 § 
Lääkemääräyksen korjaaminen, lopettaminen, mitätöiminen ja uudistaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos lääkkeen määrääjä päättää potilaalla käytössä olevan lääkkeen käytön lopettamisesta, tästä tulee tallentaa merkintä reseptikeskukseen. 
Tehtäessä lääkemääräykseen 1—3 momentissa tarkoitettu korjaus, mitätöinti, tai uudistamisen estäminen Valiokunta ehdottaa sisältöä muutettavaksi tai lopettaminen Muutosehdotus päättyy on lääkemääräykseen liitettävä perustelu toimenpiteelle. Lääkemääräyksen korjaaminen, mitätöiminen, uudistamisen estäminen Valiokunta ehdottaa sisältöä muutettavaksi ja lopettaminen Muutosehdotus päättyy on allekirjoitettava sähköisesti.  
Sähköisen lääkemääräyksen korjaamisesta, mitätöimisestä, uudistamisesta ja uudistamisen estämisestä sekä lääkkeen käytön lopettamismerkinnästä voidaan antaa tarkempia säännöksiä sosiaali- ja terveysministeriön asetuksella. 
11 §  
Apteekin tiedonsaantioikeus 
Potilaan tai hänen puolestaan toimivan henkilön (lääkkeen ostaja) suullisesta pyynnöstä apteekilla on oikeus saada reseptikeskuksesta potilaan: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
3) muut reseptikeskuksessa olevat tiedot potilaan lääkemääräyksistä; jos lääkkeen noutaa joku muu kuin potilas tai hänen laillinen edustajansa, tulee lääkkeen ostajalla olla tällöin potilaan tai hänen laillisen edustajansa allekirjoittama Valiokunta ehdottaa sisältöä muutettavaksi valtuutus Muutosehdotus päättyy.
 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Apteekilla on oikeus saada tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niiden toimitustiedoista niin pitkältä ajalta kuin ne ovat apteekin tehtävien hoitamisen kannalta välttämättömiä, kuitenkin enintään 42 kuukautta lääkemääräyksen laatimisesta. 
12 § 
Lääkemääräyksen toimittaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Lääkkeen luovutuksen yhteydessä lääkkeen ostajalle on annettava kirjallinen selvitys toimitetusta lääkkeestä sekä tieto lääkemääräyksen toimittamatta olevasta osasta, jollei ostaja ilmoita, että hän ei halua selvitystä. Selvityksessä saa potilaan suostumuksella olla tiedot kaikista reseptikeskukseen tallennetuista potilaan lääkemääräyksistä. Jos lääkkeen noutaa joku muu kuin potilas itse tai hänen laillinen edustajansa, saadaan kaikki lääkemääräystiedot sisältävä selvitys antaa kuitenkin vain, jos potilas tai hänen laillinen edustajansa on antanut siihen valtuutuksen. Valtuutuksesta säädetään varallisuusoikeudellisista oikeustoimista annetussa laissa (228/1929). Valtuutuksen voi tehdä myös hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016) tarkoitetussa asiointivaltuutuspalvelussa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos lääkemääräys on annettu 5 §:n 1 momentissa tarkoitetun teknisen häiriön tai muun syyn takia kirjallisesti tai puhelimitse eikä lääkemääräystä ole tallennettu reseptikeskukseen, apteekin on tallennettava lääkemääräys ja siihen liittyvät toimitustiedot reseptikeskukseen lääkemääräystä toimitettaessa tai teknisen häiriön estäessä välittömän tallennuksen, niin pian kuin se on mahdollista. Samassa yhteydessä myös muiden kirjallisesti annettujen lääkemääräysten tiedot voidaan tallentaa reseptikeskukseen. Apteekki voi myös samassa yhteydessä tallentaa sellaiset asiakkaan paperi- ja puhelinreseptit reseptikeskukseen, joita ei toimiteta samalla kertaa. Lääkemääräykseen merkityllä lääkkeen määrääjällä on hoitosuhteesta riippumatta oikeus hakea reseptikeskuksesta tiedot niistä apteekin tallentamista lääkemääräyksistä, joihin hänet on merkitty lääkkeen määrääjäksi. Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kirjallisen tai puhelinlääkemääräyksen ja sen toimitustietojen tallentamisesta reseptikeskukseen sekä hakutoiminnosta, jolla lääkkeen määrääjä voi saada tiedon apteekin tallentamista lääkemääräyksistä. 
13 § 
Potilaan oikeus määrätä tietojen luovutuksesta 
Reseptikeskuksessa olevia tietoja potilaan lääkemääräyksistä, niiden toimitustiedoista ja uudistamispyynnöistä Valiokunta ehdottaa sisältöä muutettavaksi ja lopettamisesta Muutosehdotus päättyy saa luovuttaa salassapitosäädösten estämättä terveydenhuollon ja sosiaalihuollon palvelunantajille ja lääkkeen määrääjälle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Potilas voi kuitenkin kieltää yksilöimiensä lääkemääräysten luovutuksen edellä tarkoitetuille tahoille ja apteekeille. Kiellon saa peruuttaa milloin tahansa. Kiellon sekä sen peruutuksen voi ilmoittaa mille tahansa sähköiseen lääkemääräykseen liittyneelle terveydenhuollon tai sosiaalihuollon palvelunantajalle. Kiellon sekä sen peruutuksen saa tehdä myös 17 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä. Tieto potilaan antamasta kiellosta tallennetaan asiakastietolain 12 §:ssä tarkoitettuun tahdonilmaisupalveluun. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos alaikäinen potilas kykenee potilaan asemasta ja oikeuksista annetun lain Valiokunta ehdottaa sisältöä muutettavaksi (785/1992) Muutosehdotus päättyy, jäljempänä potilaslaki, 7 §:n 1 momentissa tarkoitetulla tavalla ikänsä ja kehitystasonsa perusteella itse päättämään hoidostaan, hän voi päättää myös 1 momentissa tarkoitetun kiellon tekemisestä Valiokunta ehdottaa sisältöä muutettavaksi ja sen peruuttamisesta Muutosehdotus päättyy. Alaikäisen huoltajalla tai laillisella edustajalla ei ole oikeutta tehdä luovutuskieltoa. Potilaslain 9 §:n 2 momentissa tarkoitetulla alaikäisellä on lisäksi oikeus kieltää sähköisen lääkemääräyksen tietojen luovuttaminen huoltajalleen tai muulle lailliselle edustajalleen. 
Sen estämättä, mitä 1 momentissa säädetään, saadaan luovuttaa: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4 a) hoitosuhteen jatkuessa reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niiden perusteella tehtyjen toimitusten toimitustiedoista; 
5) terveydenhuollon tai sosiaalihuollon palvelunantajalle taikka terveydenhuollon ammattihenkilölle tietoja reseptikeskukseen tallennetuista lääkemääräyksistä ja niiden toimitustiedoista Valiokunta ehdottaa sisältöä muutettavaksi ja lopettamisista Muutosehdotus päättyy potilaslain Valiokunta ehdottaa sisältöä poistettavaksi (785/1992) Poistoehdotus päättyy 8 §:n Valiokunta ehdottaa sisältöä muutettavaksi kiireellisissä tilanteissa. Jos lääkemääräystietojen luovutus on kielletty 1 momentin mukaisesti, tietoja saa luovuttaa vain, jos potilas on erikseen ilmoittanut, että niitä saadaan kuitenkin luovuttaa edellä tarkoitetussa tilanteessa; Muutosehdotus päättyy 
6) sähköisen lääkemääräyksen toiminnasta vastaavalle terveydenhuollon palvelunantajan, Kansaneläkelaitoksen tai tietojärjestelmän toimittajan palveluksessa olevalle tekniselle henkilöstölle tietoja häiriö- ja virhetilanteiden selvittämisen edellyttämässä laajuudessa; sekä 
7) valvonta-asiaan liittyviä selvityksiä varten reseptikeskukseen tallennetun asiakirjan laatineelle terveydenhuollon tai sosiaalihuollon palvelunantajalle tiedot palvelunantajan reseptikeskukseen tallentamista asiakirjoista ja niiden perusteella tehtyjen toimitusten toimitustiedoista. 
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä kieltomenettelystä sekä 4 momentin 6 kohdassa tarkoitetun tiedonsaantioikeuden toteuttamisesta ja teknisen henkilöstön oikeuksien selvittämisestä. 
Sähköisen lääkemääräyksen tiedot voidaan luovuttaa potilaalle asiakastietolain 3 §:n 17 kohdassa tarkoitetun hyvinvointisovelluksen tai tämän lain 17 §:ssä tarkoitetun kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen potilaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus. 
14 §  
Kieltoasiakirja  
Kiellon vastaanottajan on annettava asiakkaalle hänen pyynnöstään tuloste hänen tekemästään kiellosta. Tulosteesta on käytävä ilmi kiellon merkitys asiakastietojen käsittelyyn. Tulosteessa on oltava 13 §:ssä tarkoitetut tiedot kielletyistä yksilöidyistä lääkemääräyksistä sekä kiellon merkityksestä. Tulosteessa tulee olla selvitys siitä, että terveyden- ja sairaanhoitoa annettaessa ei voida käyttää voimassa olevan kiellon kohteena olevia tietoja, vaikka ne olisivat hoidon kannalta merkityksellisiä, jollei kieltoa peruuteta tai luovutuksen saajalla ole lakisääteistä tiedonsaantioikeutta Valiokunta ehdottaa sisältöä muutettavaksi tai kieltoon ole tehty poikkeusta potilaslain 8 §:ssä tarkoitetun tilanteen varalta Muutosehdotus päättyy
Kansaneläkelaitos määrittelee kieltoasiakirjan tietosisällön. Potilaan tehdessä kiellon 17 §:ssä tarkoitetun käyttöliittymän välityksellä hänelle on annettava vastaavat tiedot käyttöliittymän välityksellä. 
15 § 
Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen  
Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kansaneläkelaitos saa reseptikeskuksen yhteisrekisterinpitäjänä luovuttaa reseptikeskuksesta pyynnöstä sen lisäksi, mitä muualla lainsäädännössä säädetään: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Kansaneläkelaitoksen oikeudesta saada reseptikeskuksessa olevia tietoja säädetään sairausvakuutuslain (1224/2004) 19 luvun 1 §:ssä. Kansaneläkelaitos ei saa antaa tietoja edelleen sille muussa laissa säädetyn tiedonantovelvollisuuden tai tiedonanto-oikeuden perusteella. 
Sosiaali- ja terveysalan tietolupaviranomaisella on oikeus käsitellä ja luovuttaa reseptikeskuksessa olevia tietoja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) mukaisesti. 
Kansaneläkelaitos saa yhteisrekisterinpitäjänä laatia ja luovuttaa 1 momentissa mainituille viranomaisille sellaisia yhteenvetoja reseptikeskuksessa olevista tiedoista, joilla voi olla merkitystä lääketurvallisuuden tai lääkehoidon hyötyjen tai kustannusten selvittämisessä taikka Kansaneläkelaitoksen toiminnan ja palvelujen kehittämisessä. 
16 § 
Potilaan tiedonsaantioikeus ja reseptikeskuksessa olevien virheellisten tietojen oikaiseminen 
Potilaan oikeudesta tutustua häntä itseään koskeviin reseptikeskuksessa oleviin tietoihin, säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, 15 artiklassa ja tietosuojalain (1050/2018) 34 §:ssä. 
Reseptikeskuksessa olevien virheellisten tietojen oikaisemisesta säädetään 10 §:ssä ja tietosuoja-asetuksen 16 artiklassa. Jos potilas tai hänen laillinen edustajansa vaatii tiedon oikaisua tietosuoja-asetuksen 16 artiklan perusteella ja virheellinen tieto perustuu lääkkeen määrääjän tai lääkkeen toimittajan tekemään merkintään, vaatimus oikaisemisesta on osoitettava virheellisen merkinnän tehneelle henkilölle tai sille organisaatiolle, jonka palveluksessa virheen tehnyt henkilö on ollut virheen tehdessään. 
Potilaalla on oikeus pyynnöstä saada lokitietojen perusteella tieto siitä, ketkä ovat käsitelleet ja katselleet häntä koskevia reseptikeskuksessa tai asiakastietolain 12 §:ssä tarkoitetussa tahdonilmaisupalvelussa olevia tietoja. Potilaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos lokitietojen luovuttajan tiedossa on, että lokitietojen antamisesta saattaisi aiheutua vakavaa vaaraa potilaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, ellei siihen ole erityistä syytä. Potilas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun käyttötarkoitukseen. Kansaneläkelaitoksen on annettava tiedot viivytyksettä. Tietojen antamisesta ei saa periä maksua. Jos potilas pyytää uudelleen tietoja, jotka hän on jo saanut, hänellä on oikeus saada tiedot vain, jos siihen on perusteltu syy hänen etujensa tai oikeuksiensa toteuttamiseksi. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti. Kansaneläkelaitos saa periä uudelleen annettavista tiedoista maksun, joka ei saa ylittää tietojen antamisesta aiheutuvia kustannuksia. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
16 a §  
Tahdonilmaisupalvelu Valiokunta ehdottaa sisältöä poistettavaksi ja tiedonhallintapalvelu Poistoehdotus päättyy 
Asiakastietolain 12 §:ssä tarkoitettuun tahdonilmaisupalveluun tallennetaan tiedot potilaan tekemistä kielloista, informoinneista ja suostumuksista. Valiokunta ehdottaa sisältöä poistettavaksi Asiakastietolain 11 §:ssa tarkoitetun tiedonhallintapalvelun kautta voidaan näyttää tiedot reseptikeskuksessa olevista lääkemääräyksistä ja niiden toimitustiedoista siinä laajuudessa kuin tämän lain 13 §:ssä säädetään. Tietoja saa käyttää määrättäessä potilaalle lääkettä sekä järjestettäessä ja toteutettaessa potilaan terveyden- ja sairaanhoitoa. Poistoehdotus päättyy 
17 § 
Kansalaisen käyttöliittymä 
Potilaalle annetaan kansalaisen käyttöliittymän avulla tiedot hänen reseptikeskukseen tallennetuista lääkemääräyksistä ja niihin liitetyistä korjaus- ja toimitusmerkinnöistä, Valiokunta ehdottaa sisältöä muutettavaksi tiedot lopetetuista lääkemääräyksistä, Muutosehdotus päättyy tiedot kielloista sekä luovutuslokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja sekä niitä luovutuslokitietoja, joita potilaalla ei 16 §:n 3 momentin mukaan ole oikeutta saada. Sähköisestä asioinnista ja tietojen käsittelystä toisen puolesta säädetään asiakastietolain 23 §:ssä. Valiokunta ehdottaa sisältöä muutettavaksi Henkilölle annetaan käyttöliittymän avulla hänen puolestaan asioineen henkilön nimi. Muutosehdotus päättyy 
Potilas voi lisäksi käyttöliittymän välityksellä: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2) antaa ja peruuttaa 13 §:ssä tarkoitetun kiellon; sekä  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Kansalaisen käyttöliittymä tulee toteuttaa siten, että potilaan yksityisyyden suoja ei vaarannu. Alaikäisen potilaan tiedot saa luovuttaa käyttöliittymän kautta potilaan lisäksi hänen huoltajalleen tai muulle lailliselle edustajalleen. Tietojen luovutuksessa on tällöin otettava huomioon, mitä potilaslain 9 §:n 2 momentissa säädetään alaikäisen potilaan oikeudesta kieltää terveydentilaansa koskevien tietojen antaminen potilaan huoltajalle tai muulle lailliselle edustajalle. Tietojen saanti käyttöliittymän avulla ei saa vaikuttaa potilaan oikeuteen tutustua häntä itseään koskeviin tietoihin. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
18 § 
Reseptikeskuksen rekisterinpitäjyys 
Reseptikeskus on Kansaneläkelaitoksen, apteekkien ja sähköisiä lääkemääräyksiä laativien palvelunantajien ja itsenäisten lääkkeen määrääjien yhteisrekisteri. 
Kansaneläkelaitos vastaa reseptikeskuksessa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä. 
Sähköisiä lääkemääräyksiä laativa palvelunantaja ja itsenäinen lääkkeen määrääjä vastaavat reseptikeskukseen tallennettavan lääkemääräyksen tietojen oikeellisuudesta. Lääkkeen toimittanut apteekki vastaa reseptikeskukseen tallennettavien toimitustietojen oikeellisuudesta.  
Kansaneläkelaitos vastaa tietosuoja-asetuksessa rekisterinpitäjälle säädetyistä muista kuin tässä laissa apteekeille ja sähköisiä lääkemääräyksiä laativille palvelunantajille ja itsenäisille lääkkeen määrääjille asetetuista velvoitteista. Kansaneläkelaitos toimii lisäksi tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena rekisteröidyn yhteyspisteenä. 
19 § 
Tietojen säilyttäminen 
Reseptikeskukseen tallennetut asiakirjat ja niitä koskevat tiedot säilytetään reseptikeskuksessa 20 vuotta. Terveydenhuollon palvelunantajien ja apteekkien velvollisuudesta säilyttää tietoja lääkemääräyksistä säädetään erikseen. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
22 a § 
Tietojärjestelmien ja ohjelmistojen hyväksyntä ja käyttöönotto 
Sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettävät tietojärjestelmät ja niitä tukevat ohjelmistot sekä reseptikeskus ja lääketietokanta on ennen niiden käyttöönottoa tarkastettava tai arvioitava potilastietojen salassapidon, tietoturvan ja yhteentoimivuuden varmistamiseksi asiakastietolain 6 ja 7 luvun mukaisesti. 
22 b § 
Tietoturvasuunnitelma 
Sähköisiä lääkemääräyksiä laativien palvelunantajien, apteekkien ja Kansaneläkelaitoksen ja asiakastietojen välityspalvelun tuottajien on laadittava tietoturvasuunnitelma potilastietojen salassapidon ja tietoturvan varmistamiseksi asiakastietolain 27 §:n mukaisesti sekä seurattava toimintaa ja ilmoitettava poikkeamista mainitun lain 41 §:n mukaisesti. 
23 §  
Sosiaali- tai terveydenhuollossa luovutettavat lääkkeet 
Sosiaali- tai terveydenhuollon palvelunantajan potilaalle luovuttamia lääkkeitä koskevat tiedot saa tallentaa reseptikeskukseen. Näitä lääkkeitä koskevien tietojen tallentamisessa reseptikeskukseen sovelletaan muutoin, mitä tässä laissa säädetään sähköisestä lääkemääräyksestä. Sosiaali- tai terveydenhuollon palvelunantaja vastaa potilaalle luovuttamiensa lääkkeitä koskevien tietojen oikeellisuudesta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
23 a §  
Rajat ylittävä sähköinen lääkemääräys 
Muualla kuin Suomessa laadittu sähköinen lääkemääräys saadaan hyväksyä ja toimittaa Suomessa toimivassa apteekissa, vaikka lääkemääräys ei täyttäisi kaikkia tässä laissa sähköiselle lääkemääräykselle säädettyjä vaatimuksia. Hyväksymisen edellytyksenä on kuitenkin, että se täyttää Euroopan unionissa hyväksytyt tai Euroopan unionin jäsenvaltioiden ja Euroopan talousalueeseen kuuluvien valtioiden kesken sovitut vaatimukset ja lääkemääräys välitetään suomalaiseen apteekkiin lääkemääräyksen oikeellisuuden varmistavan ulkomaisen ja Suomen kansallisen yhteyspisteen kautta. Edellytyksenä lääkemääräyksen luovuttamiselle ulkomaille on, että luovutus tapahtuu Suomen ja vastaanottajamaan kansallisen yhteyspisteen kautta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
2) sähköisen lääkemääräyksen luovuttamisesta toisen valtion kansalliselle yhteyspisteelle; sekä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
24 §  
Ohjaus, seuranta ja valvonta 
Sähköisen lääkemääräyksen ja tässä laissa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen järjestämisen ja toteuttamisen yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle. Asiakastietolain 6 §:ssä tarkoitetun Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Valiokunta ehdottaa sisältöä poistettavaksi Reseptikeskuksen rekisterinpitäjän on omalta osaltaan seurattava ja valvottava, että sen antamaan palveluun liittyvä tietosuoja toteutuu siten kuin siitä säädetään tässä laissa, henkilötietolaissa ja muualla lainsäädännössä. Lisäksi terveydenhuollon toimintayksikön, sosiaalihuollon toimintayksikön ja apteekin on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain tämän lain mukaan siihen oikeutetut ja että tietojen katselu ja käsittely tapahtuu tässä laissa säädetyillä perusteilla. Poistoehdotus päättyy Rekisterinpitäjän, toimintayksikön ja apteekin tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut reseptikeskuksessa olevia tietoja. Seurannan ja valvonnan toteuttamiseksi Valiokunta ehdottaa sisältöä muutettavaksi sosiaali- ja terveydenhuollon palvelunantajilla Muutosehdotus päättyy ja apteekilla on oikeus saada Kansaneläkelaitokselta lokitiedot siltä osin kuin asianomaisen toimintayksikön ja apteekin henkilökunta on katsellut ja käsitellyt reseptikeskuksessa olevia tietoja.  
Palvelunantajan vastaavan johtajanValiokunta ehdottaa sisältöä muutettavaksi , Muutosehdotus päättyy apteekkarin Valiokunta ehdottaa sisältöä muutettavaksi sekä Kansaneläkelaitoksen Muutosehdotus päättyy tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilastietoja käsiteltäessä. Palvelunantajan ja apteekin seuranta- ja valvontatehtävää varten nimettävästä tietosuojavastaavasta säädetään tietosuoja-asetuksen 37 artiklassa. 
25 § 
Maksut 
Sähköisen lääkemääräyksen ja sen toimitustietojen tallentamisesta, tässä laissa tarkoitetusta varmentamisesta sekä reseptikeskuksen ja lääketietokannan tietojen käytöstä peritään palvelun tuottamisesta aiheutuvien kustannusten määrää vastaava maksu. Maksun tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Maksun perii Kansaneläkelaitos. Kunnallisen terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Sen estämättä, mitä valtion maksuperustelain (150/1992) 10 §:ssä säädetään, Kansaneläkelaitoksen perimistä maksuista säädetään sosiaali- ja terveysministeriön asetuksella siten, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Asiakastietolain 6 §:ssä tarkoitetuista Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Lain 13 §:n 5 momentin mukaista tietojen luovuttamista hyvinvointisovelluksen kautta sovelletaan viimeistään 1 joulukuuta 2022. 
Lain 23 a §:ää sovelletaan 1 päivästä tammikuuta 2023. 
 Lakiehdotus päättyy 

4. Laki terveydenhuoltolain 9 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan terveydenhuoltolain (1326/2010) 9 §:n 4 momentti seuraavasti: 
9 §  
Potilastietorekisteri ja potilastietojen käsittely 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Käytettäessä toisen terveydenhuollon palvelunantajan tietoja tietojärjestelmien välityksellä, potilastietojen käyttöä on seurattava sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain ( / ) 25 §:ssä edellytetyllä tavalla. Hoitosuhde potilaan ja luovutuspyynnön tekijän välillä on varmistettava tietoteknisesti. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

5. Laki lastensuojelulain 25 b §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan lastensuojelulain (417/2007) 25 b §, sellaisena kuin se on laissa 1302/2014, seuraavasti: 
25 b §  
Lastensuojeluilmoitusten tallentaminen sosiaalihuollon asiakasrekisteriin 
Lastensuojeluilmoitukset talletetaan sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 22 §:n mukaisesti mainitussa laissa tarkoitettuun sosiaalihuollon asiakasrekisteriin. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

6. Laki potilaan asemasta ja oikeuksista annetun lain 13 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 a §, sellaisena kuin se on laissa 1230/2010, seuraavasti: 
13 a §  
Valtakunnalliset tietojärjestelmäpalvelut 
Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa ( / ). Kansaneläkelaitoksen ylläpitämään reseptikeskukseen tallennettujen lääkemääräysten tietojen luovuttamisesta säädetään sähköisestä lääkemääräyksestä annetussa laissa (61/2007). 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

7. Laki Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain 2 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan Sosiaali- ja terveysalan lupa- ja valvontavirastosta annetun lain (669/2008) 2 §:n 1 momentin 1 kohta, sellaisena kuin se on laissa Valiokunta ehdottaa sisältöä muutettavaksi 1263/2010 Muutosehdotus päättyy, seuraavasti: 
2 §  
Tehtävät 
Viraston tehtävänä on huolehtia: 
1) terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994), sosiaalihuollon ammattihenkilöistä annetussa laissa (817/2015), kansanterveyslaissa (66/1972), työterveyshuoltolaissa (1383/2001), erikoissairaanhoitolaissa (1062/1989), terveydenhuoltolaissa (1326/2010), mielenterveyslaissa (1116/1990), yksityisestä terveydenhuollosta annetussa laissa (152/1990), tartuntatautilaissa (1227/2016), terveydenhuollon järjestämisestä puolustusvoimissa annetussa laissa (322/1987), sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa ( / ), sähköisestä lääkemääräyksestä annetussa laissa (61/2007), sosiaalihuoltolaissa (1301/2014), yksityisistä sosiaalipalveluista annetussa laissa (922/2011), kehitysvammaisten erityishuollosta annetussa laissa (519/1977), terveydensuojelulaissa (763/1994), alkoholilaissa (1102/2017), tupakkalaissa (549/2016)Valiokunta ehdottaa sisältöä poistettavaksi , geenitekniikkalaissa (377/1995), terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010) Poistoehdotus päättyy ja Vankiterveydenhuollon yksiköstä annetussa laissa (1635/2015) sille säädetystä lupahallinnosta, ohjauksesta ja valvonnasta; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

8. Laki Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
lisätään sosiaalihuollon asiakkaan asemasta ja oikeuksista annettuun lakiin (812/2000) uusi 14 a §, seuraavasti: 
14 a §  
Valtakunnalliset tietojärjestelmäpalvelut 
Sosiaalihuollon asiakirjoihin sisältyvien tietojen luovuttamisesta valtakunnallisten tietojärjestelmäpalvelujen avulla säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa ( / ). 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

Valiokunnan uusi lakiehdotus

Valiokunta ehdottaa sisältöä muutettavaksi 9. Muutosehdotus päättyy Valiokunta ehdottaa sisältöä muutettavaksi Laki Muutosehdotus päättyy Valiokunta ehdottaa sisältöä muutettavaksi sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain 55 §:n muuttamisesta Muutosehdotus päättyy 

Valiokunta ehdottaa sisältöä muutettavaksi Eduskunnan päätöksen mukaisesti Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi muutetaan Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi  sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 55 §:n 5 momentti seuraavasti: Muutosehdotus päättyy 
55 §  
Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Potilaalla on oikeus kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kielto kirjataan Valiokunta ehdottaa sisältöä muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (   /    ) 12  Muutosehdotus päättyy§:ssä tarkoitettuun Valiokunta ehdottaa sisältöä muutettavaksi tahdonilmaisupalveluun Muutosehdotus päättyy. Potilas voi tehdä kiellon kirjallisesti missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä taikka sähköisesti asiakastietolain 19 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä. 
 Voimaantulopykälä tai –säännös alkaa 
Valiokunta ehdottaa sisältöä muutettavaksi Tämä laki tulee voimaan päivänä kuuta 20 . Muutosehdotus päättyy 
 Lakiehdotus päättyy 

Valiokunnan lausumaehdotus

Eduskunta edellyttää, että hallitus kiirehtii sosiaali- ja terveydenhuollon tiedonhallintaa koskevan sääntelyn kokonaisuudistuksen valmistelua.  
Helsingissä 12.5.2021 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Markus Lohi kesk 
 
Mia Laiho kok 
 jäsen 
Anna-Kaisa Ikonen kok 
 jäsen 
Arja Juvonen ps 
 jäsen 
Pia Kauma kok 
 jäsen 
Noora Koponen vihr 
 jäsen 
Aki Lindén sd 
 jäsen 
Hanna-Leena Mattila kesk 
 jäsen 
Ilmari Nurminen sd 
 jäsen 
Veronica Rehn-Kivi 
 jäsen 
Minna Reijonen ps 
 jäsen 
Heidi Viljanen sd 
 jäsen 
Sofia Virta vihr 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Päivi Salo