Lagförslag LF 28/2024-2025
|
|
| ||
|
| LAGFÖRSLAG nr 28/2024-2025 | ||
|
| Datum |
| |
|
| 2025-09-11 |
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| Till Ålands lagting |
| |
|
| |||
|
| |||
|
| |||
|
| |||
En sammanhållen lagstiftning för behandling av kunduppgifter inom socialvården och hälso- och sjukvården
Huvudsakligt innehåll
Landskapsregeringen föreslår att lagtinget antar en ny landskapslag, varigenom rikets lag om behandling av kunduppgifter inom social- och hälsovården, med vissa avvikelser, görs tillämplig på Åland.
Det övergripande syftet med föreliggande lagförslag är att förenhetliga den nuvarande fragmenterade och sektorspecifika lagstiftningen om behandling av klient- och patientuppgifter inom socialvården och hälso- och sjukvården. Genom den föreslagna blankettlagen sammanförs bestämmelserna om bland annat rätten att ta del av uppgifter, utlämnande av uppgifter och yrkesutbildade personers skyldighet att anteckna kunduppgifter inom socialvården och hälso- och sjukvården. Detta medför ett behov av tekniska följdändringar i ett antal landskapslagar. Det föreslås bland annat att landskapslagen om klienthandlingar inom socialvården ska upphävas i sin helhet.
Den föreslagna blankettlagen innehåller även bestämmelser om användningen av informationssystem inom vården. Som ett led i moderniseringen av den digitala infrastrukturen, och för att främja en bättre samordning inom vården, åläggs tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att ansluta sig till de riksomfattande Kanta-tjänsterna inom de tidsfrister som anges i blankettlagen.
Avsikten är att den föreslagna blankettlagen, jämte därav föranledda ändringar i befintlig landskapslagstiftning, ska träda i kraft den 1 januari 2026.
INNEHÅLL
1.1 Enhetliga regler för behandling av kunduppgifter inom socialvården och hälso- och sjukvården
1.2 Den digitala utvecklingen inom vårdsektorn i riket och på Åland
1.4 Socialvårdens och hälso- och sjukvårdens organisering på Åland och i riket
2. Kunduppgiftslagen och dess uppbyggnad
3.3 Det myndighetsövergripande samarbetet mellan hälso- och sjukvården och socialvården
4.2 NIS 2-direktivet om cybersäkerhet
4.3 EHDS-förordningen om det europeiska hälsodataområdet
4.4 eIDAS-förordningen om elektronisk identifiering
5. Landskapsregeringens överväganden och förslag
5.2 Särskilt om sekretessgränser och rättsliga grunder för behandling av kunduppgifter
5.4 Bedömning av alternativa handlingsvägar och ändamålsenlig lagstiftningsteknik
5.5 Landskapsregeringens förslag
6. Uppgifts- och ansvarsfördelningen mellan myndigheter avseende Kanta-tjänsterna
7.1 Administrativa konsekvenser
7.2 Konsekvenser för den enskilde patienten och klienten
7.4 Konsekvenser för den äldre befolkningsgruppen och personer med funktionsnedsättning
6. Landskapslag om ändring av 17 § landskapslagen om yrkesutbildade personer inom socialvården
7. Landskapslag om ändring av 40 och 41 §§ landskapslagen om socialvård
L A N D S K A P S L A G om ändring av 40 och 41 §§ landskapslagen om socialvård
Bilaga - lag om behandling av kunduppgifter inom social- och hälsovården
LAG om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023)
Allmän motivering
1. Bakgrund
1.1 Enhetliga regler för behandling av kunduppgifter inom socialvården och hälso- och sjukvården
Det av riksregeringen uppsatta målet att sammanställa det splittrade regelverket för informationshantering inom hälso- och sjukvården och socialvården i en enhetlig och strukturerad lag förverkligades den 1 januari 2024, då lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023), nedan kallad kunduppgiftslagen, trädde i kraft. I kunduppgiftslagen har samlats bestämmelser om dataskydd, sekretess, hantering av klient- och patienthandlingar och om användningen av informationssystem inom socialvården och hälso- och sjukvården. Kunduppgiftslagen ska tillämpas på all behandling[1] av patient- och klientuppgifter[2] som sker inom hälso- och sjukvården och socialvården. I lagen regleras även behandlingen av de uppgifter som kunden, dvs. patienten eller klienten, själv producerar om sitt välbefinnande med hjälp av olika välbefinnandeapplikationer.
Genom kunduppgiftslagen regleras också situationer och förhållanden, varom det tidigare saknats bestämmelser på lagnivå. Häribland kan nämnas behandlingen av kunduppgifter i situationer där hälso- och sjukvård ges i samband med socialservice, och ansvaret för bevarandet av kundhandlingar efter det att en tjänstetillhandahållare inom hälso- och sjukvården eller socialvården avslutat sin verksamhet. Till kunduppgiftslagen har dessutom fogats preciserande bestämmelser om skyldigheten att göra anteckningar i klient- och journalhandlingar, samtidigt som större klarhet skapats i rätten att få information vid det sektorsövergripande samarbetet mellan socialvården och hälso-och sjukvården. Därutöver har bevarandetiderna för kundhandlingar i bilagan till kunduppgiftslagen uppdaterats utifrån gällande dataskyddslagstiftning och praxis.
Utöver kunduppgiftslagen regleras behandlingen av kunduppgifter inom socialvården och hälso- och sjukvården i social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården (FFS 457/2024), som främst innehåller bestämmelser om åtkomsträttigheter, dvs. rätten för yrkesutbildade personer, och andra personer som arbetar inom vården, att få tillgång till kunduppgifter.
De centrala principerna om patientens självbestämmanderätt och rättssäkerhet i kontakten med hälso- och sjukvården finns fortfarande i lagen om patientens ställning och rättigheter (FFS 785/1992), nedan kallad rikets patientlag. De grundläggande bestämmelserna om journalföring, förvaring av journalhandlingar, sekretess och tystnadsplikt har däremot upphävts och överförts, med vissa materiella ändringar, till kunduppgiftslagen. Samma lagtekniska manöver utfördes också på de bestämmelser i rikets patientlag som hänför sig till dataskydd och säkerställandet av patientens personliga integritet. De bestämmelser som tidigare fanns i social- och hälsovårdsministeriets förordning om journalhandlingar (FFS 94/2022), som gjorts tillämplig på Åland genom patientlagen[3], har antingen upphävts eller lyfts upp till kunduppgiftslagen.
Vad gäller socialvårdslagstiftningen, har bestämmelser om handlingssekretess, informationshantering, dataskydd och utlämnande av klienthandlingar överförts från lagen om klientens ställning och rättigheter inom socialvården (FFS 812/2000), nedan kallad rikets klientlag, till kunduppgiftslagen. Till övriga delar förblev rikets klientlag i kraft. Eftersom kunduppgiftslagen innehåller detaljerade bestämmelser om anteckning av klientuppgifter inom socialvården, har lagen om klienthandlingar inom socialvården (FFS 254/2015) upphävts.
Kunduppgiftslagens 9 ̶ 13 kap. utgör ett relativt omfattande regelkomplex, som huvudsakligen består av bestämmelser om de riksomfattande informationssystemtjänsterna (Kanta-tjänsterna), deras användningsändamål, ibruktagande och övervakning.
Kunduppgiftslagens ikraftträdande i riket har också aktualiserat frågan om att förenhetliga de åländska bestämmelserna om behandling av klient- och patientuppgifter inom socialvården och hälso- och sjukvården. Dessa bestämmelser finns i dagsläget utspridda på ett flertal sektorspecifika speciallagar.
1.2 Den digitala utvecklingen inom vårdsektorn i riket och på Åland
År 2010 kan ses som startpunkten för den elektroniska behandlingen av kunduppgifter inom social- och hälsovården i riket. Då förskrevs det första elektroniska receptet i det nylanserade Kanta-systemet, samtidigt som medborgarnas webbtjänst MittKanta togs i bruk. Från att i början ha varit ett relativt enkelt elektroniskt patientdatalager för den offentliga hälso- och sjukvården, har Kanta-systemet sedermera expanderat till att omfatta hela 10 separata tjänster, som kan användas av såväl offentliga som privata tillhandahållare av socialvårds- och hälso- och sjukvårdstjänster. Kanta-tjänsternas arkitektur och funktionssätt har också genomgått stora tekniska förändringar under de gångna 10 åren, mycket på grund av att nya standarder tillkommit i takt med den tilltagande digitaliseringen och EU:s arbete med att införa ett gemensamt hälsodataområde för alla medlemsstater.
Alla insatser som ges i hälso- och sjukvården och socialvården ska först antecknas i tjänstetillhandahållarens egna vårdinformationssystem i enlighet med de koder, klasser och termer som fastställts av Institutet för hälsa och välfärd (THL). Det är meningen att alla kunduppgifter som uppkommer inom den offentliga och privata hälso- och sjukvården och socialvården, och som förts in i ett eget eller ett gemensamt vårdinformationssystem, ska lagras i Kanta-tjänsterna, för att på så sätt bli tillgängliga i realtid för vårdpersonalen. En förutsättning för att kunna använda och utnyttja Kanta-tjänsterna är att det vid dokumentationen av kunduppgifter används nationellt överenskomna och enhetliga datastrukturer.
I en tid som präglas av tilltagande rörlighet är det viktigt att uppgifterna kan följa med kunden när hen flyttar mellan olika regioner i Finland[4] och EU. I Kanta-tjänsterna kan medborgarna följa sin behandling och sköta sina ärenden digitalt, oberoende av geografiskt avstånd. Enligt huvudregeln får dock utlämnande av kunduppgifter från Kanta-tjänsterna till andra tjänstetillhandahållare endast ske under förutsättning att kunden gett sitt uttryckliga tillstånd till detta. Kunden har också rätt att få tillgång till sina uppgifter via ett särskilt medborgargränssnitt, den s.k. MittKanta-tjänsten. Kundens tillstånd och förbud mot utlämnande av egna uppgifter lagras i den s.k. viljeyttringstjänsten. I Kanta-tjänsterna ingår också en recepttjänst, läkemedelsdatabas och en separat informationshanteringstjänst, varigenom det kan produceras sammandrag av patientuppgifter för genomförande av patientens vård. Alla system som ingår i Kanta-helheten, inklusive de vårdinformationssystem som tillhör lokala tjänstetillhandahållare, är integrerade med varandra via meddelandeförmedlingsgränssnittet.
Införandet av Kanta-tjänsterna inom socialvården i riket har framskridit något långsammare än vad som är fallet med hälso- och sjukvården. Det är emellertid meningen att såväl offentliga som privata tillhandahållare av socialvårdstjänster ska ansluta sig som användare av Kanta-systemets informationsresurs för klientuppgifter senast den 1 september 2026, eller senast när skyldigheten att lagra klientuppgifter börjar enligt 102 § i kunduppgiftslagen. Av förenämnda lagrum framgår även att överföringen av information mellan socialvården och hälso- och sjukvården ska förverkligas i Kanta-tjänsterna senast den 1 januari 2027. Kunden ska kunna se sina uppgifter i MittKanta-tjänsten senast när tjänstetillhandahållarnas skyldighet att lagra kunduppgifter i Kanta inträder.
De Kanta-tjänster som i dagsläget används på Åland är uteslutande avsedda för apoteksverksamheten; receptcentret används av både ÅHS och privata tillhandahållare av hälso- och sjukvård i samband med elektroniska recept. Läkemedelsdatabasen används främst av de privata apoteken. Vad gäller övriga delar av den åländska vårdapparaten, saknas en gemensam informationssystemtjänst motsvarande Kanta i riket. De nuvarande klient- och patientdatasystemen, dvs. vårdinformationssystemen, utgör separata helheter som inte möjliggör en ändamålsenlig användning av uppgifter, t.ex. inom ramen för det sektorsövergripande samarbetet mellan socialvården och hälso- och sjukvården. Följaktligen kan patientuppgifter som antecknas inom socialvården inte ses av hälso- och sjukvårdspersonalen. Detsamma gäller för aktörer inom socialvården, som inte kan se klientuppgifter som antecknats i hälso- och sjukvårdens journalhandlingar. Att uppgifterna är åtskilda i olika kundregister och hanteras i separata vårdinformationssystem, medför också att uppgifterna inte upplevs vara enhetliga och att det är svårt att bilda sig en uppfattning om helheten.
1.3 Landskapsregeringens tidigare bedömningar avseende behandlingen av patient- och klientuppgifter inom hälso- och sjukvården och socialvården på Åland
Landskapsregeringen beslöt den 12 januari 2021 att tillsätta en arbetsgrupp bestående av tjänstemän inom allmänna förvaltningen och lagberedningen, för att utreda olika sätt att reglera elektronisk behandling av kunduppgifter inom socialvården och hälso- och sjukvården. Arbetsgruppens arbete utmynnade under samma år i rapporten Underlag för en lag om elektronisk behandling av klient- och patientuppgifter inom social- och hälsovården[5]. Parallellt med förenämnda arbete pågick en utredning med särskilt fokus på informationshanteringsfrågor. Den sistnämnda utredningen resulterade sedermera i en ny informationshanteringslag för Åland. Arbetsgruppen konstaterar i sin rapport att fördelningen av lagstiftningsbehörigheten mellan riket och landskapet inom området informationshantering är av betydelse för hur en landskapslag om elektronisk behandling av kunduppgifter inom socialvården och hälso- och sjukvården kan komma att utformas. Även om rapporten är inriktad på den numera upphävda lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (FFS 784/2021), är de frågeställningar som berörs i rapporten och de konklusioner som dras där alltjämt aktuella och relevanta. Arbetsgruppens samlade bedömning är att såväl den offentliga som privata hälso- och sjukvården och socialvården på Åland ska ansluta sig till Kanta-tjänsterna. Till minimikraven för en fullskalig åländsk Kanta-anslutning ansågs åtminstone höra att:
1) de digitala tjänsterna kan användas på svenska av ålänningarna och social- och hälsovårdsaktörerna på Åland,
2) de digitala tjänsterna och den digitala infrastrukturen inte kommer att på lång sikt att stå i strid med självstyrelsens grundprinciper,
3) de ekonomiska konsekvenserna är förutsägbara och rimliga i förhållande till självstyrelsens resurser,
4) de tekniska lösningarna är informationssäkrade via efterlevnad av EU:s dataskyddsförordning så att känsliga uppgifter om ålänningarnas hälsa inte kan komma att röjas, förvanskas eller förstöras, samt
5) den lagstiftnings- och förvaltningsmodell som ligger till grund för uppkopplingen och den kontinuerliga användningen av de digitala tjänsterna är ändamålsenlig, enkel och administrativt smidig. Dock måste modellen vara förenlig med behörighetsfördelningen, konstitutionella krav och andra relevanta rättsnormer.[6]
Arbetsgruppen finner att blankettlag är en lämplig och ändamålsenlig lagstiftningsform, eftersom elektronisk behandling av kunduppgifter inom socialvården och hälso- och sjukvården tangerar områden som är att hänföra till både rikets och landskapets lagstiftningsbehörighet. I vilken omfattning kunduppgiftslagen slutligen ska gälla på Åland beror enligt arbetsgruppen i stor utsträckning på hur lagstiftningsbehörigheten inom områdena informationshantering och cybersäkerhet[7] (innefattande informationssäkerhet) fördelas mellan riket och landskapet. De tillvägagångssätt som arbetsgruppen lägger fram som alternativ till en fullskalig åländsk Kanta-anslutning beskrivs och analyseras närmare i avsnitt 6.4.
1.4 Socialvårdens och hälso- och sjukvårdens organisering på Åland och i riket
Ålands hälso- och sjukvård (ÅHS) har huvudansvaret för den offentliga hälso- och sjukvården på Åland. Myndigheten är organiserad i kliniker och enheter som ligger förhållandevis nära intill varandra och som också använder ett gemensamt vårdinformationssystem. I samband med att socialvården på Åland omorganiserades år 2021 övertog KST (myndigheten för kommunalt samordnad socialtjänst) ansvaret för all den kommunala socialservice som enligt socialvårdslagen[8] ska tillhandahållas på Åland, med undantag för barnomsorg och äldreomsorg, vilka fortfarande ordnas i primärkommunens regi. Barn- och äldreomsorgen ingår m.a.o. inte i det socialvårdsområde för Åland som bildas genom samverkan mellan kommunerna i enlighet med vad som föreskrivs i landskapslagen (2016:2) om en kommunalt samordnad socialtjänst.
I samband med att social- och hälsovården i riket reformerades år 2023 överfördes ansvaret för att organisera och producera socialvårds- och hälso- och sjukvårdstjänster till välfärdsområdena, vars ställning inom statsapparaten uppvisar likheter med självstyrande områden. Välfärdsområdena är vidare indelade i olika samarbetsområden, som ska vara geografiskt sammanhängande och utgöra funktionella helheter med avseende på ordnandet och produktionen av socialvård och hälso- och sjukvård för invånarna. De välfärdsområden som är huvudmän för universitetssjukhus, inbegripet HUS-sammanslutningen, ska ingå i olika samarbetsområden. De myndigheter som ansvarar för ordnandet av socialvårds- och hälso- och sjukvårdstjänster inom ett välfärdsområde är personuppgiftsansvariga för de klient- och patientuppgifter som uppkommer i deras verksamhet eller som överförs till dem från kommuner och samkommuner. Till rikskommunernas uppgifter hör numera att, i samverkan med välfärdsområdena, främja invånarnas hälsa och välfärd.
2. Kunduppgiftslagen och dess uppbyggnad
Genom kunduppgiftslagen har behandlingen av personuppgifter inom hälso- och sjukvården respektive socialvården harmoniserats, så att bägge uppgifts-kategorierna (klient- och patientuppgifter) omfattas av samma skyldigheter i fråga om bl.a. bevarandetid, utlämnande och sekretess. När det gäller behandling av kunduppgifter, uppvisar regleringen också vissa skillnader mellan hälso- och sjukvården och socialvården, t.ex. i fråga om innehållet i de uppgifter som ska antecknas i journal- och klienthandlingarna. Eftersom lagen är avsedd att vara teknikneutral, omfattar den även sådan behandling av kunduppgifter som inte sker elektroniskt, såsom t.ex. anteckning av kunduppgifter för hand på papper. I kunduppgiftslagen tillmäts särskilt stor vikt vid informationssäkerhet, integritetsskydd och rättssäkerhet, vilket är nödvändigt med tanke på den stora mängd känsliga personuppgifter som behandlas inom hälso- och sjukvården och socialvården. Innan lagen trädde i kraft i riket den 1 januari 2024 var regleringen av informationshantering och -säkerhet inom hälso- och sjukvården och socialvården utspridd i ett flertal olika regelverk.
Sekretessbestämmelserna i kunduppgiftslagens 2 kap. har genomgått vissa materiella ändringar jämfört med den gamla kunduppgiftslagen[9]. Begreppet utomstående har fortfarande en central betydelse vid sekretessprövningar, även om själva definitionen av begreppet genomgått vissa förändringar. I kunduppgiftslagen avses med utomstående andra än sådana anställda inom social- och hälsovården eller apotek som handlar för en serviceanordnares räkning, eller på uppdrag av denne, och som deltar i servicen för eller vården av en kund.
I 3 kap. i kunduppgiftslagen finns bestämmelser om hur personuppgiftsansvaret för kunduppgifter ska fastställas i olika situationer.
I kunduppgiftslagens 4 kap. har intagits bestämmelser om kundhandlingarnas innehåll, datastrukturer, bevarande och förstörande.
I 5 kap. i kunduppgiftslagen anges de centrala principerna för anteckning av vårduppgifter i journalhandlingarna. Kapitlet innefattar även detaljerade regler om vilka uppgifter som ska antecknas och vem som har rätt att göra anteckningar i journalhandlingar.
6 kap. innehåller motsvarande bestämmelser om principerna för hantering av klienthandlingar inom socialvården och om de basuppgifter som ska antecknas i klienthandlingar.
I 7 kap. finns bestämmelser som anger hur kunduppgifter ska antecknas i gemensamma handlingar som utarbetas inom ramen för det sektorsövergripande samarbetet mellan socialvården och hälso- och sjukvården.
I 8 kap. finns också bestämmelser om gränsöverskridande utbyte av hälsodata mellan EU-länderna. Enligt 60 § i kunduppgiftslagen får patientuppgifter som ingår i Kanta-systemets informationshanteringstjänst med kundens samtycke lämnas ut till en utländsk tillhandahållare av sådana hälso- och sjukvårdstjänster som avses i artikel 14 i patientrörlighetsdirektivet[10].
Kunduppgiftslagens 9‒13 kap. innehåller bestämmelser om de riksomfattande informationssystemtjänsterna (Kanta-tjänsterna), egenkontroll av informationssäkerhet och dataskydd samt om informationssystemens och välbefinnandeapplikationernas användningsändamål, ibruktagande och övervakning.
3. Gällande landskapslagstiftning om behandling av patient- och klientuppgifter inom hälso- och sjukvården och social-vården
3.1 Hälso- och sjukvård
Bestämmelser som reglerar behandlingen av personuppgifter inom den åländska hälso- och sjukvården finns i dataskyddsförordningen och i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen, som innehåller kompletterande bestämmelser till den förenämnda EU-rättsakten. Dataskyddslagen är till sin karaktär en subsidiär lag vars bestämmelser inte ska tillämpas om det finns avvikande bestämmelser om dataskydd i annan landskapslag. I rikets patientlag, som är tillämplig på Åland genom landskapslagen (1993:61) om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter, nedan kallad patientlagen, finns de centrala principerna om patientens självbestämmanderätt och rättssäkerhet i kontakten med hälso- och sjukvården. I lagen finns även bestämmelser om hanteringen av sekretessbelagda uppgifter som ingår i journalhandlingar samt om tystnadsplikt. Med anledning av välfärdsområdesreformen tillämpas rikets patientlag på Åland i den lydelse lagen hade i riket den 31 december 2023.
Lagen om elektroniska recept (FFS 61/2007) reglerar hur recept, och därtill hänförliga anteckningar, ska hanteras i det riksomfattande elektroniska receptcentret som drivs av Folkpensionsanstalten.
Bestämmelser som möjliggör utlämnande av åländska patienters hälsouppgifter till hälsomyndigheter i andra EU-medlemsstater i situationer där patienten söker hälso- och sjukvård utanför Åland finns i landskapslagen (2014:28) om tillämpning på Åland av lagen om gränsöverskridande hälso- och sjukvård.
På yrkesutbildade personer inom hälso- och sjukvården tillämpas lagen om yrkesutbildade personer inom hälso- och sjukvården (FFS 559/1994). Lagen ska även tillämpas då en yrkesutbildad person tillhandahåller hälso- och sjukvårdstjänster i egenskap av enskild näringsidkare.
3.2 Socialvård
Grundlagsutskottet har i sin praxis intagit ståndpunkten att registrering av uppgifter om socialvårdstjänster innebär en större risk än normalt för medborgarnas privatliv och rättsskydd. Klientuppgifter har därmed, i likhet med patientuppgifter, betraktats som känsliga i konstitutionellt hänseende.[11] Detta innebär att bestämmelser om behandling av klientuppgifter inom socialvården måste utformas med samma noggrannhet och exakthet som gäller för behandlingen av andra känsliga uppgifter.
Bestämmelser som styr behandlingen av klientuppgifter inom socialvården har samlats i landskapslagen (2020:26) om klienthandlingar inom socialvården.
Lagen om klientens ställning och rättigheter inom socialvården (FFS 812/2000), som gjorts tillämplig på Åland genom landskapslagen (1995:101) om tillämpning i landskapet Åland av riksförfattningar om socialvård (nedan kallad klientlagen), innehåller grundläggande principer och förfaringssätt som ska iakttas i klient- och dataskyddsarbetet. Bestämmelserna i klientlagen gäller klienthandlingar hos både offentliga och privata tjänstetillhandahållare inom socialvården, oavsett på vilken plattform handlingarna har lagrats.
I landskapslagen (2020:12) om socialvård fastställs vilka former av socialservice kommunerna ska ordna. En del av socialservicen ordnas i form av s.k. allmän service. Dit hör äldreservice, service för barnfamiljer och service för personer i arbetsför ålder. Bestämmelser som reglerar ifrågavarande servicehelheter finns i socialvårdslagen, som också i övrigt ska fungera som en primär lag med stöd av vilken socialvård och socialservice i första hand ska tillhandahållas. Socialvårdslagen följer, med ett fåtal undantag, i huvudsak rikets socialvårdslag (FFS 1301/2014). Speciallagstiftningen, varibland som exempel kan nämnas handikappservicelagen[12], ska däremot tillämpas då den socialservice som ordnas enligt socialvårdslagen inte är tillräcklig för att möta klientens individuella behov och förutsättningar.
Adoptionslagen (FFS 22/2012), äktenskapslagen (FFS 234/1929), lagen angående vårdnad om barn och umgängesrätt (FFS 361/1983), faderskapslagen (FFS 11/2015) och lagen om underhåll för barn (FFS 704/1975) lyder under rikets lagstiftningsbehörighet enligt 27 § 7 punkten i självstyrelselagen och är därmed tillämpliga på Åland. Mentalvårdslagen (FFS 1116/1990) gäller på Åland till den del den innehåller bestämmelser som hänför sig till administrativa ingrepp i den personliga friheten, som enligt 27 § 24 punkten hör till rikets lagstiftningsbehörighet.
Förutom de ovannämnda lagarna, iakttas vid hanteringen av socialvårdsärenden och behandlingen av klientuppgifter offentlighetslagen (2021:79) för Åland, förvaltningslagen (2008:9) för landskapet Åland, de allmänna kraven på informationshantering inom den offentliga förvaltningen och dataskyddslagstiftningen.
3.3 Det myndighetsövergripande samarbetet mellan hälso- och sjukvården och socialvården
Det är i dagsläget inte ovanligt att en person är föremål för vård och behandling i en vårdprocess som involverar insatser från både socialvården och hälso- och sjukvården. Som en direkt följd därav har också behovet att utbyta information mellan de olika vårdgivarorganisationerna på Åland tilltagit markant under de senaste två decennierna. Som exempel på ett område inom vilket det myndighetsövergripande samarbetet blivit allt intensivare under de senaste åren kan nämnas hemvården, som består av socialvårdens hemservice och den hemsjukvård som tillhandahålls av ÅHS. Enligt samverkansavtalet för hemvård[13] avses med hemvård den helhet som bildas av hemservice enligt 19 § i socialvårdslagen och hemsjukvård enligt 38 § i hälso- och sjukvårdslagen. Ansvaret fördelas så att ÅHS och primärkommunerna ordnar hemvård för personer som fyllt 65 år, medan hemvård för personer under 65 år tillhandahålls av ÅHS och KST.
Enligt 1 § 2 mom. 5 och 6 punkterna i hälso- och sjukvårdslagen ska den offentliga hälso- och sjukvården sträva efter att öka klientorienteringen inom hälso- och sjukvården samt att utveckla samarbetet med den kommunala socialvården. Samarbetet ska ordnas så att kundens behov av socialvårds- och hälso- och sjukvårdstjänster tillgodoses. Att det myndighetsövergripande samarbetet mellan olika vårdinstanser är en viktig förutsättning för kommunernas långsiktiga arbete för välfärd, hälsa och förebyggande arbete, framhålls även i socialvårdsplanen för åren 2023‒2027.[14] Strukturella hinder för samarbete kan i sin tur ge upphov till negativa kringeffekter på bland annat vård- och servicekedjorna mellan kommunerna, kommunernas socialtjänst k.f. (KST) och ÅHS.
Samarbetet mellan myndigheterna inom socialvården och hälso- och sjukvården regleras närmare i de samverkansavtal som parterna ska ingå enligt 69 § i landskapslagen (2020:12) om socialvård och 19a § i landskapslagen (2011:114) om hälso- och sjukvård. Målet med samarbetet mellan ÅHS, KST och de åländska kommunerna är att servicen ska bilda en funktionell helhet ur klientens och patientens synvinkel. Bestämmelser om hur klientinformation ska antecknas inom ramen för det myndighetsövergripande samarbetet mellan ÅHS och socialvårdsmyndigheterna på Åland finns i nuläget i 6 och 7 §§ i klienthandlingslagen. Bestämmelser som möjliggör utlämnande av sekretessbelagda uppgifter till utomstående ‒ även utan klientens samtycke ‒ finns däremot i lagen om klientens ställning och rättigheter inom socialvården, som gjorts tillämplig på Åland genom landskapslagen (1995:101) om tillämpning i landskapet Åland av riksförfattningar om socialvården och i rikets patientlag, som gjorts tillämplig på Åland genom patientlagen.
4. Centrala EU-rättsakter
4.1 Dataskyddsförordningen
Rätten till skydd av personuppgifter är en grundläggande rättighet som erkänns i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.
Syftet med EU:s allmänna dataskyddsförordning[15] är att skapa en enhetlig nivå för skyddet av personuppgifter i medlemsländerna och att stärka den enskildes självbestämmande över sina personuppgifter.
Enligt artikel 32 i dataskyddsförordningen ankommer det på den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
I artiklarna 12‒22 i dataskyddsförordningen regleras den registrerades rättigheter. De registrerade har bl.a. rätt att ta del av uppgifter som samlats in om dem, kräva rättelse av felaktiga uppgifter och göra invändningar mot behandling av personuppgifter. De registrerades rättigheter är inte absoluta, utan kan i vissa situationer och på vissa villkor (som framgår t.ex. av artikel 23 i förordningen) begränsas genom nationell lag.
Kunduppgiftslagen kompletterar och preciserar dataskyddsförordningen, som förutsätter att behandling av känsliga personuppgifter för ändamålen hälso- och sjukvård och social omsorg fastställs i nationell rätt. Enligt artikel 6.3 och skäl 10 i ingressen till dataskyddsförordningen kan mer detaljerade bestämmelser antas på nationell nivå om bl.a. lagringstider och särskilda åtgärder för att tillförsäkra en laglig och rättvis behandling av personuppgifter. Vidare framgår av artikel 9.4 i dataskyddsförordningen att en medlemsstat får införa ytterligare villkor, även begränsningar, för behandlingen av uppgifter om hälsa.
4.2 NIS 2-direktivet om cybersäkerhet
Bestämmelserna om informationssystem och informationssäkerhet i kunduppgiftslagens 9 ̶ 13 kap. är avsedda att komplettera och precisera Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet), som ålägger skyldigheter för aktörer inom kritisk samhällsinfrastruktur i fråga om informationssäkerhet samt om rapportering av störningar i informationssäkerheten. NIS 2-direktivet är till sin karaktär minimiharmoniserande, vilket innebär att det nationella handlingsutrymmet är tämligen begränsat när det gäller de säkerhetsåtgärder som förutsätts enligt direktivet. Lagstiftaren ges emellertid möjlighet att anta eller behålla bestämmelser som säkerställer en högre cybersäkerhetsnivå, förutsatt att sådana bestämmelser inte står i strid med medlemsstaternas förpliktelser enligt unionsrätten. I artikel 21 i NIS 2-direktivet anges de delområden som väsentliga och viktiga entiteter ska beakta i sitt arbete med att förebygga risker som hotar säkerheten i nätverks- och informationssystem som de använder i sin verksamhet. Dessa är bl.a. incidenthantering, säkerhet i leveranskedjan och strategier för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
Kommissionen kan med stöd av artikel 24.2 anta kompletterande lagstiftning i form av delegerade akter för att ange vilka kategorier av väsentliga eller viktiga entiteter som ska vara skyldiga att använda certifierade IKT-produkter[16] eller erhålla ett certifikat.
Det finns emellertid en viss gradskillnad eller differentiering mellan väsentliga och viktiga entiteter; medan väsentliga entiteter bör omfattas av ett heltäckande tillsynssystem bestående av förhandstillsyn och efterhandstillsyn, räcker det med enklare efterhandstillsyn när viktiga entiteter ska granskas.
4.3 EHDS-förordningen om det europeiska hälsodataområdet
Europaparlamentets och rådets förordning (EU) 2025/327 om det europeiska hälsodataområdet och om ändring av direktiv 2011/24 och förordning (EU) 2024/2847 (EHDS-förordningen) trädde i kraft den 26 mars 2025 och börjar stegvis tillämpas under en övergångsperiod på sex år. Förordningen utgör en sektorspecifik komplettering till den europeiska dataförvaltningsakten[17], som konstituerar det övergripande rättsliga ramverket för delning av skyddade data inom unionens område. EHDS-förordningen syftar till att stöda och förbättra den inre marknaden för digitala hälso- och sjukvårdstjänster genom att möjliggöra användning och utbyte av elektroniska hälsouppgifter, inklusive elektroniska patientjournaler, inom unionens gränser. Eftersom det rör sig om s.k. kontrollerad datadelning (till skillnad från öppna data), måste vissa tekniska och rättsliga förutsättningar vara uppfyllda på nationell nivå innan det kan bli aktuellt att utbyta hälsouppgifter med hälso- och sjukvårdsmyndigheter i andra medlemsstater. För Ålands del kan det konstateras att det i dagsläget saknas en landskapslag om sekundär användning av personuppgifter inom hälso- och sjukvården, som skulle möjliggöra vidareanvändning av hälsouppgifter för bl.a. forskning, innovation och beslutsfattande inom det europeiska hälsodataområdet.[18] Likaså återstår ännu arbete för att bygga upp den tekniska och organisatoriska kompetens som krävs för att myndigheterna på Åland ska kunna tillgängliggöra skyddade data för vidareutnyttjande. I och med Kanta-tjänsterna, kunduppgiftslagen och lagen om sekundär användning av personuppgifter inom social- och hälsovården (FFS 552/2019) torde Finland redan ha förhållandevis goda tekniska och rättsliga förutsättningar att uppfylla de krav som EHDS-förordningen ställer på primär- och sekundäranvändning av hälsodata.
EHDS-förordningen förutsätter att varje medlemsstat utser en gemensam kontaktpunkt, som ska kunna ta emot förfrågningar eller begäranden om vidareutnyttjande av skyddad hälsoinformation och vidareförmedla dessa till de myndigheter som innehar aktuella uppgifter. Det är m.a.o. den personuppgiftsansvariga tjänstetillhandahållaren som i enlighet med nationell lagstiftning prövar om de efterfrågade uppgifterna kan tillgängliggöras.
De lagstiftningsmässiga åtgärder som behövs för att genomföra EHDS-förordningen på nationell nivå har vidtagits genom kunduppgiftslagen och därmed sammanhängande rikslagstiftning.[19] Kanta-tjänsterna är det tekniska gränssnitt, varigenom hälsouppgifter förmedlas elektroniskt mellan Finland och andra EU-medlemsstater.
4.4 eIDAS-förordningen om elektronisk identifiering
En tillförlitlig identifiering av alla parter som behöver få tillgång till hälsodata är en central förutsättning för en informationssäker behandling av personuppgifter. Syftet med Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (eIDAS- förordningen) är att uppnå en mer integrerad och säker digital inre marknad i EU genom att etablera gemensamma standarder för elektronisk identifiering i offentliga och privata tjänster. På områdena hälso- och sjukvård och socialvård har bestämmelser som kompletterar eIDAS-förordningen fogats till 8 § i kunduppgiftslagen. Bestämmelser om tillsynen över efterlevnaden av eIDAS-förordningen finns däremot i lagen om stark autentisering och betrodda elektroniska tjänster (FFS 617/2009).
I sammanhanget bör även nämnas att det europeiska hälsodataområdet (se avsnitt 4.3 ovan) grundar sig på det nya förslaget till förordning om en europeisk digital identitet[20]. Förslaget innebär förbättringar på området elektronisk identifiering, och syftar till att möjliggöra bättre mekanismer för identifiering av fysiska personer och hälso- och sjukvårdspersonal, såväl i online- som i offline-läge.
5. Landskapsregeringens överväganden och förslag
Föreliggande lagförslag består i grova drag av två huvuddelar: I avsnitt 5.1 och 5.2 resoneras kring grundtemat att sammanföra de spridda bestämmelserna om informationshantering och dataskydd inom socialvården och hälso- och sjukvården i en lag. Mot bakgrund av de skillnader som finns mellan Åland och riket när det gäller vårdens organisation, föreslås emellertid att vissa undantag görs från kunduppgiftslagens materiella bestämmelser, t.ex. i fråga om sekretessen mellan myndigheter.
I avsnitt 5.3 och 5.4 behandlas frågor som på olika sätt anknyter till ibruktagandet av Kanta-tjänsterna på Åland.
5.1 En enhetlig och samlad lagstiftning om behandling av kunduppgifter inom socialvården och hälso- och sjukvården
Såsom ovan konstaterats, har de grundläggande bestämmelserna i rikets patientlag och klientlag om dataskydd, sekretess och hantering av klient- och patienthandlingar upphävts och överförts, med vissa smärre modifikationer, till kunduppgiftslagen. Både rikets patientlag och klientlag har gjorts tillämpliga på Åland genom blankettlagar, som innehåller förhållandevis få avvikelser från nämnda rikslagar. I fråga om journalhantering, som bl.a. innefattar upprättandet av journalhandlingar, rätten att göra anteckningar i journalhandlingar och bevarandet av journalhandlingar, är social- och hälsovårdsministeriets förordning om journalhandlingar fortfarande tillämplig på den åländska hälso- och sjukvården.[21] Vissa delar av förordningen införlivades i kunduppgiftslagen i samband med att lagen trädde i kraft. Vad gäller regelverket för behandlingen av klientuppgifter inom socialvården, kan det konstateras att landskapslagen (2020:26) om klienthandlingar inom socialvården till sitt materiella innehåll är nästintill identisk med rikets lag om klienthandlingar inom socialvården. Innehållet i den sistnämnda rikslagen har i väsentliga delar upptagits i kunduppgiftslagen.
Mot bakgrund av det ovannämnda innebär kunduppgiftslagen och dess bestämmelser om informationshantering och dataskydd framför allt en systematisering av vad som redan kan anses gälla på Åland genom ett flertal speciallagar. Därtill kommer kompletterande och preciserande bestämmelser om bl.a. personuppgiftsansvar för kunduppgifter och om skyldigheten att göra anteckningar i kundhandlingar. Att ha bestämmelserna om informationshantering och dataskydd samlade i en gemensam lag för socialvården och hälso- och sjukvården ger emellertid en bättre överskådlighet, vilket kan anses underlätta för rättstillämpningen. Eftersom den föreslagna blankettlagen, i likhet med kunduppgiftslagen, syftar till att förena bestämmelserna om behandlingen av klient- och patientuppgifter inom socialvården och hälso- och sjukvården, föreslås klienthandlingslagen bli upphävd som obehövlig. Därmed följs samma modell som anammats i riket enligt 101 § 2 mom. i kunduppgiftslagen.
Enär landskapslagstiftningen redan tidigare visat stor samstämmighet med rikslagstiftningen, ser landskapsregeringen inget behov av att i någon större utsträckning avvika från kunduppgiftslagens bestämmelser om informationshantering och dataskydd. Inte heller finner landskapsregeringen anledning att avvika från de bevarandetider för kundhandlingar som anges i bilagan till kunduppgiftslagen. Grundlagsutskottet har i sin praxis[22] ansett att bevarandetiderna/förvaringstiderna för känsliga personuppgifter ska fastställas genom lag. Inom hälso- och sjukvården på Åland tillämpas för närvarande de förvaringstider som anges i social- och hälsovårdsministeriets förordning om journalhandlingar (FFS 94/2022). På socialvårdens klienthandlingar tillämpas däremot de förvaringstider som anges i bilagan till klienthandlingslagen; dessa följer i huvudsak de tider som fastställs i den numera upphävda rikslagen om klienthandlingar inom socialvården.
Skillnader mellan riket och Åland vad gäller socialvårdens och hälso- och sjukvårdens organisering har emellertid föranlett ett behov av att göra vissa avvikelser från kunduppgiftslagens sekretessbestämmelser. De till åländska förhållanden anpassade sekretessbestämmelserna beskrivs närmare nedan i avsnitt 5.2.
Genom kunduppgiftslagen regleras också situationer och förhållanden, varom det tidigare saknats bestämmelser på lagnivå. Häribland kan nämnas behandlingen av kunduppgifter i situationer där hälso- och sjukvård ges i samband med socialservice, och ansvaret för bevarandet av kundhandlingar efter det att en tjänstetillhandahållare inom hälso- och sjukvården eller socialvården avslutat sin verksamhet. Till kunduppgiftslagen har dessutom fogats preciserande bestämmelser om rätten att få information vid sektorsövergripande samarbete.
Landskapsregeringen anser det vara av största vikt att förtroendet för hälso- och sjukvården och socialvården som helhet upprätthålls genom att bl.a. minska riskerna för obehörig åtkomst till patient- och klientuppgifter. Att kunduppgifter behandlas på flera ställen i en tjänstetillhandahållares verksamhet och dessutom även lämnas ut mellan olika verksamhetsenheter inom socialvården och hälso- och sjukvården, är alltid förenat med vissa risker. Därmed accentueras också betydelsen av enhetliga rutiner och förfarandesätt för att t.ex. hindra att utlämnande av uppgifter kan orsaka patienten eller klienten skada. I kunduppgiftslagen finns bestämmelser som syftar till att säkerställa att de informationssystem som används för behandling av kunduppgifter inom socialvården och hälso- och sjukvården är tillbörligt skyddade mot såväl intern som extern obehörig åtkomst. För att möjliggöra en effektiv kontroll av den inre sekretessen och säkerställa att endast behöriga personer har åtkomst till kunduppgifter, ska tjänstetillhandahållare samla in logguppgifter om all användning och utlämnande av kunduppgifter. Vid misstanke om missbruk av egna uppgifter, kan kunden begära att få utdrag ur loggregistren för att bl.a. kontrollera vem som haft tillgång till uppgifterna.
I kunduppgiftslagens 9 § finns grundläggande bestämmelser om behörighetsstyrning, som är ett samlingsbegrepp för de organisatoriska, administrativa och tekniska åtgärder som både lagstiftaren och den personuppgiftsansvariga tjänstetillhandahållaren ska vidta för att anpassa och begränsa åtkomsträtten till kunduppgifter. Enligt huvudregeln ska tilldelningen av åtkomsträttigheter till kunduppgifter ske med iakttagande av nödvändighets- och proportionalitetsprincipen, vilket innebär att yrkesutbildade personer och andra personer som är verksamma inom hälso- och sjukvården och socialvården har rätt att behandla kunduppgifter endast i den utsträckning det är nödvändigt för fullgörande av arbetsuppgifterna. Eftersom vårdsektorerna i riket och på Åland uppvisar stora verksamhetsmässiga och branschspecifika likheter, finns det enligt landskapsregeringens mening inte skäl att i någon större utsträckning avvika från de grundläggande reglerna för behörighetstilldelning och åtkomstkontroll som finns i social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården. Det bör i sammanhanget påpekas att flera av de riskhanteringsåtgärder som enligt kunduppgiftslagen ska vidtas för att trygga säkerheten i Kanta-tjänsterna också ingår bland de skyddsåtgärder för cybersäkerhet som anges i artikel 21 i NIS-2 direktivet. Eftersom säkerhetsfrågor med anknytning till Kanta-tjänsterna bedöms falla under rikets lagstiftningsbehörighet, finns det ytterst begränsade möjligheter att i landskapslag föreskriva om undantag från kunduppgiftslagens informationssäkerhetsbestämmelser. Det ska således ankomma på varje tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att, inom de ramar som förenämnda riksförordning anger, närmare specificera vilka nödvändiga kunduppgifter deras personal har rätt att använda. Den ovan beskrivna rättsliga systematiken ligger även i linje med 11 § i informationshanteringslagen, enligt vilken det hör till den systemansvariga myndighetens uppgifter att definiera principerna för åtkomst till informationssystemet. Med andra ord ska implementeringen av åtkomsträttigheterna även fortsättningsvis göras lokalt i tjänstetillhandahållarens vårdinformationssystem. Likaså ska vårdinformationssystemet alltjämt kontrollera att det finns en saklig anknytning mellan den vårdanställda och kunden, när den förstnämnda inleder behandlingen av kunduppgifter i systemet.[23]
Bland övriga skyddsåtgärder som syftar till att minska de risker som behandlingen av kunduppgifter medför bör nämnas tekniskt säkerställande av patient/klientrelation, fastställande av bevarandetider och tillförlitlig identifiering av fysiska personer.
Landskapsregeringen noterar att de informationssäkerhetskrav som uppställs i kunduppgiftslagen är ovillkorliga och allomfattande, såtillvida att inget avseende fästs t.ex. vid verksamhetens storlek. Följaktligen ska alla tjänstetillhandahållare inom socialvården och hälso- och sjukvården, som använder ett informationssystem för behandling av kunduppgifter och som anslutit sig till Kanta-tjänsterna, uppfylla samma krav på säkerhet vid behandling av kunduppgifter. Anledningen till detta står att finna i artikel 2 d punkten i NIS 2-direktivet, varav framgår att direktivet är tillämpligt även på sådana offentliga och privata aktörer som storleksmässigt är att betrakta som små företag[24], om en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker och få gränsöverskridande konsekvenser. Enligt landskapsregeringens mening kan tillämpningsområdet för kunduppgiftslagens säkerhetsbestämmelser anses vara tillräckligt heltäckande för att kunna ge effektiva verktyg för säkerställandet av Kanta-tjänsternas, och de därtill anslutna informationssystemens, integritet och motståndskraft mot olika typer av hot och störningar.
5.2 Särskilt om sekretessgränser och rättsliga grunder för behandling av kunduppgifter
Rätten att få och använda uppgifter om en kunds hälsa, vård och omsorg grundar sig på artiklarna 6.1 c och 9.2 h i dataskyddsförordningen. Enligt sistnämnda lagrum får känsliga uppgifter om bl.a. hälsa behandlas om det är nödvändigt för att en yrkesutövare eller annan person som omfattas av tystnadsplikt ska kunna tillhandahålla hälso- och sjukvård och socialservice samt för att förvalta hälso- och sjukvårdens och socialvårdens system. I kunduppgiftslagen förutsätts dessutom, som en integritetshöjande åtgärd, att kunden gett sin uttryckliga tillåtelse till att dennes personuppgifter behandlas. Om kunden inte gett sitt tillstånd till utlämnande i enlighet med vad som föreskrivs i lag, innebär det ett förbud mot utlämnande av alla uppgifter som rör kunden. Kunden kan dock aldrig förbjuda användningen av sina uppgifter för den personuppgiftsansvarige till vars register kunduppgifterna hör.
Tillåtelse som viljeyttring enligt kunduppgiftslagen ska inte sammanblandas med den rättsliga grunden samtycke, som tidigare krävts enligt patientlagen och klientlagen, t.ex. för att lämna ut kunduppgifter mellan socialvården och hälso- och sjukvården. Användandet av kundens samtycke som rättslig grund för behandlingen av kunduppgifter har ansetts vara både administrativt tungrott och juridiskt tveksamt.[25]I sammanhanget bör tilläggas att grundlagsutskottet vid sin behandling av kunduppgiftslagen konstaterade att ett tillstånd för utlämnande till sina verkningar motsvarar ett tidigare brett samtycke.
Enligt 12 § och 23 § 1 mom. 1 punkten i offentlighetslagen (2021:79) för Åland kan en myndighet lämna ut uppgifter ur en sekretessbelagd myndighetshandling om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få sekretessbelagda uppgifter. Kunduppgiftslagens bestämmelser om sekretess och sekretessgränser grundar sig på uppfattningen att en tjänstetillhandahållare (t.ex. myndigheter och enskilda näringsidkare) inom socialvården och hälso- och sjukvården utgör en enda verksamhetsenhet. Följaktligen krävs inget tillstånd från kunden när uppgifter lämnas ut internt inom en tjänstetillhandahållare. Regleringen skiljer sig således något från den praxis som för närvarande råder inom hälso- och sjukvården på Åland. Bestämmelserna i hälso- och sjukvårdslagens 10 § bygger nämligen på tanken att varje klinik och enhet inom ÅHS utgör separata verksamhetsenheter, som också är självständiga i förhållande till varandra. Enligt 13 §[26] i rikets patientlag får uppgifter som ingår i journalhandlingarna inte lämnas till utomstående, dvs. till personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården. På grund av det ovan beskrivna förhållandet mellan 10 § i hälso- och sjukvårdslagen och 13 § i rikets patientlag förutsätts således antingen kundens samtycke eller särskilda sekretessbrytande bestämmelser i lag, för att uppgifter ska kunna lämnas ut mellan olika verksamhetsenheter inom ÅHS. Detta har upplevts som ett hinder för en effektiv överföring av information, såväl internt inom hälso- och sjukvården som i samband med det myndighetsövergripande samarbetet med socialvården. Landskapsregeringen föreslår därför att sekretessbestämmelserna i kunduppgiftslagen ska tillämpas utan avvikelser på hälso- och sjukvården på Åland. En motsvarande tillämpning av kunduppgiftslagens sekretessbestämmelser på socialvården skulle emellertid innebära att det uppstår en sekretessgräns såväl mellan de offentliga tjänstetillhandahållarna inom socialvården som mellan ÅHS och de offentliga tjänstetillhandahållarna inom socialvården.
För att säkerställa att informationsutbytet mellan socialvårdsmyndigheterna på Åland kan ske lika smidigt och effektivt som i välfärdsområdena i riket, föreslår landskapsregeringen att det i blankettlagens 12 § intas bestämmelser som ger myndigheterna inom socialvården, dvs. KST och de primärkommuner som ansvarar för att tillhandahålla äldreomsorg, rätt att utan hinder av sekretess få sådana klientuppgifter som är nödvändiga för att ordna, producera och tillhandahålla socialvårdstjänster för en klient. En motsvarande sekretessbrytande bestämmelse föreslås bli intagen i blankettlagens 13 §, för att underlätta informationsutbytet mellan den kommunala socialvården och ÅHS när de tillhandahåller tjänster genom myndighetsövergripande samarbete. Vidare föreslås att utlämnande av uppgifter i sådana fall som avses i nämnda 12 och 13 §§ får ske utan att kunden gett sitt tillstånd därtill. I detaljmotiveringarna till 12 och 13 §§ redogörs närmare för hur de föreslagna bestämmelserna förhåller sig till grundlagsutskottets praxis i fråga om myndigheternas rätt att lämna ut och ta del av känsliga uppgifter trots sekretess.
Det ofta förekommande informationsutbytet mellan vårdmyndigheterna i riket och på Åland har tagits i beaktande i utformningen av de föreslagna 12 och 13 §§. Förslaget grundar sig på 22 § i offentlighetslagen (2021:79) för Åland enligt vilken handlingar (eller uppgifter som ingår däri) som omfattas av sekretess i riket ska hanteras i enlighet med rikslagstiftningens sekretessbestämmelser, när de kommit in till en myndighet på Åland. De sekretessbrytande bestämmelserna i 12 och 13 §§ måste också korrespondera med behörighetsfördelningen mellan riket och landskapet på det sätt som föreskrivs i 3 § 1 mom. 2 punkten i offentlighetslagen för Åland. Av nämnda lagrum följer att åländska myndigheter ska tillämpa rikslagstiftningen om sekretess när dessa utför förvaltningsuppgifter inom riksdagens lagstiftningsbehörighet. För att de sekretessbrytande reglerna ska kunna motiveras, och för att bibehålla allmänhetens förtroende för socialvården och hälso- och sjukvården, behöver integritetsstärkande åtgärder vidtas som kompensation för det uteblivna sekretesskyddet. Uppgifter som rör enskildas hälsa och personliga förhållanden måste hanteras korrekt och på ett sådant sätt att obehöriga inte kan ta del av informationen. Tjänstetillhandahållare inom vårdsektorn måste m.a.o. ha informationssäkra drifttjänster både för mottagande och utlämnande av kunduppgifter. Även det multidisciplinära samarbetet mellan socialvården och hälso- och sjukvården förutsätter en fungerande och pålitlig dataintegration mellan de olika aktörerna inom vården.
Mot bakgrund av det ovan anförda föreslås därför att en myndighets rätt att få uppgifter ska tillgodoses med hjälp av ett informationssystem som anslutits till Kanta tjänsterna eller något annat informationssystem som används av tjänstetillhandahållaren och som uppfyller de säkerhetskrav som lagstiftningen ställer.
5.3 Ibruktagandet av de digitala Kanta-tjänsterna inom hälso- och sjukvården och socialvården på Åland
I 5 § 1 mom. i informationshanteringslagen för Åland anges att landskapets myndigheter i första hand ska använda av landskapsregeringen fastställda gemensamma informationstekniska tjänster, om det inte nödvändigtvis finns behov av att använda andra tjänster i verksamheten. Enligt motiven till nämnda lagrum kan undantag från denna huvudregel göras, t.ex. när en myndighet bedriver verksamhet som delvis faller inom rikets lagstiftningsbehörighet eller till stor del utbyter information med riksmyndigheter, och av den anledningen har behov av att nyttja rikets motsvarande tjänster. Informationshanteringslagens 15 § möjliggör regelbundet återkommande elektronisk överföring av information mellan myndigheternas informationssystem, under förutsättning att överföringen sker genom användandet av standardiserad teknik, den mottagande myndigheten har en på lag grundad rätt till informationen och det vidtagits erforderliga tekniska och administrativa åtgärder för att säkerställa att endast behörig personal har tillgång till informationen.
Från rikets sida har man ända sedan Kanta-tjänsterna lanserades år 2010 varit positivt inställda till möjligheten att även kunna ansluta tjänstetillhandahållare på Åland som användare av de nämnda tjänsterna. Detta nedtecknades också i 15 § 1 mom. i den numera upphävda lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (FFS 159/2007), varav framgår att ”tillhandahållare av offentliga hälso- och sjukvårdstjänster i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna”. Lagtinget gav redan i samband med antagandet av landskapslagen om hälso- och sjukvård år 2011 sitt stöd till en eventuell framtida anslutning av Ålands hälso- och sjukvård (ÅHS) till Kanta-tjänsterna. Lagtingets principiella ståndpunkt i frågan kan tydligt utläsas av 16 § 2 mom. i landskapslagen (2011:114) om hälso- och sjukvård, som lyder: ”Ålands hälso- och sjukvård har rätt att ansluta sig till nationella och internationella elektroniska register över patientuppgifter. Dessutom fastställs i regeringsprogrammet för Åland att ”den digitala servicenivån på Åland ska närma sig nivån i landet i övrigt”.
Såsom tidigare antytts, är många av de problem som identifierats av yrkesutbildade personer inom hälso- och sjukvården och socialvården på Åland hänförliga till åtkomstbegränsningar av olika slag. De nuvarande vårdinformationssystemen som används vid vårdverksamheterna utgör separata helheter som inte möjliggör en ändamålsenlig användning av uppgifter, t.ex. inom ramen för det sektorsövergripande samarbetet mellan myndigheterna. Som en konsekvens av detta kan patientuppgifter som antecknas inom socialvården inte ses av hälso- och sjukvårdspersonalen. Detsamma gäller för aktörer inom socialvården, som inte kan se klientuppgifter som antecknats i hälso- och sjukvårdens journalhandlingar. Att uppgifterna är åtskilda i olika kundregister och hanteras i separata informationssystem, medför också att uppgifterna inte upplevs vara enhetliga och att det är svårt att bilda sig en uppfattning om helheten.
Trots att lagstiftningsbehörigheten i fråga om socialvården och hälso- och sjukvården till övervägande del tillkommer landskapet, uppvisar landskapslagstiftningen på ifrågavarande områden stora likheter med motsvarande rikslagstiftning. Denna homogenitet mellan lagstiftningshelheterna underlättar avsevärt de åländska tjänstetillhandahållarnas anslutning till och användning av Kanta-tjänsterna. Det råder inget tvivel om att det åländska lagstiftningsarbetet rörande socialvården och hälso- och sjukvården under de senaste 10 ̶ 15 åren varit inriktat på en successiv anslutning till rikets Kanta-tjänster. Den föreslagna blankettlagen markerar på sätt och vis kulminationen på detta långsiktiga och målmedvetna arbete. De åländska tjänstetillhandahållarnas anslutning till Kanta-tjänsterna ska också ses som en naturlig fortsättning på den utveckling som skett inom läkemedelsområdet under de närmaste åren. Såsom påpekats under avsnitt 1.3, har det nationella receptcentret och den därtill anslutna läkemedelsdatabasen redan tagits i bruk på Åland. För närvarande kan ålänningarna köpa receptbelagda läkemedel på apotek i bl.a. Estland, Spanien, Polen, Portugal och Kroatien.
På hälso- och sjukvårdens område måste särskild uppmärksamhet ägnas åt EU-rätten, och då i synnerhet de krav som EHDS-förordningen ställer på behandling av patientuppgifter i gränsöverskridande situationer. Såsom framgått av den föregående redogörelsen, förutsätter EHDS-förordningen att det på nationell och regional nivå finns en infrastruktur för hälsodata ‒ en s.k. regional datahubb ‒ som möjliggör interoperabel datadelning med andra hälso- och sjukvårdsmyndigheter och aktörer som är verksamma inom det europeiska hälsodataområdet. För att undvika onödiga och orimliga intrång i patientens integritet, måste den ovan beskrivna datadelningen ske under kontrollerade, säkra och transparenta former. Att Kanta-systemets datainnehåll och gränssnitt baserar sig på den internationella standarden HL7 FHIR, bör ses som en viktig säkerhetsgaranti mot sådana störningar.
Efter att EHDS-förordningen träder i kraft den 26 mars 2025 inleds en övergångsperiod som sträcker sig till mars 2031. Medlemsstaterna ska således inom loppet av sex år införa de bastjänster som krävs för att kunna dela hälsodata i hela EU. Överföringen av finländarnas hälsodata till aktörer i andra EU-medlemsstater ska ske via Kanta-tjänsterna. Med tanke på att socialpolitiken också hör till EU:s delade kompetenser kan landskapets lagstiftningsbehörighet på socialvårdens område i framtiden komma att påverkas av en motsvarande EU-rättsakt.
Flera av de tjänster som ingår i Kanta-helheten, däribland MittKanta-funktionen där kunden kan se sina uppgifter dygnet runt, har varit i bruk i över tio år. De olika tjänsterna har under årens lopp också genomgått nödvändiga riskbedömningar för att minimera osäkerheter kring datainbrott, informationsläckage eller missbruk som kan leda till en betydande kränkning av den enskildes grundläggande fri- och rättigheter. Därtill förutsätts att varje tjänstetillhandahållare upprättar en informationssäkerhetsplan i enlighet med vad som föreskrivs i 77 § 2 mom. i kunduppgiftslagen. Av planen ska bl.a. framgå hur organisationen tillgodosett de krav på dataskydd och informationssäkerhet som gäller för användningen av Kanta-tjänsterna.
Innan en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland kan ansluta sig till Kanta-tjänsterna, måste det vårdinformationssystem som verksamheten använder för elektronisk behandling av kunduppgifter ha genomgått och godkänts i en certifieringsprocess. Med certifiering avses i detta sammanhang det förfarande genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas på en riksomfattande nivå. Verifieringen utförs av ett oberoende bedömningsorgan för informationssäkerhet, som bedömer huruvida de funktionella kraven uppfylls samt om informationssystemen är säkra och interoperabla. För att datainnehållet ska kunna uppfattas likadant av alla tjänstetillhandahållare som använder Kanta-tjänsterna, måste det även finnas en semantisk interoperabilitet mellan de informationssystem som används inom socialvården och hälso- och sjukvården. Informationssystem som genomgått certifieringsprocessen med godkänt resultat antecknas i det av tillstånds- och tillsynsverket för social- och hälsovården upprätthållna registret över informationssystem som uppfyller anslutningskraven för Kanta. Ett certifieringsintyg som utfärdats av ett bedömningsorgan för informationssäkerhet torde kravmässigt ligga på samma nivå som ett europeiskt cybersäkerhetscertifikat enligt artikel 49 i cybersäkerhetsakten[27]. De centrala informationssäkerhetsaspekterna i anslutning till Kanta-tjänsterna kan sammanfattas i följande punkter:
1) specificering av användarnas roller och fullmakter
2) identifiering och verifiering av användare
3) kontroll av åtkomst till kunduppgifter och
4) (intern) uppföljning av användningen.
I samband med att tjänstetillhandahållarna inom socialvården och hälso- och sjukvården på Åland ansluter sig som användare av Kanta-tjänsterna uppstår också frågan om vilka kunduppgifter som ska överföras till den informationsresurs för kunduppgifter som avses i 65 § 1 mom. 1 punkten i kunduppgiftslagen. Enligt den rådande uppfattningen är de handlingar som en tjänstetillhandahållare upprättat eller tagit emot före tidpunkten för organisationens anslutning till Kanta-tjänsterna inte kompatibla med de datastrukturer som Institutet för hälsa och välfärd fastställt för nämnda tjänster. Som en följd av denna tekniska oförenlighet mellan Kanta-tjänsternas kodsystem och strukturen på kundhandlingarna inom den åländska vårdsektorn, kan dessa s.k. ”äldre” kundhandlingar inte lämnas ut till andra tjänstetillhandahållare via Kanta-tjänsterna. Inte heller kan de göras tillgängliga för medborgaren i MittKanta-tjänsten (medborgargränssnittet).[28] Det kan dock ur informationshanteringens, dataskyddets och informationssäkerhetens synvinkel vara befogat att i informationsresursen för kunduppgifter även bevara (under en bestämd tid) sådana kundhandlingar som uppkommit före anslutningen till Kanta-tjänsterna, varför landskapsregeringen föreslår att avvikelser inte görs från bestämmelserna i 69 § 1 mom. i kunduppgiftslagen.
Syftet med att kunduppgifter förs in i de olika Kanta-tjänsterna, däribland informationsresursen för kunduppgifter, är att ge kunden bästa möjliga vård och service. Uppgifterna ska m.a.o. användas aktivt i samband med tillhandahållandet av vårdtjänster. Att Kanta-tjänsterna genomgått vissa begreppsliga förändringar under de senaste åren, tyder på att det funnits ett behov av att understryka datalagringens tillfälliga karaktär; det som tidigare kallades patientdataarkivet har således döpts om till patiendatalagret, medan klientdataarkivet på motsvarande sätt blivit socialvårdens klientdatalager. Eftersom Kanta-helheten inte innefattar någon arkiveringstjänst per se[29], måste kunduppgifterna efter att bevaringstiden gått ut (se bilagan till kunduppgifts-lagen) antingen gallras eller exporteras tillbaka till tjänstetillhandahållaren för varaktig bevaring, dvs. arkivering. Det framgår av 10 § 1 mom. 6 punkten i informationshanteringslagen för Åland att myndigheterna ska vidta adekvata säkerhetsåtgärder för att säkerställa att dess informationsmaterial till behövliga delar kan slutförvaras i verksamhetslokaler som är tillräckligt säkra.[30] Resonemanget ovan pekar på ett grundläggande dilemma med den åländska Kanta-anslutningen; å ena sidan vore det önskvärt att ha alla kunduppgifter samlade på ett ställe i ett gemensamt system, å andra sidan anses det ha ett stort självstyrelsepolitiskt värde att kunna sörja för kundhandlingarnas permanenta bevarande i ett eget åländskt e-arkiv. Ur ett rättssäkerhetsperspektiv är det utomordentligt viktigt att kunden har en fullständig insyn i sina ärenden och möjlighet att utöva kontroll över sina egna uppgifter.
Enligt landskapsregeringens uppfattning är socialvårdens anslutning till Kanta-tjänsterna behäftad med fler osäkerhetsmoment än vad gäller hälso- och sjukvården, som kommit längre i sin integreringsprocess. Förutom de tekniska utmaningarna, däribland främst anskaffningen av ett Kanta-kompatibelt vårdinformationssystem, kan det behöva vidtas lagstiftningsåtgärder för att möjliggöra en smidig användning av Kanta-tjänsterna inom socialvårdens alla delområden. Om det finns en alltför stor diskrepans mellan rikets socialvårdslagstiftning och Ålands dito, t.ex. i terminologiskt hänseende, kan det uppstå oklarheter vid tillämpningen av det nationella klassificeringssystemet för serviceuppgifter, som ska ligga till grund för ärendehanteringen inom socialvården.[31] Det har dock antytts att den nationella klassificeringen av serviceuppgifter kan ge utrymme till en viss flexibilitet i fråga om regionala eller organisatoriska särdrag i socialvårdstjänsterna.[32] För en sådan tolkning talar även 14 § 2 mom. i rikets socialvårdslag (FFS 1301/2014) och 14 § 1 mom. 17 punkten i den åländska socialvårdslagen, enligt vilka det också kan ordnas ”annan socialservice” än de som räknas upp i paragrafen och som utgör merparten av de tjänster som ingår i klassificeringen av socialvårdens serviceuppgifter. Eftersom innehållet i dessa övriga socialvårdstjänster fastställs lokalt och kan således variera avsevärt mellan olika områden, är det inte möjligt att på förhand definiera vilka handlingar eller handlingsstrukturer som ska användas för genomförandet av ifrågavarande tjänster.
De ovan beskrivna utmaningarna ska m.a.o. inte ses som oöverkomliga för de offentliga och privata tjänstetillhandahållarna inom socialvården och hälso- och sjukvården på Åland. Den sistnämnda aktörsgruppen kan också erbjudas möjligheten att ta i bruk Kanta-tjänsterna via en gemensam eller parallell anslutning.
För Ålands vidkommande är det viktigt att säkerställa att såväl anslutningen till Kanta som den fortsatta användningen av tjänsterna sker i förenlighet med den åländska självstyrelsens grundprinciper samt att tjänsterna under alla omständigheter uppfyller kraven på digitala tjänsters och produkters tillgänglighet och användbarhet. För att skydda och säkerställa det fulla och lika åtnjutandet av dessa rättigheter, föreslår landskapsregeringen att det i blankettlagen intas särskilda språkkrav för informationssystemtjänster som används inom socialvården och hälso- och sjukvården. Det ska också vara möjligt för landskapsregeringen att av språkmässiga, informationssäkerhetsrelaterade eller andra särskilt vägande skäl (såsom t.ex. allvarliga brister i tjänsternas tillgänglighet) förelägga tjänstetillhandahållare att avbryta användningen av Kanta-tjänsterna.
Sammanfattningsvis bedömer landskapsregeringen att en åländsk anslutning till rikets Kanta-tjänster kan skapa gynnsamma synergieffekter i form av bättre informationsgång, starkare rättssäkerhet och integritetsskydd för kunden samt förbättrade verksamhetsförutsättningar för både offentliga och privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland. De tekniska och organisatoriska åtgärder som anslutningen till Kanta-tjänsterna förutsätter kan anses stå i proportion till de fördelar och det mervärde som tjänsterna tillför det åländska samhället. Landskapsregeringen föreslår därför att de offentliga och privata tjänstetillhandahållarna inom socialvården och hälso- och sjukvården på Åland åläggs att ansluta sig som användare av Kanta-tjänsterna inom de tidsfrister som anges i den föreslagna blankettlagens 23 §.
5.4 Bedömning av alternativa handlingsvägar och ändamålsenlig lagstiftningsteknik
I och med att tjänstetillhandahållare på Åland ansluter sig som användare av Kanta-tjänsterna, minskar också möjligheten att lagstifta om avvikelser från rikets social- och hälsovårdslagstiftning, t.ex. i fråga om servicesystemens uppbyggnad. Kanta-tjänsternas kodstruktur och klassificeringen av serviceuppgifter[33] förutsätter enhetlighet i så gott som alla avseenden. Ibruktagandet av Kanta-tjänsterna torde således leda till att såväl socialvård som hälso- och sjukvård i ännu större utsträckning än tidigare inordnas under rikets serviceprocesser- och strategier. Att helt utesluta en framtida Kanta-anslutning och i stället utveckla en egen digital infrastruktur för den åländska vårdsektorn, är teoretiskt sett möjligt i och med att informationshantering och cybersäkerhet ansetts falla under landskapets lagstiftningsbehörighet. En utebliven Kanta-anslutning skulle dock medföra en reell risk för att den åländska vårdsektorn hamnar utanför det nya europeiska hälsodataområdet, vilket skulle försätta den åländska patienten i ett rättsosäkert och sämre läge än patienter i övriga medlemsstater. En sådan lösning synes heller inte vara naturlig med tanke på att vissa delar av Kanta-systemet redan tagits i bruk på Åland, dvs. receptcentret, läkemedelsdatabasen och gränssnittet för professionellt bruk. Även tidsmässiga, tekniska, ekonomiska och personella aspekter talar emot alternativet att inte utvidga den nuvarande användningen av Kanta. Landskapsregeringen finner sammantaget att det inte längre är ett realistiskt alternativ att utveckla en egen åländsk digital serviceplattform för vårdsektorn, som till sitt tjänsteutbud skulle vara lika omfattande som Kanta-systemet och som dessutom skulle möjliggöra gränsöverskridande utbyte av hälsodata.[34]
Ytterligare ett tänkbart alternativ kunde vara att den åländska vårdsektorn ansluts till Kanta partiellt, dvs. att anslutningsskyldigheten enbart avser vissa tillhandahållare av socialvård och hälso- och sjukvård eller rentav bara en del av vården, t.ex. enbart hälso- och sjukvården. De väsentliga krav som ställs på informationssystem i kunduppgiftslagen kan innebära en relativt stor omställning, i synnerhet för små privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården. Det ska å andra sidan erinras om att kunduppgiftslagen är avsedd att komplettera och precisera NIS 2-direktivet på nationell nivå. Direktivets syfte är att skapa harmoniserade regler för cybersäkerhet, bl.a. inom de kritiska samhällssektorerna. I bakgrunden ligger insikten att en cyberattack eller en cyberstörning som riktas mot ett informationssystem i en medlemsstat kan få återverkningar i andra EU:s regioner. I sådana situationer ska det inte fästas något avseende vid storleken på den aktör som utsatts för attacken. Oavsett om den privata tjänstetillhandahållaren anslutit sig till Kanta-tjänsterna eller valt en egen teknisk lösning för behandling av kunduppgifter, ska informationssystemet uppfylla de krav som lagstiftningen ställer. De administrativa, tekniska och organisatoriska åtgärder som tjänstetillhandahållaren måste vidta för att upprätthålla informationssäkerheten i verksamhetens vårdinformationssystem är i stort sett desamma, oavsett om aktören anslutit sig till Kanta eller inte.
En delvis anslutning synes inte vara förenlig med den enhetlighetstanke som ligger till grund för kunduppgiftslagen. Betraktat ur kundens synvinkel skulle anammandet av en partiell lösning betyda en ojämnare servicenivå och större osäkerhet kring hur de egna uppgifterna hanteras. En sådan lösning vore knappast heller förenlig med de avsiktsförklaringar som införts i de senaste regeringsprogrammen för Åland, enligt vilka ålänningarna ska ha rätt till minst jämförbar digital utveckling och tillgänglighet som våra grannländer.
Blankettlagstiftning har generellt sett ansetts vara en ändamålsenlig regleringsform, i synnerhet vad gäller sådan lagstiftning där mervärdet av egna bestämmelser är marginell. I förevarande fall kan det konstateras att rikets lagstiftningsbehörighet i fråga om de riksomfattande Kanta-tjänsterna är nästintill exklusiv, även om lagstiftningsbehörigheten avseende dataskydd och informationshantering är delvis överlappande (eller delvis sammanfallande). Trots att utrymmet för avvikelser från kunduppgiftslagens Kanta-bestämmelser är tämligen begränsat, förutsätter särdragen i den åländska vårdsektorns styrning och organisation att vissa undantag behöver göras från andra materiella bestämmelser i kunduppgiftslagen. Mot denna bakgrund förefaller en blankettlag av blandad natur vara den mest lämpliga lagstiftningstekniken.
5.5 Landskapsregeringens förslag
Med hänsyn till ovan anförda överväganden föreslår landskapsregeringen att lagtinget antar en ny blankettlag genom vilken rikets lag om behandling av kunduppgifter inom social- och hälsovården görs tillämplig på Åland, med de avvikelser som anges i blankettlagen.
Genom blankettlagen åläggs offentliga och privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att inom bestämda tidsfrister ansluta sig som användare av de riksomfattande informationssystemtjänsterna, de så kallade Kanta-tjänsterna.
Landskapsregeringen finner sammantaget att den föreslagna blankettlagen kan bidra till att stärka kundens integritet, självbestämmande och delaktighet i vården.
6. Uppgifts- och ansvarsfördelningen mellan myndigheter avseende Kanta-tjänsterna
Avseende dataskydd ska utgångspunkten alltjämt vara att tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland också är personuppgiftsansvariga för den behandling av personuppgifter som de i egenskap av vårdgivare utför.[35] Denna huvudregel, som framgår av 13 § i kunduppgiftslagen, ska bl.a. gälla för den behandling av personuppgifter som sker i den riksomfattande informationsresursen för kunduppgifter som avses i 65 § 1 mom. 1 punkten i kunduppgiftslagen. En privat tjänstetillhandahållare kan vara personuppgiftsansvarig för kunduppgifter endast när det är fråga om privat social- eller hälso- och sjukvårdsservice som grundar sig på ett avtal mellan tjänstetillhandahållaren och kunden i fråga.
Enligt kunduppgiftslagens 70, 71, 72 och 75 §§ uppkommer emellertid ett gemensamt personuppgiftsansvar mellan en tjänstetillhandahållare och Folkpensionsanstalten när kunduppgifter behandlas i Kanta-systemets utlämningsloggar, informationshanteringstjänst, viljeyttringstjänst och gränssnittet för professionell användning av elektroniska recept. I dessa fall ankommer det på tjänstetillhandahållaren att fastställa ändamålen för personuppgiftsbehandlingen och ombesörja uppgifternas riktighet, medan Folkpensionsanstalten ansvarar för säkerställandet av informationssäkerheten för kunduppgifterna (innefattandes bl.a. nätövervakning och övervakning av logguppgifter) samt för den tillfälliga bevaringen av uppgifterna. En viktig del av informationssäkerhetsansvaret handlar om att säkerställa kunduppgifternas integritet, tillgänglighet och användbarhet i Kanta-tjänsterna. Det är av utomordentligt stor vikt att kunduppgifterna behåller sin oförvanskade (autentiska) form under hela den tid de ska bevaras i Kanta-tjänsterna. Med tanke på att dataskydd är att hänföra till landskapets lagstiftningsbehörighet, till den del behandlingen av personuppgifter sker inom områden där landskapet har behörighet att lagstifta, torde ett dylikt arrangemang som grundar sig på ett gemensamt personuppgiftsansvar mellan de åländska tjänstetillhandahållarna och Folkpensionsanstalten förutsätta att en överenskommelseförordning upprättas i enlighet med vad som föreskrivs i 32 § i självstyrelselagen (1991:71) för Åland.[36] Om inte något annat har bestämts i en överenskommelseförordning, har Folkpensionsanstalten ingen behörighet att efter bevarandetidens utgång förstöra kunduppgifter som upprättats hos eller mottagits av en tjänstetillhandahållare på Åland. Utgångspunkten ska vara att den personuppgiftsansvarige tjänstetillhandahållaren inom socialvården och hälso- och sjukvården på Åland verkställer gallringen av de kunduppgifter som sparats i de Kanta-tjänster som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen, förutsatt naturligtvis att uppgifterna inte ska bevaras varaktigt i enlighet med vad som föreskrivs i arkivlagen (2004:13) för landskapet Åland. Den registrerade har emellertid alltid rätt att vända sig till samtliga gemensamt personuppgiftsansvariga för att åberopa sina rättigheter enligt dataskyddsförordningen, oavsett hur en överenskommelse om gemensamt personuppgiftsansvar ser ut.
Ytterligare en fråga som torde behöva regleras genom överenskommelseförordning rör hanteringen (främst bevarande och gallring) av recept och andra anteckningar om läkemedelsbehandling som är hänförliga till åländska patienter och som lagras i det av Folkpensionsanstalten upprätthållna elektroniska receptcentret.
Det ska även fortsättningsvis ankomma på varje tjänstetillhandahållare inom socialvården och hälso- och sjukvården att avgöra vilka nödvändiga kunduppgifter yrkesutbildade personer och andra personalkategorier som är verksamma i organisationen har rätt att använda i sin tjänsteutövning. Dels av systemtekniska skäl, dels med anledning av 11 § i informationshanter-ingslagen (2025:37) för Åland där det anges att den systemansvariga myndigheten ska definiera principerna för åtkomst till informationssystemet, kan det dock anses vara ändamålsenligt att också de åländska tjänstetillhandahållarnas tilldelning av åtkomstbehörigheter grundar sig på social och hälsovårdsministeriets förordning om åtkomsträttigheter till kunduppgifter[37]. I nuläget får landskapsregeringen med stöd av 22 § 3 mom. i klienthandlingslagen genom landskapsförordning utfärda närmare bestämmelser om grunderna för tilldelning av åtkomsträttigheter inom socialvården.
Myndigheten för digitalisering och befolkningsdata beviljar yrkeskort som används för tillförlitlig identifiering av yrkesutbildade personer inom socialvården och hälso- och sjukvården. Ett yrkeskort med tillhörande certifikat kombineras även med information om den yrkesutbildade personens rätt att utöva yrket. När en persons rätt att utöva yrket upphör, förmedlas denna information från Tillstånds- och tillsynsverket för social- och hälsovården till myndigheten för digitalisering och befolkningsdata, där personens yrkeskort förs in i en spärrlista. Tillstånds- och tillsynsverket upprätthåller det centrala Terhikki-registret över yrkesutbildade personer inom socialvården och hälso- och sjukvården.[38] Avsikten är att myndigheten för digitalisering och befolkningsdata ska bevilja yrkeskort även för de yrkesutbildade personer som är verksamma inom socialvården och hälso- och sjukvården på Åland. Eftersom rätten att vara verksam som yrkesutbildad person inom socialvården hör till landskapets lagstiftningsbehörighet, kan Tillstånds- och tillsynsverket för social- och hälsovården inte utan laga stöd överföra nödvändiga uppgifter om en yrkesutbildad person som är verksam inom socialvården på Åland till myndigheten för digitalisering och befolkningsdata. Mot denna bakgrund föreslår landskapsregeringen att det till 17 § i landskapslagen (2020:24) om yrkesutbildade personer inom socialvården fogas bestämmelser som möjliggör utlämnande av nödvändiga uppgifter till myndigheten för digitalisering och befolkningsdata.
I artikel 10 i NIS 2-direktivet åläggs varje medlemsstat att utse en eller flera s.k. CSIRT-enheter, vars primära uppgift är att hantera IT-säkerhetsincidenter. Av artikel 23 i NIS 2-direktivet följer att väsentliga och viktiga entiteter ska underrätta sin CSIRT-enhet eller sin behöriga tillsynsmyndighet om betydande säkerhetsincidenter. I riket har Tillstånds- och tillsynsverket för social- och hälsovården utsetts till den tillsynsmyndighet som i enlighet med cybersäkerhetslagen och kunduppgiftslagen övervakar efterlevnaden av de väsentliga krav som gäller för informationssystem som används inom socialvården och hälso- och sjukvården. Landskapets myndigheter ska inom ramen för sin behörighet på begäran ge riksmyndigheterna sådan handräckning som de behöver för att utföra sina uppgifter enligt kunduppgiftslagen. Närmare föreskrifter om hur informationssäkerheten ska verifieras och om innehållet i informationssäkerhetsplanen får meddelas av Institutet för hälsa och välfärd.
Riksmyndigheterna kan i viss utsträckning också ta hänsyn till landskapslagstiftningen, bl.a. informationshanteringslagen och lagen (2025:57) om cybersäkerhet och motståndskraft, när de övervakar och bedömer informationssäkerheten i de vårdinformationssystem som används på Åland (och som anslutits till Kanta-tjänsterna). Stöd för en sådan tolkning ges i 10 §[39] i lagen om bedömningsorgan för informationssäkerhet (FFS 1405/2011) och motiven till självstyrelselagen[40].
Folkpensionsanstalten är i riket den centrala kontaktpunkt som även för Ålands del svarar för all kommunikation och informationsutbyte som hänför sig till den gränsöverskridande hälso- och sjukvården.[41] Överföringen av finländarnas hälsodata till aktörer i andra EU-medlemsstater ska ske via Kanta-tjänsterna. Av artikel 12.2 i EHDS-förordningen framgår att varje medlemsstat ska utse en nationell kontaktpunkt, varigenom hälsodata kan vidareförmedlas till andra nationella kontaktpunkter via den EU-gemensamma infrastrukturen MinHälsa@EU. Betraktat i ljuset av artikel 12.5 i EHDS-direktivet, torde detta innebära att Folkpensionsanstalten kan ta emot förfrågningar eller begäranden om uppgifter och sedan vidareförmedla dessa till den tjänstetillhandahållare, däribland ÅHS, som innehar efterfrågade data och som därmed också prövar om uppgifterna kan lämnas ut.
Landskapsregeringen bedömer att den föreslagna blankettlagen, jämte därav föranledda ändringar i angränsande landskapslagar, inte innebär någon förändring i förhållande till Ålands miljö- och hälsoskyddsmyndighets (ÅMHM) nuvarande ställning och uppgifter som tillsynsmyndighet för den offentliga och privata socialvården och hälso- och sjukvården på Åland. Den kontroll som ÅMHM utför är i första hand avsedd att säkerställa att patient och klientsäkerheten inte äventyras i ordnandet och genomförandet av vården samt att verksamheterna även i övrigt uppfyller de krav som ställs i socialvårdslagen och hälso- och sjukvårdslagen. Förslaget påverkar inte heller i någon nämnvärd grad den landskapslagstiftning som reglerar innehållet i de tjänster som socialvården och hälso- och sjukvården ska tillhandahålla, däribland bör främst nämnas socialvårdslagen och hälso- och sjukvårdslagen.
I sammanhanget kan även nämnas att myndighetsstrukturen inom social- och hälsovården i riket kommer att genomgå vissa förändringar från och med år 2026, då merparten av regionförvaltningsverkens och NTM-centralernas uppgifter överförs och inordnas i det nya Tillstånds- och tillsynsverket.[42] Denna omstrukturering torde emellertid inte medföra några markanta förändringar i den ansvars- och uppgiftsfördelning som i nuläget finns mellan riksmyndigheterna enligt kunduppgiftslagen.
7. Förslagets konsekvenser
7.1 Administrativa konsekvenser
Ibruktagandet av Kanta-tjänsterna är en omfattande omställning, som kräver ändringar och justeringar i vårdinformationssystemen, de interna riktlinjerna för informationshantering och journalföring samt organiseringen av serviceproduktionen. Ändringarna påverkar såväl vårdpersonal, utvecklare av vårdadministrationen som tillhandahållare av informationssystemtjänster.
En viktig förutsättning för att lyckas med anslutningen till Kanta-tjänsterna inom utsatt tid, är att tjänstetillhandahållaren gör en kartläggning av de tjänster som tillhandahålls i organisationen för att kunna bedöma i vilken utsträckning de olika tjänsterna kan inordnas i ett eller flera av de nationellt klassificerade serviceuppgifterna. Institutet för hälsa och välfärd har utfärdat en föreskrift om klassificeringen av serviceuppgifterna inom socialvården (föreskrift 1/2016, som uppdaterats sommaren 2023). Serviceuppgifterna inom socialvården består i nuläget av äldreservice, service för barnfamiljer, barnskyddet, familjerättsliga tjänster, särskilt service inom arbetet med missbruk och beroende, service för personer i arbetsför ålder samt service för personer med funktionsnedsättning. I och med att de nationellt fastställda serviceuppgifterna är tämligen vidsträckta, förefaller de till övervägande del även omfatta den kommunala socialservice som ska tillhandahållas på Åland enligt socialvårdslagen (14 §) och de områdesspecifika speciallagarna. Ibruktagandet av det nationella klassifikationssystemet för serviceuppgifter innebär i praktiken att alla ärenden som hanteras inom socialvården, och alla kunduppgifter som upprättas i samband med sådan ärendehantering, fogas till någon av de sju servicekategorierna som angivits ovan. Följaktligen borde också socialvårdens organisation och serviceproduktion anpassas efter denna indelning.
Det måste finnas beredskap och rutiner inom ÅHS, KST, kommunerna och de privata aktörerna inom socialvården och hälso- och sjukvården för att utan dröjsmål kunna fånga upp och tillgodose enskilda kunders viljeyttringar i fråga om behandlingen av de egna personuppgifterna. Emedan åtgärder för dataskydd i relativt hög grad redan blivit genomförda inom vårdsektorn i och med den befintliga regleringen, återstår en hel del arbete när det gäller att minska verksamheternas sårbarhet för olika cyberhot. Som ett led i det förebyggande arbetet bör det säkerställas att Datainspektionen har tillräckliga resurser för att kunna sköta sina uppgifter på behörigt sätt. Enligt Datainspektionens uppfattning behöver myndighetens befintliga personalstyrka utökas med två årsverken som kompensation för de föreslagna nya arbetsuppgifterna. Utöver det ovannämnda måste också myndighetsgemensamma fortbildningar ordnas för att säkerställa enhetliga förfaringssätt för behandlingen av kunduppgifter.
Den i kunduppgiftslagens 77 § föreskrivna skyldigheten att upprätta och upprätthålla en informationssäkerhetsplan, där det redogörs för vilka tekniska och organisatoriska åtgärder verksamheten vidtagit för att hantera risker som hotar säkerheten i de egna nätverks- och informationssystemen, kommer att skapa administrativt merarbete såväl för de offentliga som privata tjänstetillhandahållarna inom socialvården och hälso- och sjukvården.
7.2 Konsekvenser för den enskilde patienten och klienten
Genom Kanta-tjänsternas medborgargränssnitt MittKanta blir kunduppgifterna synliga för kunden själv, vilket skapar bättre möjligheter att utöva inflytande över egna personuppgifter. Samtidigt torde också informationsflödet och kommunikationen mellan vårdpersonalen och kunden förbättras.
Kundens integritet tryggas även genom kravet på saklig anknytning mellan vårdpersonalen och kunden. Den sakliga anknytningen verifieras genom en kod som anslutits till varje verksamhets- och serviceenhet som anmälts till det organisationsregister som Institutet för hälsa och välfärd upprätthåller för socialvården och hälso- och sjukvården. Vid verifiering av saklig anknytning jämför informationssystemet den vårdanställdas verksamhets- eller serviceenhet med den kundrelation som har grundats för kunden i enheten (kundrelationen bildas när behandlingen av ett ärende inleds vid enheten). Om den anställde och kunden har anslutits till samma enhetskod, föreligger saklig anknytning.
Landskapsregeringen bedömer sammantaget att den föreslagna blankettlagen stärker kundens integritet, självbestämmande och delaktighet i vården.
7.3 Konsekvenser för barn
Såsom ovan konstaterats, medför den föreslagna blankettlagen inga större materiella förändringar i förhållande till gällande rätt enligt patientlagen och klientlagen. Till exempel kvarstår de generella principerna för bedömning av barnets beslutsförmåga enligt ålder och utvecklingsnivå i huvudsak oförändrade. Blankettlagens bestämmelser om behandling av kunduppgifter och ibruktagandet av de riksomfattande Kanta-tjänsterna kan emellertid bidra till att ytterligare stärka barns och ungas självbestämmanderätt samt förbättra deras tillgång till olika tjänster inom socialvården och hälsovården. Barn får ökat inflytande över sina egna angelägenheter genom möjligheten att självständigt använda Kanta-systemets medborgargränssnitt och informationsresurs för egna uppgifter. Detta kan anses ligga i linje med jämlikhetssyftet i grundlagens 6 § 2 mom.
Den digitala transformationen av den åländska vårdsektorn, dvs. integrerandet av digital teknik i all vårdverksamhet, underlättar informerandet av barn och unga om den vård som getts och om behandlingen av deras personuppgifter. Den förbättrar också barnets möjligheter att påverka och utöva kontroll, t.ex. i fråga om utlämnandet av egna uppgifter. Det föreliggande förslaget kan därmed sägas ligga i linje med principen om att barnets bästa alltid ska beaktas och eftersträvas. I och med att den nuvarande uppsplittrade lagstiftningen om behandling av klient- och patientuppgifter förenhetligas och moderniseras, dvs. anpassas bättre till den digitala tidsåldern, stärks också det enskilda barnets rättsliga ställning inom socialvården och hälso- och sjukvården.
Barnets rättigheter har vederbörligen beaktas även vid bestämmandet av de bevarandetider för kundhandlingar som framgår av bilagan till kunduppgiftslagen. Genom att fastställa tillräckligt långa bevarandetider säkerställs att kunden har tillgång till handlingarna under hela sin livstid. Inom socialvården har de längsta förvaringstiderna fastställts för familjerättsliga serviceuppgifter, p.g.a. deras presumerade framtida betydelse för en person.
7.4 Konsekvenser för den äldre befolkningsgruppen och personer med funktionsnedsättning
Landskapsregeringen är medveten om att de åländska tjänstetillhandahållarnas anslutning till Kanta-tjänsterna kan ge upphov till känslan av ”digitalt utanförskap” hos vissa befolkningsgrupper, särskilt äldre människor och personer med funktionsnedsättning, men även t.ex. personer med invandrarbakgrund. Det kan handla om avsaknad av interneträckvidd, bristande kunskap eller andra hinder för användningen av digitala verktyg. Detta innebär att allt större uppmärksamhet måste ägnas åt att trygga tillgången till service och stöd för de mest utsatta befolkningsgrupperna. Handläggningstidernas längd ska vara densamma, oavsett om informationen hanteras digitalt eller i pappersformat. Det måste även säkerställas att det finns tillräckliga personalresurser inom vården för att bedöma kundens servicebehov och ge denne ett individuellt bemötande.
7.5 Ekonomiska konsekvenser
För användningen av Kanta-tjänsterna uttas en avgift som bestäms enligt de grunder som anges i 2 § i social- och hälsovårdsministeriets förordning om användningsavgifter för riksomfattande informationssystemtjänster inom social- och hälsovården. Av nämnda lagrum framgår bl.a. att den avgift som tas ut hos välfärdsområdena och hos Helsingfors stad är 2,965 euro per invånare i varje kommun som ingår i respektive välfärdsområde eller i Helsingfors stad per år. Vidare framgår av 2 § 3 mom. att den avgift som tas ut hos tjänstetillhandahållarna inom den privata hälso- och sjukvården är 0,482 euro för varje elektroniskt recept som tjänstetillhandahållaren gjort upp. Den avgift som årligen tas ut är dock minst 90 euro.
De ovannämnda användningskostnaderna torde vid det här laget endast kunna ses som riktgivande för de åländska tjänstetillhandahållarnas vidkommande i och med att kostnadsfrågorna i anslutning till Kanta-användningen högst sannolikt kommer att regleras genom överenskommelseförordning mellan landskapet och riket. För den offentliga socialvårdens del kommer de största kostnaderna att vara relaterade till anskaffning och utveckling av ett nytt Kanta-kompatibelt vårdinformationssystem.
De säkerhetsrevisioner som utförs av bedömningsorganet för informationssäkerhet i samband med certifieringsprocessen för Kanta-tjänsterna (förhandstillsyn) kan också komma att medföra vissa kostnader för berörda tjänstetillhandahållare inom socialvården och hälso- och sjukvården. De kostnader som är hänförliga till riksmyndigheternas tillsyn över de åländska tjänstetillhandahållarnas användning av Kanta-tjänsterna ska likväl betalas av rikets medel.
Enligt nu gällande finanspolitiska riktlinjer, såsom de kommer till uttryck i bl.a. landskapslagen (2012:69) om landskapets finansförvaltning, ska landskapets tillgångar användas på ett sätt som är till nytta för samhället. Därmed torde en del av de kostnader som kommunerna ådrar sig i samband med Kanta-anslutningsprocessen rimligtvis finansieras av landskapsregeringen genom tilldelning av landskapsandelar. Vidare följer av 24 § i landskapslagen (2017:120) om landskapsandelar till kommunerna att kommunerna även kan erhålla stöd för att underlätta sådant samarbete som syftar till att effektivisera produktionen av kommunal service. Samarbetsstöd kan också beviljas en kommun som på egen hand vidtar åtgärder inom IT-området, om ifrågavarande åtgärder bedöms främja eller öka graden av IT-samordning inom den offentliga sektorn på Åland. Bestämmelser om återkrav av en kommuns landskapsandel, t.ex. när kommunen inte uppfyller de krav på servicesystem som följer av den föreslagna blankettlagen, finns i 29 § i landskapslagen (1993:71) om planering av socialvården. Landskapsregeringen kan också utfärda ett föreläggande om att en tjänstetillhandahållare ska fullgöra sina skyldigheter enligt blankettlagen, t.ex. i fråga om Kanta-anslutningen. Såsom det framgår av 17 § i blankettlagen, får ett sådant föreläggande förenas med vite.
Landskapsregeringen kan dessutom i enlighet med landskapslagen (1988:50) om lån, räntestöd och understöd ur landskapets medel samt om landskapsgaranti bevilja understöd för åtgärder som tjänstetillhandahållare behöver vidta med anledning av anslutningen till Kanta-tjänsterna.
Avslutningsvis kan konstateras att de största möjligheterna till att åstadkomma besparingar inom vårdsektorn finns i anslutning till införandet av elektroniska tjänster och de ändringar av verksamhetsprocesserna som övergången föranleder. Informationsförmedlingen inom den åländska vårdsektorn fungerar i dagsläget förhållandevis trögt och ineffektivt, vilket innebär att resurserna inte kan användas optimalt och riktas dit de gör mest nytta.
8. Lagstiftningsbehörighet
Såväl hälso- och sjukvård som socialvård är områden som enligt de allmänna grundsatserna för den rättsliga och legislativa kompetensfördelningen mellan EU och dess medlemsstater anses falla under nationell behörighet. Medlemsstaternas ansvarsområden inbegriper bl.a. hälso- och sjukvårdsförvaltning, resursfördelning, kvalitets- och säkerhetsarbete och tillhandahållande av hälso- och sjukvård och socialvård. Av 18 § 12 och 13 punkterna i självstyrelselagen framgår att hälso- och sjukvård och socialvård hör till landskapets lagstiftningskompetens, med nedan angivna undantag.
Enligt 27 § 24 och 29 punkterna i självstyrelselagen är administrativa ingrepp i den personliga friheten och smittsamma sjukdomar att hänföra till rikets behörighet. Av det sistnämnda lagrummet framgår även att kastrering, sterilisering, avbrytande av havandeskap, konstbefruktning och rättsmedicinska undersökningar utgör rikets behörighet. Även dödförklaring, som är nära anknuten till rättsmedicinska undersökningar, faller under rikets lagstiftningskompetens enligt 27 § 6 punkten i självstyrelselagen.
Av 27 § 30 punkten i självstyrelselagen följer att även behörigheten att vara verksam inom hälso- och sjukvården, apoteksväsendet, mediciner och produkter av läkemedelstyp samt narkotiska ämnen hör till rikets lagstiftningsbehörighet.
Landskapsregeringen har i tidigare sammanhang bedömt att frågor som anknyter till människans genom och genteknik är att hänföra till rikets lagstiftningsbehörighet på grundval av 27 § 42 punkten i självstyrelselagen.[43]
Enligt 27 § 7 punkten i självstyrelselagen har riket lagstiftningsbehörighet i fråga om familjeförhållanden och barns rättsliga ställning. Barnskydd har emellertid ansetts utgöra ett sådant delområde inom socialvården varom lagtinget har rätt att lagstifta.
Den föreslagna blankettlagen innehåller bestämmelser om behandling av personuppgifter om hälsa, vård och omsorg, dvs. uppgifter som anses vara särskilt integritetskänsliga. Dataskydd är ett område som inte särskilt omnämns i förteckningarna över landskapets och rikets lagstiftningsbehörighet i 18 och 27 §§ i självstyrelselagen (1991:71) för Åland. Enligt väletablerad praxis från Högsta domstolen (HD) och Ålandsdelegationen (ÅD) har landskapet ansetts ha behörighet att lagstifta om behandling av personuppgifter inom de rättsområden som annars också faller under landskapets lagstiftningsbehörighet enligt självstyrelselagen.[44] Samma betraktelsesätt kan anläggas på informationssäkerhet, som är nära anknutet till dataskydd (se t.ex. artiklarna 32, 35 och 89 i dataskyddsförordningen). Enligt detta synsätt skulle informationssäkerhet utgöra en landskapsangelägenhet när frågan har en direkt koppling till ett område som faller under landskapets behörighet.
Enligt 18 § 25 punkten i självstyrelselagen har lagtinget behörighet att lagstifta om beläggande med straff och storleken på straff inom rättsområden som hör till landskapets lagstiftningsbehörighet. Strafformer och övriga frågor som anknyter till den allmänna delen av strafflagen (FFS 39/1889) regleras dock i rikslagstiftningen. Med stöd av 19 § 3 mom. i självstyrelselagen kan i en landskapslag, för vinnande av enhetlighet och överskådlighet, intas bestämmelser av rikslagstiftningsnatur som i sak överensstämmer med motsvarande bestämmelser i rikslag. Med stöd av nämnda lagrum kan även riksmyndigheter påföras uppgifter vilka överensstämmer med rikslagstiftningen.
Lagstiftningsbehörigheten gällande kommunernas förvaltning, kommunernas tjänsteinnehavare och kommunernas anställda tillkommer landskapet enligt 18 § 4 punkten i självstyrelselagen. Kommunernas förvaltning ska enligt 121 § i grundlagen grunda sig på självstyrelse för kommunens invånare. Bestämmelser om de allmänna grunderna för kommunernas förvaltning och om uppgifter som åläggs kommunerna ska utfärdas genom lag. Eftersom rikets kommuner ålagts motsvarande skyldigheter i lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (FFS 784/2021), som antogs i vanlig lagstiftningsordning, bör de befogenheter som enligt rikslagstiftningen ankommer på riksdagen, statsrådet och dess ministerier i motsvarande grad tillkomma lagtinget och landskapsförvaltningen när det gäller landskapslagstiftningen.
De riksomfattande informationssystemtjänsterna, dvs. Kanta-tjänsterna, är i första hand att hänföra till statsmyndigheternas organisation och verksamhet, på vilket område riket enligt 27 § 3 punkten i självstyrelselagen har lagstiftningsbehörighet. Utifrån ovannämnda premisser har riket därmed också lagstiftningsbehörighet i fråga om informationssäkerheten (innefattande bl.a. elektronisk identifiering och certifiering) i anslutning till Kanta-tjänsterna. Av 23 § 1 mom. i självstyrelselagen följer e contrario att förvaltningen i angelägenheter som hör till rikets lagstiftningsbehörighet ankommer på riksmyndigheterna.
Lagförslaget har beröringspunkter med åtminstone följande grundrättigheter som garanteras i grundlagen: jämlikhet och förbud mot diskriminering (6 §), skydd för privatlivet (10 §), rätten att ta del av offentliga handlingar (12 §), rätten att delta i beslutsfattande som gäller en själv (14 §), rätten till social trygghet, inbegripet tillräckliga social-, hälsovårds- och sjukvårdstjänster (19 §), rättsskydd (21 §) och kommunal självstyrelse (121 §). Landskapsregeringen bedömer att den föreslagna blankettlagen, jämte därav föranledda följdändringar i befintlig landskapslagstiftning, står i samklang med de förenämnda bestämmelserna i grundlagen.
9. Beredningsarbetet
Föreliggande lagförslag har utarbetats som tjänstemannauppdrag vid lagberedningen i samarbete med landskapsregeringens socialvårdsbyrå och hälso- och sjukvårdsbyrå. Beredningen har tagit sin utgångspunkt i landskapsregeringens rapport om Underlag för en lag om elektronisk behandling av klient och patientuppgifter inom social- och hälsovården[45]. Trots att rapporten berör den upphävda lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (FFS 784/2021), är de frågeställningar som uppmärksammas i rapporten och de slutsatser som dras om ibruktagandet av Kanta-tjänsterna på Åland alltjämt relevanta.
Lagförslaget har sänts på remiss till följande instanser på Åland och i riket: Björkkö Ab, Brändö kommun, Cityläkarna, Datainspektionen, digitaliseringsenheten vid Ålands landskapsregering, Eckerö kommun, finansavdelningen vid Ålands landskapsregering, Finströms kommun, Folkpensionsanstalten, Funktionsrätt Åland, Föglö kommun, Geta kommun, Hammarlands kommun, Institutet för hälsa och välfärd, Jomala kommun, Kumlinge kommun, Kökars kommun, landskapsarkivet, Lemlands kommun, Lumparlands kommun, Mariehamns stad, Mariehamns pensionärsförening, Medimar, myndigheten för digitalisering och befolkningsdata, Norra Ålands Pensionärer, Oasen boende- och vårdcenter, Rädda Barnen på Åland r.f., Saltviks kommun, social- och hälsovårdsministeriet, Sottunga kommun, Sunds kommun, Stiftelsen hemmet, Tillstånds- och tillsynsverket för social- och hälsovården, Vårdö kommun, Åda Ab, Ålands hälso- och sjukvård, Ålands kommunförbund och Ålands ombudsmannamyndighet.
Av de ovannämnda instanserna har följande inkommit med skriftliga yttranden inom utsatt tid: Eckerö kommun, Folkpensionsanstalten (FPA), Funktionsrätt Åland, Föglö kommun, Institutet för hälsa och välfärd (THL), Kommunernas socialtjänst k.f. (KST), Kumlinge kommun, landskapsarkivet, Lemlands kommun, Lumparlands kommun, Mariehamns stad, Norra Ålands Pensionärer r.f., Rädda Barnen på Åland, Saltviks kommun, Social- och hälsovårdsministeriet, Sunds kommun, Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), Vårdö kommun och Ålands kommunförbund. Därtill har även Datainspektionens synpunkter tagits i beaktande i den fortsatta beredningen, trots att myndighetens yttrande kommit in för sent till landskapsregeringen.
Landskapsregeringen har utifrån de inkomna remissvaren gjort vissa preciseringar och korrigeringar i lagförslagets motiveringar. Därutöver har ändringar gjorts i de föreslagna 4 § 2 punkten, 14 § 2 mom. och 15 §. Till 12 och 13 §§ har fogats nya 2 mom.
Detaljmotivering
1. Landskapslag om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården
1 § Lagens syfte och tillämpningsområde. I paragrafens 1 mom. föreskrivs att lagen ska gälla såväl offentliga tjänstetillhandahållare som privata aktörer inom hälso- och sjukvården och socialvården på Åland, de sistnämnda dock endast i den mån dessa använder ett informationssystem som är avsett för behandling av klient- och patientuppgifter.
Blankettlag som lagstiftningsform innebär i detta sammanhang att kunduppgiftslagens bestämmelser ska tillämpas på Åland, såvida inte blankettlagen innehåller avvikande bestämmelser. I och med att blankettlagen antas blir de ändringar som görs i kunduppgiftslagen direkt tillämpliga på Åland, till den del ändringarna hänför sig till rikets lagstiftningsbehörighet.
Blankettlagen är till sin karaktär en speciallag (lex specialis), vilket innebär att den kan innehålla bestämmelser som avviker från allmänna lagar (legi generali), såsom t.ex. informationshanteringslagen och dataskyddslagen. Lagen är avsedd att enbart reglera sådan behandling av personuppgifter som sker för de primära ändamålen, dvs. för att ordna och tillhandahålla hälso- och sjukvård för patienter och socialvård för klienter. Om behandling av kunduppgifter för s.k. sekundära ändamål, t.ex. forskning, kvalitetssäkring och statistikföring, föreskrivs särskilt i annan landskapslag.
I paragrafens 2 mom. föreskrivs om de offentliga och privata tjänstetillhandahållarnas skyldighet att ansluta sig till Kanta-tjänsterna inom de tidsramar som anges i 23 §. Ett vårdinformationssystem kan anslutas till Kanta-tjänsterna antingen direkt eller via en teknisk förmedlingstjänst. I likhet med vad som gäller i riket ska anslutningsskyldigheten inte omfatta Kanta-systemets gränssnitt för professionellt bruk (kunduppgiftslagens 65 § 1 mom. 2 punkten) och datalagret för egna uppgifter (5 punkten).[46]
Från skyldigheten att ansluta sig till de nämnda tjänsterna undantas sådana privata tjänstetillhandahållare som i sin verksamhet inte använder ett informationssystem för behandling av kunduppgifter (se 7§ 2 mom.). Anslutningsskyldigheten gäller inte heller i de fall Kanta-tjänsterna uppvisar brister i fråga om de allmänna språkkrav som ställs i blankettlagens 8 §. Med ”privata tjänstetillhandahållare” avses inom hälso- och sjukvården sådana tjänsteproducenter som enligt landskapslagen (2024:29) om privat hälso- och sjukvård har rätt att tillhandahålla privata hälso- och sjukvårdstjänster på Åland. När det gäller den privata socialvården på Åland, ska blankettlagen tillämpas på sådana enskilda personer, sammanslutningar, stiftelser eller affärsföretag som fått tillstånd hos ÅMHM att producera sådan socialservice som nämns i 14 § i socialvårdslagen.
2 § Förvaltningsuppgifter och samarbete mellan myndigheterna. Grundlagsutskottet har i samband med bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna ansett det nödvändigt att åtminstone principerna för myndigheternas behörighetsförhållanden framgår tillräckligt exakt av lagen.[47] Detta kan också vara av vikt för ledning av rättstillämpningen. Paragrafen bygger på bedömningen att de riksomfattande Kanta-tjänsterna som helhet betraktat tillhör rikets lagstiftningsbehörighet enligt 27 § 3 mom. i självstyrelselagen. När de åländska tjänstetillhandahållarna ansluter sig som användare av Kanta-tjänsterna, aktualiseras dock också frågor som hänför sig till områden som enligt självstyrelselagen hör till landskapets lagstiftningsbehörighet, t.ex. dataskydd, informationshantering och arkivering.
I paragrafens 1 mom. anges att landskapsregeringen inom landskapets lagstiftningsbehörighet sköter de uppgifter ifråga om informationshantering och informationssäkerhet som i riket handhas av social- och hälsovårdsministeriet, Tillstånds- och tillsynsverket för social- och hälsovården och Folkpensionsanstalten. Landskapsregeringens förvaltningsbehörighet sträcker sig emellertid inte till sådana informationssystem och välbefinnandeapplikationer inom socialvården och hälso- och sjukvården som är anslutna till de riksomfattande Kanta-tjänsterna, antingen direkt eller via informationsföremedlingsservicen. Detta inbegriper huvudsakligen de vårdinformationssystem som tjänstetillhandahållare på Åland använder för behandling av kunduppgifter. Till den del ett allmänt ärendehanteringssystem används på motsvarande sätt som ett vårdinformationssystem och ansluts till Kanta-tjänsterna exempelvis via en teknisk informationsförmedlingsservice, ska även ett sådant system falla utanför landskapsregeringens förvaltningsbehörighet. Med den allmänna planeringen av informationshanteringen avses bl.a. att främja och sätta upp mål för digitaliseringen och det digitala säkerhetsarbetet samt att ta fram övergripande strategier för informationshanteringen. Med styrning av informationshanteringen åsyftas bl.a. lagstiftningsarbete, finansiering av utveckling och främjande av samarbete.
Av 2 mom. följer att Datainspektionen utövar den allmänna tillsynen över efterlevnaden av landskapets dataskyddslagstiftning. Detta gäller, inom landskapets lagstiftningsbehörighet, både sådan tillsyn som utövas över tillämpningen av landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen och sådan som sker enligt landskapslagen (2019:74) om tillämpning av riksförfattningar om dataskydd.
Förvaltningen i de angelägenheter som regleras i blankettlagen och som faller inom rikets lagstiftningsbehörighet ankommer på riksmyndigheterna enligt vad som anges nedan.
Tillstånds- och tillsynsverket för social- och hälsovården övervakar att de informationssystem som används för behandling av kunduppgifter inom socialvården och hälso- och sjukvården på Åland överensstämmer med de väsentliga krav som uppställs i kunduppgiftslagen. Verket är m.a.o. den myndighet som med stöd av NIS 2-direktivet övervakar nät- och informationssäkerheten inom hälso- och sjukvården. Förutom den ovannämnda tillsynen över informationssystemens och välbefinnandeapplikationernas överensstämmelse med kraven i kunduppgiftslagen, ingår i verkets tillsynsansvar även att med stöd av den s.k. tillsynslagen[48] utöva tillsyn över vårdgivarorganisationer och deras användning av systemen. Därutöver upprätthåller verket register över yrkesutbildade personer och deras rätt att vara verksamma inom socialvården och hälso- och sjukvården (den s.k. roll- och attributtjänsten).
När ett bedömningsorgan för informationssäkerhet bedömer huruvida ett informationssystem som används av tjänstetillhandahållare på Åland uppfyller kraven på funktionalitet, säkerhet och interoperabilitet, ska den vid handläggningen beakta även den landskapslagstiftning som gäller dess förvaltningsuppgifter. Detta kan utläsas ur såväl 10 § 4 punkten i lagen om bedömningsorgan för informationssäkerhet (FFS 1405/2011) som motiven till självstyrelselagen[49]. Det ovan sagda torde i viss utsträckning även gälla Tillstånds- och tillsynsverket för social- och hälsovården när den utövar tillsyn över tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland.
Folkpensionsanstalten ansvarar för genomförandet av Kanta-tjänsterna samt för säkerheten och tillgängligheten för de uppgifter som lagras i tjänsterna. Myndigheten är också nationell teknisk och elektronisk kontaktpunkt mellan Kanta-tjänsterna och de nationella kontaktpunkterna i andra EU-medlemsstater.
Myndigheten för digitalisering och befolkningsdata upprätthåller en certifikattjänst för hälso- och sjukvården, vars syfte är att säkerställa tillförlitlig och säker elektronisk identifiering av personer som arbetar inom socialvården och hälso- och sjukvården samt möjliggöra elektroniskt undertecknande av kundhandlingar och recept. Myndigheten utfärdar även de servercertifikat som tjänsteleverantörer och apotek behöver för användningen av Kanta-tjänsterna.
Det bör i sammanhanget även påpekas att tillsynsbehörigheten i fråga om digitala tjänsters tillgänglighet överförts från landskapsregeringen till Regionförvaltningsverket i Södra Finland med stöd av Republikens presidents förordning (2023:14) om skötseln på Åland av vissa uppgifter enligt landskapslagen om tillgängliga webbplatser och mobila applikationer inom förvaltningen. Nämnda landskapslag syftar till att genomföra webbtillgänglighetsdirektivet[50] och, till vissa delar, tillgänglighetsdirektivet[51] på Åland. Enligt nu gällande rättsläge ankommer det således på Regionförvaltningsverket i Södra Finland att kontrollera att de Kanta-tjänster som används av tjänstetillhandahållare på Åland överensstämmer med tillgänglighetskraven i webbtillgänglighetsdirektivet. Även de välbefinnandeapplikationer som ska anslutas till informationsresursen för egna uppgifter ska uppfylla tillgänglighetskraven enligt webbtillgänglighetsdirektivet. Målet med tillsynen är att säkerställa att välbefinnandeapplikationerna kan utnyttjas jämlikt av alla samhällsskikt.
Tillsynen över apoteken, inklusive sjukhusapoteken, sköts av Säkerhets- och utvecklingscentret för läkemedelsområdet. Vid tillsynen kontrolleras bl.a. efterlevnaden av informationssäkerhetsplanen och användningen av informationssystem.
Kommunikationsverket övervakar att EU:s lagstiftning om elektronisk identifiering och betrodda tjänster följs i fråga om informationssystem som kräver stark autentisering.
Social- och hälsovårdsministeriet svarar enligt 98 § 1 mom. i kunduppgiftslagen för de praktiska arrangemangen kring samarbetet mellan myndigheterna när det gäller Kanta-tjänsterna.
Av artiklarna 10 och 29 i NIS 2-direktivet följer att CSIRT-enheterna, som bl.a. har till uppgift att övervaka och vidta åtgärder till följd av cyberhot, sårbarheter och incidenter, ska samarbeta och vid behov utbyta relevant information. Vidare stipuleras i artikel 13 att de behöriga myndigheterna, den gemensamma kontaktpunkten och CSIRT-enheterna ska, om de är separata, samarbeta när det gäller fullgörandet av skyldigheter enligt direktivet. Samarbetets betydelse accentueras ytterligare i och med att underrättelser om betydande säkerhetsincidenter och cyberhot enligt NIS 2-direktivet ska mottas antingen av CSIRT-enheterna eller någon av de behöriga myndigheterna.
Att dataskydd utgör en väsentlig del av säkerheten i ett nätverks- och informationssystem, framgår tydligt av bl.a. artiklarna 31.3 och 35 i NIS 2-direktivet. I nämnda lagrum föreskrivs att de behöriga myndigheterna ska informera och ha ett nära samarbete med tillsynsmyndigheterna enligt dataskyddsförordningen, när de behandlar incidenter som även medför personuppgiftsincidenter. Det bör understrykas att NIS 2-direktivet inte påverkar tillsynsmyndigheternas befogenheter eller uppgifter enligt dataskyddsförordningen och den nationella dataskyddslagstiftningen. Eftersom blankettlagen innehåller bestämmelser om att skydda en samhällsviktig infrastruktur, där stora mängder känslig information hanteras och utbyts mellan flera olika aktörer, är det motiverat att samarbetsskyldigheten mellan myndigheterna befästs i 3 mom.
I en överenskommelseförordning som utfärdas i enlighet med 32 § i självstyrelselagen (1991:71) för Åland kan det intas närmare bestämmelser om behörighetsfördelningen och samarbetet mellan statens myndigheter och landskapsmyndigheterna i fråga om de riksomfattande informationssystemtjänsterna som avses i 65 § 1 mom. i kunduppgiftslagen. Såsom anförts ovan under avsnitt 6, torde åtminstone uppgifts- och ansvarsförhållandena enligt dataskyddslagstiftningen behöva regleras genom överenskommelseförordning eller avtal.
3 § Bestämmelser som inte ska tillämpas. Enligt paragrafens 1 punkt ska bestämmelsen i kunduppgiftslagens 19 § 2 mom., som innehåller en hänvisning till språklagen (FFS 423/2003) och den samiska språklagen (FFS 1086/2003), inte tillämpas på Åland. Det framgår uttryckligen av språklagens 7 § att bestämmelser om språk finns i självstyrelselagen för Åland.
I 2 punkten anges att 38 § 2 mom. 1 punkten, som innehåller en hänvisning till ett välfärdsområde i riket, inte ska tillämpas på Åland. Ifrågavarande lagrum kan även i övrigt anses som onödig, eftersom det i 38 § 3 mom. 1 punkten i kunduppgiftslagen föreskrivs att bl.a. kundens kontaktuppgifter och hemkommun är basuppgifter som ska antecknas i en klienthandling ”om uppgifterna inverkar på de tjänster klienten får”.
Eftersom medicinsk forskning ansetts tillhöra landskapets lagstiftningsbehörighet, anges i 3 punkten att hänvisningen i kunduppgiftslagens 61 § till lagen om medicinsk forskning (488/1999) inte ska tillämpas när det gäller utlämnande av patientuppgifter för medicinsk forskning. Bestämmelser som möjliggör utlämnande av kunduppgifter för forskningsändamål (s.k. sekundär användning av uppgifter) kommer att införas i 15d § i hälso- och sjukvårdslagen.[52]
4 § Hänvisningar. Kunduppgiftslagen innehåller ett flertal hänvisningar till sådan lagstiftning som har sin motsvarighet i landskapslagstiftningen. Genom att inta en hänvisningsbestämmelse i blankettlagen ersätts ifrågavarande hänvisningar i kunduppgiftslagen med hänvisningar till motsvarande författningar i den åländska lagstiftningen. Härigenom säkerställs att den lagstiftningshelhet som styr behandlingen av kunduppgifter på Åland kan samverka på samma sätt som i riket. Paragrafens 1 punkt innebär i dagsläget att ÅHS är den åländska offentliga hälso- och sjukvårdens motsvarighet till vad som i riket utgörs av ett välfärdsområde eller Helsingfors stad. På motsvarande sätt ska KST och de kommunala myndigheter som ansvarar för tillhandahållandet av barn- och äldreomsorg i kommunen vara den åländska offentliga socialvårdens motstycke till ett välfärdsområde eller Helsingfors stad.
5 § Terminologi. I lagen om ordnande av social- och hälsovård (FFS 612/2021) definieras social- och hälsovård som ”de lagstadgade uppgifter och tjänster som omfattas av ett välfärdsområdes organiseringsansvar samt främjande av hälsa och välfärd”. Den semantiska betydelsen av begreppen ”social- och hälsovård” och ”socialvård och hälso- och sjukvård” är densamma; båda åsyftar socialvården och hälso- och sjukvården som separata, om än närbesläktade, sektorer inom vården. För att skingra eventuella missförstånd, och främja en konsekvent begreppsanvändning inom den åländska vårdsektorn, finns det skäl att uppmärksamma denna skillnad i den finska och åländska begreppsapparaten i paragrafens 1 punkt.
2 punkten. Begreppet ”verksamhetsställe för social- och hälsovården” används bara enstaka gånger i kunduppgiftslagen, dock utan närmare definition. I andra sammanhang åsyftas med begreppet bl.a. social- och hälsocentraler och social- och hälsostationer. Organisatoriskt och storleksmässigt förefaller dessa vara jämbördiga med ÅHS, KST och primärkommunerna. Å andra sidan måste det också tas i beaktande att socialvårdens och hälso- och sjukvårdens gemensamma tjänster alltid tillhandahålls inom vissa bestämda områden, t.ex. hemvård, och därtill avsedda utrymmen. Dessutom måste hänsyn tas till den nuvarande organisationsstrukturen för hälso- och sjukvården och socialvården på Åland, som bygger på uppfattningen att en vårdmyndighet består av flera verksamhetsenheter.[53]
6 § Särskilda avvikelser. Avvikelsen i paragrafens 1 punkt föranleds av ett språkligt misstag som begåtts i kunduppgiftslagens 5 § 3 mom. I sistnämnda lagrum används begreppet ”klient”, trots att avsikten synes ha varit att använda begreppet ”kund”.
Bestämmelsen i paragrafens 2 punkt är ett förtydligande av bestämmelserna om gallring och arkivering i blankettlagens 14 §. I 6 § 2 punkten beaktas dock uttryckligen den eventualiteten att kunduppgifterna inte kan överföras från Kanta-tjänsterna till ett lokalt informationssystem på Åland för gallring och bevarande. Ifall gallringen eller förstörandet av uppgifterna ska verkställas av Folkpensionsanstalten, förväntas myndigheten iaktta bestämmelserna i den åländska arkivlagen.
I paragrafens 3 punkt fastställs att uppgifter från Kanta-tjänsterna ska lämnas ut i enlighet med blankettlagen och, i fråga om sekundär användning av kunduppgifter, 15a ̶ 15e §§ i hälso- och sjukvårdslagen. Till den del uppgifterna är hänförliga till områden som faller inom rikets lagstiftningsbehörighet, t.ex. smittsamma sjukdomar, kastrering och sterilisering, ska vad som föreskrivs i rikslagstiftningen om riksmyndigheternas rätt att ta del av ifrågavarande uppgifter iakttas.
Med hänvisning till det tidigare anförda, ska Folkpensionsanstalten i egenskap av central kontaktpunkt iaktta bestämmelserna i blankettlagen och, genom hänvisningarna i blankettlagens 4 §, den åländska offentlighetslagen vid utlämnande av uppgifter. I praktiken torde detta åtminstone innebära att Folkpensionsanstalten vidarebefordrar begäran om utlämnande av uppgifter till berörd tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland som också fattar beslut om utlämnande. Tjänstetillhandahållare på Åland ska däremot iaktta rikslagstiftningens bestämmelser om sekretess i sådana situationer som avses i 22 § i den åländska offentlighetslagen (se även detaljmotiveringen till 12 §).
Enligt paragrafens 4 punkt ska vad som föreskrivs i kunduppgiftslagens 79 § 2 och 3 mom. om klassificering av informationssystem och välbefinnandeapplikationer i klass B inte tillämpas på Åland. Enligt kunduppgiftslagen ska alla informationssystem som hör till klass A och B uppfylla de väsentliga krav som uppställs i lagens 84 §, innan systemet kan tas i bruk för produktion av tjänster. Kraven är dock inte lika strikta för informationssystem som tillhör klass B; det utförs till exempel ingen säkerhetsauditering av ifrågavarande system. Enligt förarbetena till kunduppgiftslagen omfattar klass B sådana informationssystem som varken direkt eller via en informationsförmedlingsservice är anslutna till Kanta-tjänsterna.[54] Frågan om vilka informationssystem och välbefinnandeapplikationer som ska hänföras till klass A kan emellertid ge upphov till vissa gränsdragningsproblem, i synnerhet när det gäller system och register som är kopplade till de vårdinformationssystem som har anslutits till Kanta-tjänsterna. Till exempel skulle de kvalitetsregister som ÅHS kan upprätta för att bl.a. säkra verksamhetens kvalitet kunna uppfattas som avgränsade uppgiftssamlingar, när sådana register inte är direkt kopplade till journalsystemet och överföringen av kunduppgifter huvudsakligen sker enkelriktat (dvs. från journalsystemet till kvalitetsregistret) samt vid bestämda tillfällen. Däremot har informationssystem som används vid fakturering av patient- och klientavgifter och ärendehanteringssystem med vars hjälp en socialvårdsnämnd hanterar ärenden som gäller klienterna ansetts falla under klass B. Vidare exkluderas från både kunduppgiftslagens och blankettlagens tillämpningsområde bl.a. sådana dataprogram som styr olika anordningars funktioner och som inte används för att behandla kunduppgifter. Inte heller allmänna textbehandlings- eller kalkylprogram för personal- eller ekonomiförvaltning faller under kunduppgiftslagens definition på informationssystem. I oklara fall ska vägledning för klassificeringen hämtas från institutet för hälsa och välfärds föreskrift 4/2024 om klassificering och certifiering av informationssystem och välbefinnandeapplikationer inom social- och hälsovården, utgiven den 3 maj 2024. Det bör emellertid påpekas att kunduppgiftslagen utöver de riksomfattande informationssystemtjänsterna i allt väsentligt tar sikte på de patient- och klientdatasystem som tjänstetillhandahållare använder för elektronisk behandling av kunduppgifter och andra system där uppgifter som gäller patienter och klienter behandlas.
I linje med vad som anförts ovan under punkt 4, förtydligas i 5 punkten att sådana informationssystem och välbefinnandeapplikationer som inte är anslutna till Kanta-tjänsterna inte heller ska anmälas till Tillstånds- och tillsynsverket för social- och hälsovården. Tillsyn över informationssystem som inte är anslutna till Kanta-tjänsterna utövas på Åland av landskapsregeringen. Vidare framgår av paragrafens 6 punkt att sådana informationssystem inom socialvården och hälso- och sjukvården på Åland som inte har anslutits till Kanta-tjänsterna ska uppfylla de krav på informationssäkerhet, dataskydd och interoperabilitet som följer av landskapslagstiftningen. Vad som i kunduppgiftslagens 84 § föreskrivs om väsentliga krav på informationssystem ska m.a.o. inte vara tillämpliga på dessa lokala system som används inom socialvården och hälso- och sjukvården på Åland.
7 § Skyldighet för tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att ansluta sig som användare av de riksomfattande informationssystemtjänsterna. I paragrafen föreskrivs om de åländska tjänstetillhandahållarnas skyldighet att ansluta sig till rikets Kanta-tjänster. Anslutningsskyldigheten avser följande tjänster i Kanta:
1) informationsresursen för kunduppgifter,
2) förvaringstjänsten för loggregister,
3) medborgargränssnittet,
4) informationshanteringstjänsten,
5) viljeyttringstjänsten, samt
6) informationsförmedlings- och förfrågningsservicen.
Såväl de offentliga som de privata tjänstetillhandahållarna inom socialvården och hälso- och sjukvården ansvarar själv för organisationens anslutning till Kanta-tjänsterna och för genomförandet av nödvändiga organisatoriska och tekniska förberedelser. Tjänstetillhandahållaren bär också ansvaret för att den inom utsatt tid har tillgång till ett vårdinformationssystem som uppfyller de väsentliga kraven för anslutning till Kanta-tjänsterna. Om en tjänstetillhandahållare använder fler än ett informationssystem för behandling av kunduppgifter, t.ex. för dokumentation av en viss serviceuppgift, ska de alla anslutas till Kanta. Tjänstetillhandahållaren kan då använda Kanta-tjänsterna även för att utbyta information mellan sina egna klient- eller patientdatasystem.
Av 2 mom. följer att privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland ska ansluta sig som användare av Kanta-tjänsterna, om de använder ett informationssystem som är avsett för behandling av kunduppgifter. Enligt uppgifter från Institutet för hälsa och välfärd sker tjänstetillhandahållarnas anslutning till Kanta-tjänsterna vanligtvis genom certifierade informationssystem som tillhör klass A3.
Eftersom kunduppgifter som omfattas av åländska tjänstetillhandahållares personuppgiftsansvar sannolikt kommer att bevaras i Kanta-tjänsterna mer än tio år, förutsätts i 3 mom. att tjänstetillhandahållarna före anslutningens genomförande ansöker om tillstånd för elektronisk förvaring av uppgifterna hos landskapsregeringen. Med elektronisk förvaring menas enligt 6 § 3 mom. i landskapsförordningen (2021:155) av arkivering av elektronisk förvaring av information som ska förvaras mer än tio och varaktigt att informationen förvaras tillfälligt i ett elektroniskt mellanarkiv innan den överförs till landskapsarkivet för varaktig bevaring. Åtminstone ur ett åländskt perspektiv är Kanta-tjänsterna att betrakta som ett mellanarkiv för kundhandlingar.
8 § Språkkrav för informationssystemtjänster inom socialvården och hälso- och sjukvården. Det huvudsakliga syftet med paragrafen är att skydda och befästa det svenska språkets särställning på Åland. Enligt grundregeln, som kommer till uttryck i självstyrelselagens 36 § 1 mom., är Åland enspråkigt svenskt. Anslutningen till rikets Kanta-tjänster måste ske i förenlighet med denna centrala grundsats. I självstyrelselagen saknas dock uttryckliga bestämmelser som säkerställer att tjänster som riktas till allmänheten eller särskilda grupper finns tillgängliga på svenska. Eftersom språklagen (FFS 423/2003) inte är tillämplig på Åland, är det angeläget att säkerställa att de åländska klienternas och patienternas rätt att få vårdservice på svenska blir vederbörligen beaktad, även när sådan service tillhandahålls genom Kanta-tjänsterna. Generellt sett kan detta åstadkommas genom att det till åländska speciallagar fogas särskilda regler för språkskydd.
Landskapsregeringen kan meddela anstånd från skyldigheten att ansluta sig till Kanta-tjänsterna inom de utsatta tidsfristerna, om den bedömer att tjänsterna uppvisar sådana brister i det svenska språket att vårdpersonalens och kundernas behov inte kan tillgodoses på ett tillfredsställande sätt.
9 § Skyldighet att i vissa fall avbryta användningen av en riksomfattande informationssystemtjänst. De åländska patienternas och klienternas rätt att få information och service på svenska ska ovillkorligen respekteras och tillförsäkras i alla vårdsammanhang, oavsett vilken teknisk infrastruktur eller digital plattform som används inom hälso- och sjukvården och socialvården. Bestämmelserna i 9 § uppvisar likheter med 45b § i hälso- och sjukvårdslagen, vari föreskrivs att ÅMHM kan besluta om att verksamheten eller delar därav omedelbart ska avbrytas, om patientsäkerheten så kräver. Särskilt vägande skäl för att avbryta användningen av en Kanta-tjänst kan också föreligga om tjänsten uppvisar brister i tillgängligheten enligt Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer.
Det kan också handla om risk- och säkerhetsbedömningar som utförs av den personuppgiftsansvarige tjänstetillhandahållaren, Datainspektionen eller landskapsregeringen och som utmynnar i slutsatsen att det vidtas otillräckliga tekniska åtgärder för att upprätthålla skyddet av kunduppgifter i Kanta-systemet. Hälso- och sjukvård betraktas som en samhällsviktig verksamhet, där en störning eller cyberattack kan medföra betydande negativa konsekvenser för samhället och dess invånare. En allvarlig driftsstörning eller annan betydande incident[55] i Kanta-tjänsterna kan innebära en stor integritetsrisk för de enskilda kunder vars uppgifter lagras i systemet och i förlängningen även orsaka betydande skada för det åländska samhället i stort. Enligt landskapsregeringen kan det därför inte uteslutas att det kan förekomma olika uppfattningar i riket och på Åland om vad som utgör lämplig säkerhet i enlighet med dataskydds- och cybersäkerhetslagstiftningen. Eventuell framtida implementering av ny teknik och lösningar baserade på artificiell intelligens (AI), t.ex. för att effektivisera tillgången till information i Kanta-tjänsterna, kan också vara förenad med stor osäkerhet och ge upphov till olika juridiska och etiska problemställningar. Såsom tidigare konstaterats, är det riksmyndigheterna som slutligen bestämmer den tekniska säkerhetsnivån i Kanta-tjänsterna. Tjänstetillhandahållarna bär likväl ansvaret för att behandlingen av kunduppgifter till övriga delar uppfyller kraven i dataskyddslagstiftningen.
Att ofördröjligen kunna avbryta användningen av en Kanta-tjänst i eventuella undantagssituationer och överföra kunduppgifterna till ett lokalt och säkert informationssystem, är angeläget även med tanke på att det av kundhandlingar endast får finnas ett original. Det är varken godtagbart ur integritetssynpunkt eller praktiskt ändamålsenligt att göra extra exemplar av varje kundhandling som inkommer eller upprättas i verksamheten.[56]
10 § Krav på informationssystem och välbefinnandeapplikationer som inte är anslutna till de riksomfattande informationssystemtjänsterna. Syftet medparagrafen är att klargöra den ur behörighetsfördelningens synpunkt betydelsefulla skillnaden mellan informationssystem som är anslutna till Kanta-tjänsterna och övriga informationssystem som används av tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland. Eftersom den sistnämnda kategorin av informationssystem anses falla inom landskapets lagstiftningsbehörighet, ska utgångspunkten vara att den också regleras genom landskapslagstiftning. Informationssystem som omfattas av paragrafens tillämpningsområde är i huvudsak sådana som inte är anslutna, varken direkt eller via en informationsförmedlingsservice, till Kanta-tjänsterna. För en mer detaljerad redovisning av vilka informationssystem som kan tänkas falla under denna kategori, se detaljmotivering till 6 § 4 punkten.
11 § Rapportering av störningar i vissa nätverks- och informationssystem som används inom socialvården och hälso- och sjukvården på Åland. I enlighet med vad som anförts ovan om behörighetsfördelningen mellan Åland och riket vad gäller informationssystem som är anslutna till Kanta-tjänsterna och övriga informationssystem som används inom vården på Åland, ska landskapslagstiftningen, och då framför allt landskapslagen om cybersäkerhet och motståndskraft, tillämpas på sådana betydande störningar och incidenter som inträffar i informationssystem som tillhör den sistnämnda kategorin. I landskapslagen om cybersäkerhet och motståndskraft definieras närmare vad som avses med betydande störningar eller incidenter i informationssystem.
Landskapsregeringen bedömer med hänsyn till bl.a. incidentens typ, karaktär och omfattning huruvida Ålands befolkning ska bli informerad om avvikelsen.
12 § Rätt för tillhandahållare av offentliga socialvårdstjänster på Åland att få klientuppgifter inom socialvården. Den praxis som bildats vid tillämpningen av grundlagen förutsätter att det i lag föreskrivs om myndigheters rätt att få sekretessbelagda uppgifter av en annan myndighet. Rätten att lämna ut och ta emot klientuppgifter gäller i förevarande fall KST och de primärkommuner som ansvarar för ordandet av äldreomsorg och barnomsorg. Paragrafen är inte tillämplig på de delområden inom socialvården som faller under rikets lagstiftningsbehörighet, dvs. familjeförhållanden och barns rättsliga ställning.
Rätten att få och använda klientuppgifter ska grunda sig på de objektiva kriterier som anges i kunduppgiftslagen och som avgör på vilka villkor en myndighet kan ges tillgång till känsliga personuppgifter som innehas av en annan myndighet inom socialvården. En förutsättning för att en yrkesutbildad person inom socialvården kan ta del av kunduppgifter är att denna tilldelats åtkomsträtt till de efterfrågade uppgifterna på det sätt som föreskrivs i social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården. Detta framgår även av 9 och 71 §§ 1 mom. i kunduppgiftslagen och 4 § 13 punkten i blankettlagen. Därutöver krävs en datatekniskt säkerställd kund- eller vårdrelation mellan klienten och den som framställt begäran om utlämnande. Att största delen av den kommunala socialvården på Åland inordnats under KST, innebär i ljuset av 4 § 2 och 3 mom. i kunduppgiftslagen att klientens tillstånd inte krävs för att yrkesutbildade personer och andra personer som är anställda i nämnda organisation ska ha rätt att inom ramen för sina åtkomsträttigheter ta del av sådana kunduppgifter som är nödvändiga för att tillhandahålla socialvård. För att säkerställa att informationsutbytet mellan socialvårdsmyndigheterna på Åland kan ske lika smidigt och effektivt som i välfärdsområdena i riket, är det angeläget att denna rätt att få och använda klientuppgifter utsträcks till att gälla hela den offentliga socialvårdssektorn på Åland.
Grundlagsutskottet har i sina utlåtanden slagit fast att rätten att behandla sådana kunduppgifter som är nödvändiga för fullgörandet av arbetsuppgifter inom vården kan grunda sig på lagstiftning och en existerande kund- och vårdrelation, i stället för ett samtycke som begärs av kunden. En sådan regleringsform har ansetts vara möjlig under förutsättning att informationssäkerheten fungerar och förhindrar att obehöriga får tillgång till känslig information samt att säkerhetsmekanismerna finns på plats genast när registret eller informationssystemet börjar användas. Kundens rätt att bestämma över information om sig själv (självbestämmanderätten) kan tillgodoses genom rätten att motsätta sig användningen av uppgifterna och den personuppgiftsansvariges skyldighet att informera kunden om dennes möjlighet att meddela förbud. [57]
Grundlagsutskottet har i sin praxis även betonat vikten av att det i bestämmelser om rätten att få och lämna ut känsliga personuppgifter trots sekretess ska ingå antingen en detaljerad förteckning över innehållet i uppgifterna eller ett krav på att uppgifterna är nödvändiga för ett visst syfte. I sina tidigare utlåtanden (se t.ex. GrUU 71/2014) har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter ens i sådana fall där denna rätt är förenad med nödvändighetskriteriet. I och med att nödvändigheten av att få klientuppgifter ska bedömas utifrån de åtkomsträttigheter som definieras i social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården (se även detaljmotiveringen till 19 §) och den grundläggande bestämmelsen i 9 § i kunduppgiftslagen, kan regleringen till denna del avses uppfylla kravet på exakthet och noggrann avgränsning.
För att säkerställa att överföringen av uppgifter sker på ett säkert sätt och i enlighet med det riskbaserade synsättet i dataskyddsförordningen, ska rätten att få uppgifter tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som används av tjänstetillhandahållaren och som uppfyller de säkerhetskrav som ställs i lagstiftningen. Grundlagsutskottet har i sin praxis (se bl.a. GrUU 15/2018 och GrUU 4/2021) intagit ståndpunkten att det av lagtexten tydligt ska framgå hur det är tänkt att känsliga personuppgifter ska överföras mellan olika aktörer.
Syftet med paragrafen är att effektivisera informationsutbytet mellan socialvårdsmyndigheterna på Åland enligt samma modell som tillämpas inom välfärdsområdena i riket. Det bör understrykas att de sekretessbrytande bestämmelserna i 12 § inte omfattar privata tjänstetillhandahållare inom socialvården. Bestämmelserna gäller inte heller när en myndighet inom socialvården på Åland med stöd av en överenskommelseförordning sköter förvaltningsuppgifter som faller inom rikets lagstiftningsbehörighet.
Bestämmelsen i 2 mom. grundar sig på 22 § i offentlighetslagen för Åland och innebär en ytterligare begränsning av myndighetens rätt att få klientuppgifter. I praktiken tillämpas bestämmelsen i situationer där det till en socialvårdsmyndighet på Åland inkommit rikshandlingar med däri ingående uppgifter som är föremål för sekretess enligt rikslagstiftningen, däribland huvudsakligen kunduppgiftslagen. Vidare omfattar bestämmelserna i 2 mom. situationer där en myndighet inom socialvården på Åland upprättar en myndighetshandling som anknyter till ett ärende eller handlingar som är sekretessbelagda hos en myndighet som ordnar socialservice i riket. Exempelvis kan en riksmyndighet överlåta i riket sekretessbelagda handlingar eller uppgifter till en myndighet inom socialvården på Åland, som därefter upprättar myndighetshandlingar där de i riket sekretessbelagda uppgifterna ingår. I en sådan situation ska även de inom den åländska myndigheten upprättade myndighetshandlingarna eller uppgifterna vara sekretessbelagda. Det är i dessa situationer viktigt att säkra ett fortsatt skydd för den sekretess som gäller för handlingarna eller uppgifterna enligt rikslagstiftningen. Att upprätthålla en balans mellan tillgången till information och sekretessintressen, främjar goda relationer mellan landskapets myndigheter och riksmyndigheterna.
13 § Rätt att få uppgifter mellan socialvården och hälso- och sjukvården inom ramen för det myndighetsövergripande samarbetet. Av 19a § i hälso- och sjukvårdslagen och 69 § i socialvårdslagen framgår vilka serviceformer som tillhandahålls vid en verksamhetsenhet inom socialvården och som innefattar insatser från både socialvårdens och hälso- och sjukvårdens personal. I nuläget bedrivs myndighetsövergripande samverkan på följande områden: förebyggande av psykisk ohälsa, boendeservice, hemservice och hemvård, institutionsvård samt alkohol- och drogarbete. Enligt 5 § i äldrelagen (2020:9) för Åland ska de kommunala myndigheterna och ÅHS samarbeta för att ordna socialvårdstjänster och hälso- och sjukvårdstjänster för de äldre. Den sekretessbrytande bestämmelsen i 27 § 2 mom. i landskapslagen om hemvård är relativt öppet formulerad och torde rimligtvis även omfatta sådan hälso- och sjukvårdspersonal som inom ramen för det myndighetsövergripande samarbetet, dvs. på tjänstens vägnar, behöver få ta del av kunduppgifter. Genom paragrafen utsträcks denna rätt till att omfatta samtliga tjänster som tillhandahålls genom samarbete mellan socialvården och hälso- och sjukvården.
Det sektorsövergripande samarbetet mellan hälso- och sjukvården och socialvården kan innebära att en yrkesutbildad person som arbetar vid en serviceenhet inom socialvården, men har arbetsuppgifter som hör till hälso- och sjukvården, dokumenterar patientuppgifter även om hens arbetsuppgifter huvudsakligen finns inom socialvården. Patientuppgifterna ska i sådana fall antecknas och registreras i ett separat patientregister, varifrån de överförs vidare till Kanta-tjänsterna.
I likhet med vad som gäller enligt 12 § föreskrivs i 2 mom. att de sekretessbrytande bestämmelserna i 1 mom. inte är tillämpliga på sådana handlingar och uppgifter som inkommit till eller upprättats av en myndighet inom socialvården eller hälso- och sjukvården på Åland som är sekretessbelagda i rikslagstiftningen eller vars offentliggörande skulle medföra att uppgifter som är sekretessbelagda enligt rikslagstiftningen röjs. Den grundprincip som kommer till i uttryck i offentlighetslagens 22 § ska m.a.o. respekteras även vid sådant informationsutbyte som förekommer mellan ÅHS och den kommunala socialvården inom ramen för det sektorsövergripande samarbetet.
14 § Bevarande och gallring av kunduppgifter och logguppgifter som lagras i de riksomfattande informationssystemtjänsterna. Såsom konstaterats ovan i avsnitt 5.3, är varken informationsresursen för kunduppgifter eller någon annan Kanta-tjänst avsedd att fungera som en plattform för långsiktigt eller permanent bevarande av kunduppgifter. Å andra sidan returneras kunduppgifterna inte automatiskt till tjänstetillhandahållarens vårdinformationssystem efter det att uppgifternas bevarandetid löpt ut. Det ska vara möjligt att spara kunduppgifter även efter utgången av den angivna bevarandetiden, om det är nödvändigt för att ordna och tillhandahålla vård för patienten eller tillhandahålla socialservice för klienten. Detta kan utläsas ur bl.a. 48 § i kunduppgiftslagen.
Sammantaget kan det konstateras att den lagtekniska modell som 14 § och kunduppgiftslagens bestämmelser om bevarande av kundhandlingar baserar sig på inte nämnvärt skiljer sig från vad som i nuläget föreskrivs om förvaringstider och arkivering i 12 § 2 och 3 mom. i rikets patientlag och 24 § i klienthandlingslagen. För tydlighetens skull ska det konstateras att begreppet bevaras permanent, såsom det kommer till uttryck i bilagan till kunduppgiftslagen, ska förstås som synonymt med begreppen arkivering och varaktig förvaring.[58]
Om kunduppgifterna av någon anledning inte kan överföras från Kanta-tjänsterna till ett lokalt informationssystem som tjänstetillhandahållaren använder för lagring av kunduppgifter, ska i vart fall tjänstetillhandahållarens arkivplan styra uppgifternas bevarande och gallring i Kanta-tjänsten.
15 § Bevarande av kundhandlingar när en tjänstetillhandahållares verksamhet upphör. I paragrafen föreskrivs om de åtgärder som ska vidtas för att säkra kundhandlingarnas integritet, när en tjänstetillhandahållare inom den privata hälso- och sjukvården och socialvården upphör med sin verksamhet. Kundhandlingar som bevaras hos en privat tjänstetillhandahållare inom hälso- och sjukvården ska vid verksamhetens upphörande utan dröjsmål överföras till ÅHS. Kundhandlingar som bevaras hos en privat aktör som tillhandahåller andra socialvårdstjänster än äldreomsorg ska, när dennes verksamhet upphör, överföras till KST. I överensstämmelse med den nuvarande ansvarsfördelningen inom socialvården ska kundhandlingar och logguppgifter som härrör från privata aktörer inom äldreomsorgen överföras till den kommun som tjänstetillhandahållaren senast har haft som sin hemkommun på Åland. En tjänstetillhandahållares hemkommun ska fastställas enligt lagen om hemkommun (FFS 201/1994).
Överlämnandet ska avse alla kundhandlingar som förvaras hos den privata tjänstetillhandahållare vars verksamhet upphört, inte enbart handlingar som den privata aktören enligt ett uppdrags- eller köptjänstavtal hanterat för en offentlig tjänstetillhandahållares, t.ex. ÅHS och KST, räkning. I situationer där den privata tjänstetillhandahållaren inte har anslutit sig som användare av Kanta-tjänsterna ska överlämnandet av kundhandlingarna till ÅHS, KST eller kommunen ske antingen analogt eller via ett tekniskt gränssnitt.
Av paragrafens 2 mom. följer att kundhandlingar som bevaras i Kanta-tjänsterna ska hanteras i enlighet med vad som föreskrivs om bevarande och gallring i 14 §. Förfaringssättet skiljer sig från bestämmelserna i 1 mom. såtillvida att de kundhandlingar och logguppgifter som lagras i Kanta-tjänsterna ska överföras till det lokala informationssystem som ÅHS, KST och kommunerna använder först efter det att bevarandetiden för handlingarna har löpt ut, dvs. inte ”utan ogrundat dröjsmål” efter det att tjänstetillhandahållarens verksamhet upphört. När ÅHS, KST och kommunen fått handlingar från en upphörd verksamhet i sin besittning, ska vad som föreskrivs i arkivlagen för landskapet Åland om gallring och varaktig bevaring tillämpas.
16 § Föreläggande att fullgöra skyldigheter. Paragrafen tar närmast sikte på situationer där en enskild tjänstetillhandahållare inom socialvården eller hälso- och sjukvården försummat eller underlåtit att ansluta sig till Kanta-tjänsterna inom utsatt tidsfrist. För att ett beslut om föreläggande ska ha en tillräckligt avskräckande verkan, ska det gå att förena med vite på det sätt som föreskrivs i 17 §.
17 § Vite. Landskapsregeringen ska i egenskap av tillsynsmyndighet ha samma befogenhet att förena ett föreläggande med vite som riksmyndigheterna tilldelats enligt 96 § i kunduppgiftslagen. Närmare bestämmelser kring vite finns i landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen.
18 § Straffbestämmelser. Straffbestämmelserna i kunduppgiftslagens 100 § 1 mom. intas, för vinnande av enhetlighet och överskådlighet, i paragrafens 1 mom. med stöd av 19 § 3 mom. i självstyrelselagen. Hänvisningen i paragrafens 2 mom. till bestämmelserna om dataskyddsbrott i 38 kap. 9 § i strafflagen (FFS 39/1889) grundar sig på straffbestämmelserna i 26 § i rikets dataskyddslag (FFS 1050/2018), som gjorts tillämplig på Åland genom landskapslagen (2019:74) om tillämpning på Åland av riksförfattningar om dataskydd. Vid brott mot kunduppgiftslagens och blankettlagens sekretessbestämmelser ska vad som föreskrivs i 28 § i offentlighetslagen för Åland tillämpas.
Paragrafens 3 mom. om straff för dataintrång ska inom landskapets lagstiftningsbehörighet tillämpas på sådan förseelse som begås i förhållande till informationssystem och välbefinnandeapplikationer som inte är anslutna till de riksomfattande Kanta-tjänsterna.
19 § Närmare bestämmelser. De närmare bestämmelserna om åtkomsträttigheter till kunduppgifter och anteckningar som ska omfattas av särskilt skydd har samlats i social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården. Det bör dock betonas att bestämmelserna i nämnda riksförordning endast anger de övergripande ramarna och grunderna för bestämmandet av åtkomsträttigheter. Det ska således även fortsättningsvis ankomma på tjänstetillhandahållaren att specificera vilken rätt yrkesutbildade personer och andra personer som är verksamma i organisationen har att behandla kunduppgifter. Utgångspunkten ska vara att åtkomsträttigheter enbart får beviljas i den utsträckning behandlingen av kunduppgifter är nödvändig för att personen i fråga ska kunna utföra sina arbetsuppgifter inom vården.
Journalanteckningar som omfattas av särskilt skydd finns åtminstone inom följande områden: sexualterapi, psykologtjänster samt mentalvårds-, beroende- och missbrukartjänster. Det särskilda skyddet hindrar inte läsning av uppgifterna, men kräver en separat bekräftelse när andra än personer med åtkomsträtt tar del av dem. Vad gäller administrationen av åtkomsträttigheterna till skyddade anteckningar, ska detta ske i likhet med vad som gäller för övriga kunduppgifter.
20 § Rättelseyrkande. I paragrafen anges att en sakägare som är missnöjd med ett beslut som fattats av landskapsregeringen har rätt att inom 30 dagar, räknat från beslutsdagen, begära rättelse av beslutet hos landskapsregeringen. Endast de beslut som fattats med anledning av ett rättelseyrkande kan överklagas genom förvaltningsbesvär i enlighet med 21 § i blankettlagen. Den klagande måste m.a.o. först ha uttömt rättsmedlet rättelse innan denne kan anföra besvär över beslutet hos högsta förvaltningsdomstolen.
21 § Besvär. I enlighet med grunderna för god förvaltning ska det vara möjligt att anföra besvär hos Högsta domstolen över beslut som landskapsregeringen fattat enligt blankettlagen.
22 § Ikraftträdande. Avsikten är att den föreslagna blankettlagen ska träda i kraft den 1 januari 2026. Genom blankettlagen upphävs landskapslagen om klienthandlingar som obehövlig. De bevarandetider för kundhandlingar som avses i bilagan till kunduppgiftslagen ska tillämpas även på handlingar som upprättats före lagens ikraftträdande, dock med beaktande av vad som bestämts om gallring och varaktig bevaring av handlingar i en av landskasregeringen fastställd arkivplan. Sådan överföring av handlingar som avses i blankettlagens 15 § ska även genomföras när den privata tjänstetillhandahållaren upphört med sin verksamhet före lagens ikraftträdande. Om handlingarna redan överlämnats till landskapsarkivet, ska de likväl stanna kvar där.
23 § Övergångsbestämmelser. Ibruktagandet av Kanta-tjänsterna är en omfattande omställning, som kräver ändringar och justeringar i vårdinformationssystemen, de interna riktlinjerna för informationshantering och journalföring samt organiseringen av serviceproduktionen. Ändringarna påverkar såväl vårdpersonal, utvecklare av vårdadministrationen som tillhandahållare av informationssystemtjänster. De tidsfrister för anslutning till Kanta-tjänsterna som anges i paragrafens 1 ̶ 4 och 6 ̶ 9 mom. har fastställts med beaktande av ovannämnda omständigheter.
De av Institutet för hälsa och välfärd fastställda strukturerade klient- och patienthandlingarna ska börja användas av tjänstetillhandahållare inom socialvården och hälso- och sjukvården senast när skyldigheten att ansluta sig till Kanta-tjänsterna inträder, eller senast när skyldigheten att lagra kunduppgifter börjar enligt vad som anges i undantagsbestämmelserna i 8 och 9 mom. Såsom framgår av paragrafens 1 ̶ 5 mom., utgör blankettlagen inget hinder för att tjänstetillhandahållarna tar i bruk Kanta-tjänsterna redan före den föreskrivna tidsfristen för anslutning. Organisationerna kan m.a.o. anmäla sig till Folkpensionsanstalten för ibruktagande av tjänsterna vid en tidpunkt som de anser vara lämplig. En tjänstetillhandahållare kan också välja att ansluta sig till Kanta delvis, eller stegvis, innan skyldigheten inträder, t.ex. genom att överföra klientuppgifter från en viss verksamhetsenhet eller en viss serviceuppgift till tjänsterna. Denna möjlighet till en etappvis anslutning grundar sig på samma modell som tillämpas i riket enligt 102 § i kunduppgiftslagen.
Av 3 mom. och 4 mom. följer att tjänstetillhandahållare inom den offentliga och privata socialvården på Åland ska ansluta sig till Kanta-tjänsterna senast den 1 oktober 2029. I likhet med situationen inom välfärdsområdenas socialvård i riket, behöver tjänstetillhandahållarna inom den offentliga och privata socialvården på Åland tid för att upphandla och implementera nya vårdinformationssystem.
Kundhandlingar ska införas i strukturerad form i Kanta enligt de övergångstider som anges i paragrafens 7 ̶ 9 mom. Dokumentationen anses vara strukturerad om den följer de nationella handlingsstrukturerna som Institutet för hälsa och välfärd publicerat i tjänsterna Sosmeta och Termeta samt den nationella kodtjänsten. Specifikationer för strukturerade kunduppgifter kan även återfinnas i olika specifikationsdokument som publiceras av Institutet för hälsa och välfärd och Folkpensionsanstalten. Till exempel ska video- och ljudupptagningar som uppkommit inom hälso- och sjukvården börja sparas i Kanta-tjänsterna i den strukturerade form som anges i Institutets specifikationer för datalagret för bildmaterial senast den 1 oktober 2029. Motsvarande tidsfrist för socialvårdens del är den 1 oktober 2031.
2. Landskapslag om ändring av 1 och 2 §§ landskapslagen om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter
1 §. I samband med social- och hälsovårdsreformen i riket gjordes bl.a. vissa ändringar i sekretessbestämmelserna i rikets patientlag. Bland annat ändrades definitionen av begreppet verksamhetsenhet, såtillvida att det i stället avser de verksamhetsenheter inom välfärdsområdets hälso- och sjukvård som sköter hälso- och sjukvårdsuppgifter enligt lagen om ordnande av social- och hälsovård (FFS 612/2021). Ett välfärdsområde består således per definition av flera verksamhetsenheter, såsom också är fallet med ÅHS enligt 10 § i hälso- och sjukvårdslagen. Den nya blankettlagen i kombination med ovannämnda ändringar i rikets patientlag frambringar ett behov av att göra vissa tekniska ändringar i den åländska patientlagen. Den tillfälliga s.k. frysningen av rättsläget, såsom den kommer till uttryck i patientlagens 1 § 1 mom. första meningen, upphävs. Detta innebär att rikets patientlag ska tillämpas på Åland i dess senaste lydelse. På grund av den ovannämnda omstruktureringen av social- och hälsovården i riket, fogas till patientlagens 1 § ett nytt 3 mom., varigenom det tydliggörs att den myndighet som ansvarar för ordnandet av hälso- och sjukvård på Åland ska, inom landskapets lagstiftningsbehörighet, betraktas som en motsvarighet till vad som utgör ett välfärdsområde i riket. Det nya momentet motsvarar bestämmelsen i 1 § 4 mom. i lagen om gräns-överskridande hälso- och sjukvård (FFS 1201/2013), och ligger även i linje med bl.a. 2b § 3 punkten i landskapslagen (1995:101) om tillämpning i landskapet Åland av riksförfattningar om socialvård, enligt vilken hänvisningar i klientlagen till ett välfärdsområde ska avse det organ som ansvarar för den kommunala socialvården i enlighet med 4 § i landskapslagen (2020:13) om socialvårdens förvaltning och tillsyn på Åland. Nämnda lagrum har i förvaltningspraxis ansetts omfatta även KST.
2 §. Eftersom bestämmelserna i rikets patientlag om sekretess, dataskydd samt upprättande och bevarande av journalhandlingar upphävts och i stället, med vissa modifikationer, införts i kunduppgiftslagen, har det i den förstnämnda lagens 13b § 2 mom. fogats en informativ hänvisning till kunduppgiftslagen. För att underlätta tillämpningen av det nya regelverket, fogas till patientlagens 2 § 5 punkten en motsvarande hänvisning till blankettlagen.
I och med att regleringen av patientens rätt att kontrollera egna uppgifter i journalhandlingar också flyttats till kunduppgiftslagen, upphävs 2 § 3 punkten i patientlagen som överflödig. Vid behov görs avvikelser av liknande slag i blankettlagen.
3. Landskapslag om ändring av 8 § landskapslagen om tillämpning av lagen angående specialomsorger om utvecklingsstörda
8 §. Eftersom det i lagen angående specialomsorger om utvecklingsstörda (FFS 519/1977) inte ingår någon hänvisning till kunduppgiftslagen, och på grund av att lagen om klienthandlingar inom socialvården (FFS 254/2015) upphävdes i samband med att kunduppgiftslagen trädde i kraft, upphävs även 8 § 1 mom. 9 punkten i landskapslagen som onödig.
4. Landskapslag om ändring av landskapslagen om tillämpning i landskapet Åland av riksförfattningar om socialvård
2c § Eftersom bestämmelserna om klientens eller dennes företrädares rätt att ta del av uppgifter har flyttats över till kunduppgiftslagen, ska hänvisningen till offentlighetslagen (2021:79) för Åland i stället göras i blankettlagen (se blankettlagens 4 § 1 mom. 5 punkten samt ändringen av 5 § 18 punkten i landskapslagen (2008:97) om tillämpning i landskapet Åland av barnskydds-lagen). Följaktligen ska 2c § 4 punkten upphävas.
5. Landskapslag om ändring av 5 § landskapslagen om tillämpning i landskapet Åland av barnskyddslagen
5 § Särskilda avvikelser. I 27 § 3 mom. i barnskyddslagen föreskrivs om socialarbetarens upplysnings- och underrättelseplikt vid inledandet av en klientrelation inom barnskyddet. Underrättandet av vårdnadshavaren och barnet ska ske med beaktande av vad som föreskrivs i 51 § i kunduppgiftslagen. Av det sistnämnda lagrummet framgår att den minderåriga i vissa fall har rätt att förbjuda att dennes uppgifter lämnas ut till vårdnadshavaren. Såsom framgår av 4 § 1 mom. 5 punkten i blankettlagen, ska hänvisningen i kunduppgiftslagens 51 § 2 mom. till bestämmelser i rikets offentlighetslag (FFS 621/1999) avse motsvarande bestämmelser i offentlighetslagen för Åland. Hänvisningen i paragrafens 18 punkt till blankettlagen är framför allt av informativ karaktär; den syftar till att öka tydligheten och underlätta rättstillämpningen.
6. Landskapslag om ändring av 17 § landskapslagen om yrkesutbildade personer inom socialvården
17 § Utlämnande av uppgifter ur centralregistret över yrkesutbildade personer inom socialvården. Landskapsregeringens uppgift att upprätthålla ett centralregister över yrkesutbildade personer inom socialvården har genom 2 § 2 punkten i Republikens presidents förordning (2020:85) om skötseln på Åland av vissa förvaltnings- och tillsynsuppgifter avseende behörighetskrav och yrkesutövning för yrkesutbildade personer inom socialvården överförts på Tillstånds- och tillsynsverket för social- och hälsovården. Genom det nya 3 mom. bemyndigas Tillstånds- och tillsynsverket för social- och hälsovården att lämna ut sådana uppgifter ur centralregistret som Myndigheten för digitalisering och befolkningsdata behöver för att kunna utfärda de certifikat och yrkeskort som krävs för att yrkesutbildade personer inom socialvården på Åland ska kunna logga in på Kanta-tjänsterna.
Enligt det nya 4 mom. ska den registerförande myndigheten, dvs. Tillstånds- och tillsynsverket för social- och hälsovården som anförtrotts uppgiften genom ovannämnda överenskommelseförordning, också ha rätt att lämna ut sådana uppgifter till Folkpensionsanstalten som myndigheten enligt 66 § 3 mom. 1 § punkten i kunduppgiftslagen behöver för att kunna sköta sina uppgifter i anslutning till Kanta-tjänsterna. Den i 3 och 4 mom. reglerade rätten att lämna ut uppgifter till andra myndigheter innebär inte att Myndigheten för digitalisering och befolkningsdata tillskrivs nya uppgifter.
7. Landskapslag om ändring av 40 och 41 §§ landskapslagen om socialvård
40 § Anmälan till andra myndigheter om klientens stödbehov. Eftersom bestämmelserna om utlämnande av uppgifter utan klientens samtycke överförts från rikets klientlag till kunduppgiftslagen, ändras paragrafens 3 mom. så att det i stället hänvisas till kunduppgiftslagen och blankettlagen. I momentet uppmärksammas även att kundens tillstånd till utlämnande i stort sett ersatt samtycke som en bekräftande viljeyttring.
41 § Sektors- och myndighetsövergripande samarbete. Hänvisningarna i paragrafens 3 mom. till klientlagen och landskapslagen om klienthandlingar inom socialvården ersätts med hänvisningar till kunduppgiftslagen och blankettlagen. I momentet beaktas även avvikelsen i blankettlagens 13 §, enligt vilken en tjänstetillhandahållare som deltar i genomförandet av en tjänst som tillhandahålls genom samarbete mellan den kommunala socialvården och offentliga hälso-och sjukvården på Åland har rätt att trots sekretessbestämmelserna, och utan kundens tillstånd, lämna ut uppgifter som är nödvändiga för tillhandahållandet av de samordnade tjänsterna.
Lagtext
Landskapsregeringen föreslår att följande lagar antas.
1.
L A N D S K A P S L A G
om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården
I enlighet med lagtingets beslut föreskrivs:
1 §
Lagens syfte och tillämpningsområde
I syfte att uppnå en enhetlig reglering för behandling av kunduppgifter inom den offentliga och privata socialvården och hälso- och sjukvården, ska lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023), nedan kallad kunduppgiftslagen, tillämpas på Åland med de avvikelser som anges i denna lag. Ändringar i kunduppgiftslagen ska gälla på Åland från tidpunkten för deras ikraftträdande i riket, om inte annat följer av denna lag.
Genom denna lag åläggs offentliga och privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att inom de tidsfrister som anges i 23 § ansluta sig som användare av de riksomfattande informationssystemtjänsterna, de så kallade Kanta-tjänsterna, som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen.
2 §
Förvaltningsuppgifter och samarbete mellan myndigheterna
De förvaltningsuppgifter som enligt kunduppgiftslagen ankommer på social- och hälsovårdsministeriet, Tillstånds- och tillsynsverket och Folkpensionsanstalten ska inom landskapets behörighet handhas av landskapsregeringen, till den del det gäller att sköta den allmänna styrningen och planeringen av informationshanteringen, övervaka och utöva tillsyn över informationssäkerheten samt samordna samarbetet ifråga om sådana informationssystem och välbefinnandeapplikationer inom socialvården och hälso- och sjukvården på Åland som inte är anslutna till de riksomfattande informationssystemtjänsterna.
Inom landskapets behörighet ansvarar Datainspektionen för den övervakning av och tillsyn över behandlingen av personuppgifter som enligt kunduppgiftslagen ankommer på dataombudsmannen. Datainspektionen ska samarbeta och vid behov utbyta information med Tillstånds- och tillsynsverket vid sådana betydande avvikelser och störningar i de riksomfattande informationssystemtjänsterna som avses i 90 § i kunduppgiftslagen.
Landskapsregeringen ska i den utsträckning det är möjligt, och med beaktande av vad som föreskrivs om myndighetssamarbete i Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet), samarbeta och samråda med Folkpensionsanstalten och Tillstånds- och tillsynsverket när dessa i enlighet med 66 § 3 mom. 5 punkten och 89 § 2 mom. i kunduppgiftslagen utövar tillsyn över de tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland som anslutit sig som användare av de riksomfattande informationssystemtjänsterna.
3 §
Bestämmelser som inte ska tillämpas
Inom landskapets behörighet ska följande lagrum i kunduppgiftslagen inte tillämpas:
1) 19 § 2 mom.
2) 38 § 2 mom. 1 punkten.
3) 61 §, till den del den avser utlämnande av patientuppgifter för medicinsk forskning enligt lagen om medicinsk forskning (FFS 488/1999).
4 §
Hänvisningar
Inom landskapets behörighet ska
1) hänvisningar i kunduppgiftslagen till ett välfärdsområde eller Helsingfors stad avse den myndighet som ansvarar för ordnandet av hälso- och sjukvård på Åland och, på socialvårdens område, de kommunala myndigheter som ansvarar för socialvården,
2) hänvisningarna i kunduppgiftslagens 2 § 1 mom., 48 § 2 mom., 50 § och 74 § 2 mom. till dataskyddslagen (FFS 1050/2018) avse motsvarande bestämmelser i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen och, till den del det gäller den privata hälso- och sjukvården och socialvården på Åland, landskapslagen (2019:74) om tillämpning på Åland av riksförfattningar om dataskydd,
3) hänvisningen i 2 § 3 mom. i kunduppgiftslagen till cybersäkerhetslagen (FFS 124/2025) avse landskapslagen (2025:57) om cybersäkerhet och motståndskraft,
4) hänvisningen till dataombudsmannen i 11 § 4 mom. i kunduppgiftslagen även avse Datainspektionen,
5) hänvisningarna i kunduppgiftslagens 14 § 1 mom. 5 punkten, 51 § 2 mom. och 74 § 2 mom. till lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) avse motsvarande bestämmelser i offentlighetslagen (2021:79) för Åland,
6) hänvisningen i 23 § 2 mom. i kunduppgiftslagen till arkivlagen (FFS 831/1994) avse arkivlagen (2004:13) för landskapet Åland,
7) hänvisningen i 42 § 1 mom. i kunduppgiftslagen till 37 § och 39 § 2 mom. 1‒3 och 5 punkterna i socialvårdslagen (FFS 1301/2014) avse motsvarande bestämmelser i 37 § och 39 § 2 mom. 1‒3 och 5 punkterna i landskapslagen (2020:12) om socialvård,
8) hänvisningen i 43 § i kunduppgiftslagen till 39 § 2 mom. 4 och 6‒9 punkterna i socialvårdslagen avse motsvarande bestämmelser i 39 § 2 mom. 4 och 6‒9 punkterna i landskapslagen om socialvård,
9) hänvisningen i 45 § i kunduppgiftslagen till 44 § 1 mom. och 45 § 1 mom. i förvaltningslagen (FFS 434/2003) avse 39 § 1 mom. och 40 § 1 mom. i förvaltningslagen (2008:9) för landskapet Åland,
10) hänvisningen i 49 § 3 mom. i kunduppgiftslagen till lagen om klientens ställning och rättigheter inom socialvården (FFS 812/2000) avse landskapslagen (1995:101) om tillämpning i landskapet Åland av riksförfattningar om socialvård,
11) hänvisningen i 49 § 3 mom. i kunduppgiftslagen till barnskyddslagen (FFS 417/2007) avse landskapslagen (2008:97) om tillämpning i landskapet Åland av barnskyddslagen,
12) hänvisningen i 62 § i kunduppgiftslagen till sjukvårdslagen (FFS 1326/2010) avse landskapslagen (2011:114) om hälso- och sjukvård,
13) hänvisningen i 71 § 1 mom. fjärde meningen i kunduppgiftslagen till 53 och 54 §§ i samma lag även avse 12 och 13 §§ i denna lag,
14) hänvisningen i 89 § 2 mom. i kunduppgiftslagen till 39 § i rikets förvaltningslag avse 34 § i förvaltningslagen för landskapet Åland, och
15) hänvisningen i 96 § i kunduppgiftslagen till viteslagen (FFS 1113/1990) avse landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen.
5 §
Terminologi
Vid tillämpningen av kunduppgiftslagen avses med
1) social- och hälsovård den socialvård och hälso- och sjukvård som ordnas och tillhandahålls på Åland.
2) verksamhetsställe för social- och hälsovården en verksamhetsenhet inom Ålands hälso- och sjukvård och en verksamhetsenhet inom den offentliga socialvården på Åland.
6 §
Särskilda avvikelser
Inom landskapets behörighet ska vid tillämpningen av kunduppgiftslagen även följande avvikelser iakttas på Åland:
1) Med avvikelse från 5 § 3 mom. andra meningen i kunduppgiftslagen ska begreppet kund användas i stället för klient.
2) Med avvikelse från 24 § 2 mom. första meningen i kunduppgiftslagen ska det vid hanteringen av kundhandlingar som omfattas av personuppgiftsansvaret för en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland iakttas vad som föreskrivs i 14 § i denna lag om gallring och varaktig bevaring av kundhandlingar.
3) Med avvikelse från 66 § 2 mom. 3 punkten i kunduppgiftslagen får kunduppgifter och andra uppgifter som förts in i de riksomfattande informationssystemstjänsterna, och som omfattas av personuppgiftsansvaret för en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland, endast lämnas ut i enlighet med vad som föreskrivs i denna lag och i 15a‒15e §§ i landskapslagen om hälso- och sjukvård när det gäller sekundär användning av personuppgifter inom hälso- och sjukvården.
4) Med avvikelse från 79 § 2 och 3 mom. i kunduppgiftslagen ska klass B inte användas på Åland för klassificering av informationssystem och välbefinnandeapplikationer.
5) Med avvikelse från 80 § 1 mom. i kunduppgiftslagen ska skyldigheten för producenten av ett informationssystem och tillverkaren av en välbefinnandeapplikation att göra en anmälan till Tillstånds- och tillsynsverket endast avse sådana informationssystem och välbefinnandeapplikationer som anslutits till de riksomfattande informationssystemtjänsterna.
6) Med avvikelse från 84 § i kunduppgiftslagen ska bestämmelserna i 10 § i denna lag tillämpas på sådana informationssystem och välbefinnandeapplikationer inom socialvården och hälso- och sjukvården på Åland som inte är anslutna till de riksomfattande informationssystemtjänsterna.
7 §
Skyldighet för tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att ansluta sig som användare av de riksomfattande informationssystemtjänsterna
Tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland ska senast vid de tidpunkter som anges i 23 § i denna lag ansluta sig som användare av de riksomfattande informationssystemtjänsterna som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen. Bestämmelser om de väsentliga krav som gäller för anslutning till nämnda tjänster finns i 12 kap. i kunduppgiftslagen. Därutöver krävs att förutsättningarna enligt 3 mom. och 8 § i denna lag är uppfyllda.
Privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna som avses i 1 mom., om de använder ett informationssystem som är avsett för behandling av patient- eller klientuppgifter.
En tjänstetillhandahållare får inte ansluta sig som användare av de riksomfattande informationssystemtjänsterna utan att först ha inhämtat ett tillstånd för elektronisk förvaring av information från landskapsarkivet enligt 6 § i landskapsförordningen (2021:155) om arkivering av elektronisk information som ska förvaras mer än tio år och varaktigt.
8 §
Språkkrav för informationssystemtjänster inom socialvården och hälso- och sjukvården
Informationssystemtjänster, inbegripet välbefinnandeapplikationer och andra gränssnitt, som är avsedda att användas för administrationen av kunduppgifter inom socialvården och hälso- och sjukvården på Åland ska i alla väsentliga avseenden finnas tillgängliga åtminstone på svenska.
De uppgifter och anvisningar som en tillverkare av ett informationssystem ger till tjänstetillhandahållare och vårdpersonal inom socialvården och hälso- och sjukvården på Åland i samband med implementeringen av systemet ska lämnas åtminstone på svenska.
9 §
Skyldighet att i vissa fall avbryta användningen av en riksomfattande informationssystemtjänst
Landskapsregeringen kan av språkmässiga, informationssäkerhetsrelaterade eller andra särskilt vägande skäl förelägga en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland att avbryta användningen av en riksomfattande informationssystemtjänst. Om föreläggandet gäller någon av de riksomfattande informationssystemtjänster som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen, ska de kundhandlingar som bevaras i tjänsten utan dröjsmål efter att föreläggandet meddelats överföras till ett lokalt informationssystem som tjänstetillhandahållaren använder för elektronisk hantering och bevaring av kundhandlingar.
10 §
Krav på informationssystem och välbefinnandeapplikationer som inte är anslutna till de riksomfattande informationssystemtjänsterna
Sådana informationssystem och välbefinnandeapplikationer som inte är anslutna till de riksomfattande informationssystemtjänsterna ska, när de används av tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland, uppfylla de krav på informationssäkerhet, dataskydd och interoperabilitet som följer av landskapslagstiftningen.
11 §
Rapportering av störningar i vissa nätverks- och informationssystem som används inom socialvården och hälso- och sjukvården på Åland
Med avvikelse från 90 § i kunduppgiftslagen ska en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland rapportera betydande störningar eller incidenter i sådana nätverks- och informationssystem som inte är anslutna till de riksomfattande informationssystemtjänsterna till landskapsregeringen på det sätt som föreskrivs i landskapslagen om cybersäkerhet och motståndskraft.
Landskapsregeringen bedömer huruvida det kan anses ligga i allmänhetens intresse att bli informerad om störningar eller incidenter i de nätverks- och informationssystem som avses i 1 mom.
12 §
Rätt för tillhandahållare av offentliga socialvårdstjänster på Åland att få klientuppgifter inom socialvården
Inom landskapets behörighet och med avvikelse från 55 § 1 mom. i kunduppgiftslagen har en myndighet som tillhandahåller socialvård på Åland rätt att trots sekretessbestämmelserna få och använda klientuppgifter som innehas av andra myndigheter inom socialvården på Åland, om det är nödvändigt för att ordna, producera och tillhandahålla socialvårdstjänster för en klient. Rätten att få uppgifter ska tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som används av tjänstetillhandahållaren. Vad som i denna paragraf föreskrivs om utlämnande av klientuppgifter får ske utan att tillstånd för utlämnande inhämtas från klienten. Klienten har dock rätt att förbjuda att uppgifter lämnas ut.
En myndighets rätt att ta del av kunduppgifter på det sätt som föreskrivs i 1 mom. gäller inte uppgifter som omfattas av sekretess enligt rikslagstiftningen.
13 §
Rätt att få uppgifter mellan socialvården och hälso- och sjukvården inom ramen för det myndighetsövergripande samarbetet
Utöver vad som föreskrivs i 53 § 1 mom. i kunduppgiftslagen om socialvårdens och hälso- och sjukvårdens gemensamma tjänster har den som deltar i genomförandet av en tjänst som tillhandahålls genom samarbete mellan den kommunala socialvården och Ålands hälso- och sjukvård i enlighet med vad som föreskrivs i 19a § i landskapslagen om hälso- och sjukvård och 69 § i landskapslagen om socialvård rätt att trots sekretessbestämmelserna få och använda sådana kunduppgifter som är nödvändiga för tillhandahållandet av de samordnade tjänsterna. Rätten att få uppgifter ska tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som används av tjänstetillhandahållaren. Vad som i denna paragraf föreskrivs om utlämnande av kunduppgifter får ske utan att tillstånd för utlämnande inhämtas från kunden. Kunden har dock rätt att förbjuda att uppgifter lämnas ut.
Rätten att ta del av kunduppgifter på det sätt som föreskrivs i 1 mom. gäller inte uppgifter som omfattas av sekretess enligt rikslagstiftningen.
14 §
Bevarande och gallring av kundhandlingar och logguppgifter som lagras i de riksomfattande informationssystemtjänsterna
När den bevarandetid som anges i bilagan till kunduppgiftslagen har löpt ut för kundhandlingar, logguppgifter och annat material som en tjänstetillhandahållare inom socialvården och hälso- och sjukvården på Åland sparat i de riksomfattande informationssystemtjänsterna som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen, ska vad som föreskrivs i arkivlagen för landskapet Åland om gallring och varaktig bevaring av handlingar tillämpas.
Det ankommer på den personuppgiftsansvarige tjänstetillhandahållaren att se till att kundhandlingar som ska bevaras varaktigt utan dröjsmål efter det att bevarandetiden för handlingarna löpt ut överförs från de riksomfattande informationssystemtjänsterna som avses i 1 mom. till det lokala informationssystem som tjänstetillhandahållare använder för elektronisk hantering och bevaring av kundhandlingar.
15 §
Bevarande av kundhandlingar när en tjänstetillhandahållares verksamhet upphör
Med avvikelse från 16 § 1 mom. första och andra meningen i kunduppgiftslagen ska de kundhandlingar, logguppgifter och biologiska provmaterial som omfattas av personuppgiftsansvaret för en tjänstetillhandahållare inom den privata hälso- och sjukvården på Åland vars verksamhet har upphört utan ogrundat dröjsmål överföras till Ålands hälso- och sjukvård, som därmed också övertar personuppgiftsansvaret för de uppgifter som anknyter till den avslutade verksamheten. På motsvarande sätt ska de kundhandlingar och logguppgifter som omfattas av personuppgiftsansvaret för en privat tjänstetillhandahållare som varit verksam inom socialvården på Åland och vars verksamhet har upphört utan ogrundat dröjsmål överföras till Kommunernas socialtjänst k.f. Kundhandlingar och logguppgifter som omfattas av personuppgiftsansvaret för en privat tjänstetillhandahållare vars verksamhet inom äldreomsorgen har upphört ska dock utan ogrundat dröjsmål överföras till den kommun som senast har varit tjänstetillhandahållarens hemkommun på Åland.
När en tjänstetillhandahållares verksamhet inom den privata hälso- och sjukvården eller socialvården upphört, ska de kundhandlingar, logguppgifter och biologiska material som tjänstetillhandahållaren registrerat i de riksomfattande informationssystemtjänsterna överföras till personuppgiftsansvaret för den myndighet eller kommun som avses i 1 mom. Den myndighet eller kommun som övertar personuppgiftsansvaret ska iaktta vad som föreskrivs i 14 §.
16 §
Föreläggande att fullgöra skyldigheter
Om en tjänstetillhandahållare inom socialvården eller hälso- och sjukvården på Åland har underlåtit att fullgöra sin skyldighet enligt denna lag, får landskapsregeringen utfärda ett föreläggande om att skyldigheten ska uppfyllas inom utsatt tid.
17 §
Vite
Ett föreläggande som landskapsregeringen har meddelat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i landskapslagen om tillämpning i landskapet Åland av viteslagen.
18 §
Straffbestämmelser
Den som uppsåtligen eller av grov oaktsamhet
1) bryter mot identifieringsskyldigheten i 8 § 1 mom. kunduppgiftslagen,
2) lämnar ut kunduppgifter i strid med 8 kap. i kunduppgiftslagen utan kundens tillstånd för eller samtycke till utlämnande eller utan annan rättslig grund, eller
3) försummar sin skyldighet att informera enligt 68 § 1 mom. i kunduppgiftslagen och på så sätt äventyrar kundens integritetsskydd,
ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom socialvården och hälso- och sjukvården dömas till böter.
Bestämmelser om dataskyddsbrott finns i 38 kap. 9 § i strafflagen (FFS 39/1889) och i 28 § i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen. Bestämmelser om brott mot sekretess finns i 28 § i offentlighetslagen (2021:79) för Åland.
Inom landskapets behörighet ska bestämmelserna om straff för dataintrång i 38 kap. 8 § i strafflagen tillämpas inom socialvården och hälso- och sjukvården på Åland.
19 §
Närmare bestämmelser
Landskapsregeringen kan inom landskapets behörighet genom landskapsförordning besluta att författningar som utfärdats med stöd av kunduppgiftslagen ska tillämpas på Åland oförändrade eller med de ändringar landskapsregeringen föreskriver.
Om inte landskapsregeringen inom ramen för lagtingets lagstiftningsbehörighet genom landskapsförordning beslutat om avvikelser från riksbestämmelserna, ska på Åland iakttas social- och hälsovårdsministeriets förordning med närmare bestämmelser om:
1) åtkomsträttigheter till kunduppgifter för yrkesutbildade personer och andra personer som är verksamma inom socialvården och hälso- och sjukvården,
2) vilka anteckningar i journalhandlingarna som ska omfattas av särskilt skydd, och
3) det tillstånd som enligt 53 § 2 och 3 mom. i kunduppgiftslagen ska inhämtas från kunden och som förutsätts för utlämnande av uppgifter till tjänstetillhandahållare inom socialvården och hälso- och sjukvården.
20 §
Rättelseyrkande
En sakägare som är missnöjd med ett beslut som landskapsregeringen fattat med stöd av denna lag kan inom 30 dagar, räknat från beslutsdagen, skriftligen begära rättelse hos myndigheten. En begäran om rättelse ska behandlas utan dröjsmål.
21 §
Besvär
Besvär över lagligheten av ett beslut som landskapsregeringen fattat enligt denna lag med anledning av ett rättelseyrkande får anföras hos högsta förvaltningsdomstolen.
22 §
Ikraftträdande
Denna lag träder i kraft den
Genom denna lag upphävs landskapslagen (2020:26) om klienthandlingar inom socialvården.
Hänvisningar i annan landskapslagstiftning till den upphävda landskapslagen ska avse denna lag.
De bevarandetider som avses i bilagan till kunduppgiftslagen tillämpas också på handlingar som upprättats före lagens ikraftträdande. Beträffande gallring och varaktig bevaring av handlingar gäller vad som därom bestämts i en av landskapsregeringen fastställd arkivplan.
Med beaktande av de avvikelser som anges i 15 § ska vad som föreskrivs i 16 § i kunduppgiftslagen om överföring av handlingar även tillämpas i fråga om tjänstetillhandahållare som upphört med sin verksamhet före lagens ikraftträdande, dock så att de handlingar som innehafts av en tjänstetillhandahållare vars verksamhet har upphört och som tidigare har deponerats hos landskapsarkivet inte överförs till Ålands hälso- och sjukvård, Kommunernas socialtjänst k.f. eller kommunen.
Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.
23 §
Övergångsbestämmelser
Ålands hälso- och sjukvård ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna som avses i 65 § 1 mom. 1, 2, 4, 6, 7 och 10 punkterna i kunduppgiftslagen senast den 1 oktober 2027.
Privata tjänstetillhandahållare inom hälso- och sjukvården på Åland, som omfattas av kravet i 7 § 2 mom., ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna som avses i 1 mom. senast den 1 oktober 2027.
Tjänstetillhandahållare inom den offentliga socialvården på Åland ska ansluta sig som användare av de i 1 mom. avsedda riksomfattande informationssystemtjänsterna senast den 1 oktober 2029.
Privata tjänstetillhandahållare inom socialvården på Åland, som omfattas av kravet i 7 § 2 mom., ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna som avses i 1 mom. senast den 1 oktober 2029.
De riksomfattande informationssystemtjänsterna kan tas i bruk stegvis redan innan skyldigheten att ansluta sig som användare inträtt, förutsatt att de krav som ställs på anslutning i kunduppgiftslagen och i denna lag är uppfyllda.
Den i 13 § i denna lag och 53 § 2, 3, 5 och 6 mom. i kunduppgiftslagen avsedda rätten att få uppgifter mellan socialvården och hälso- och sjukvården ska börja tillämpas senast den 1 mars 2030.
Patientuppgifter som ska antecknas i samband med ordnandet och tillhandahållandet av socialservice ska föras in i patientregistret senast den 1 mars 2030.
Med avvikelse från skyldigheten enligt 69 § 1 mom. i kunduppgiftslagen att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom hälso- och sjukvården börja spara följande handlingar i informationsresursen senast den 1 oktober 2029:
a) dagliga anteckningar om vårdarbetet,
b) handlingar som anknyter till radiologisk screening,
c) video- och ljudupptagningar samt bilder för synligt ljus,
d) bilder tagna av enheter för mun- och tandvård, samt
e) andra bilder än sådana som avses i punkterna c och d.
Med avvikelse från skyldigheten enligt 69 § 1 mom. i kunduppgiftslagen ska video- och ljudupptagningar som uppkommer i alla serviceuppgifter hos en tjänstetillhandahållare inom socialvården börja sparas i den riksomfattande informationsresursen för kunduppgifter senast den 1 oktober 2031.
Om tidsfristen för tjänstetillhandahållares skyldighet enligt 8 och 9 mom. att spara handlingar i den riksomfattande informationsresursen infaller efter nämnda datum, ska tjänstetillhandahållaren ansluta sig till den riksomfattande informationsresursen för kunduppgifter senast när skyldigheten att spara handlingar börjar.
Ett i kunduppgiftslagens 55 § avsett tillstånd för utlämnande av uppgifter ska tas i bruk när tjänstetillhandahållaren börjar utnyttja sin rätt att få uppgifter via de riksomfattande informationssystemtjänsterna, dock senast när tjänstetillhandahållaren enligt denna lag ska ansluta sig till de riksomfattande informationssystemtjänsterna.
Tjänstetillhandahållare inom socialvården och hälso- och sjukvården ska i enlighet med 70 § i kunduppgiftslagen spara de uppgifter som gäller utlämnade kunduppgifter i förvaringstjänsten för loggregister senast när tjänstetillhandahållaren enligt denna lag ska ansluta sig till de riksomfattande informationssystemtjänsterna.
2.
L A N D S K A P S L A G
om ändring av 1 och 2 §§ landskapslagen om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter
I enlighet med lagtingets beslut
upphävs 2 § 3 punkten landskapslagen (1993:61) om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter, sådan den lyder i landskapslagen 2021/129,
ändras 1 § 1 mom., inledningssatsen till 2 § och 2 § 5 punkten, av dessa lagrum 1 § 1 mom. sådant det lyder i landskapslagen 2023/121, inledningssatsen till 2 § sådan den lyder i landskapslagen 2019/51 och 2 § 5 punkten sådan den lyder i landskapslagarna 2019/51 och 2021/129, samt
fogas till lagens 1 §, sådan den lyder i landskapslagen 2023/121, ett nytt 3 mom., som följer:
1 §
Lagen om patientens ställning och rättigheter (FFS 785/1992), nedan kallad patientlagen, ska tillämpas på Åland med de avvikelser som anges i denna lag. Bestämmelser som utfärdats med stöd av patientlagen ska tillämpas på Åland om de har stöd i lagen i den lydelse som gäller på Åland.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Hänvisningar i patientlagen till ett välfärdsområde ska inom landskapets lagstiftningsbehörighet avse den myndighet som svarar för ordnandet av hälso- och sjukvård på Åland.
2 §
Patientlagen ska inom landskapets behörighet tillämpas med följande avvikelser:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
5) Hänvisningen i patientlagens 13b § 2 mom. till lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023) ska på Åland avse landskapslagen ( : ) om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
3.
L A N D S K A P S L A G
om upphävande av 8 § landskapslagen om tillämpning av lagen angående specialomsorger om utvecklingsstörda
I enlighet med lagtingets beslut föreskrivs:
1 §
Genom denna lag upphävs 8 § 1 mom. 9 punkten i landskapslagen (1978:48) om tillämpning av lagen angående specialomsorger om utvecklingsstörda sådan den lyder i landskapslagen 2020/27.
2 §
Denna lag träder i kraft den
4.
L A N D S K A P S L A G
om ändring av landskapslagen om tillämpning i landskapet Åland av riksförfattningar om socialvård
I enlighet med lagtingets beslut
upphävs 2c § 4 punkten landskapslagen (1995:101) om tillämpning i landskapet Åland av riksförfattningar om socialvård, sådan den lyder i landskapslagen 2021/130, samt
ändras 1 § 1 mom. 1 punkten, 2c § 5 punkten och 2d §, av dessa lagrum 2c § 5 punkten sådan den lyder i landskapslagen 2023/22 och 2d § sådan den lyder i landskapslagarna 2020/57, 2021/130och 2023/22, som följer:
1 §
Med i denna lag angivna avvikelser och inom landskapets lagstiftningsbehörighet ska följande lagar tillämpas på Åland:
1) lagen om klientens ställning och rättigheter inom socialvården (FFS 812/2000), och
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2c §
Bestämmelserna om klientens rättigheter och skyldigheter i 2 kap. lagen om klientens ställning och rättigheter inom socialvården gäller på Åland med följande avvikelser:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
5) Hänvisningen i lagens 13 § till lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023) ska på Åland avse landskapslagen ( : ) om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården.
2d §
Bestämmelserna i 4 och 6 kap. i lagen om klientens ställning och rättigheter inom socialvården gäller på Åland med följande avvikelser:
1) Avseende tystnadsplikt gäller vad därom föreskrivs i offentlighetslagen för Åland och i landskapslagen om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården.
2) Bestämmelserna i lagens 27 § 1 mom. ska gälla även landskapsregeringen då den ansvarar för den allmänna styrningen av socialvården enligt 1 § 1 mom. i landskapslagen om socialvårdens förvaltning och tillsyn på Åland samt Ålands miljö- och hälsoskyddsmyndighet då den ansvarar för övervakningen av socialvården enligt 7 § 1 mom. i landskapslagen om socialvårdens förvaltning och tillsyn.
Denna lag träder i kraft den
5.
L A N D S K A P S L A G
om ändring av 5 § landskapslagen om tillämpning i landskapet Åland av barnskyddslagen
I enlighet med lagtingets beslut ändras 5 § 18 punkten landskapslagen (2008:97) om tillämpning i landskapet Åland av barnskyddslagen, sådan paragrafen lyder ändrat genom landskapslagen 2020/15, som följer:
5 §
Särskilda avvikelser
Vid tillämpningen av barnskyddslagen ska även i denna paragraf angivna avvikelser iakttas i landskapet:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
18) Hänvisningar i barnskyddslagens 27 § 3 mom. och 41 § 2 mom. till lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023) ska på Åland avse landskapslagen ( : ) om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
6.
L A N D S K A P S L A G
om ändring av 17 § landskapslagen om yrkesutbildade personer inom socialvården
I enlighet med lagtingets beslut fogas till 17 § landskapslagen (2020:24) om yrkesutbildade personer inom socialvården nya 3 och 4 mom., som följer:
17 §
Utlämnande av uppgifter ur centralregistret över yrkesutbildade personer inom socialvården
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Den registerförande myndigheten får trots sekretessbestämmelserna ur centralregistret lämna ut sådana uppgifter till Myndigheten för digitalisering och befolkningsdata som myndigheten behöver för att utfärda, återkalla, sända och upprätthålla de certifikat som krävs för att yrkesutbildade personer inom socialvården på Åland ska få åtkomst till de riksomfattande informationssystemtjänsterna (Kanta-tjänsterna) inom socialvården och hälso- och sjukvården.
Ur registret får också utan hinder av sekretessbestämmelserna lämnas ut sådana uppgifter till Folkpensionsanstalten som myndigheten behöver för att fullgöra sina lagfästa uppgifter i anslutning till de riksomfattande informationssystemtjänsterna (Kanta-tjänsterna) inom socialvården och hälso- och sjukvården.
Denna lag träder i kraft den
7.
L A N D S K A P S L A G
om ändring av 40 och 41 §§ landskapslagen om socialvård
I enlighet med lagtingets beslut ändras 40 § 3 mom. och 41 § 3 mom. landskapslagen (2020:12) om socialvård, som följer:
40 §
Anmälan till andra myndigheter om klientens stödbehov
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
I lagen om behandling av kunduppgifter inom social- och hälsovården (FFS 703/2023), tillämplig på Åland genom landskapslagen ( : ) om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården, föreskrivs om utlämnande av uppgifter utan klientens tillstånd eller samtycke. I förvaltningslagen för landskapet Åland föreskrivs om hänvisning av en klient till den behöriga myndigheten.
41 §
Sektors- och myndighetsövergripande samarbete
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Bestämmelser om antecknande av klientinformation i sektorsövergripande samarbete samt i socialvårdens och hälso- och sjukvårdens gemensamma service finns i 7 kap. i lagen om behandling av kunduppgifter inom social- och hälsovården, tillämplig på Åland genom landskapslagen om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården. Bestämmelser om utlämnande av uppgifter utan kundens tillstånd inom socialvårdens och hälso- och sjukvårdens gemensamma service samt för ordnande och tillhandahållande av hälso- och sjukvårdstjänster som är nödvändiga för andra tillhandahållare av hälsovårdstjänster finns i 53 § i lagen om behandling av kunduppgifter inom social- och hälsovården, tillämplig på Åland med de avvikelser som anges i 13 § i landskapslagen om tillämpning på Åland av lagen om behandling av kunduppgifter inom social- och hälsovården. Bestämmelser om en socialvårdsmyndighets rätt att av andra myndigheter få den handräckning som den behöver för att sköta sina lagstadgade uppgifter finns i lagen om klientens ställning och rättigheter inom socialvården, tillämplig på Åland genom landskapslagen om tillämpning i landskapet Åland av riksförfattningar om socialvård.
Denna lag träder i kraft den
| Mariehamn den 11 september 2025 | |
|
L a n t r å d |
Katrin Sjögren |
|
Föredragande minister |
Arsim Zekaj |
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 28/2024-2025
Bilaga - lag om behandling av kunduppgifter inom social- och hälsovården
LAG
om behandling av kunduppgifter inom social- och hälsovården
(FFS 703/2023)
I enlighet med riksdagens beslut föreskrivs:
AVDELNING I
LAGENS TILLÄMPNINGSOMRÅDE OCH BEHANDLINGEN AV KUNDUPPGIFTER
1 kap.
Allmänna bestämmelser
1 §
Lagens syfte
Syftet med denna lag är att förenhetliga behandlingen av kunduppgifter inom social- och hälsovården vid både ordnandet och tillhandahållandet av social- och hälsovårdstjänster.
2 §
Tillämpningsområde och förhållande till annan lagstiftning
Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, vid behandlingen av kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. Denna lag innehåller också bestämmelser om behandlingen av uppgifter om välbefinnande vid främjande av en persons eget välbefinnande. Om det i denna lag föreskrivs annat än i dataskyddslagen (1050/2018), tillämpas bestämmelserna i denna lag.
Bestämmelser om behandlingen av elektroniska recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns utöver i denna lag också i lagen om elektroniska recept (61/2007), nedan receptlagen.
Denna lag innehåller bestämmelser som kompletterar och preciserar Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) och cybersäkerhetslagen (124/2025) vid behandlingen av kunduppgifter inom social- och hälsovården och uppgifter som kunden själv producerar om sitt välbefinnande i samband med ordnandet och tillhandahållandet av social- och hälsovårdstjänster. (4.4.2025/132).
3 §
Definitioner
I denna lag avses med
1) kund en sådan socialvårdsklient som avses i lagen om klientens ställning och rättigheter inom socialvården (812/2000), nedan klientlagen, och en sådan patient som avses i lagen om patientens ställning och rättigheter (785/1992), nedan patientlagen,
2) handling en framställning i skrift eller bild och ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel,
3) kundhandling en handling som har upprättats eller tagits emot eller som innehåller uppgifter för bedömning av en kunds behov av social- eller hälsovårdstjänster, för ordnande eller tillhandahållande av behövliga tjänster eller för expediering av läkemedel,
4) journalhandling en kundhandling som gäller en patient,
5) klienthandling inom socialvården en kundhandling som gäller en socialvårdsklient,
6) kunduppgift patientuppgifter samt klientuppgifter inom socialvården,
7) patientuppgift kunduppgifter som ingår i journalhandlingar och andra handlingar som utarbetats inom hälso- och sjukvården och som gäller en patients hälsotillstånd eller funktionsförmåga eller hälso- och sjukvårdstjänster som patienten har fått,
8) klientuppgift inom socialvården uppgifter som ingår i klienthandlingar inom socialvården och andra handlingar som utarbetats inom socialvården och som gäller behovet av stöd för en socialvårdsklient, behandlingen av klientens ärende eller kunduppgifter som gäller den socialservice som ges till klienten,
9) uppgifter om välbefinnande sådana uppgifter som en person producerat och administrerar om sin hälsa och sitt välbefinnande och som personen själv har fört in i den i 17 punkten avsedda informationsresursen för egna uppgifter, (7.6.2024/307)
10) tillstånd för utlämnande en viljeyttring genom vilken en person eller dennes lagliga företrädare ger sitt tillstånd till att tjänstetillhandahållarna inom social- och hälsovården lämnar ut kunduppgifter sinsemellan och mellan sina register med kunduppgifter i syfte att ordna och tillhandahålla social- och hälsovårdstjänster,
11) tjänstetillhandahållare myndigheter, offentligrättsliga samfund, enskilda näringsidkare, samfund eller stiftelser som ordnar eller tillhandahåller socialservice eller hälso- och sjukvårdstjänster samt arbetsgivare som ordnar företagshälsovårdstjänster på det sätt som avses i 7 § 1 mom. 2 punkten i lagen om företagshälsovård (1383/2001), (7.6.2024/307)
12) apotek ett sådant apotek som avses i 38 § 1 punkten i läkemedelslagen (395/1987),
13) apotekare den som avses i 38 § 6 punkten i läkemedelslagen och som har beviljats tillstånd att hålla apotek samt en föreståndare för ett universitetsapotek och för dess filialapotek,
14) riksomfattande informationsresursen för kunduppgifter en informationsresurs som hör till de riksomfattande informationssystemtjänsterna och där kundhandlingar, andra handlingar som innehåller kunduppgifter eller andra uppgifter som behövs för social- och hälsovården bevaras och utnyttjas,
15) informationshanteringstjänst en riksomfattande informationssystemtjänst genom vilken sammandrag av patientuppgifter produceras,
16) viljeyttringstjänst en riksomfattande informationssystemtjänst genom vilken handlingar som gäller information, tillstånd för, samtycke till och förbud mot utlämnande med anknytning till social- och hälsovårdstjänster samt andra viljeyttringar med anknytning till tjänster och behandling av kunduppgifter inom social- och hälsovården förvaltas,
17) informationsresursen för egna uppgifter en inom de riksomfattande informationssystemtjänsterna upprättad centraliserad informationsresurs för bevarande och behandling av uppgifter om välbefinnande,
18) välbefinnandeapplikation en applikation i anslutning till informationsresursen för egna uppgifter med vilken uppgifter om välbefinnande behandlas, samt en applikation till vilken personen kan få sina kunduppgifter från den riksomfattande informationsresursen för kunduppgifter, receptcentret och informationshanteringstjänsten,
19) informationssystem en programvara eller ett system eller delsystem som det i enlighet med de egenskaper som har planerats av tillverkaren är meningen att använda för elektronisk behandling av kundhandlingar, för registrering av handlingarna i de riksomfattande informationssystemtjänsterna eller för anslutning till de riksomfattande informationssystemtjänsterna eller med vars hjälp en yrkesutbildad person inom social- eller hälsovården kan använda uppgifter om välbefinnande,
20) producent av en informationssystemtjänst den som för en tjänstetillhandahållare tillhandahåller eller genomför ett i 19 punkten avsett informationssystem och som i egenskap av informationssystemets tillverkare, för tillverkarens räkning eller för en eller flera tillverkares del ansvarar för de krav som ställs på informationssystemet, (7.6.2024/307)
21) tillverkare av ett informationssystem den som ansvarar för planeringen och tillverkningen av ett informationssystem för social- och hälsovården,
22) mellanhand en tjänsteleverantör som en tjänstetillhandahållare anlitar vid produktionen av informationssystemtjänster, genomförandet av informationssystemens tekniska eller fysiska miljö eller anslutningen till de riksomfattande informationssystemtjänsterna och som i denna roll i samband med underhåll eller annars har en möjlighet att se okrypterade kunduppgifter,
23) certifiering ett förfarande genom vilket det verifieras att informationssystem och välbefinnandeapplikationer uppfyller de väsentliga krav som ställs på dem för att de ska få användas för produktion,
24) bedömningsorgan för informationssäkerhet sådana företag, sammanslutningar och myndigheter som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011) och som Transport- och kommunikationsverket har godkänt.
2 kap.
Allmänna principer för behandlingen av kunduppgifter
4 §
Sekretess för kunduppgifter
Kunduppgifterna inom social- och hälsovården är permanent sekretessbelagda.
En sekretessbelagd handling som innehåller kunduppgifter eller en kopia eller utskrift av en sådan handling får inte visas för eller lämnas ut till utomstående och inte heller lämnas till utomstående för påseende eller användning. Med utomstående avses i denna lag personer inom hälso- och sjukvården som inte är anställda hos den aktuella tjänstetillhandahållaren eller det aktuella apoteket eller som för tjänstetillhandahållarens eller apotekets räkning eller på uppdrag av tjänstetillhandahållaren eller apoteket deltar i ordnandet eller tillhandahållandet av hälso- och sjukvårdstjänster för patienten eller i uppgifter i samband med dem och inom socialvården personer som inte är anställda hos den aktuella tjänstetillhandahållaren eller som för tjänstetillhandahållarens räkning eller på uppdrag av den deltar i ordnandet eller tillhandahållandet av socialservice för socialvårdsklienten eller i uppgifter i samband med den.
Vid verksamhetsenheter inom hälso- och sjukvården får trots sekretessbestämmelserna sådana patientuppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för vården av patienten behandlas. Vid verksamhetsenheter inom socialvården får trots sekretessbestämmelserna sådana kunduppgifter som ingår i tjänstetillhandahållarens register och som är nödvändiga för att tillhandahålla socialvård behandlas.
5 §
Tystnadsplikt och förbud mot utnyttjande
En tjänstetillhandahållare och en apotekare samt den som är anställd eller praktikant hos denna eller någon annan som handlar på uppdrag av tjänstetillhandahållaren eller apotekaren eller för dennas räkning liksom den som sköter ett förtroendeuppdrag inom socialvården eller en aktör som har fått kunduppgifter av tjänstetillhandahållaren eller apoteket har tystnadsplikt i fråga om de kunduppgifter de har fått och andra personliga uppgifter om kunden. En uppgift som omfattas av tystnadsplikt får inte heller röjas efter det att anställningsförhållandet eller uppdraget har upphört.
En person som avses i 1 mom. får inte obehörigen för utomstående röja uppgifter som han eller hon har fått eller använda uppgifterna för sin egen eller någon annans vinning.
En kund, kundens företrädare eller kundens biträde får inte för en utomstående röja en sekretessbelagd uppgift som fåtts på grundval av ställningen som kund och som gäller någon annan än kunden själv och inte heller använda uppgiften för sin egen eller någon annans vinning eller för att skada någon annan. En kund, kundens företrädare eller kundens biträde får dock använda uppgifter om andra än klienten själv när det är fråga om ett ärende som gäller den rätt, det intresse eller den skyldighet som klientens rätt att få information har grundat sig på.
6 §
Undantag från tystnadsplikten och sekretessen
Undantag från tystnadsplikten och sekretessen får göras med kundens samtycke eller om det föreskrivs om det i denna eller någon annan lag.
7 §
Anvisningar för behandling av kunduppgifter
Den ansvariga föreståndaren hos en tjänstetillhandahållare och en apotekare ska meddela skriftliga instruktioner om hur kunduppgifter ska behandlas och om de förfaringssätt som ska iakttas samt se till att personalen har tillräcklig sakkunskap och kompetens för behandlingen av kunduppgifter.
8 §
Identifiering av dem som deltar i behandlingen av kunduppgifter
Vid behandling av kunduppgifter ska kunden, tjänstetillhandahållaren, apoteket, andra parter i behandlingen av kunduppgifter och deras företrädare samt de datatekniska enheterna och riksomfattande informationssystemtjänsterna identifieras på ett tillförlitligt sätt.
Tjänstetillhandahållaren, apoteket, Folkpensionsanstalten samt producenten av informationssystemtjänsten och tillverkaren av informationssystemet samt mellanhanden ska kontrollera att identifieringsverktygen för personer som behandlar kunduppgifter och som används för identifiering av informationstekniska enheter är i kraft med iakttagande av 25 § 4–6 mom. i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), nedan autentiseringslagen.
9 §
Åtkomsträttigheter till kunduppgifter
Rätten att använda kunduppgifter ska grunda sig på de arbetsuppgifter som en yrkesutbildad person inom social- eller hälsovården eller någon annan som behandlar kunduppgifter sköter och de tjänster som denna person tillhandahåller, så att personen har rätt att använda endast de nödvändiga kunduppgifter som personen behöver i sina arbetsuppgifter. Behandlingen av kunduppgifter ska grunda sig på en datatekniskt säkerställd kund- eller vårdrelation eller någon annan uppgift som anknyter till ordnandet och tillhandahållandet av kundens social- och hälsovårdstjänster.
Bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som behandlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller utfärdas genom förordning av social- och hälsovårdsministeriet.
Tjänstetillhandahållare och apotek ska specificera vilka nödvändiga kunduppgifter yrkesutbildade personer inom social- och hälsovården och andra personer som behandlar kunduppgifter har rätt att använda. Tjänstetillhandahållare och apotek ska föra register över dem som vid behandlingen av kunduppgifter använder tjänstetillhandahållarens eller apotekets informationssystem och kundregister samt över deras rätt att använda kunduppgifter.
10 §
Uppföljning av användning och utlämnande av kunduppgifter och uppgifter om välbefinnande
En tjänstetillhandahållare ska för uppföljningen och tillsynen särskilt för varje register samla in logguppgifter om all användning och allt utlämnande av kunduppgifter och uppgifter om välbefinnande. Apoteken ska samla in användningslogguppgifter om behandlingen av recept och andra anteckningar om läkemedelsbehandling som lagrats i det receptcenter som avses i 3 § 1 mom. 4 punkten i receptlagen.
I användningsloggregistret ska det föras in uppgifter om använda kunduppgifter och uppgifter om välbefinnande, den tjänstetillhandahållare vars kunduppgifter används, namnet och den unika identifikationskoden för den som har använt kunduppgifter och uppgifter om välbefinnande, användningsändamålet och användningstidpunkten samt andra uppgifter som behövs för tillsynen och uppföljningen av användningen. I logguppgifterna för receptcentret ska det föras in uppgifter om vem som har läst, ändrat eller annars behandlat uppgifterna i ett recept eller någon annan anteckning om läkemedelsbehandling som lagrats i receptcentret samt tidpunkten för åtgärden.
I utlämningsloggregistret ska det föras in en beskrivning av utlämnade kunduppgifter samt uppgift om den tjänstetillhandahållare vars kunduppgifter lämnas ut, den som lämnat ut kunduppgifterna, mottagaren, tidpunkten för utlämnandet, det ändamål för vilket uppgifterna lämnades ut samt den bestämmelse som ligger till grund för utlämnandet eller tillstånd för utlämnandet eller uppgift om samtycke samt övriga uppgifter som behövs för tillsynen över och uppföljningen av utlämnandet.
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de uppgifter som ska föras in i loggregistren och om deras datainnehåll.
11 §
Kundens rätt att få information om behandlingen av sina egna uppgifter
En kund har för utredning eller utövande av sina rättigheter i anslutning till behandlingen av sina kunduppgifter och uppgifter om välbefinnande rätt att på skriftlig begäran inom skälig tid och senast inom två månader av tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket avgiftsfritt få veta vem som har använt eller till vem det har lämnats ut uppgifter om honom eller henne samt grunden för användningen eller utlämnandet.
Kunden har dock inte rätt att få logguppgifter, om den som ombeds lämna ut dem vet att utlämnandet av uppgifterna kan medföra allvarlig fara för kundens hälsa eller vård eller för någon annans rättigheter eller om utlämnandet av dem kan äventyra förhindrande, avslöjande eller utredning av brott eller skyddet av den allmänna säkerheten eller den nationella säkerheten. Kunden har inte heller rätt att utan särskild orsak få logguppgifter som är äldre än två år. Kunden får inte för något annat ändamål än för att utreda eller utöva sina rättigheter i anslutning till behandlingen av sina kunduppgifter använda eller lämna vidare logguppgifter som han eller hon fått.
Om en kund på nytt begär logguppgifter som han eller hon redan har fått, kan tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket för lämnandet av dessa logguppgifter ta ut en skälig ersättning, som inte får överstiga de direkta kostnaderna för lämnandet av uppgifterna. För tillgång till logguppgifter med hjälp av det i 74 § avsedda medborgargränssnittet får dock ingen avgift tas ut.
Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket anser att logguppgifterna inte får lämnas ut till kunden, ska det meddelas ett skriftligt avslagsbeslut. Ärendet kan föras till dataombudsmannen för behandling i enlighet med 21 § 1 mom. i dataskyddslagen.
Om en kund anser att hans eller hennes kunduppgifter eller uppgifter om välbefinnande har använts eller lämnats ut utan tillräckliga grunder, ska den tjänstetillhandahållare, Folkpensionsanstalten eller det apotek som använt eller fått uppgifterna på begäran ge kunden en redogörelse för grunderna för användningen eller utlämnandet av uppgifterna och lägga fram sin motiverade uppfattning om huruvida det har varit lagligt att använda eller lämna ut uppgifterna. Om tjänstetillhandahållaren, Folkpensionsanstalten eller apoteket bedömer att behandlingen av uppgifterna varit lagstridig, ska tjänstetillhandahållaren eller apoteket på eget initiativ vidta nödvändiga åtgärder.
12 §
Rätt att vägra begränsning av behandlingen av uppgifter på kundens begäran
Tjänstetillhandahållaren får vägra att tillgodose en kunds begäran om att begränsa behandlingen av sina personuppgifter med stöd av artikel 18 i dataskyddsförordningen, om en begränsning av behandlingen av uppgifterna kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter.
3 kap.
Personuppgiftsansvar för kunduppgifter inom social- och hälsovården
13 §
Personuppgiftsansvarig för kunduppgifter
Inom den offentliga social- och hälsovården är den tjänstetillhandahållare som svarar för ordnandet av tjänsterna personuppgiftsansvarig för kunduppgifterna, om inte något annat föreskrivs någon annanstans i lag. Inom den privata social- och hälsovården är den tjänstetillhandahållare personuppgiftsansvarig med vilken kunden har ingått ett avtal om tillhandahållande av tjänsten.
Personuppgiftsansvarig inom företagshälsovården är den tjänstetillhandahållare med vilken arbetsgivaren har ingått avtal om tillhandahållande av företagshälsovårdstjänster eller en arbetsgivare som i enlighet med 7 § i lagen om företagshälsovård själv ordnar företagshälsovården.
14 §
Tjänsteproducenters ansvar när de handlar för en annan tjänstetillhandahållares räkning
När en tjänsteproducent tillhandahåller social- eller hälsovårdstjänster för en annan tjänstetillhandahållares räkning, ansvarar tjänsteproducenten
1) för införande och registrering av kunduppgifter i den tjänstetillhandahållares register för vars räkning tjänsteproducenten handlar,
2) för beviljande av åtkomsträttigheter till kunduppgifter inom den egna organisationen,
3) för aktiv styrning och övervakning av behandlingen av personuppgifter inom den egna organisationen,
4) för att kundhandlingarna i original utan dröjsmål lämnas till den tjänstetillhandahållare för vars räkning tjänsteproducenten handlar, och
5) tillsammans med den tjänstetillhandahållare för vars räkning tjänsteproducenten handlar för att kundens rättigheter enligt dataskyddsförordningen och lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, tillgodoses.
Tjänstetillhandahållaren och tjänsteproducenten ska avtala närmare om lämnandet av de i 1 mom. 4 punkten avsedda kundhandlingarna och om tillgodoseendet av kundens rättigheter enligt 1 mom. 5 punkten samt om andra i artikel 28 i dataskyddsförordningen avsedda frågor.
15 §
Personuppgiftsansvarig vid ändring av tjänstetillhandahållare
Om social- eller hälsovårdstjänster som ordnas av en tjänstetillhandahållare överförs till en annan tjänstetillhandahållares ansvar, ska de kundhandlingar som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna. Inom den offentliga social- och hälsovården överförs kundhandlingarna till personuppgiftsansvaret för den tjänstetillhandahållare som fortsätter med tjänsterna från de tjänsteenheter som överförs till tjänstetillhandahållarens ansvar.
Om en arbetsgivare byter tjänstetillhandahållare inom företagshälsovården, kvarstår personuppgiftsansvaret för journalhandlingarna hos den tidigare tjänstetillhandahållaren.
16 §
Personuppgiftsansvar när en tjänstetillhandahållares verksamhet upphör
När en tjänstetillhandahållares verksamhet har upphört, ska de kundhandlingar, logguppgifter och biologiska provmaterial som omfattas av tjänstetillhandahållarens personuppgiftsansvar överföras till personuppgiftsansvaret för det välfärdsområde eller Helsingfors stad inom vars område tjänstetillhandahållaren har haft sin hemort. När verksamheten upphör ska tjänstetillhandahållaren se till att handlingarna utan ogrundat dröjsmål lämnas till Folkpensionsanstalten för bevarande. Om verksamheten har upphört på grund av tjänstetillhandahållarens död eller konkurs, svarar dödsboet eller konkursboet för att handlingarna överförs. De handlingar som gäller avslutad verksamhet ska hållas åtskilda från den personuppgiftsansvariges egna patientregister och klientregister inom socialvården.
Om flera tjänstetillhandahållare har avtalat om gemensamt personuppgiftsansvar i enlighet med dataskyddsförordningen, kan den tjänstetillhandahållare som fungerar som kontaktpunkt vara personuppgiftsansvarig för kunduppgifterna hos den tjänstetillhandahållare som har avslutat sin verksamhet.
Varje välfärdsområde och Helsingfors stad har var för sig gemensamt personuppgiftsansvar tillsammans med Folkpensionsanstalten. Folkpensionsanstalten ansvarar som gemensamt personuppgiftsansvarig för säkerställande av säkerhet i fråga om uppgifterna samt för bevarande och utplåning av uppgifter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen. Varje välfärdsområde och Helsingfors stad ansvarar för den personuppgiftsansvariges övriga skyldigheter enligt dataskyddsförordningen.
Elektroniska handlingar kan föras in i den riksomfattande informationsresurs för kunduppgifter som ingår i de riksomfattande informationssystemtjänster som avses i 65 §.
4 kap.
Principer för behandlingen av kundhandlingar
17 §
Skyldighet att anteckna kunduppgifter
Yrkesutbildade personer inom social- och hälsovården och bistående personer som deltar i tillhandahållandet av tjänsterna ska i kundhandlingarna anteckna behövliga och tillräckliga uppgifter för att säkerställa ordnandet, planeringen, genomförandet, uppföljningen och övervakningen av servicen för en klient och vården av en patient.
18 §
Kundregister inom social- och hälsovården
Tjänstetillhandahållarens journalhandlingar, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i patientregistret och klienthandlingarna inom socialvården förs in i socialvårdens klientregister.
Journalhandlingarna inom företagshälsovården, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, förs in i företagshälsovårdens patientregister arbetsgivarspecifikt.
19 §
Språket i kundhandlingar
Det språk som används i kundhandlingarna ska vara klart och begripligt och endast allmänt kända och godtagna begrepp och förkortningar får användas i dem.
Bestämmelser om de språkliga rättigheterna i social- och hälsovård som ordnas av myndigheter finns i språklagen (423/2003) och i samiska språklagen (1086/2003).
20 §
Kundhandlingarnas datastrukturer
Kundhandlingarnas datastrukturer ska göra det möjligt att rikta, använda, lämna ut, bevara, skydda och utnyttja åtkomsträttigheterna till elektroniska kundhandlingar och kunduppgifter. Datastrukturerna ska göra det möjligt att utnyttja kunduppgifter även för sekundära användningsändamål med hjälp av de riksomfattande informationssystemtjänster som avses i 65 § och tjänstetillhandahållarnas andra informationssystem.
Institutet för hälsa och välfärd meddelar föreskrifter om kundhandlingarnas datastrukturer och datainnehåll samt om de kodsystem som överallt i landet ska användas i datastrukturerna.
21 §
Tidsfrist för upprättande av handlingar
En kundhandling ska utan dröjsmål upprättas och föras in i de riksomfattande informationssystemtjänster som avses i 65 § när handlingen är klar.
Remisser ska utan dröjsmål upprättas och sändas till platser för fortsatt vård. Sammanfattningen av den vård som getts, inklusive anvisningar om fortsatt vård, ska utan dröjsmål sändas till patienten samt till platsen för fortsatt vård eller till en annan plats, om vilken det avtalats med patienten. Sammanfattningen ska även i icke-brådskande fall sändas utan dröjsmål.
22 §
Säkerställande av handlingarnas integritet, oförvanskade form och oavvislighet
Handlingarnas integritet, oförvanskade form och oavvislighet ska säkerställas när kunduppgifter behandlas, överförs och bevaras.
Underskrift av yrkesutbildade personer inom hälso- och sjukvården i intyg, utlåtanden och andra handlingar som kräver underskrift kan vara en egenhändig eller elektronisk underskrift. Handlingar som förs in i de riksomfattande informationssystemtjänsterna ska säkerställas med elektronisk underskrift eller elektronisk stämpel. Bestämmelser om signering av recept finns i 7 § i receptlagen.
Vid elektronisk signering som görs av en fysisk person ska det användas minst en sådan avancerad elektronisk underskrift, och organisationer och informationsteknisk utrustning ska använda en sådan elektronisk stämpel med motsvarande tillförlitlighet, som det föreskrivs om i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.
23 §
Bevarande av kundhandlingar
Kundhandlingar i original samt sådana prov och modeller av organ som uppkommer vid undersökning och vård av en patient och som innehåller biologiskt material ska bevaras den tid som anges i bilagan. Handlingar som är av medicinsk betydelse för medicinsk genetik och sällsynta sjukdomar ska bevaras varaktigt och prover och modeller av organ kan bevaras varaktigt, dock så att behovet att bevara dem ska bedömas vart femte år. Den personuppgiftsansvarige svarar för bevarandet. Folkpensionsanstalten svarar dock för bevarandet av de handlingar som förts in i de riksomfattande informationssystemtjänsterna.
Bestämmelser om arkivering finns i arkivlagen (831/1994).
24 §
Förstörande av kundhandlingar
När bevarandetiden för kundhandlingarna har gått ut och det inte har bestämts att en handling ska arkiveras, ska tjänstetillhandahållaren se till att de kundhandlingar och annat material som omfattas av dess personuppgiftsansvar förstörs omedelbart och på ett sådant sätt att utomstående inte får kännedom om dem.
Folkpensionsanstalten ska se till att kundhandlingar som har förts in i de riksomfattande informationssystemtjänsterna förstörs. När en tjänstetillhandahållares verksamhet har upphört ska den som ansvarar för förvaringen av handlingarna se till att de kundhandlingar som den förvarar förstörs.
5 kap.
Journalhandlingar
25 §
Rätt att göra anteckningar i journalhandlingar
Anteckningar i journalhandlingarna får göras av sådana yrkesutbildade personer inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsterna för patienten och i enlighet med de i 7 § avsedda anvisningarna av den ansvariga föreståndaren hos tjänstetillhandahållaren också av andra personer till den del de deltar i ordnandet och tillhandahållandet av hälso- och sjukvårdstjänsten. Bestämmelser om uppgörande av recept finns i 5 § i receptlagen. Studerande inom hälso- och sjukvården som deltar i ordnandet och tillhandahållandet av en hälso- och sjukvårdstjänst för patienten får göra anteckningar när de är verksamma i legitimerade yrkesutbildade personers uppgifter i enlighet med 2 § 3 mom. i lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994). Anteckningar som i övrigt gjorts av en studerande inom hälso- och sjukvården ska godkännas av dennas förman eller handledare eller av någon annan person med fullmakt att godkänna anteckningarna.
En yrkesutbildad person inom hälso- och sjukvården som dikterat anteckningar i journalhandlingar ansvarar för anteckningarna.
Anteckningar i journalhandlingar kan dessutom bestå av utskrifter som har skrivits ut av medicintekniska produkter, programvara eller robotar för hälso- och sjukvård och som är behövliga i vården av en patient.
26 §
Principer för journalhandlingar
Till journalhandlingarna hör anteckningar som yrkesutbildade personer har gjort om servicehändelser, recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret, upptagningar som hänför sig till diagnostik och utlåtanden i anslutning till dem och andra bild-, ljud- och videoupptagningar som hänför sig till tillhandahållandet av patientens hälsovårdstjänster, handlingar som hänför sig till ordnandet av hälso- och sjukvårdstjänster för patienten samt handlingar som kommit till hälso- och sjukvården någon annanstans ifrån.
Anteckningar i journalhandlingar i anslutning till medicinsk genetik och psykiatri och anteckningar i journalhandlingar i anslutning till motsvarande tjänster som kräver särskild konfidentialitet ska skyddas genom en separat begäran om bekräftelse eller ett motsvarande förfarande vid servicehändelser inom andra specialiteter eller tjänster än de nämnda. Kravet på skydd gäller dock inte medicineringsuppgifter eller riskinformation som eventuellt ingår i uppgifterna. Närmare bestämmelser om vilka anteckningar i journalhandlingarna som ska ges särskilt skydd utfärdas genom förordning av social- och hälsovårdsministeriet.
De journalhandlingar som förs in i de riksomfattande informationssystemtjänsterna ska bilda en sammanhängande dokumenthelhet med hjälp av specificerade koder för servicehändelserna.
27 §
Basuppgifter som ska antecknas i journalhandlingarna
Av journalhandlingarna ska alltid framgå
1) patientens namn och personbeteckning eller, om personbeteckningen inte är känd, identifikationskod eller födelsetid,
2) serviceanordnarens och tjänsteproducentens namn och identifikationskod,
3) namnet på den som gjort anteckningen, uppgift som identifierar den som gjort anteckningen, yrkesbeteckningen och tidpunkten för när anteckningen gjordes eller uppgifter om anteckningar som en medicinsk apparat, programvara eller robot producerat kompletterade med uppgift om den som eventuellt godkänner anteckningen, samt
4) i fråga om uppgifter som inkommit, när och varifrån de kommit.
Av journalhandlingarna ska också framgå följande uppgifter, om uppgifterna behövs för att ordna eller tillhandahålla vård eller service för patienten eller med tanke på ställningen för ett minderårigt barn som patienten har vårdnaden om eller en person som patienten ger närståendevård:
1) i fråga om en minderårig patient vårdnadshavarnas eller en annan laglig företrädares namn och kontaktinformation samt namnet på den lagliga företrädare som utsetts för en patient som har uppnått myndighetsåldern och denna företrädares kontaktinformation,
2) namnet på en nära anhörig eller någon annan kontaktperson som patienten uppgett samt eventuellt släktskapsförhållande och kontaktinformation,
3) uppgift om ett minderårigt barn som patienten har vårdnaden om,
4) uppgift om närståendevård,
5) patientens modersmål eller kontaktspråk,
6) patientens yrke,
7) det försäkringsbolag som patientens arbetsgivare anlitar om det kan vara fråga om arbetsolycksfall eller yrkessjukdom,
8) det försäkringsbolag som anlitas om det är möjligt att vården betalas av försäkringsbolaget, och
9) patientens samtycke till att uppgifter lämnas ut.
Om den som gjort den tekniska registreringen av en anteckning som avses i 1 mom. 3 punkten är en annan person än den som svarar för anteckningens innehåll ska det av journalhandlingen också framgå uppgifter om den som gjort den tekniska registreringen av anteckningen. Av anteckningen ska framgå källan till uppgifterna, om en uppgift inte baserar sig på observationer som en yrkesutbildad person själv har gjort eller det i journalhandlingarna antecknas andra uppgifter än sådana som gäller patienten själv.
28 §
Anteckningar som ska göras om servicehändelser
I journalhandlingarna ska anteckningar göras för varje servicehändelse. Av anteckningarna ska i behövlig omfattning framgå uppgifter om patientens hälsotillstånd, de tjänster som tillhandahållits och sjukdomsförloppet och genomförandet av vården samt grunderna för diagnosen, för den vård som valts och för de vårdavgöranden som fattats. I fråga om recept ska de uppgifter som avses i 6 § i receptlagen antecknas samt motiveringen till den valda läkemedelsbehandlingen till den del som uppgiften inte ingår i receptet.
Det ska vara möjligt att få reda på vilka yrkesutbildade personer och andra personer som har deltagit i tillhandahållandet av vården och tjänsterna.
Läkarutlåtanden och intyg ska antecknas enligt den tidpunkt då de utfärdats.
Om det med tanke på vården av en patient är nödvändigt att föra in uppgifter som någon annan har berättat om sig själv eller andra detaljerade känsliga uppgifter om någon annan person, ska dessa uppgifter antecknas i en separat handling i anslutning till patientens servicehändelse.
29 §
Centrala uppgifter om vården som ska antecknas i journalhandlingarna
Av anteckningarna i journalhandlingarna ska i behövlig omfattning framgå orsaken, förhandsuppgifter (anamnes), status, observationer, undersökningsresultat, problem, diagnos eller hälsorisk, slutsatser samt planering, genomförande och uppföljning av vården, sjukdomsförloppet samt ett slututlåtande. Av anteckningarna ska framgå hur vården har genomförts, om någonting särskilt uppdagats under vården och vilka avgöranden som fattats om vården medan den pågått.
Om patienten genomgått en operation eller någon annan åtgärd vidtagits, ska över operationen eller åtgärden avfattas en berättelse som innehåller en tillräckligt detaljerad beskrivning av hur åtgärden utförts och de observationer som gjorts under åtgärden. Berättelsen ska innehålla motiveringar till de avgöranden som träffats under åtgärden.
Uppgifter om proteser, implantat, tandfyllningsmaterial och andra material som permanent opererats in i patienten, ska antecknas i journalhandlingarna med en sådan noggrannhet att de kan identifieras senare.
Om självbestämmanderätten för en patient begränsas med stöd av mentalvårdslagen, (1116/1990), lagen om missbrukarvård (41/1986), lagen om smittsamma sjukdomar (1227/2016) eller någon annan lag, ska det göras en anteckning om detta, och av denna anteckning ska framgå orsaken till åtgärden, dess art och längd, en bedömning av hur åtgärden inverkar på vården av patienten samt namnet på den läkare som ordinerat åtgärden och de personer som vidtagit åtgärden.
30 §
Anteckningar om risker, skadliga verkningar av vård samt misstänkta skador
Hos patienten känd läkemedelsallergi, materialallergi och överkänslighet samt andra liknande omständigheter som ska beaktas i vården ska antecknas i journalhandlingarna.
Uppgifter om sådana hälsorisker som en arbetstagare på grund av arbetet är utsatt för ska antecknas i eller fogas till företagshälsovårdens journalhandlingar som gäller arbetstagaren.
I patientjournalen ska det antecknas uppgifter om konstaterade skadliga verkningar av undersöknings- och vårdåtgärder samt om vård som inte haft någon effekt.
Misstänkta patient-, apparat- eller läkemedelsskador ska antecknas detaljerat i patientjournalen så att det av anteckningarna framgår en beskrivning av skadan, en redogörelse för de yrkesutbildade personer inom hälso- och sjukvården som deltagit i vården samt i fråga om apparat- och läkemedelsskador en beskrivning av vad som misstänks ha orsakat skadan. Identifikationsuppgifter för läkemedel och apparater ska antecknas specificerat. Anteckningarna ska göras omedelbart efter att misstanken om skada har uppstått.
31 §
Anteckningar om konsultationer och vårdförhandlingar
Den yrkesutbildade person inom hälso- och sjukvården som bär ansvar för vården ska göra anteckningar i journalhandlingarna om sådana telefonförhandlingar som är av betydelse för patientens diagnos eller vård samt om andra liknande konsultationer och vårdförhandlingar. Av anteckningarna ska framgå tidpunkten för konsultationen eller förhandlingen, de personer som deltagit i behandlingen av ärendet samt de avgöranden som fattats och hur de verkställts.
Om en konsultation sker så att patienten kan identifieras, ska i de situationer som avses i 1 mom. även den som konsulterats göra anteckningar om sitt konsultationssvar i journalhandlingarna eller på annat sätt ha kvar uppgifter om svaret.
32 §
Anteckningar om avdelningsvård och långtidsvård
I fråga om en patient som omfattas av avdelningsvård eller långvarig vård ska det med tanke på vården av patienten tillräckligt ofta göras anteckningar om förändringar i patientens tillstånd, de undersökningar som gjorts och den vård som getts patienten. Det ska dagligen antecknas observationer, vårdåtgärder och motsvarande omständigheter som gäller patientens tillstånd.
I journalhandlingarna för en långtidssjuk patient i sjukhusvård ska läkaren med minst tre månaders mellanrum göra ett uppföljningssammandrag oberoende av om väsentliga förändringar har inträffat i patientens tillstånd.
33 §
Slututlåtande
Över varje vårdperiod ska det avfattas ett slututlåtande när vården upphör efter vårdperioden eller när ansvaret för vården av patienten överförs, om det inte finns särskilda skäl att avvika från detta.
Slututlåtandet ska utöver sammanfattningar av den vård som getts innehålla klara och detaljerade anvisningar för uppföljningen av patienten och för den fortsatta vården. I slututlåtandet ska dessutom beskrivas eventuella avvikelser i patientens återhämtning efter en åtgärd och patientens tillstånd när servicehändelsen avslutas.
34 §
Anteckningar om en minderårig kunds beslutsförmåga
När en minderårig person är kund inom hälso- och sjukvården, ska det för varje servicetillfälle antecknas om den minderårige själv har kunnat fatta beslut om sin vård på det sätt som avses i 7 § i patientlagen. Av anteckningarna ska även framgå om den minderårige patienten, som själv kan fatta beslut om sin vård, tillåter att uppgifter om hans eller hennes hälsotillstånd eller om vården ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifter eller om patienten med stöd av 51 § 1 mom. har förbjudit att uppgifter ges.
När ett barn under tolv år är kund kan informationssystemet som standard för handlingarna producera information om att barnet inte har kunnat fatta beslut om sin vård. En yrkesutbildad person inom social- och sjukvården ska vid behov ändra uppgiften, om barnet kan fatta beslut om sin vård.
35 §
Anteckningar om deltagande i vård i specialsituationer
Om en patient som uppnått myndighetsåldern i en situation som avses i 6 § 2 och 3 mom. i patientlagen i stället för i samförstånd med patienten själv vårdas i samförstånd med sin lagliga företrädare, en nära anhörig eller någon annan närstående, ska en anteckning om detta göras i journalhandlingarna.
36 §
Anteckningar om ordnande av vård för en patient
Om patienten i en situation som avses i 4 § 1 mom. i patientlagen blir tvungen att vänta på vård, ska det i journalhandlingarna göras anteckningar om orsaken till dröjsmålet, om den tidpunkt som patienten meddelats att han eller hon får vård och om att de nämnda uppgifterna har meddelats patienten. I journalhandlingarna antecknas också om patienten har hänvisats till en annan vårdplats. Om den tidpunkt för vård som meddelats patienten ändras, ska det i journalhandlingarna föras in uppgifter om den nya tidpunkten och orsaken till ändringen samt uppgifter om att patienten har underrättats om ändringen.
I journalhandlingarna ska det göras anteckningar om upplysningar som enligt 5 § 1 mom. i patientlagen getts patienten om omständigheter som hänför sig till vården. Om upplysningar inte har getts, ska orsaken till detta antecknas i journalhandlingarna.
Om patienten vägrar genomgå undersökning eller ta emot vård, ska en anteckning om vägran göras i journalhandlingarna.
Om patienten med tanke på framtiden önskar uttrycka sin bestämda vilja i fråga om vården, ska uppgift om detta föras in i viljeyttringstjänsten samt vid behov en motsvarande anteckning göras i journalhandlingarna och till journalhandlingarna fogas en separat av patienten bekräftad handling som uttrycker patientens vilja. I journalhandlingarna ska dessutom göras anteckningar om att patienten getts tillräckliga upplysningar om följderna av att hans eller hennes vilja följs.
6 kap.
Klienthandlingar inom socialvården
37 §
Principer för klienthandlingar inom socialvården
Skyldigheten att anteckna klientuppgifter inom socialvården börjar då tjänstetillhandahållaren har blivit informerad om att en person är i behov av service eller har börjat lämna socialservice.
Av varje klienthandling inom socialvården som förs in i socialvårdens klientregister ska det framgå till vilken serviceuppgift eller vilka serviceuppgifter inom socialvården handlingen ansluter sig.
Av sådana klienthandlingar inom socialvården som har sparats i samband med socialvård eller socialservice som har producerats för någon annans räkning ska det framgå uppgifter om grunderna för behandlingen av dem samt vem som är serviceanordnare och tjänsteproducent. Om man har använt sig av underleverantörer ska hela leverantörskedjan framgå av klientuppgifterna inom socialvården.
38 §
Basuppgifter som ska antecknas i klienthandlingar inom socialvården
Av en klienthandling inom socialvården ska alltid framgå
1) handlingens namn,
2) klientens namn och personbeteckning eller, om den inte är känd, en beteckning som fungerar som temporär identifikation eller födelsedatumet,
3) serviceanordnarens och tjänsteproducentens namn och identifikationskod,
4) namnet på den som upprättat handlingen eller gjort anteckningen samt dennas tjänsteställning eller uppgift, och
5) tidpunkten för när handlingen upprättats eller anteckningen gjorts.
I klienthandlingar inom socialvården ska följande uppgifter antecknas:
1) det välfärdsområde inom vars område klientens hemkommun enligt lagen om hemkommun (201/1994) finns,
2) tidpunkten för klientrelationens början,
3) uppgift om den arbetstagare som ansvarar för servicen till klienten,
4) eventuell information om en spärrmarkering som gäller kontaktuppgifterna för klienten eller klientens lagliga företrädare, och
5) tidpunkten för när klientrelationen avslutades och orsaken till avslutandet.
Vidare ska följande basuppgifter om berörda personer antecknas i en klienthandling inom socialvården om uppgifterna inverkar på de tjänster klienten får:
1) klientens modersmål och kontaktspråk samt kontaktuppgifter och hemkommun,
2) namn, kontaktuppgifter och behörighet för vårdnadshavare eller annan laglig företrädare till klienten och uppgifter om eventuell rätt till information för en förälder som fråntagits vårdnaden, om handlingen gäller en minderårig klient,
3) namn, kontaktuppgifter och behörighet för en laglig företrädare som har utsetts för en klient som uppnått myndighetsåldern, eller för en person som klienten har befullmäktigat, samt
4) vid behov namn, kontaktuppgifter och roll i sammanhanget för en anhörig eller närstående till klienten eller för någon annan som deltar i vården av eller omsorgen om klienten.
39 §
Anteckningar om att uppgifter har tagits emot
Om uppgifter om en socialvårdsklient fås av någon annan än klienten själv, ska mottagaren kunna verifiera
1) vilka uppgifter som har inhämtats eller tagits emot,
2) av vem uppgifterna har fåtts eller någon annan informationskälla, om uppgifterna har fåtts via en teknisk anslutning,
3) när uppgifterna togs emot,
4) vem som har begärt uppgifterna, om de har inhämtats på eget initiativ,
5) vilken bestämmelse som ligger till grund för inhämtandet eller mottagandet, eller uppgifter om samtycke, samt
6) det ändamål för vilket uppgifterna har inhämtats eller mottagits.
40 §
Anteckning av förbudsrätt för en minderårig klient
Om en minderårig socialvårdsklient med stöd av 51 § förbjuder att hans eller hennes klientuppgifter lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, ska förbudet och det vägande skäl som anges som grund för förbudet antecknas.
Om en minderårigs rätt att förbjuda utlämnande av sina klientuppgifter förvägras på grund av att den minderårige klienten inte har angett sådana vägande skäl för förbudet som avses i 1 mom., eller för att det anses att det klart skulle strida mot den minderårige klientens eget intresse om uppgifterna inte lämnades ut, ska också motiveringen för detta avgörande antecknas i klienthandlingen.
Uppgifter som ska antecknas enligt handlingstyp
41 §
Handlingar som gäller inledande av ett ärende
I klienthandlingar inom socialvården som gäller inledandet av ett ärende antecknas
1) personens behov av stöd, omsorg, vård eller annan service,
2) en eventuell motivering för behovet av service,
3) vem som har inlett ärendet, samt
4) tidpunkten för när ärendet inleddes.
42 §
Bedömning av servicebehovet
Förutom vad som föreskrivs i 37 § och 39 § 2 mom. 1–3 och 5 punkten i socialvårdslagen (1301/2014) antecknas i handlingar som gäller bedömningen av servicebehovet för en socialvårdsklient vid behov den uppfattning som klientens lagliga företrädare, en anhörig, närstående eller någon annan person har om klientens behov av stöd.
I utvärderingen av en plan antecknas dessutom den uppfattning som klienten samt övriga personer som har deltagit i genomförandet av planen har om hur målen i planen har uppnåtts, liksom arbetstagarens bedömning av saken.
43 §
Klientplan
Förutom vad som föreskrivs i 39 § 2 mom. 4 och 6–9 punkten i socialvårdslagen antecknas i en klientplan
1) klientens behov av stöd utifrån en bedömning av servicebehovet,
2) en beskrivning av den service som klienten behöver,
3) målen för servicen och klientrelationen samt metoder för att uppnå målen, samt
4) uppgifter om privatpersoner som deltar som stöd för klienten och deras uppgift.
44 §
Klientrapport
I klientrapporten antecknas både händelser i anslutning till klienten eller klientrelationen där klientens ärende har behandlats, tidpunkten för det stöd eller den service som klienten har fått samt vem som har deltagit i behandlingen av ärendet.
45 §
Beslut
Bestämmelser om de uppgifter som ska antecknas i en beslutshandling finns i 44 § 1 mom. och 45 § 1 mom. i förvaltningslagen (434/2003).
7 kap.
Anteckningar vid sektorsövergripande samarbete
46 §
Anteckning av kunduppgifter när social- och hälsovårdspersonal tillhandahåller tjänster tillsammans
Om social- och hälsovårdstjänster tillhandahålls gemensamt av socialvårdspersonal och hälso- och sjukvårdspersonal på ett verksamhetsställe för social- och hälsovård kan det för kunden göras en gemensam bedömning av servicebehovet, en gemensam kundplan och gemensamma anteckningar i kundrapporten för tjänsten i fråga samt utarbetas andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret. Kundrapporten förs in i klientregistret inom socialvården. Anteckningarna i journalhandlingarna förs in i patientregistret.
47 §
Anteckning av kunduppgifter vid samarbete mellan socialvården och hälso- och sjukvården
Om social- och hälsovårdspersonal i samarbete tillhandahåller social- och hälsovårdstjänster, kan det för kunden göras upp en gemensam bedömning av servicebehovet, en gemensam kundplan och andra behövliga gemensamma kundhandlingar. Bedömningen av servicebehovet, kundplanen och de andra gemensamma kundhandlingarna ska i behövlig omfattning föras in både i klientregistret inom socialvården och i patientregistret.
48 §
Anteckning av kunduppgifter vid samarbete mellan social- och hälsovården och andra sektorer
De som deltar i sektorsövergripande samarbete mellan social- och hälsovården och andra sektorer kan trots sekretessbestämmelserna
1) i de handlingar som innehas av den organisation som de företräder anteckna sådana kunduppgifter inom social- och hälsovården som de har fått tillgång till genom samarbetet och som är nödvändiga för skötseln av den gemensamma kundens ärende i organisationen, och
2) registrera en på basis av samarbetet upprättad kundplan i den organisationen, om det med tanke på kunden är nödvändigt i det ärende för vars skötsel handlingen har upprättats.
I fråga om skyldigheten att iaktta sekretess när det gäller sådana kunduppgifter som avses i 1 mom. tillämpas bestämmelserna i 4 § 1 mom. i denna lag och i 35 § i dataskyddslagen, oberoende av i vilken organisations handlingar uppgifterna ingår. Kunduppgifter får inte användas eller lämnas ut för andra ändamål än de för vilka uppgifterna har lagrats. Kunduppgifter får bevaras endast så länge det är nödvändigt med tanke på användningsändamålet.
8 kap.
Rätt att få information och utlämnande av information
Skötsel av ärenden för någon annans räkning och utlämnande av kunduppgifter till kundens lagliga företrädare, en nära anhörig eller någon annan närstående
49 §
Utlämnande av uppgifter till kundens lagliga företrädare eller en närstående i specialsituationer
En patients lagliga företrädare eller en nära anhörig eller någon annan närstående person har i de fall som avses i 6 § 2 och 3 mom. i patientlagen rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges.
En nära anhörig till patienten eller någon annan närstående person har rätt att få uppgifter om patientens person och hälsotillstånd då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta.
Den lagliga företrädaren eller en nära anhörig eller någon annan närstående person till en socialvårdsklient har i de fall som avses i 7 § 2 mom. i klientlagen och 30 § 2 mom. i barnskyddslagen (417/2007) rätt att få de uppgifter om klienten som behövs för att göra upp en klient-, service- eller vårdplan samt i de fall som avses i 9 § 1 mom. i klientlagen de uppgifter som behövs för att utreda klientens vilja.
50 §
Behandling av uppgifter för någon annans räkning
En person har rätt att med stöd av en fullmakt eller med stöd av 29 § 2 mom. i lagen om förmyndarverksamhet (442/1999) behandla uppgifter om en annan person. En vårdnadshavare har rätt att behandla sparade uppgifter om en person som vårdnadshavaren har vårdnaden om, om inte något annat följer av 51 §, artikel 8.1 i dataskyddsförordningen, 5 § i dataskyddslagen eller 4 § 4 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983).
51 §
Minderårigas rätt att förbjuda att deras uppgifter lämnas ut till vårdnadshavaren
En minderårig patient inom hälso- och sjukvården som med beaktande av ålder och utvecklingsnivå kan fatta beslut om vården har rätt att förbjuda att uppgifter om hans eller hennes hälsotillstånd och vård ges till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna.
Inom socialvården kan en minderårig med beaktande av ålder och utvecklingsnivå samt sakens natur av vägande skäl förbjuda att uppgifter som gäller honom eller henne lämnas ut till vårdnadshavaren, någon annan laglig företrädare eller någon annan som har rätt att få uppgifterna, om inte detta klart strider mot den minderåriges intresse. Om den minderårige eller den lagliga företrädaren är parter i ett socialvårdsärende, har den lagliga företrädaren dock rätt att få uppgifter. Bestämmelser om rätt att få uppgifter finns i 11 § i offentlighetslagen.
52 §
Utlämnande av kunduppgifter efter dödsfall
Uppgifter om den social- eller hälsovård som en avliden person fått under sin livstid får på en motiverad skriftlig ansökan lämnas till den som behöver uppgifterna för att utreda eller tillgodose sina viktiga intressen eller rättigheter i den mån uppgifterna är nödvändiga för detta ändamål. Mottagaren får inte använda eller lämna uppgifterna vidare för något annat ändamål.
Rätt att få uppgifter och utlämnande av kunduppgifter inom social- och hälsovården samt till andra myndigheter
53 §
Rätt att få uppgifter mellan socialvården och hälso- och sjukvården
När socialvården och hälso- och sjukvården tillhandahåller en gemensam tjänst på ett verksamhetsställe för social- och hälsovård har de som deltar i tillhandahållandet av tjänsten rätt att få och använda sådana kunduppgifter som är nödvändiga för tillhandahållandet av tjänsten.
En tjänstetillhandahållare inom socialvården har rätt att få och använda patientuppgifter för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka patientuppgifter en tjänstetillhandahållare inom socialvården har rätt att få och använda för att ordna och tillhandahålla socialservicen.
En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund. En förutsättning för att få och använda uppgifterna är att kunden har gett sitt tillstånd för utlämnande. Kunden ska i tillståndet för utlämnande specificera vilka klientuppgifter inom socialvården en tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda för att ordna och tillhandahålla hälso- och sjukvårdstjänsterna.
Närmare bestämmelser om hur det tillstånd som avses i 2 och 3 mom. ska gälla patientuppgifter och klientuppgifter inom socialvården får utfärdas genom förordning av social- och hälsovårdsministeriet.
En tjänstetillhandahållare inom socialvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter för att ordna eller tillhandahålla socialservice för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare. Dessutom har en myndighet inom socialvården rätt att av tjänstetillhandahållare inom hälso- och sjukvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till myndigheten.
En tjänstetillhandahållare inom hälso- och sjukvården har trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården för att ordna eller tillhandahålla hälso- och sjukvårdstjänster för en kund som på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och som inte har någon laglig företrädare.
54 §
Rätt för tjänstetillhandahållare inom hälso- och sjukvården att få patientuppgifter och utlämnande av patientuppgifter för att trygga vården
En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna och tillhandahålla hälso- och sjukvårdstjänster för en patient. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Tillståndet för utlämnande gäller patientens alla patientuppgifter och tillståndets omfattning kan begränsas med hjälp av förbud. En behörig myndighet som vårdar en patient i landskapet Nyland och som ordnar och tillhandahåller hälso- och sjukvårdstjänster för ett välfärdsområde, Helsingfors stad eller HUS-sammanslutningen, samt den som handlar för en sådan myndighets räkning, har dock trots sekretessbestämmelserna rätt att i den utsträckning som vården av patienten förutsätter få och använda patientuppgifter som innehas av en annan behörig myndighet som ansvarar för ordnandet av hälso- och sjukvårdstjänster i ett välfärdsområde i landskapet Nyland, Helsingfors stad eller HUS-sammanslutningen, och patienten har rätt att förbjuda utlämnande av sina uppgifter. Bestämmelser om utlämnande av uppgifter om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen. (25.4.2025/205)
1 mom. har ändrats genom L 205/2025, som träder i kraft 1.1.2026. Den tidigare formen lyder:
En tjänstetillhandahållare inom hälso- och sjukvården har rätt att få och använda patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna och tillhandahålla hälso- och sjukvårdstjänster för en patient. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna. Tillståndet för utlämnande gäller patientens alla patientuppgifter och tillståndets omfattning kan begränsas med hjälp av förbud. Bestämmelser om utlämnande av uppgifter om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.
Om en patient på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om tillståndet för utlämnade inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga patientuppgifter som innehas av andra tjänstetillhandahållare inom hälso- och sjukvården för att ordna eller tillhandahålla nödvändig hälso- och sjukvård för patienten utan patientens tillstånd för utlämnande av uppgifter.
Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose rätten att få uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.
Tjänstetillhandahållaren får på eget initiativ eller på begäran av en utländsk tjänstetillhandahållare inom hälso- och sjukvården lämna ut nödvändiga patientuppgifter för ordnande eller tillhandahållande av hälso- och sjukvårdstjänster för en patient, om patienten på grund av minnessjukdom, mental störning, utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare eller om ett tillstånd för utlämnande inte kan fås på grund av att patienten är medvetslös eller av någon annan därmed jämförbar orsak.
En tjänstetillhandahållare inom hälso- och sjukvården får till en med patienten överenskommen tjänstetillhandahållare inom hälso- och sjukvården lämna ut de patientuppgifter som är nödvändiga för att ordna undersökning och vård av patienten, samt en sammanfattning av den vård som getts. (7.6.2024/307)
55 §
Rätt för en tjänstetillhandahållare inom socialvården att få klientuppgifter inom socialvården
En tjänstetillhandahållare inom socialvården har rätt att få och använda klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialservice för en kund. En förutsättning för rätten att få uppgifter är att kunden har gett sitt tillstånd för utlämnande av uppgifterna, om det är fråga om något annat fall än ett sådant som avses i 56 § 1 mom. eller om det inte föreskrivs om rätten att få uppgifter någon annanstans i lag. Tillståndet gäller klientens alla klientuppgifter inom socialvården och tillståndets omfattning kan begränsas med hjälp av förbud.
Om en socialvårdsklient på grund av minnessjukdom, mental störning eller utvecklingsstörning eller av någon annan motsvarande orsak saknar förutsättningar att bedöma betydelsen av ett tillstånd för utlämnande och inte har någon laglig företrädare, har tjänstetillhandahållaren trots sekretessbestämmelserna rätt att få och använda nödvändiga klientuppgifter inom socialvården som innehas av andra tjänstetillhandahållare inom socialvården för att ordna eller tillhandahålla socialvårdsklientens nödvändiga socialservice. Dessutom har en myndighet inom socialvården rätt att av andra tjänstetillhandahållare inom socialvården få uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för myndigheten på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra därtill anknutna åtgärder samt för att kontrollera uppgifter som lämnats till tjänstetillhandahållaren.
Rätten att få uppgifter tillgodoses i första hand via de riksomfattande informationssystemtjänsterna. Om det inte är möjligt att tillgodose tillgången till uppgifter via de riksomfattande informationssystemtjänsterna, kan den tillgodoses på något annat sätt.
56 §
Utlämnande av klientuppgifter inom socialvården för tryggande av vården av och omsorgen om en socialvårdsklient
Om tillstånd för utlämnande av klientuppgifter enligt 55 § inte kan fås på grund av klientens minnessjukdom, mentala störning, utvecklingsstörning eller av någon annan motsvarande orsak eller om klienten eller dennes lagliga företrädare förbjuder att en uppgift utlämnas, får en tjänstetillhandahållare inom socialvården trots skyldigheten att iaktta sekretess ur handlingen lämna ut sådana uppgifter som är nödvändiga för att behovet av vård av, omsorg om eller utbildning för klienten ska kunna utredas, för att vården, omsorgen eller utbildningen ska kunna ordnas eller genomföras eller för att förutsättningarna för försörjningen ska kunna tryggas. Uppgifter får dock lämnas ut endast om
1) den som handlingen gäller är i uppenbart behov av vård eller omsorg på grund av att hans eller hennes hälsa, utveckling eller säkerhet äventyras och det inte annars går att utreda behovet av vård eller omsorg eller att vidta vård- eller omsorgsåtgärder,
2) uppgifterna behövs på grund av ett barns intresse, eller
3) uppgifterna behövs för att trygga klientens oundgängliga intressen och rättigheter och klienten själv saknar förutsättningar att bedöma sakens betydelse.
I de fall som avses i 1 mom. får uppgifter lämnas ut till en annan offentlig tjänstetillhandahållare inom socialvården och till en tjänsteproducent som handlar för dennas räkning eller till en person eller sammanslutning som sköter uppgifter inom socialvården på uppdrag av den offentliga tjänstetillhandahållaren samt till andra finländska eller utländska myndigheter.
Till en privat tjänstetillhandahållare inom social- och hälsovården får dock i de fall som avses i 1 mom. lämnas endast nödvändiga uppgifter för att en klient ska kunna få omedelbar vård eller omsorg eller av någon annan jämförbar orsak. Till någon annan person eller sammanslutning får nödvändiga uppgifter lämnas ut om det är nödvändigt att lämna uppgifterna för att utreda klientens vilja eller behov av socialvård eller för att genomföra en socialvårdsåtgärd.
57 § (7.6.2024/307)
Tillgodoseende av rätten att få uppgifter med hjälp av ett informationssystem
Den rätt att få uppgifter som avses i 53–55 § får tillgodoses med hjälp av ett informationssystem inom de riksomfattande informationssystemtjänsterna eller något annat informationssystem som används av tjänstetillhandahållaren efter det att existensen av en vårdrelation eller klientrelation mellan patienten eller socialvårdsklienten och den som framställt begäran om utlämnande har säkerställts datatekniskt. När rätten att få uppgifter tillgodoses med hjälp av det nämnda informationssystemet ska utöver det som föreskrivs i de nämnda paragraferna också det som annanstans föreskrivs om åtkomsträttigheter till nödvändiga kunduppgifter följas.
58 §
Meddelande och återkallande av tillstånd för och förbud mot utlämnande
Ett tillstånd för eller förbud mot utlämnande av uppgifter ska vara frivilligt meddelat. Ett tillstånd för eller förbud mot utlämnande gäller tills vidare och kan återtas. En vårdnadshavare eller en annan laglig företrädare har inte rätt att förbjuda utlämnande av patientuppgifter för en minderårigs räkning i situationer som avses i 8 § i patientlagen.
Ett tillstånd för eller förbud mot utlämnande som gäller riksomfattande informationssystemtjänster ska grunda sig på tillräcklig information som ges i ett förfarande enligt 68 §. Meddelande av tillstånd för eller förbud mot utlämnande av uppgifter som gäller riksomfattande informationssystemtjänster lämnas till en tjänstetillhandahållare som har anslutit sig till den riksomfattande informationssystemtjänsten eller via ett medborgargränssnitt. Tjänstetillhandahållaren ska utan dröjsmål föra in uppgift om det meddelade tillståndet för eller förbudet mot utlämnande som gäller riksomfattande informationssystemtjänster i viljeyttringstjänsten.
Den som tar emot ett tillstånd för eller ett förbud mot utlämnande ska på begäran ge kunden en utskrift av tillståndshandlingen eller förbudshandlingen eller så ska kunden ges handlingen i fråga på ett annat sätt som är tillgängligt.
Folkpensionsanstalten fastställer innehållet i en tillståndshandling och förbudshandling. Av tillståndshandlingen respektive förbudshandlingen ska tillståndets eller förbudets betydelse vid behandlingen av kunduppgifter framgå.
På återkallande av tillstånd för och förbud mot utlämnande tillämpas vad som i 1–3 mom. föreskrivs om meddelande av tillstånd och förbud.
59 §
Inriktning av förbuden
En socialvårdsklients förbud mot utlämnande av sina klientuppgifter inom socialvården kan gälla en personuppgiftsansvarig inom socialvården, ett serviceuppdrag eller en enskild klienthandling inom socialvården.
En patients förbud mot utlämnande av sina patientuppgifter kan gälla patientens alla patientuppgifter, en personuppgiftsansvarig inom offentlig hälso- och sjukvård och dess register samt ett register eller en servicehändelse inom privat företagshälsovård.
Bestämmelser om inriktningen av förbud i fråga om recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret finns i 13 § i receptlagen.
60 §
Gränsöverskridande informationsutbyte
Patientuppgifter som ingår i den informationshanteringstjänst som avses i 71 § får med patientens samtycke lämnas ut till en utländsk producent av hälso- och sjukvårdstjänster via de riksomfattande informationssystemtjänsterna för ordnande och tillhandahållande av sådana hälso- och sjukvårdstjänster som avses i artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård. Bestämmelser om förutsättningarna för samtycke finns i artikel 7 i dataskyddsförordningen.
Folkpensionsanstalten är i Finland nationell teknisk och elektronisk kontaktpunkt mellan de riksomfattande informationssystemtjänsterna och den nationella kontaktpunkten i utlandet. Folkpensionsanstalten sammanställer ett patientsammandrag av patientuppgifterna i informationshanteringstjänsten.
61 §
Utlämnande av patientuppgifter för klinisk prövning av läkemedel och medicinsk forskning
Bestämmelser om utlämnande av patientuppgifter för klinisk prövning av läkemedel finns i 34 § i lagen om klinisk prövning av läkemedel (983/2021) och bestämmelser om utlämnande av patientuppgifter för medicinsk forskning finns i 21 c § i lagen om medicinsk forskning (488/1999).
62 §
Anmälan av uppgifter om en kund till polisen för bedömning av ett hot eller förhindrande av en hotande gärning
En tjänstetillhandahållare eller en person som utför tjänstetillhandahållarens uppgifter får oberoende av skyldigheten att iaktta sekretess till polisen anmäla uppgifter som är nödvändiga för bedömningen av ett hot mot liv eller hälsa eller för förhindrande av en hotande gärning, om han eller hon vid fullgörandet av uppgifter enligt socialvårdslagen eller hälso- och sjukvårdslagen (1326/2010) har fått kännedom om omständigheter som ger skäl att misstänka att någon löper risk att bli utsatt för våld.
63 §
Utlämnande av klientuppgifter inom socialvården i vissa andra situationer
En tjänstetillhandahållare inom socialvården får, om det är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse, lämna ut sekretessbelagda kunduppgifter oberoende av klientens eller dennes lagliga företrädares samtycke till en domstol eller någon annan finländsk eller utländsk myndighet i ett ärende där tjänstetillhandahållaren har lagstadgad rätt eller skyldighet att anhängiggöra ett ärende eller att delta i behandlingen eller verkställandet av ett anhängigt ärende genom att avge ett utlåtande eller en utredning eller på något annat motsvarande sätt. Dessutom får sekretessbelagda kunduppgifter lämnas ut till en myndighet eller inrättning som behandlar sociala förmåner för utredande av oegentligheter som gäller en förmån, om det finns grundad anledning att misstänka oegentligheter.
En tjänstetillhandahållare inom socialvården ska på begäran oberoende av klientens eller den lagliga företrädarens samtycke lämna ut sekretessbelagda kunduppgifter till polisen, en åklagarmyndighet och en domstol, om det är nödvändigt för utredande av ett brott för vilket underlåtenhet att anmäla är straffbar enligt 15 kap. 10 § strafflagen (39/1889) eller för vilket det föreskrivna maximistraffet är fängelse i minst fyra år.
Sekretessbelagda kunduppgifter får lämnas ut av en tjänstetillhandahållare inom socialvården också på eget initiativ vid misstanke om ett brott som avses i 2 mom. eller om det föreligger misstanke om ett brott som är mindre grovt än vad som där nämns, om tjänstetillhandahållaren inom socialvården bedömer att utlämnandet är nödvändigt på grund av ett barns intresse eller ett synnerligen viktigt allmänt eller enskilt intresse.
En offentlig tjänstetillhandahållare inom socialvården får utöver i de fall som avses i 1–3 mom. lämna ut sekretessbelagda kunduppgifter, om det är nödvändigt för kontroll av uppgifter som är av väsentlig betydelse för att tjänstetillhandahållaren inom socialvården ska kunna sköta sin lagstadgade uppgift i situationer där tjänstetillhandahållaren själv har rätt att få uppgifter.
Myndigheters rätt att få sekretessbelagda uppgifter
64 §
Rätt för myndigheter inom social- och hälsovården att få uppgifter (7.6.2024/307)
En myndighet inom socialvården har trots sekretessbestämmelserna rätt att av statliga och kommunala myndigheter samt andra offentligrättsliga samfund, Folkpensionsanstalten, Pensionsskyddscentralen, pensionsstiftelser och andra pensionsanstalter, försäkringsanstalter och utbildningsanordnare på begäran avgiftsfritt få sådana uppgifter och utredningar som i väsentlig grad inverkar på en klientrelation inom socialvården och som är nödvändiga för tjänstetillhandahållaren på grund av dess lagstadgade uppgifter att utreda klientens behov av socialvård, för att ordna socialvård och genomföra åtgärder i anslutning till den samt för att kontrollera uppgifter som lämnats till myndigheten.
Vad som i 1 mom. föreskrivs om skyldighet att lämna uppgifter gäller också penninginstitut, om en myndighet inom socialvården inte får tillräckliga uppgifter och utredningar av dem som nämns i 1 mom. och om det finns grundad anledning att misstänka att de uppgifter som klienten eller dennes lagliga företrädare har lämnat är otillräckliga eller otillförlitliga. Begäran ska framställas skriftligen till penninginstitutet. En tjänsteinnehavare inom socialvården som tillförordnats av en behörig myndighet som ansvarar för ordnandet av socialservice är berättigad att fatta beslutet om att begäran ska framställas. Innan begäran framställs till penninginstitutet ska klienten underrättas om den.
En myndighet inom social- och hälsovården har rätt att på begäran avgiftsfritt av skattemyndigheten och Folkpensionsanstalten få sekretessbelagda personuppgifter oberoende av kundens samtycke för fastställande av avgift och kontroll av uppgifter. Myndigheten inom social- och hälsovården ska på förhand underrätta kunden om att uppgifter begärs.
Yrkesutbildade personer inom socialvården som är anställda vid en myndighet inom hälso- och sjukvården har trots sekretessbestämmelserna rätt att avgiftsfritt från Folkpensionsanstalten få sådana uppgifter om patientens sociala förmåner som är nödvändiga för att säkerställa rådgivning och handledning om förmåner i anslutning till patientens hälsotillstånd. Patienten ska på förhand underrättas om utnyttjandet av rätten att få uppgifter. (7.6.2024/307)
AVDELNING II
INFORMATIONSSYSTEM INOM SOCIAL- OCH HÄLSOVÅRDEN
9 kap.
Riksomfattande informationssystemtjänster
65 §
De riksomfattande informationssystemtjänsterna inom social- och hälsovården
För bevarandet och behandlingen av kunduppgifter ska Folkpensionsanstalten ordna följande riksomfattande informationssystemtjänster:
1) en informationsresurs för kunduppgifter,
2) en förvaringstjänst för loggregister,
3) ett gränssnitt för professionellt bruk,
4) ett medborgargränssnitt,
5) en informationsresurs för egna uppgifter,
6) en informationshanteringstjänst,
7) en viljeyttringstjänst,
8) ett receptcenter,
9) en läkemedelsdatabas, och
10) en informationsförmedlings- och förfrågningsservice.
Tillstånds- och tillsynsverket för social- och hälsovården ska förvalta en roll- och attributtjänst och anslutande kodsystem med vars hjälp tjänstetillhandahållare, apotek, Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata för användning och certifiering av de riksomfattande informationssystemtjänsterna får information om rätten att vara verksam som yrkesutbildad person inom social- och hälsovården och om giltighetstiden för denna rätt. Institutet för hälsa och välfärd ska förvalta en kodtjänst med vars hjälp de datastrukturer i kundhandlingarna som de riksomfattande informationssystemtjänsterna förutsätter underhålls och delas.
Myndigheten för digitalisering och befolkningsdata är certifikatutfärdare i enlighet med lagen om stark autentisering och betrodda elektroniska tjänster för yrkesutbildade personer inom social- och hälsovården och annan personal inom social- och hälsovården, tjänstetillhandahållare inom social- och hälsovården samt organisationer som deltar i tillhandahållandet av dessa tjänster, deras personal och datatekniska enheter. Myndigheten för digitalisering och befolkningsdata har rätt att för skötseln av dessa uppgifter av Tillstånds- och tillsynsverket för social- och hälsovården få den information som behövs för utfärdande och återkallande av certifikat, för certifikat, för det tekniska underlaget för certifikat och för sändande av certifikat, ur centralregistret över yrkesutbildade personer inom hälso- och sjukvården som verket upprätthåller.
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att för skötseln av sina lagstadgade uppgifter av Myndigheten för digitalisering och befolkningsdata få information om de certifikat som myndigheten utfärdat enligt 3 mom.
66 §
Folkpensionsanstaltens ansvar när den förvaltar riksomfattande informationssystemtjänster
De riksomfattande informationssystemtjänsterna och de införda uppgifterna ska alltid vara tillgängliga. Informationssystemtjänsterna ska ha de reservsystem som behövs med tanke på funktionsstörningar och undantagsförhållanden.
Folkpensionsanstalten svarar
1) för den tekniska realisering och de tekniska anvisningar som de riksomfattande informationssystemtjänsterna kräver,
2) för säkerställande av säkerheten för de uppgifter som förts in i de riksomfattande informationssystemtjänsterna samt för utplåning av uppgifterna efter att bevarandetiden har gått ut,
3) för genomförandet av de riksomfattande informationssystemtjänster som anstalten ansvarar för så att kunduppgifter, uppgifter om välbefinnande och andra uppgifter som har förts in i de riksomfattande informationssystemtjänsterna lämnas ut endast i enlighet med denna lag och lagen om sekundär användning av personuppgifter inom hälso- och sjukvården (552/2019),
4) för att användning och utlämnande av kunduppgifter och uppgifter om välbefinnande registreras i ett loggregister,
5) för det datatekniska utförandet av kodtjänsten,
6) för information till befolkningen med avseende på de riksomfattande informationssystemtjänsterna, och
7) för testning av interoperabiliteten hos informationssystem och välbefinnandeapplikationer som ska anslutas till de riksomfattande informationssystemtjänsterna.
Folkpensionsanstalten har rätt
1) att av Tillstånds- och tillsynsverket för social- och hälsovården få sådana uppgifter om yrkesutbildade personer inom social- och hälsovården som behövs för skötseln av lagstadgade uppgifter i anslutning till de riksomfattande informationssystemtjänsterna,
2) att behandla kunduppgifter och uppgifter om välbefinnande till den del det är nödvändigt med tanke på uppgifter som hänför sig till förvaltningen av de riksomfattande informationssystemtjänsterna,
3) att besluta om frågor som gäller ett systems datatekniska funktion, om inte något annat följer av denna lag eller av bestämmelser som har utfärdats med stöd av den,
4) att lämna ut handlingar i anslutning till hanteringen av utlämnande av uppgifter i viljeyttringstjänsten, och logguppgifter över sådana handlingar, till tjänstetillhandahållare inom social- och hälsovården för uppföljning och tillsyn i fråga om användning och utlämnande av kunduppgifter, om det är uppenbart att genomförandet av säkerhetsarrangemangen inte äventyras därigenom,
5) att i syfte att öka informationssäkerheten utöva tillsyn över användningen av sina tjänster och av de uppgifter som bevaras i dessa tjänster samt över datakommunikationen och logguppgifterna över den, och
6) att trots sekretessen av Myndigheten för digitalisering och befolkningsdata få nödvändig information som behövs för skötseln av uppgifter som gäller de riksomfattande informationssystemtjänsterna.
För att säkerställa informationssäkerheten upprätthåller Folkpensionsanstalten en övervakningscentral och vidtar behövliga åtgärder i samarbete med tjänstetillhandahållarna när den upptäcker avvikande verksamhet. Folkpensionsanstalten ska utan dröjsmål underrätta Transport- och kommunikationsverkets cybersäkerhetscenter om sådana kränkningar av informationssäkerheten och störningar i informationssäkerheten som den upptäcker och trots sekretessbestämmelserna lämna centret nödvändiga uppgifter.
Folkpensionsanstalten kan göra och till de myndigheter som svarar för styrning, övervakning och utveckling av de riksomfattande informationssystemtjänsterna lämna ut sammanställningar över uppgifter i dessa tjänster, över handlingars metadata och över logguppgifter, om sammanställningarna har betydelse för utvecklingen och uppföljningen av de riksomfattande informationssystemtjänsterna eller för rapporteringen. Folkpensionsanstalten kan göra och till en tjänstetillhandahållare lämna ut sammanställningar som grundar sig på de kunduppgifter och logguppgifter i tjänstetillhandahållarens egna register som har sparats i de riksomfattande informationssystemtjänsterna och som är av betydelse för utvecklingen, uppföljningen, rapporteringen och övervakningen av tjänstetillhandahållarens verksamhet. Sammanställningarna får inte innehålla personuppgifter.
I skyddet av de riksomfattande informationssystemtjänsterna iakttas vad som föreskrivs särskilt om statliga myndigheters och kommuners informationssäkerhetsskyldigheter. Folkpensionsanstalten får inte överlåta behandlingen eller bevarandet av i denna lag avsedda register som har samband med ordnandet av de riksomfattande informationssystemtjänsterna eller av loggregister som hänför sig till sådana register till att utföras av utomstående.
67 §
Skyldighet att ansluta sig som användare av de riksomfattande informationssystemtjänsterna
Tjänstetillhandahållare och apotek ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna och ta i bruk de i 65 § 1 mom. avsedda informationssystemtjänster i vilka tjänstetillhandahållaren är skyldig att föra in kunduppgifter eller med hjälp av vilka kunduppgifter kan lämnas ut till tjänstetillhandahållaren.
Privata tjänstetillhandahållare inom social- och hälsovården ska ansluta sig som användare av de riksomfattande informationssystemtjänsterna, om de använder ett informationssystem som är avsett för behandling av patientuppgifter eller av klientuppgifter inom socialvården.
Andra aktörer än tjänstetillhandahållare inom social- och hälsovården, beträffande vilkas tjänster och behandling av personuppgifter viljeyttringar förs in i den viljeyttringstjänst som avses i 65 § 1 mom. 7 punkten, kan ansluta sig som användare av viljeyttringstjänsten.
Tjänstetillhandahållare inom social- och hälsovården i landskapet Åland kan ansluta sig som användare av de riksomfattande informationssystemtjänsterna.
68 §
Information till kunden om riksomfattande informationssystemtjänster
Tjänstetillhandahållaren ska informera kunden om kundens rättigheter, om de riksomfattande informationssystemtjänster som hänför sig till hans eller hennes kunduppgifter och om de allmänna principerna för hur tjänsterna fungerar. Kunden ska ges informationen senast i samband med den första kontakten.
Institutet för hälsa och välfärd svarar för sakinnehållet i informationen till kunderna, och Folkpensionsanstalten svarar för informationsmaterialet.
69 §
Riksomfattande informationsresurs för kunduppgifter
Efter anslutningen till de riksomfattande informationssystemtjänsterna ska tjänstetillhandahållaren spara kundhandlingarna i original samt kopior av handlingar som förmedlas via informationsförfrågnings- och förmedlingsservicen i den riksomfattande informationsresursen för kunduppgifter, med undantag för recept och andra anteckningar om läkemedelsbehandling som lagras i receptcentret. Kundhandlingar som uppkommit före anslutningen kan sparas i den riksomfattande informationsresursen för kunduppgifter. I den riksomfattande informationsresursen för kunduppgifter får det utöver kundhandlingar även sparas andra handlingar som innehåller kunduppgifter samt handlingar som hänför sig till ordnandet av social- och hälsovården.
Av en elektronisk kundhandling får det i den riksomfattande informationsresursen för kunduppgifter finnas endast ett original som är specificerat med en identifikation. För utförande av en tjänst eller av någon annan grundad anledning får det av kundhandlingen i original göras ett extra exemplar av vilket det ska framgå att det inte är originalet.
Varje i 13 § avsedd personuppgiftsansvarig för kunduppgifter är personuppgiftsansvarig för de handlingar som den fört in i den riksomfattande informationsresursen för kunduppgifter.
70 §
Förvaringstjänsten för loggregister
Tjänstetillhandahållaren ska i förvaringstjänsten för loggregister spara de logguppgifter om utlämnande av kunduppgifter som avses i 10 §. I förvaringstjänsten för loggregister får tjänstetillhandahållaren också spara logguppgifter om användningen av kunduppgifter.
Folkpensionsanstalten ska för uppföljning och tillsyn i fråga om de uppgifter som har sparats i de i 65 § avsedda riksomfattande informationssystemtjänsterna och som har lämnats ut via dem samla in och spara i förvaringstjänsten för loggregister dels utlämningslogguppgifter av vilka det utlämnade datainnehållet, mottagaren, tidpunkten för utlämnandet och andra behövliga uppgifter framgår, dels användningslogguppgifter för de uppgifter som har behandlats i gränssnittet för professionellt bruk.
Varje tjänstetillhandahållare inom social- och hälsovården, varje apotek och Folkpensionsanstalten är personuppgiftsansvarig för de användningsloggar som uppkommer i dess verksamhet.
Gemensamt personuppgiftsansvariga för användningsloggarna för gränssnittet för professionellt bruk är en yrkesutbildad person inom hälso- och sjukvården och Folkpensionsanstalten. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av användningslogguppgifter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §.
Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården. Tjänstetillhandahållarna, apoteken och Folkpensionsanstalten är gemensamt personuppgiftsansvariga för receptcentrets utlämningslogg. De tjänstetillhandahållare som för in uppgifter för förvaringstjänsten för loggregister ansvarar för riktigheten av de uppgifter som uppkommit i deras verksamhet och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen.
71 §
Informationshanteringstjänsten
Informationshanteringstjänsten sammanställer sådana patientuppgifter i journalhandlingar som är viktiga och aktuella för genomförandet av hälso- och sjukvården och producerar sammandrag av dem för tjänstetillhandahållare och apotek för genomförande av patientens vård. Viktiga patientuppgifter är diagnoser och besöksorsaker, risker, laboratorieresultat, vaccinationer, åtgärder, anteckningar om läkemedelsbehandling, fysiologiska mätningar och bilddiagnostiska undersökningar som har antecknats enligt kodsystemet för åtgärderna, uppgifter med anknytning till funktionsförmågan, tidsbokningsuppgifter samt i 4 a § i patientlagen avsedda planer för undersökning, vård och rehabilitering eller andra motsvarande planer. Informationshanteringstjänsten får också sammanställa andra anteckningar i journalhandlingarna. Tjänstetillhandahållaren har rätt att få och använda uppgifter i informationshanteringstjänsten på det sätt som föreskrivs i 53 och 54 §. Uppgifter som fåtts från informationshanteringstjänsten får behandlas inom ramen för de åtkomsträttigheter som anges i 9 §.
Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för informationshanteringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter som ska sammanställas i informationshanteringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen och svarar också för utlämnandet av uppgifter som lagrats i informationshanteringstjänsten.
72 §
Viljeyttringstjänsten
I viljeyttringstjänsten ska det föras in uppgift om i denna lag och receptlagen avsedd information samt i denna lag och receptlagen avsedda tillstånd för utlämnande och förbud samt sådana samtycken som gäller de riksomfattande informationssystemtjänsterna. (7.6.2024/307)
I viljeyttringstjänsten kan det även föras in andra uppgifter än de som avses i 1 mom. om en persons
1) viljeyttringar i fråga om hälso- och sjukvård eller socialservice,
2) viljeyttringar i fråga om tjänster inom social- och hälsovården och behandling av kunduppgifter.
Varje tjänstetillhandahållare inom social- och hälsovården samt Folkpensionsanstalten är gemensamt personuppgiftsansvariga för de i 1 mom. och 2 mom. 1 punkten avsedda viljeyttringar om social- och hälsovården som har förts in i viljeyttringstjänsten. Folkpensionsanstalten svarar i egenskap av gemensamt personuppgiftsansvarig för säkerställandet av säkerheten för uppgifterna samt för bevarande och utplåning av uppgifterna på det sätt som föreskrivs i 66 §. Tjänstetillhandahållare som för in uppgifter i viljeyttringstjänsten ansvarar för att uppgifterna är korrekta och för den personuppgiftsansvariges övriga skyldigheter. Folkpensionsanstalten är den kontaktpunkt som avses i artikel 26.1 i dataskyddsförordningen som svarar för utlämnandet av uppgifter som lagrats i viljeyttringstjänsten.
73 §
Informationsresursen för egna uppgifter
En person kan med hjälp av välbefinnandeapplikationer eller ett medborgargränssnitt föra in uppgifter om sitt välbefinnande i informationsresursen för egna uppgifter och via den använda uppgifterna för att främja sitt välbefinnande. En person har rätt att besluta om användningen av sina uppgifter, om ändring av dem och om avlägsnande av uppgifterna från informationsresursen.
Folkpensionsanstalten är personuppgiftsansvarig för informationsresursen för egna uppgifter. Folkpensionsanstalten har dock inte rätt att behandla uppgifter i informationsresursen för egna uppgifter i större omfattning än vad som är nödvändigt för att administrera informationsresursen eller rätt att lämna ut uppgifter ur den för andra ändamål än de som anges i 3 mom.
En person kan ge sitt samtycke till att de uppgifter om välbefinnande som finns i informationsresursen för egna uppgifter får utlämnas till en tjänstetillhandahållare för tillhandahållande av social- och hälsovårdstjänster.
De uppgifter som finns om en person i informationsresursen för egna uppgifter ska bevaras tills personen avlägsnar dem ur informationsresursen eller tills högst fem år har förflutit från personens död.
74 §
Medborgargränssnitt och välbefinnandeapplikationer samt kunduppgifter som visas via dem
En person kan avge viljeyttringar och sköta ärenden som gäller sitt kundförhållande och administreringen av kunduppgifterna och uppgifterna om välbefinnande via ett medborgargränssnitt.
Personen får via medborgargränssnittet eller en välbefinnandeapplikation visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen, 34 § i dataskyddslagen eller enligt annan lagstiftning inte har rätt att få. För att få uppgifterna via välbefinnandeapplikationen ska kunden ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.
Trots det som föreskrivs i 2 mom. får en person visas namnet på en person som handlat för hans eller hennes räkning.
75 §
Gränssnittet för professionell behandling av elektroniska recept
Folkpensionsanstalten ska tillhandahålla ett gränssnitt för professionellt bruk som gör det möjligt att göra upp och behandla elektroniska recept via informationsnäten.
En läkare kan med hjälp av gränssnittet för professionellt bruk uppgöra elektroniska recept med stöd av rätten att utöva yrke när läkaren inte agerar för tjänstetillhandahållarens räkning.
Bestämmelser om personuppgiftsansvaret för recept som görs upp via gränssnittet för professionellt bruk finns i receptlagen.
76 §
Informationsförmedlings- och förfrågningsservicen
Med hjälp av de riksomfattande informationssystemtjänsterna får intyg, utlåtanden och andra handlingar som innehåller kunduppgifter förmedlas till en aktör utanför social- och hälsovården. Handlingar får trots sekretessbestämmelserna förmedlas med stöd av kundens begäran eller mottagarens lagstadgade begäran eller utlämnarens lagstadgade uppgiftsskyldighet. Handlingarna förmedlas med hjälp av den informationsförmedlings- och förfrågningsservice som hör till de riksomfattande informationssystemtjänsterna.
Institutet för hälsa och välfärd meddelar föreskrifter om vilka slags handlingar som får förmedlas med hjälp av informationsförmedlings- och förfrågningsservicen.
10 kap.
Egenkontroll av informationssäkerhet och dataskydd
77 §
Informationssäkerhetsplan
Tjänstetillhandahållare, apotek, mellanhänder och Folkpensionsanstalten ska utarbeta en informationssäkerhetsplan med tanke på informationssäkerheten, dataskyddet och användningen av informationssystemen. I informationssäkerhetsplanen ska det redogöras för hur de krav som hänför sig till behandlingen av klient- och patientuppgifterna och informationssystemen säkerställs så att
1) de som använder informationssystemen har den utbildning som användningen kräver,
2) det i samband med informationssystemen finns behövliga bruksanvisningar för en korrekt användning av systemen,
3) informationssystemen används enligt anvisningar från producenten av informationssystemtjänsten,
4) informationssystemen drivs och uppdateras enligt anvisningar från producenten av informationssystemtjänsten,
5) informationssystemens driftmiljö är lämplig för en sådan ändamålsenlig användning av informationssystemen som säkerställer informationssäkerheten och dataskyddet och att det sörjs för riskhanteringen i fråga om driftmiljön och informationssystemen,
6) övriga anslutna informationssystem och andra system inte äventyrar informationssystemens prestanda eller egenskaper när det gäller informationssäkerhet och dataskydd,
7) informationssystemen installeras, drivs och uppdateras endast av personer med den yrkesskicklighet och sakkunskap som behövs för det och vars tillförlitlighet har säkerställts på det sätt som avses i 12 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019), om personen i sina uppgifter kan behandla kunduppgifter eller annars i sina uppgifter kan äventyra funktionen hos informationssystem som är kritiska med tanke på kontinuiteten inom social- och hälsovården,
8) informationssystemen uppfyller i 84 § föreskrivna väsentliga krav som ställs enligt deras användningsändamål, och
9) tjänstetillhandahållaren, apoteket, mellanhanden och Folkpensionsanstalten har en plan för hur egenkontrollen av informationssäkerheten och dataskyddet ska ordnas och genomföras inom dess verksamhet.
Innan en tjänstetillhandahållare eller ett apotek ansluter sig som användare av de riksomfattande informationssystemtjänsterna, ska det i tjänstetillhandahållarens eller apotekets informationssäkerhetsplan också ingå en redogörelse för hur man har tillgodosett kraven på dataskydd och en informationssäker användning av dessa riksomfattande tjänster.
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 och 2 mom. avsedda redogörelser och krav som ska tas in i informationssäkerhetsplanen och om verifiering av informationssäkerheten.
78 §
Genomförande av och ansvar för egenkontroll av informationssäkerheten
Den ansvariga föreståndaren hos en tjänstetillhandahållare inom social- och hälsovården och en apotekare ska se till att en informationssäkerhetsplan enligt 77 § utarbetas och iakttas. Tjänstetillhandahållare, apotek och Folkpensionsanstalten ska på eget initiativ vidta nödvändiga åtgärder om någon har behandlat kunduppgifter i strid med lagen.
För uppföljning och tillsyn i fråga om dataskyddet och informationssäkerheten har tjänstetillhandahållaren och apoteket rätt att av Folkpensionsanstalten få logguppgifter för de egna kundregistren, logguppgifter som hänför sig till behandlingen av uppgifter i informationshanteringstjänsten och viljeyttringstjänsten och logguppgifter för informationsresursen för egna uppgifter till den del som den berörda tjänstetillhandahållarens eller apotekets anställda har läst och behandlat kundens uppgifter i informationshanteringstjänsten, viljeyttringstjänsten och informationsresursen för egna uppgifter, om det behövs för att utreda om behandlingen av kundens kunduppgifter är lagenlig.
Folkpensionsanstalten och en mellanhand ska följa genomförandet av informationssäkerhetsplanen.
Bestämmelser om utnämning av ett dataskyddsombud och om dataskyddsombudets ställning och uppgifter finns i artiklarna 37–39 i dataskyddsförordningen.
11 kap.
Informationssystemens och välbefinnandeapplikationernas användningsändamål och ibruktagande
79 §
Informationssystemens och välbefinnandeapplikationernas användningsändamål och klassificering
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och hur det uppfyller väsentliga krav. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen.
Informationssystemen för social- och hälsovården och välbefinnandeapplikationerna ska enligt användningsändamål och egenskaper delas in i klasserna A och B. Till klass A hör
1) de riksomfattande informationssystemtjänster som förvaltas av Folkpensionsanstalten,
2) de informationssystem och välbefinnandeapplikationer som är avsedda att anslutas till de riksomfattande informationssystemtjänsterna,
3) andra än i 1 och 2 punkten avsedda informationssystem som i fråga om sitt användningsändamål kräver certifiering, och
4) tjänster tillhandahållna av mellanhänder.
Andra informationssystem än de som avses i 2 mom. hör till klass B.
Institutet för hälsa och välfärd får meddela föreskrifter om klassificeringen av informationssystem. I oklara fall beslutar Institutet för hälsa och välfärd till vilken klass informationssystemet hör.
80 §
Registrering av informationssystem och välbefinnandeapplikationer
Producenten av en informationssystemtjänst ska göra en anmälan om informationssystem och tillverkaren av en välbefinnandeapplikation ska göra en anmälan om välbefinnandeapplikationer till Tillstånds- och tillsynsverket för social- och hälsovården innan informationssystemen eller välbefinnandeapplikationerna tas i användning för produktion av tjänster. Av anmälan ska informationssystemets eller välbefinnandeapplikationens tillverkare och användningsändamål samt kontaktperson framgå. Anmälan ska vidare innehålla en utredning enligt 85 § över att kraven på funktionalitet uppfylls, ett i 86 § avsett intyg över interoperabilitetstestning och ett i 87 § avsett intyg över att de väsentliga kraven på informationssäkerhet uppfylls. Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska göra en anmälan till Tillstånds- och tillsynsverket för social- och hälsovården om versionsstödet för ett informationssystem eller en välfärdsapplikation som är avsett att användas för produktion av tjänster upphör eller om en annan aktör övertagit ansvaret för informationssystemet eller välbefinnandeapplikationen.
Tillstånds- och tillsynsverket för social- och hälsovården ska föra ett offentligt register över de informationssystem för social- och hälsovården samt välbefinnandeapplikationer som har anmälts till verket och som uppfyller kraven. Registret ska innehålla uppgifter om
1) informationssystem och välbefinnandeapplikationer som är avsedda att användas för produktion av tjänster, deras användningsändamål och de väsentliga krav som de uppfyller,
2) resultat av interoperabilitetstestningen av informationssystem och välbefinnandeapplikationer som hör till klass A och som har godkänts för användning i produktion av tjänster, och
3) giltighetstiden för det intyg över bedömning av informationssäkerhet som utfärdats enligt en bedömning av informationssäkerhet för informationssystem och välbefinnandeapplikationer som hör till klass A och har godkänts för användning i produktion av tjänster, och
4) en betydande avvikelse hos ett informationssystem eller en välbefinnandeapplikation som hör till klass A och som används i produktion av tjänster, medan avvikelsen varar.
Tillstånds- och tillsynsverket för social- och hälsovården får meddela föreskrifter om innehållet i anmälan, den tid anmälan är i kraft, förnyande av anmälan och vilka uppgifter som ska antecknas i registret.
81 §
Tagande av informationssystem och välbefinnandeapplikationer i användning för produktion av tjänster
Ett informationssystem eller en välbefinnandeapplikation som hör till klass A får tas i användning för produktion av tjänster och anslutas till de riksomfattande informationssystemtjänsterna efter det att systemet eller applikationen har certifierats i enlighet med 85 §.
Ett informationssystem eller en välbefinnandeapplikation får inte tas i användning för produktion av tjänster, om det inte finns uppdaterade uppgifter om systemet eller applikationen i det i 80 § 2 mom. avsedda registret, eller om intyget över bedömning av informationssäkerhet för ett informationssystem eller en välbefinnandeapplikation som hör till klass A har gått ut. En förutsättning för att ett informationssystem som hör till klass A ska få tas i användning för produktion av tjänster är också att interoperabilitetstestningen har godkänts i fråga om de gällande kraven på interoperabilitet som motsvarar systemets användningsändamål.
En välbefinnandeapplikation får inte tas i användning för produktion av tjänster om den inte motsvarar det användningsändamål för främjande av hälsa och välfärd som avses i 84 § och som är en förutsättning för att kraven på funktionalitet ska uppfyllas.
82 §
Uppföljning efter ibruktagandet av informationssystem och välbefinnandeapplikationer
Producenten av en informationssystemtjänst ska genom ett uppdaterat och systematiskt förfarande följa och utvärdera de erfarenheter som fås av informationssystemet under den tid det används för produktion av tjänster. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Anmälan om betydande avvikelser från de väsentliga krav som ställs på ett informationssystem ska göras till alla tjänstetillhandahållare och apotek som använder systemet. Anmälan om betydande avvikelser i en välbefinnandeapplikation ska göras till alla som använder applikationen. Betydande avvikelser i informationssystem och välbefinnandeapplikationer som hör till klass A ska av producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation anmälas till Folkpensionsanstalten och Tillstånds- och tillsynsverket för social- och hälsovården.
Producenten av en informationssystemtjänst ska ge akt på ändringar i de väsentliga krav som ställs på informationssystemen och justera systemen i enlighet med ändringarna. Detsamma gäller tillverkaren av en välbefinnandeapplikation i fråga om välbefinnandeapplikationen. Tillstånds- och tillsynsverket för social- och hälsovården ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer. Bedömningsorganet för informationssäkerhet ska dessutom underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som hör till klass A och Folkpensionsanstalten ska underrättas om väsentliga ändringar i informationssystem och välbefinnandeapplikationer som har anslutits till de riksomfattande informationssystemtjänsterna. Ett nytt intyg över bedömning av informationssäkerhet ska utfärdas eller interoperabilitetstestningen göras om, om betydande ändringar görs i ett informationssystem eller i en välbefinnandeapplikation eller om de väsentliga kraven har ändrats på ett sätt som kräver en ny certifiering.
Producenten av en informationssystemtjänst och tillverkaren av en välbefinnandeapplikation ska bevara uppgifter om interoperabilitet och informationssäkerhet samt övriga uppgifter som tillsynen kräver i minst fem år efter det att informationssystemet eller välbefinnandeapplikationen inte längre används för produktion av tjänster.
Institutet för hälsa och välfärd får meddela närmare föreskrifter om de i 1 mom. avsedda betydande avvikelserna och om hur anmälningar om sådana ska göras.
12 kap.
Väsentliga krav på informationssystem och välbefinnandeapplikationer
83 §
Allmänna skyldigheter för producenter av informationssystemtjänster och tillverkare av informationssystem samt tillverkare av välbefinnandeapplikationer
Tillverkaren av ett informationssystem för social- och hälsovården ansvarar för planeringen och tillverkningen av informationssystemet, oberoende av om dessa åtgärder utförs av tillverkaren själv eller av någon annan för dennes räkning. Tillverkaren av en välbefinnandeapplikation ansvarar för planeringen och tillverkningen av applikationen.
Producenten av en informationssystemtjänst ska utarbeta en beskrivning av informationssystemets användningsändamål och i samband med informationssystemet ge systemanvändarna sådana uppgifter och anvisningar om systemets ibruktagande, användning för produktion av tjänster och drift som de behöver för systemets interoperabilitet, informationssäkerhet, dataskydd och funktionalitet.
De uppgifter och anvisningar som ges tillsammans med informationssystemet ska finnas på finska, svenska eller engelska. De uppgifter och anvisningar som är avsedda för social- och hälsovårdspersonal som använder informationssystemet ska finnas på finska eller svenska.
Tillverkaren av ett informationssystem ska ha ett kvalitetssystem som tillämpas på planeringen och tillverkningen av informationssystemet på det sätt som informationssystemets användningsändamål förutsätter.
84 §
Väsentliga krav på informationssystem och välbefinnandeapplikationer
Ett informationssystem och en välbefinnandeapplikation som används vid behandling av kunduppgifter ska uppfylla väsentliga krav på interoperabilitet, informationssäkerhet, dataskydd och funktionalitet. En välbefinnandeapplikation ska uppfylla tillgänglighetskraven. Kraven ska uppfyllas vid användningen av ett informationssystem såväl självständigt som tillsammans med andra informationssystem som är avsedda att anslutas till det.
De informationssystem som tjänstetillhandahållare och apotek använder ska till sitt användningsändamål svara mot tjänstetillhandahållarnas och apotekens verksamhet och uppfylla de väsentliga krav som ställs på tjänstetillhandahållarnas och apotekens verksamhet. De väsentliga kraven kan uppfyllas genom en helhet som består av ett eller flera informationssystem.
Ett informationssystem och en välbefinnandeapplikation uppfyller de väsentliga kraven, om systemet eller applikationen har planerats och tillverkats samt fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av dessa lagar samt följer nationella bestämmelser om interoperabilitet. De väsentliga kraven på funktionalitet uppfylls om det med informationssystemet vid behandling av kunduppgifter enligt systemets användningsändamål går att utföra de funktioner som krävs i lagar och med stöd av dem utfärdade bestämmelser. En förutsättning för att kraven på funktionalitet hos en välbefinnandeapplikation ska vara uppfyllda är att applikationen främjar medborgarnas hälsa och välfärd.
Institutet för hälsa och välfärd meddelar närmare föreskrifter om innehållet i de väsentliga kraven, tidsfristerna för genomförande och om de väsentliga krav de informationssystem och välbefinnandeapplikationer som används i de olika tjänsterna ska uppfylla. Innan föreskrifter meddelas ska ett utlåtande om kraven på informationssäkerhet och förfarandena för verifiering av kraven på informationssäkerhet begäras av Transport- och kommunikationsverkets cybersäkerhetscenter och ett utlåtande om kraven på dataskydd begäras av dataombudsmannens byrå.
85 §
Påvisande av överensstämmelse med kraven
Överensstämmelse med kraven ska för ett informationssystem och en välbefinnandeapplikation som hör till klass A ska visas med certifiering, det vill säga en utredning från producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen om att systemet eller applikationen uppfyller de krav på funktionalitet som ställs enligt dess användningsändamål samt med en godkänd interoperabilitetstestning och ett sådant intyg över bedömning av informationssäkerhet av ett bedömningsorgan för informationssäkerhet som avses i 87 §. Producenten av en informationssystemtjänst ansvarar för att informationssystemet är certifierat och tillverkaren av en välbefinnandeapplikation ansvarar för att applikationen är certifierad.
Överensstämmelse med kraven ska för ett informationssystem som hör till klass B visas med en skriftlig utredning från producenten av informationssystemtjänsten om att informationssystemet uppfyller de väsentliga krav som ställs enligt dess användningsändamål, om det har installerats, drivits och använts på behörigt sätt. Producenten av en informationssystemtjänst svarar för bedömningen av de väsentliga kraven på informationssystem. Denna producent ska som en del av den utredning som ges om kraven försäkra att de funktioner som enligt utredningen ska ingå i systemets användningsändamål har genomförts i systemet.
Institutet för hälsa och välfärd får meddela föreskrifter om de förfaranden som ska iakttas vid påvisande av överensstämmelse med kraven och om innehållet i den utredning som ska ges. Dessutom får Folkpensionsanstalten meddela föreskrifter om de förfaranden som ska iakttas vid verifiering av interoperabiliteten i fråga om informationssystem som ska anslutas till de riksomfattande informationssystemtjänster som avses i denna lag eller i receptlagen.
86 §
Interoperabilitetstestning
Ett informationssystem och en välbefinnandeapplikation som hör till klass A ska vara interoperabla med de riksomfattande informationssystemtjänsterna och med övriga anslutna informationssystem. Interoperabiliteten ska visas vid en interoperabilitetstestning som ordnas av Folkpensionsanstalten. Före interoperabilitetstestningen ska producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen lämna Folkpensionsanstalten en redogörelse för hur kraven på informationssystemets eller välbefinnandeapplikationens funktionalitet har genomförts och testats. Tidpunkten för och genomförandet av interoperabilitetstestningen ska avtalas med Folkpensionsanstalten.
Ett informationssystem som hör till klass A och har tagits i användning för produktion av tjänster ska delta i samtestningar med andra informationssystem som ska anslutas till de riksomfattande informationssystemtjänsterna, för säkerställande av informationssystemens interoperabilitet. Folkpensionsanstalten beslutar vilka informationssystem som ska delta i interoperabilitetstestningen. De producenter av informationssystemtjänster vars informationssystem deltar i interoperabilitetstestningen svarar själva för de kostnader som testningen medför för dem. Folkpensionsanstalten ger på basis av interoperabilitetstestningen ett intyg över uppfyllelsen av kraven på interoperabilitet när kraven har verifierats.
Med avvikelse från 1 mom. utförs ingen separat interoperabilitetstestning av de riksomfattande informationssystemtjänster som Folkpensionsanstalten förvaltar eller av informationssystem som hör till klass A och som inte ansluts till de riksomfattande informationssystemtjänsterna.
87 §
Bedömning av informationssäkerhet
Bedömningen av överensstämmelse med de väsentliga kraven på informationssäkerhet hos de informationssystem och välbefinnandeapplikationer som hör till klass A ska göras i enlighet med denna lag och lagen om bedömningsorgan för informationssäkerhet. I den bedömning av informationssäkerheten som avses i denna lag ingår emellertid ingen bedömning eller inspektion av verksamhetsställena för vare sig producenten av en informationssystemtjänst, tillverkaren av ett informationssystem eller användaren. Bedömningen av informationssäkerhet görs på ansökan av producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation.
Bedömningsorganet för informationssäkerhet ska utifrån sin bedömning av informationssäkerhet ge producenten av informationssystemtjänsten eller tillverkaren av välbefinnandeapplikationen ett intyg och en tillhörande kontrollrapport, om informationssystemet uppfyller de väsentliga kraven på informationssäkerhet. Bedömningen ska göras i enlighet med de väsentliga krav som gäller informationssystemets eller välbefinnandeapplikationens användningsändamål eller i enlighet med omfattningen av de ändringar som gjorts i systemet.
Bedömningsorganet för informationssäkerhet får avkräva producenten av en informationssystemtjänst eller tillverkaren av en välbefinnandeapplikation alla uppgifter som behövs för bedömningen i syfte att upprätta intyget. På utfärdande av intyget tillämpas i övrigt 9 § i lagen om bedömningsorgan för informationssäkerhet. Intyget är giltigt i högst tre år. Intygets giltighetstid får förlängas med högst tre år i sänder.
88 §
Anmälningsskyldighet för Folkpensionsanstalten och bedömningsorgan för informationssäkerhet
Ett bedömningsorgan för informationssäkerhet ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten och Institutet för hälsa och välfärd om alla i 87 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats. Folkpensionsanstalten ska underrätta Tillstånds- och tillsynsverket för social- och hälsovården, bedömningsorganet för informationssäkerhet och Institutet för hälsa och välfärd om alla i 86 § avsedda intyg som har utfärdats, ändrats eller kompletterats eller som har återkallats eller förvägrats.
Bedömningsorganet för informationssäkerhet ska på begäran ge Tillstånds- och tillsynsverket för social- och hälsovården all behövlig ytterligare information om de informationssystem och välbefinnandeapplikationer för vilka organet har utfärdat intyg över bedömning av informationssäkerhet.
13 kap.
Övervakning av informationssystem
89 §
Övervakning och inspektioner av informationssystem
Tillstånds- och tillsynsverket för social- och hälsovården har till uppgift att övervaka och främja informationssystemens och välbefinnandeapplikationernas överensstämmelse med kraven.
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att utföra inspektioner som krävs för tillsynen. Inspektioner kan göras utan förhandsanmälan. För att utföra en inspektion har en inspektör rätt att få tillträde till alla lokaler där det bedrivs verksamhet som avses i denna lag eller där det förvaras uppgifter som är viktiga för tillsynen över efterlevnaden av denna lag. Inspektioner får dock inte utföras i utrymmen som används för boende av permanent natur. Vid en inspektion ska dessutom 39 § i förvaltningslagen iakttas. Om den som ska inspekteras motsätter sig inspektionen eller annars försöker försvåra den, har Tillstånds- och tillsynsverket för social- och hälsovården rätt att få behövlig handräckning av polisen. Bestämmelser om handräckning av polisen finns i 9 kap. 1 § 1 mom. i polislagen (872/2011).
Vid inspektionen ska alla handlingar som inspektören ber om och som behövs för inspektionen läggas fram. På inspektörens begäran ska dessutom kopior av de handlingar som behövs för inspektionen överlämnas till inspektören utan avgift.
Inspektionerna ska protokollföras och en kopia av protokollet ska sändas till den som saken gäller inom 30 dagar. En inspektion anses avslutad när en kopia av inspektionsprotokollet har delgetts den som saken gäller. Tillstånds- och tillsynsverket för social- och hälsovården ska bevara inspektionsprotokollet i tio år efter det att inspektionen avslutades.
90 § (4.4.2025/132)
Underrättelse om avvikelser från de väsentliga kraven på ett informationssystem eller en välbefinnandeapplikation samt om störningar i informationssäkerheten avseende informationsnät
Om en tjänstetillhandahållare eller ett apotek konstaterar betydande avvikelser när det gäller uppfyllandet av de väsentliga kraven på ett informationssystem, ska denna underrätta producenten av informationssystemtjänsten om saken. Om avvikelsen i informationssystemet eller välbefinnandeapplikationen kan innebära en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten, ska tjänstetillhandahållaren, apoteket, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet, tillverkaren av välbefinnandeapplikationen, Folkpensionsanstalten eller Institutet för hälsa och välfärd underrätta Tillstånds- och tillsynsverket för social- och hälsovården om detta. Även andra aktörer kan underrätta Tillstånds- och tillsynsverket för social- och hälsovården om risker som de upptäcker. Om avvikelsen i informationssystemet kan innebära en betydande risk för apotekets verksamhet, ska apoteket dessutom underrätta Säkerhets- och utvecklingscentret för läkemedelsområdet om detta. Bestämmelser om rapportering av personuppgiftsincidenter till dataombudsmannen finns i artikel 33 i dataskyddsförordningen.
En tjänstetillhandahållare, ett apotek, Folkpensionsanstalten och en producent av en informationssystemtjänst eller en tillverkare av ett informationssystem eller en mellanhand ska utan dröjsmål underrätta Tillstånds- och tillsynsverket för social- och hälsovården om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som aktören använder och till följd av vilka användningen av informationssystem och tillhandahållandet av social- och hälsovårdstjänster kan äventyras avsevärt. Tillstånds- och tillsynsverket för social- och hälsovården får meddela närmare föreskrifter om när en störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.
Ett apotek ska dessutom utan dröjsmål underrätta Säkerhets- och utvecklingscentret för läkemedelsområdet om sådana betydande störningar i anslutning till informationssäkerheten i de driftsmiljöer och informationsnät som apoteket använder och till följd av vilka apotekets verksamhet kan äventyras avsevärt. Säkerhets- och utvecklingscentret för läkemedelsområdet får meddela närmare föreskrifter om när en störning är betydande samt om innehållet i och utformningen av anmälan och hur den ska lämnas in.
Om det ligger i allmänt intresse att det görs en anmälan om en sådan avvikelse eller störning i anslutning till informationssäkerheten som avses i 1 och 2 mom., får Tillstånds- och tillsynsverket för social- och hälsovården ålägga tjänstetillhandahållaren, apoteket, Folkpensionsanstalten, producenten av informationssystemtjänsten eller tillverkaren av informationssystemet eller mellanhanden att informera allmänheten om saken eller, efter att ha hört den anmälningspliktiga, själv informera om saken. Dessutom kan Säkerhets- och utvecklingscentret för läkemedelsområdet ålägga apoteket att informera allmänheten om en i 3 mom. avsedd störning eller, efter att ha hört den anmälningspliktiga, självt informera om störningen.
91 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att få information för tillsyn
För tillsynen över informationssystem och välbefinnandeapplikationer inom social- och hälsovården har Tillstånds- och tillsynsverket för social- och hälsovården rätt att avgiftsfritt och trots sekretessbestämmelserna få nödvändig information av statliga myndigheter och välfärdsområdesmyndigheter samt av fysiska och juridiska personer som omfattas av denna lag eller av bestämmelser och beslut som med stöd av denna lag meddelats om informationssystem inom social- och hälsovården.
92 §
Rätt för Tillstånds- och tillsynsverket för social- och hälsovården att anlita utomstående experter
Tillstånds- och tillsynsverket för social- och hälsovården har rätt att anlita utomstående experter som biträden vid bedömning av informationssystems och välbefinnandeapplikationers överensstämmelse med kraven. Utomstående experter får delta i inspektioner som avses i denna lag samt undersöka och testa informationssystem och välbefinnandeapplikationer, men de får inte fatta förvaltningsbeslut. Utomstående experter ska ha den sakkunskap och kompetens som uppgifterna kräver. På utomstående experter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter enligt denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).
93 §
Föreläggande att fullgöra skyldigheter
Om en producent av en informationssystemtjänst för social- eller hälsovården eller en tillverkare av ett informationssystem, en tillverkare av en välbefinnandeapplikation, en mellanhand eller Folkpensionsanstalten har underlåtit att fullgöra sin skyldighet enligt denna lag, får Tillstånds- och tillsynsverket för social- och hälsovården genom sitt beslut meddela ett föreläggande om att skyldigheten ska fullgöras inom utsatt tid.
94 §
Skyldigheter avseende informationssystem och välbefinnandeapplikationer som är i bruk
När Tillstånds- och tillsynsverket för social- och hälsovården övervakar och inspekterar informationssystem eller välbefinnandeapplikationer med stöd av 89 § får verket samtidigt genom sitt beslut ålägga producenten av en informationssystemtjänst eller tillverkaren av ett informationssystem att avhjälpa brister i informationssystem som används för produktion av tjänster och tillverkaren av en välbefinnandeapplikation att avhjälpa brister i en välbefinnandeapplikation som används för produktion av tjänster.
Om ett informationssystem eller en välbefinnandeapplikation kan äventyra klient- eller patientsäkerheten, eller om systemet inte till alla delar uppfyller de väsentliga krav som ställs på det enligt dess användningsändamål, och bristerna inte har avhjälpts inom den tid som Tillstånds- och tillsynsverket för social- och hälsovården har angett, får verket förbjuda användningen av informationssystemet eller välbefinnandeapplikationen till dess att bristerna har avhjälpts. Dessutom får Folkpensionsanstalten stänga förbindelser till riksomfattande informationssystemtjänster som den förvaltar, om ett anslutet informationssystem eller dess användare eller en välbefinnandeapplikation eller dess användare äventyrar den behöriga funktionen hos de riksomfattande informationssystemtjänsterna.
Tillstånds- och tillsynsverket för social- och hälsovården får ålägga producenten av en informationssystemtjänst, tillverkaren av en välfärdsapplikation eller en av någon av dessa befullmäktigad representant att inom den tid och på det sätt som verket bestämmer informera om förbud och förelägganden som gäller användningen av informationssystemet eller välbefinnandeapplikationen för produktion av tjänster.
95 §
Ändringssökande
Omprövning får begäras av ett beslut som Tillstånds- och tillsynsverket för social- och hälsovården har meddelat i samband med en inspektion. Bestämmelser om begäran om omprövning finns i förvaltningslagen.
Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).
Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag ska iakttas trots begäran om omprövning eller ändringssökande, om inte den myndighet som behandlar begäran om omprövning eller förvaltningsdomstolen bestämmer något annat.
96 §
Vite
Beslut som Tillstånds- och tillsynsverket för social- och hälsovården har fattat med stöd av denna lag kan förenas med vite. Bestämmelser om vite finns i viteslagen (1113/1990).
AVDELNING III
SÄRSKILDA BESTÄMMELSER OCH IKRAFTTRÄDANDE
14 kap.
Särskilda bestämmelser
97 §
Styrning, övervakning och uppföljning
Den allmänna planeringen, styrningen och övervakningen av den elektroniska behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt beslutsfattandet om finansieringen av betydande informationshanteringsprojekt hör till social- och hälsovårdsministeriets uppgifter.
Institutet för hälsa och välfärd svarar för planeringen, styrningen och uppföljningen samt samordningen av de datastrukturer som används när det gäller behandlingen av kunduppgifter inom social- och hälsovården och informationshanteringen i anslutning därtill samt när det gäller utförandet och användningen av de riksomfattande informationssystemtjänster som avses i 65 § och de gemensamma informationsresurser som hänför sig till olika förvaltningsområden. (7.6.2024/307)
Dataombudsmannen, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården samt regionförvaltningsverket inom sitt verksamhetsområde styr och övervakar i enlighet med sin behörighet efterlevnaden av denna lag.
98 §
Samarbete som gäller elektronisk informationshantering inom social- och hälsovården
Social- och hälsovårdsministeriet ska se till att det har ordnats samarbetsformer och samarbetsförfaranden för samordning av det samarbete som gäller elektronisk informationshantering och riksomfattande informationssystemtjänster inom social- och hälsovården. Syftet med samarbetet är att främja genomförandet av denna lag.
Statsrådet kan tillsätta delegationer och andra samarbetsorgan som behövs för det samarbete som avses i 1 mom.
Folkpensionsanstalten ska se till att det har ordnats samarbetsformer och samarbetsförfaranden kring den produktionsverksamhet som gäller informationssystemtjänster med tjänstetillhandahållare, apotek och andra intressentgrupper inom produktionsverksamheten.
99 §
Avgifter
Användningen av de riksomfattande informationssystemtjänster enligt 65 § som sköts av Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata är avgiftsbelagd för tjänstetillhandahållarna och apoteken efter det att tjänstetillhandahållaren eller apoteket har ålagts att ansluta sig till de riksomfattande informationssystemtjänsterna som användare. De avgifter som Folkpensionsanstalten tar ut bestäms oberoende av 10 § i lagen om grunderna för avgifter till staten (150/1992) genom förordning av social- och hälsovårdsministeriet så att de motsvarar kostnaderna för skötseln av tjänsterna. Avgifterna ska dessutom trygga likviditeten för Folkpensionsanstaltens servicefond. I fråga om de avgifter som tas ut för Myndigheten för digitalisering och befolkningsdatas prestationer föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den.
Folkpensionsanstalten och Myndigheten för digitalisering och befolkningsdata ska årligen lämna social- och hälsovårdsministeriet en utredning över det föregående årets kostnader och de faktorer som påverkat kostnaderna samt en uppskattning av de totalkostnader som ligger till grund för avgifterna för de följande fyra åren och av investeringsbehoven under de fyra följande åren och kostnaderna för dem.
Producenten av en informationssystemtjänst svarar för kostnaderna för certifiering. Det är avgiftsbelagt för producenter av informationssystemtjänster att anmäla sig till Folkpensionsanstaltens i 86 § avsedda interoperabilitetstestning. Registrering och införande av en i 80 § avsedd anmälan till Tillstånds- och tillsynsverket för social- och hälsovården i ett offentligt register är avgiftsbelagda. I fråga om avgifterna föreskrivs genom förordning av social- och hälsovårdsministeriet, med beaktande av vad som föreskrivs i lagen om grunderna för avgifter till staten och med stöd av den. Bestämmelser om avgifter för godkännande av bedömningsorgan för informationssäkerhet finns i 11 § i lagen om bedömningsorgan för informationssäkerhet.
100 §
Straffbestämmelser
Den som uppsåtligen eller av grov oaktsamhet
1) bryter mot identifieringsskyldigheten i 8 § 1 mom.,
2) lämnar ut kunduppgifter i strid med 8 kap. utan kundens tillstånd för eller samtycke till utlämnande eller utan lagstadgad rätt, eller
3) försummar sin skyldighet att informera enligt 68 § 1 mom. och på så sätt äventyrar kundens integritetsskydd,
ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för förseelse mot bestämmelserna om behandlingen av kunduppgifter inom social- och hälsovården dömas till böter.
Bestämmelser om straff för dataintrång finns i 38 kap. 8 § i strafflagen och för dataskyddsbrott i 9 § i det kapitlet. Bestämmelser om brott mot sekretess finns i 1 och 2 § i det kapitlet samt i 40 kap. 5 § i den lagen.
15 kap.
Ikraftträdande- och övergångsbestämmelser
101 §
Ikraftträdande
Denna lag träder i kraft den 1 januari 2024.
Genom denna lag upphävs lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (784/2021) och lagen om klienthandlingar inom socialvården (254/2015).
De bevarandetider som avses i bilagan till denna lag tillämpas också på handlingar som upprättats före lagens ikraftträdande. Dessutom tillämpas vad som statsarkivet, arkivverket och Riksarkivet särskilt bestämt om arkivering av handlingar.
Lagens 16 § tillämpas också på handlingar som innehas av tjänstetillhandahållare som upphört med sin verksamhet före lagens ikraftträdande, dock så att de handlingar som innehafts av en tjänstetillhandahållare vars verksamhet har upphört och som tidigare har överförts till välfärdsområdet inte överförs till Riksarkivet för bevarande.
Lagens 18 § 1 mom. om lagring av journalhandlingar i patientregistret tillämpas också på journalhandlingar som upprättats inom socialvården före lagens ikraftträdande.
102 § (7.6.2024/307)
Övergångsbestämmelser
Den i 53 § avsedda rätten att få uppgifter mellan socialvården och hälso- och sjukvården ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 mars 2027, rätten för tjänstetillhandahållare inom socialvården att få uppgifter om recept som lagrats i receptcentret ska emellertid genomföras senast den 1 november 2027.
Det i 59 § 2 mom. avsedda förbudet som gäller alla patientuppgifter och företagshälsovården ska tas i bruk senast den 1 januari 2024.
Patientuppgifter som ska antecknas i samband med ordnandet och tillhandahållandet av socialservice ska föras in i patientregistret senast den 1 mars 2027.
Det i 60 § avsedda utlämnandet av patientuppgifter till utlandet ska genomföras senast från och med den 1 januari 2025.
Tjänstetillhandahållare inom socialvården ska ansluta sig till den i 65 § 1 mom. 1 punkten nämnda riksomfattande informationsresursen för kunduppgifter senast den 1 september 2026. Om tidsfristen för skyldigheten enligt 7 mom. att spara handlingar som tjänstetillhandahållare för in infaller efter dessa tidpunkter, ska tjänstetillhandahållaren ansluta sig till den riksomfattande informationsresursen för kunduppgifter senast när skyldigheten att spara handlingar börjar. Tillstånd för utlämnande av uppgifter enligt lagens 55 § ska tas i bruk när tjänstetillhandahållaren börjar utöva rätten att få uppgifter enligt 55 § via de riksomfattande informationssystemtjänsterna, dock senast när tjänstetillhandahållaren enligt denna lag ska ansluta sig till den riksomfattande informationsresursen för kunduppgifter. Tjänstetillhandahållare inom socialvården ska i enlighet med 70 § spara de uppgifter som gäller utlämnandet i förvaringstjänsten för loggregister senast när tjänstetillhandahållaren enligt denna lag ska ansluta sig till den riksomfattande informationsresursen för kunduppgifter.
Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom hälso- och sjukvården börja spara handlingarna enligt följande:
1) handlingar upprättade av skolpsykologer, senast den 1 mars 2025,
2)senast den 1 oktober 2026
a) handling över tidsbeställningar inom hälso- och sjukvården som kunden ska underrättas om,
b) laboratorieresultat från screeningundersökningar,
c) intyg och blanketter som anknyter till körhälsa,
d) intyg och blanketter som anknyter till olycksfall och anmälan av yrkessjukdom,
e) läkarutlåtande om hälsotillstånd (T-intyg),
f) läkarintyg C och TOD, samt
g) kopia av dödsattest,
3) senast den 1 oktober 2029,
a) dagliga anteckningar om vårdarbetet,
b) handlingar som anknyter till radiologisk screening,
c) video- och ljudupptagningar samt bilder för synligt ljus,
d) bilder tagna av enheter för mun- och tandvård, samt
e) andra bilder än sådana som avses i underpunkt c och d.
Med avvikelse från skyldigheten enligt 69 § 1 mom. att efter anslutning till de riksomfattande informationssystemtjänsterna spara kundhandlingarna i original i den riksomfattande informationsresursen för kunduppgifter ska en tjänstetillhandahållare inom socialvården börja spara klienthandlingar inom socialvården i den riksomfattande informationsresursen för kunduppgifter enligt följande:
1) kundhandlingar som uppkommer i serviceuppgifter inom familjerättsliga tjänster, senast den 1 september 2026, och
2) video- och ljudupptagningar som uppkommer i alla serviceuppgifter, senast den 1 oktober 2029.
I den informationsresurs för egna uppgifter som avses i 73 § ska behandling av uppgifter för någon annans räkning enligt 50 § genomföras senast den 1 september 2025 och möjligheten att lämna ut uppgifter om välbefinnande till tjänstetillhandahållaren ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 januari 2026.
Utlämnande av patientuppgifter till välbefinnandeapplikationer i enlighet med 74 § 2 mom. ska genomföras i de riksomfattande informationssystemtjänsterna senast den 1 december 2024, i 50 § avsedd skötsel av ärenden för någon annans räkning dock senast den 1 september 2025 och i fråga om recept som lagras i receptcentret dock senast den 1 oktober 2027.
Bilaga
Bevarandetiderna för kundhandlingar
| Journalhandlingar | Bevarandetid |
| Handlingar som är viktiga med tanke på medicinsk genetik och sällsynta sjukdomar
| Bevaras permanent, behovet av bevarande ska bedömas vart femte år
|
| Anteckningar och sammandrag i anslutning till diagnostik samt planering, genomförande, uppföljning och utvärdering av vården, halvtids- och slutbedömningar, vårdplaner, remisser och utlåtanden, begäranden om konsultationer, beslut om vård oberoende av patientens vilja, resultatkurvor (EEG, EKG, ENMG, KTG, hörselkurvor och andra motsvarande resultatkurvor), bilder på strålbehandling samt kartotek, cytostatikakort samt recept
| 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten inte är känd eller om det är fråga om ett barn som har dött före 18 års ålder
|
| Odontologiska röntgenbilder
| 12 år efter dödsfallet eller 120 år efter födelsen
|
| Andra än odontologiska röntgenbilder som används vid identifiering, magnet-, isotop- och ultraljudsbilder samt motsvarande upptagningar från bilddiagnostiska undersökningar
| 20 år efter undersökningen, dock högst 12 år efter dödsfallet
|
| Bilder för synligt ljus, diabilder och andra bild-, video- och ljudupptagningar
| Sådana som bedöms vara behövliga för vården 12 år efter undersökningen
|
| Receptexpedieringar, anteckningar om genomförandet av läkemedelsbehandling och andra an-teckningar som hänför sig till recept
| 12 år efter att giltighetstiden för receptet gått ut eller vårdperioden avslutats
|
| Material från undersökning och beräkning, blanketter för insamling av uppgifter
| 12 år efter insamlingen av informa-tion eller liknande
|
| Av patienten upprättade uppföljningsuppgifter och andra handlingar som hänför sig till vården
| 12 år efter det att handlingen anlände
|
| Handlingar över tidsbeställningar
| 12 år efter att handlingen upprättades
|
| Separata remisshandlingar för patienter som inte infunnit sig (beträffande vilka vårdansvar inte uppkommit)
| 1 år efter det att handlingen upprättades
|
| Kopior av andra tjänstetillhandahållares journalhandlingar inom hälso- och sjukvården
| Får förstöras så snart de behövliga anteckningarna har förts in i patientdatasystemet
|
| Tidsbeställnings- och vårdreserveringsböcker, utskrivning, poliklinik-, avdelningsvårds- och åt-gärdsdagböcker och motsvarande
| 1 år efter det senaste besöket
|
| Donationsvilja, vårddirektiv, donationstestamente och patientens andra viljeyttringar
| De nyaste versionerna 12 år efter dödsfallet eller 120 år efter födseln, tidigare versioner 12 år
|
| Patientspecifik korrespondens/kontakt i anslutning till vården
| 3 år efter dateringen av ett meddelande eller motsvarande
|
| Videor som beskriver operationer
| Får förstöras så snart användningsbehovet har upphört
|
| Kopior av läkarutlåtanden och läkarintyg som upprättats för andra instanser (även sådana intyg som förutsätts i lagstiftningen om företagshälsovård)
| 5 år efter det att intyget eller utlåtandet upprättades
|
| Den kopia av dödsattesten som fogas till journalhandlingarna samt obduktionsprotokoll och obduktionsutlåtanden i anslutning till medicinsk utredning av dödsorsak
| 12 år efter att handlingen producerades
|
| Prover och organmodeller | Bevarandetid |
| Vävnadsblock och provglas som är betydelsefulla för medicinsk genetik och sällsynta sjukdomar
| Får bevaras permanent
|
| Vävnadsblock
| Högst 12 år efter dödsfallet eller 120 år efter födelsen, om dödstidpunkten är okänd eller det är fråga om ett barn som har dött före 18 års ålder
|
| Histologiska, patologiska, hematologiska och cytologiska provglas
| 12 år
|
| Prover inom klinisk kemi
| Får förstöras så snart analysen har utförts
|
| Gipsavtryck av tänder
| Kan ges till patienten eller förstöras efter avslutad vård
|
| Klienthandling inom socialvården eller serviceuppgift där klienthandlingarna upprättas | Bevarandetid |
| Klientrelationshandling och basuppgifter om klienten
| 2 år efter klientens död
|
| Serviceuppgift för barnfamiljer
| 30 år efter att ärendet stängdes
|
| Serviceuppgift för personer i arbetsför ålder
| 10 år efter att ärendet stängdes
|
| Serviceuppgift för äldre
| 10 år efter att ärendet stängdes
|
| Serviceuppgift inom missbrukarvården
| 10 år efter att ärendet stängdes
|
| Serviceuppgift inom funktionshinderservicen
| 10 år efter att det sista ärendet stängdes, när behovet av funktionshinderservice har upphört
|
| Serviceuppgift inom barnskyddet
| 2 år efter klientens död
|
| Serviceuppgift inom tillhandahållandet av familjerättsliga tjänster
| I ärenden som gäller barn 120 år efter barnets födelse, i andra ärenden 10 år efter att ärendet stängdes
|
| Verifikat
| 3 år
|
| Beslut om klientavgifter och handlingar som gäller inkomstutredningar
| 12 år efter att beslutet upphörde att gälla
|
| Kontakt eller korrespondens i anslutning till den klientspecifika servicen
| 3 år efter dateringen av ett meddelande eller motsvarande
|
| Kopior av utlåtanden och intyg som upprättats för andra aktörer
| 5 år efter det att intyget eller utlåtandet upprättades
|
| Video- och ljudupptagningar som spelas in inom socialservicen
| Får förstöras när användningsbehovet har upphört och de behövliga anteckningarna har gjorts i klienthandlingarna
|
| Handlingar i anknytning till hanteringen av utlämnande av uppgifter | Bevarandetid |
| Utlämnings- och användningslogg-uppgifter samt anmälningar om utlämnande
| 12 efter logghändelsen
|
| Tillstånd för utlämnande, samtycken, förbudshandlingar
| Den nyaste versionen 12 år efter dödsfallet, de föregående 12 år efter att en ny version harupprättats
|
[1] Med begreppet ”behandling” avses i det här sammanhanget att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda och förstöra personuppgifter antingen elektroniskt eller manuellt.
[2] I den fortsatta framställningen används samlingsbegreppet kunduppgifter.
[3] Landskapslagen (1993:61) om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter.
[4] Se t.ex. 57 och 58 §§ i socialvårdslagen (2020:12) som reglerar hemkommunens och vistelsekommunens skyldighet att ordna institutionsvård och annan socialservice.
[5] Ålands landskapsregering, social- och miljöavdelningen, ÅLR 2021/194, bilaga S222E14.
[6] Ibidem, s. 8.
[7] Efter att arbetsgruppens mandat gick ut har både Ålandsdelegationen och Högsta domstolen konstaterat att informationshantering i huvudsak tillhör landskapets lagstiftningsbehörighet. Angående området cybersäkerhet, se not 32.
[8] Socialvårdslagen (2020:12) för Åland.
[9] Lag om elektronisk behandling av kunduppgifter inom social- och hälsovården (FFS 784/2021).
[10] Europaparlaments och rådets direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.
[11] Se t.ex. GrUU 15/2018 och skäl 51 till dataskyddsförordningen, enligt vilken särskilda kategorier av personuppgifter också ska betraktas som särskilt känsliga.
[12] Lagen om service och stöd på grund av handikapp (FFS 380/1987), som gjorts tillämplig på Åland genom landskapslagen (2010:50) om tillämpning i landskapet Åland av lagen om service och stöd på grund av handikapp.
[13] Om skyldigheten för den kommunala socialvården och ÅHS att ingå samverkansavtal gällande hemvård föreskrivs i 20 § i socialvårdslagen och 38a § i hälso- och sjukvårdslagen.
[14] Ålands landskapsregering, Plan för socialvården 2023‒2027, dnr ÅLR 2022/10355, bilaga S223E01, s. 10.
[15] Europaparlamentets och rådets förordning (EU) om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dataskyddsförordningen.
[16] En del, eller en grupp av delar, i nätverks- och informationssystem enligt definitionen i artikel 2.12 i Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten).
[17] Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724.
[18] Varken dataförvaltningsakten eller EHDS-förordningen kan m.a.o. åberopas som grund för att få tillgång till skyddade data. För att nämnda förordningar ska bli tillämpliga, måste rätten att få tillgång till skyddade data basera sig på en annan författning eller på någon annan grund.
[19] Se utkast till Regeringens proposition till riksdagen om bestämmelser som kompletterar förordningen om europeiska hälsodataområdet (EHDS) i lagen om behandling av kunduppgifter inom social- och hälsovården och i vissa lagar som har samband med den, social- och hälsovårdsministeriet, dnr VN/12299/2024.
[20] Förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättande av en ram för en europeisk digital identitet, com (2021) 281 final.
[21] I och med att rikets patientlag är tillämplig på Åland i den lydelse lagen hade i riket den 31 december 2023.
[22] Se t.ex. GrUU 14/2018 och GrUU 4/2021.
[23] Verifieringen av en saklig anknytning grundar sig på att den vårdanställdas arbetsuppgifter har en koppling till den service- eller verksamhetsenhet där personen är klient eller patient.
[24] Dvs. företag som sysselsätter färre än 50 personer, och vars omsättning inte överstiger 10 miljoner euro per år. Se artikel 2.1 i NIS 2-direktivet och bilagan till kommissionens rekommendation 2003/361/EG av den 6 maj om definitionen av mikroföretag samt små och medelstora företag.
[25] Se t.ex. Europeiska dataskyddsstyrelsen (EDPB), Gemensamt yttrande 03/2021 från EDPB och EDPS om förslaget till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten), version 1.1, den 9 juni 2021, s. 24. Se även skäl 43 i dataskyddsförordningen, där det understryks att samtycke inte kan utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Kundens samtycke krävs dock fortfarande när uppgifter lämnas ut via Kanta-tjänsterna till andra EU-medlemsstater för ordnande och produktion av hälso- och sjukvård.
[26] I den lydelse paragrafen hade i riket den 31 december 2023. Se 1 § 1 mom. i den åländska patientlagen.
[27] Supra not 15.
[28] Se även Regeringens proposition till Riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den, RP 246/2022 rd, s. 18.
[29] Därav också det förtydligande namnbytet från riksomfattande arkiveringstjänst till informationsresurs för kunduppgifter.
[30] En liknande bestämmelse finns i 21 § i lagen om informationshantering inom den offentliga förvaltningen (FFS 906/2019), enligt vilken informationsmaterial utan dröjsmål efter det att förvaringstiden gått ut ska arkiveras eller förstöras. Om arkivering och bestämmande av förvaringstiderna föreskrivs dock särskilt.
[31] Se även Institutet för hälsa och välfärd, Handbok om Kanta-tjänsterna för aktörer inom socialvården, version 3.5, juni 2023, s. 100. Som exempel kan nämnas att det i riket inte längre ges hemservice till andra klientgrupper än barnfamiljer, varvid nämnda serviceuppgift exkluderats från äldreservicens serviceutbud. I sådana situationer uppstår frågan om en motsvarande lagändring måste göras på Åland eller om Kanta-tjänsternas klassifikationssystem är tillräckligt flexibelt för att möjliggöra undantag för socialvården på Åland.
[32] Ibidem, s. 110 – 122.
[33] Exempelvis måste varje klienthandling som lagras i socialvårdens klientregister uttryckligen kopplas till en viss serviceuppgift eller flera serviceuppgifter.
[34] Detta konstaterades redan år 2018 i rapporten Slutrapport ̶ Arbetsgrupp för digitalisering inom socialvården, ÅLR 2018/7654.
[35] Personuppgiftsansvariga inom socialvården på Åland är Kommunernas socialtjänst k.f. (KST), det organ som ansvarar för äldreomsorgen i en kommun och de privata aktörer som tillhandahåller socialvårdstjänster. Personuppgiftsansvariga inom hälso- och sjukvården på Åland är ÅHS och de privata aktörer som tillhandahåller hälso- och sjukvårdstjänster.
[36] Se även den Europiska dataskyddsstyrelsens (European Data Protection Board, EDPB) riktlinjer Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 2.1, antagen den 7 juli 2021. Dataskyddsstyrelsen konstaterar att det för att säkerställa rättssäkerheten, transparensen och bevisskyldigheten är tillrådligt att de närmare arrangemangen för ett delat personuppgiftsansvar regleras genom avtal eller något annat rättsligt bindande instrument.
[37] Social- och hälsovårdsministeriets förordning om behandling av kunduppgifter inom social- och hälsovården (FFS 457/2024).
[38] Tillstånds och tillsynsverket för social- och hälsovården för också ett register över privata tillhandahållare av social- och hälsovårdstjänster, det s.k. Valveri-registret.
[39] ”Som bedömningsgrunder för informationssäkerhet kan, enligt beslut av den som bedömningen gäller, vid bedömningar som avses i denna lag användas publicerade allmänt eller regionalt tillämpade bestämmelser, föreskrifter eller anvisningar om informationssäkerhet”.
[40] Regeringens proposition till Riksdagen med förslag till ny självstyrelselag för Åland, RP 73/1990 rd, s. 49 ̶ 50.
[41] Uppgiften som kontaktpunkt för gränsöverskridande hälso- och sjukvård på Åland har överförts till Folkpensionsanstalten genom överenskommelseförordning.
[42] Det nuvarande ansvarsförhållandet mellan regionförvaltningsverken, Tillstånds- och tillsynsverket för social- och hälsovården samt social- och hälsovårdsministeriet när det gäller styrningen av och tillsynen över yrkesutbildade personer inom hälso- och sjukvården framgår av 24 § i lagen om yrkesutbildade personer inom hälso- och sjukvården (FFS 559/1994).
[43] För en sammanfattning av tidigare gjorda bedömningar, se Ålands landskapsregering, lagförslag nr 17/2023‒2024, Registerbaserad kvalitetssäkring och preciserade regler om vårdgarantin inom hälso- och sjukvården, den 6 juni 2024, s. 22.
[44] Se t.ex. Högsta domstolens utlåtande gällande Ålands lagtings beslut av den 21 november 2018 om antagande av landskapslagar i punkterna 1‒17, givet den 5 mars 2019, OH2019/11.
[45] Dnr ÅLR 2021/194, bilaga S222E14.
[46] Dessutom föreslås i Regeringens proposition med förslag till bestämmelser om komplettering av det europeiska hälsodataområdet (EHDS) till lagen om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den (dnr VN/22944/2024) att nämnda Kanta-tjänster ska avvecklas.
[47] Se t.ex. GrUU 32/2012 rd, s. 6 och GrUU 9/2014 rd, s. 3.
[48] Lagen om tillsyn över social- och hälsovården (FFS 741/2023).
[49] Supra not 31.
[50] Europaparlamentets och rådets direktiv (EU) 2016/2102 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer.
[51] Europaparlamentets och rådets direktiv (EU) 2019/882 om tillgänglighetskrav för produkter och tjänster.
[52] Se Ålands lagtings beslut om antagande av landskapslag om ändring av landskapslagen om hälso- och sjukvård, LTB 26/2024, den 27 september 2024. Landskapslagen har blivit godkänd i lagstiftningskontrollen.
[53] Detta framgår bl.a. av 10 § i hälso- och sjukvårdslagen, 22 § i socialvårdslagen och 6 § i klienthandlingslagen.
[54] RP 246/2022 rd, s. 143.
[55] Enligt NIS 2-direktivet ska en incident anses vara betydande om den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna, inneburit ekonomiska förluster för den berörda entiteten eller medfört skada (materiell eller immateriell) på andra fysiska eller juridiska personer.
[56] När en tjänstetillhandahållare på begäran lämnar ut en kundhandling, är den handling som lämnas ut att betrakta som en kopia av originalet. Kopian ska förstöras när den inte längre är nödvändig för att utföra arbetsuppgifterna.
[57] Se t.ex. GrUU 41/2010, GrUU 71/2018 rd och GrUU 4/2021 rd.
[58] RP 246/2022 rd, s. 63.