<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2021/784/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2021/784"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2021/784/alkup"/>
                    <FRBRdate date="2021-08-27" name="dateIssued"/>
                    <FRBRdate date="2021-08-30" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="784"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2021/784/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2021/784/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2021/784/alkup/fin"/>
                    <FRBRdate date="2021-08-27" name="dateIssued"/>
                    <FRBRdate date="2021-08-30" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2021/784/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2021/784/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2021/784/alkup/fin/xml"/>
                    <FRBRdate date="2025-09-05" name="dateProduced"/>
                    <FRBRdate date="2021-08-30" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Laki"/>
                <TLCConcept eId="new-statute" href="/akn/ontology/concept/statute/category-statute.new-statute" showAs="Uusi säädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#new-statute"/>
                <finlex:documentYear>2021</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>784/2021</docNumber>
                <docTitle>Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Eduskunnan päätöksen mukaisesti säädetään:</p>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <chapter eId="chp_1">
                    <num>1 luku</num>
                    <heading>Yleiset säännökset</heading>
                    <section eId="chp_1__sec_1">
                        <num>1 §</num>
                        <heading>Lain tarkoitus</heading>
                        <subsection eId="chp_1__sec_1__subsec_1">
                            <content>
                                <p>Tämän lain tarkoituksena on edistää ja mahdollistaa sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallista käsittelyä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Lain tarkoituksena on myös edistää asiakkaan tiedonsaantimahdollisuuksia asiakastietojensa käsittelystä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_2">
                        <num>2 §</num>
                        <heading>Soveltamisala ja suhde muuhun lainsäädäntöön</heading>
                        <subsection eId="chp_1__sec_2__subsec_1">
                            <content>
                                <p>
                                    Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679 (yleinen tietosuoja-asetus), jäljempänä 
                                    <i>tietosuoja-asetus</i>, täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sähköisesti terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä.
                                </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_1__sec_2__subsec_2">
                            <content>
                                <p>
                                    Siltä osin kuin asiakastietojen käsittelystä ei säädetä tässä laissa, säädetään siitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä 
                                    <i>potilaslaki</i>, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä 
                                    <i>asiakaslaki</i>, julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019), tietosuojalaissa, sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (552/2019), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä 
                                    <i>julkisuuslaki,</i>
                                     sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019), väestötietojärjestelmästä ja Digi-
ja väestötietoviraston varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994). Kielellisistä oikeuksista asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä säädetään kielilaissa (423/2003). Terveydenhuollon laitteista säädetään eräistä EU-direktiiveissä säädetyistä lääkinnällisistä laitteista annetussa laissa (629/2010).
                                </p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_1__sec_3">
                        <num>3 §</num>
                        <heading>Määritelmät</heading>
                        <subsection eId="chp_1__sec_3__subsec_1">
                            <intro eId="chp_1__sec_3__subsec_1__intro">
                                <p>Tässä laissa tarkoitetaan:</p>
                            </intro>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>
                                        <i>asiakkaalla</i>
                                         asiakaslaissa tarkoitettua sosiaalihuollon asiakasta sekä potilaslaissa tarkoitettua potilasta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>
                                        <i>asiakasasiakirjalla</i>
                                         asiakaslaissa ja sosiaalihuollon asiakasasiakirjoista annetussa laissa (254/2015), jäljempänä 
                                        <i>asiakasasiakirjalaki</i>, tarkoitettua sosiaalihuollon asiakasasiakirjaa sekä potilaslaissa tarkoitettua potilasasiakirjaa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>
                                        <i>sosiaalihuollon asiakastiedolla</i>
                                         asiakasta koskevaa henkilötietoa, joka sisältyy asiakaslaissa ja asiakasasiakirjalaissa tarkoitettuun asiakirjaan;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>
                                        <i>potilastiedolla</i>
                                         potilasta koskevaa henkilötietoa, joka sisältyy potilaslaissa tarkoitettuun potilasasiakirjaan;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>
                                        <i>asiakastiedolla</i>
                                         3 ja 4 kohdassa tarkoitettua sosiaalihuollon asiakastietoa ja potilastietoa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>
                                        <i>tietojärjestelmällä</i>
                                         tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>
                                        <i>palvelunantajalla</i>
                                         sosiaali- ja terveyspalvelujen järjestäjää ja sosiaali- ja terveyspalveluntuottajaa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_8">
                                <num>8)</num>
                                <intro eId="chp_1__sec_3__subsec_1__para_8__intro">
                                    <p>
                                        <i>palvelunjärjestäjällä</i>
                                         palvelunantajaa, jolla on:
                                    </p>
                                </intro>
                                <subparagraph eId="chp_1__sec_3__subsec_1__para_8__subpara_1">
                                    <num>a) </num>
                                    <content>
                                        <p>viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; ja</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_1__sec_3__subsec_1__para_8__subpara_2">
                                    <num>b) </num>
                                    <content>
                                        <p>yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen tai kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun;</p>
                                    </content>
                                </subparagraph>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_9">
                                <num>9)</num>
                                <intro eId="chp_1__sec_3__subsec_1__para_9__intro">
                                    <p>
                                        <i>palveluntuottajalla</i>
                                         palvelunantajaa, joka:
                                    </p>
                                </intro>
                                <subparagraph eId="chp_1__sec_3__subsec_1__para_9__subpara_1">
                                    <num>a) </num>
                                    <content>
                                        <p>palvelunjärjestäjän asemassa tuottaa itse sosiaali- tai terveyspalvelua; ja</p>
                                    </content>
                                </subparagraph>
                                <subparagraph eId="chp_1__sec_3__subsec_1__para_9__subpara_2">
                                    <num>b) </num>
                                    <content>
                                        <p>palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua;</p>
                                    </content>
                                </subparagraph>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_10">
                                <num>10) </num>
                                <content>
                                    <p>
                                        <i>tietoturvallisuuden arviointilaitoksella</i>
                                         sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella suorittamaan tietoturvallisuuden arviointeja;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_11">
                                <num>11) </num>
                                <content>
                                    <p>
                                        <i>hyvinvointitiedolla</i>
                                         henkilön itsensä tuottamia terveyttään ja hyvinvointiaan koskevia tietoja, jotka henkilö on tallentanut 12 kohdassa tarkoitettuun omatietovarantoon;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_12">
                                <num>12) </num>
                                <content>
                                    <p>
                                        <i>omatietovarannolla</i>
                                         hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä sähköistä tietovarantoa;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_13">
                                <num>13) </num>
                                <content>
                                    <p>
                                        <i>hyvinvointisovelluksella</i>
                                         yksityishenkilön käyttämää omatietovarantoon liittyvää sovellusta, jolla käsitellään hyvinvointitietoja, ja johon henkilö voi saada asiakastietonsa arkistointipalvelusta, reseptikeskuksesta ja tiedonhallintapalvelusta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_14">
                                <num>14) </num>
                                <content>
                                    <p>
                                        <i>arkistointipalvelulla</i>
                                         tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakastietoa tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa ja johon hyväksytyt tietojärjestelmät voidaan liittää;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_15">
                                <num>15) </num>
                                <content>
                                    <p>
                                        <i>tiedonhallintapalvelulla</i>
                                         valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_16">
                                <num>16) </num>
                                <content>
                                    <p>
                                        <i>tahdonilmaisupalvelulla</i>
                                         valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, muita terveyden ja sairaudenhoitoon ja sosiaalipalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_17">
                                <num>17) </num>
                                <content>
                                    <p>
                                        <i>tietojärjestelmäpalvelun tuottajalla</i>
                                         tahoa, joka tarjoaa tai toteuttaa palvelunantajalle tietojärjestelmää, jossa käsitellään asiakas- tai hyvinvointitietoa, ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_18">
                                <num>18) </num>
                                <content>
                                    <p>
                                        <i>tietojärjestelmän valmistajalla</i>
                                         tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta;
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_19">
                                <num>19) </num>
                                <content>
                                    <p>
                                        <i>välittäjällä</i>
                                         palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä salaamattomia asiakastietoja, esimerkiksi ylläpitotoimien yhteydessä; sekä
                                    </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_1__sec_3__subsec_1__para_20">
                                <num>20) </num>
                                <content>
                                    <p>
                                        <i>sertifioinnilla</i>
                                         menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset.
                                    </p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_2">
                    <num>2 luku</num>
                    <heading>Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpito</heading>
                    <section eId="chp_2__sec_4">
                        <num>4 §</num>
                        <heading>Valtakunnallisten tietojärjestelmäpalvelujen rekisterinpitäjä</heading>
                        <subsection eId="chp_2__sec_4__subsec_1">
                            <content>
                                <p>Kansaneläkelaitos on omatietovarannon, luovutuslokirekisterin lokitietojen säilytyspalvelun ja sen omaan toimintaansa liittyvien käyttölokien rekisterinpitäjä. Kansaneläkelaitoksella ei kuitenkaan ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät tai luovuttaa niitä muihin kuin 13 §:n 2 momentin mukaisiin käyttötarkoituksiin siten kuin mainitussa momentissa säädetään.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_4__subsec_2">
                            <content>
                                <p>Kukin sosiaali- ja terveydenhuollon palvelunantaja on toiminnassaan syntyneiden käyttölokien rekisterinpitäjä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_4__subsec_3">
                            <content>
                                <p>Kukin sosiaali- ja terveydenhuollon palvelunantaja ja Kansaneläkelaitos ovat sosiaali- ja terveydenhuollossa syntyneiden luovutuslokien ja tiedonhallintapalvelun sekä tahdonilmaisupalvelun yhteisrekisterinpitäjiä. Kansaneläkelaitos vastaa yhteisrekisterinpitäjänä tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä siten kuin 14 §:ssä säädetään. Tiedonhallintapalveluun koostettavia tietoja tallentavat ja tahdonilmaisupalveluun tietoja tallentavat palvelunantajat vastaavat tallennettavien tietojen oikeellisuudesta sekä muista rekisterinpitäjän velvoitteista. Kansaneläkelaitos toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena yhteyspisteenä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_4__subsec_4">
                            <content>
                                <p>Ammattilaisen käyttöliittymän käyttölokien yhteisrekisterinpitäjiä ovat terveydenhuollon ammattihenkilö ja Kansaneläkelaitos. Kansaneläkelaitos toimii käyttöliittymän käyttölokien yhteyspisteenä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_2__sec_4__subsec_5">
                            <content>
                                <p>Reseptikeskuksen rekisterinpitäjästä säädetään sähköisestä lääkemääräyksestä annetun lain (61/2007) 18 §:ssä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_2__sec_5">
                        <num>5 §</num>
                        <heading>Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa</heading>
                        <subsection eId="chp_2__sec_5__subsec_1">
                            <intro eId="chp_2__sec_5__subsec_1__intro">
                                <p>Kun palveluntuottaja antaa sosiaali- ja terveyspalveluja palvelunjärjestäjän lukuun, vastaa palveluntuottaja:</p>
                            </intro>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>asiakastietojen kirjaamisesta ja tallentamisesta palvelunjärjestäjän lukuun;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>alkuperäisten asiakasasiakirjojen toimittamisesta palvelunjärjestäjälle viipymättä; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_2__sec_5__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>tietosuoja-asetuksessa ja julkisuuslaissa säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_2__sec_5__subsec_2">
                            <content>
                                <p>Palvelunjärjestäjän ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_3">
                    <num>3 luku</num>
                    <heading>Valtakunnallisten sosiaali- ja terveydenhuollon tietojärjestelmäpalvelujen toteuttaminen</heading>
                    <section eId="chp_3__sec_6">
                        <num>6 §</num>
                        <heading>Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut</heading>
                        <subsection eId="chp_3__sec_6__subsec_1">
                            <intro eId="chp_3__sec_6__subsec_1__intro">
                                <p>Kansaneläkelaitoksen on järjestettävä asiakastietojen säilytystä ja käsittelyä varten seuraavat valtakunnalliset tietojärjestelmäpalvelut:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>valtakunnallinen asiakastietojen arkistointipalvelu;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>lokirekisterien säilytyspalvelu;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>ammattilaisen käyttöliittymä sähköisen lääkemääräyksen käsittelyyn;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>kansalaisen käyttöliittymä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>omatietovaranto;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>tiedonhallintapalvelu;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>tahdonilmaisupalvelu;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>reseptikeskus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>lääketietokanta; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_6__subsec_1__para_10">
                                <num>10) </num>
                                <content>
                                    <p>kysely- ja välityspalvelu.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_6__subsec_2">
                            <content>
                                <p>Lisäksi valtakunnallisten tietojärjestelmäpalvelujen toteuttaminen edellyttää koodistopalvelua ja rooli- ja attribuuttipalvelua. Sosiaali- ja terveysalan lupa- ja valvontaviraston on ylläpidettävä rooli- ja attribuuttitietopalvelua ja koodistoja, joiden avulla palvelunantajalle, apteekille, Kansaneläkelaitokselle ja Digi- ja väestötietovirastolle annetaan valtakunnallisten tietojärjestelmäpalveluiden käyttöä ja varmentamista varten sosiaali- ja terveydenhuollon ammattihenkilön ammatinharjoittamisoikeutta ja sen voimassaoloa koskeva tieto. Terveyden ja hyvinvoinnin laitos vastaa koodistopalvelun sisällöstä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_6__subsec_3">
                            <content>
                                <p>Digi- ja väestötietovirasto toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelunantajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Digi- ja väestötietovirastolla on oikeus saada tämän tehtävänsä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä sosiaali- ja terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_6__subsec_4">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada lakisääteisten tehtäviensä hoitamiseksi Digi- ja väestötietovirastolta tiedot sen 3 momentin nojalla myöntämistä varmenteista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_7">
                        <num>7 §</num>
                        <heading>Velvollisuus liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi</heading>
                        <subsection eId="chp_3__sec_7__subsec_1">
                            <content>
                                <p>Palvelunantajan on liityttävä 6 §:n 1 momentin 1, 6, 7 ja 8 kohdassa tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_7__subsec_2">
                            <content>
                                <p>Yksityisen sosiaali- ja terveydenhuollon palvelunantajan on liityttävä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi, jos sillä on käytössään asiakas- ja potilastietojen käsittelyyn tarkoitettu tietojärjestelmä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_7__subsec_3">
                            <content>
                                <p>Muut sosiaali- ja terveysalan toimijat, joiden palveluita ja asiakastietojen käsittelyä koskevia tahdonilmauksia tallennetaan 6 §:n 1 momentin 7 kohdassa tarkoitettuun tahdonilmaisupalveluun, voivat liittyä tahdonilmaisupalvelun käyttäjäksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_7__subsec_4">
                            <content>
                                <p>Ahvenanmaan maakunnan sosiaali- ja terveydenhuollon palvelunantaja voi liittyä valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_8">
                        <num>8 §</num>
                        <heading>Valtakunnalliseen arkistointipalveluun tallennettavat asiakirjat</heading>
                        <subsection eId="chp_3__sec_8__subsec_1">
                            <content>
                                <p>Sähköisestä asiakasasiakirjasta saa olla valtakunnallisessa arkistointipalvelussa vain yksi alkuperäinen tunnisteella yksilöity kappale. Alkuperäisestä asiakirjasta voidaan palvelun toteuttamiseksi tai muusta perustellusta syystä tehdä toinen tallenne, josta on käytävä ilmi, ettei se ole alkuperäinen asiakirja.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_8__subsec_2">
                            <content>
                                <p>Valtakunnallisiin tietojärjestelmäpalveluihin liittymisen jälkeen palvelunantajan tulee tallentaa asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun. Ennen liittymistä syntyneet asiakasasiakirjat voidaan tallentaa valtakunnalliseen arkistointipalveluun. Arkistointipalveluun voidaan tallentaa asiakasasiakirjojen lisäksi myös muita sosiaali- ja terveydenhuollon järjestämiseen ja tiedonhallintaan liittyviä asiakirjoja.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_8__subsec_3">
                            <content>
                                <p>Sosiaalihuollon asiakasasiakirjojen säilytysajoista säädetään asiakasasiakirjalain 27 §:ssä. Potilasasiakirjojen säilytysajoista säädetään potilaslain 12 §:ssä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_9">
                        <num>9 §</num>
                        <heading>Valtakunnallisiin tietojärjestelmäpalveluihin liittyvien tietojärjestelmien ja asiakasasiakirjojen tietorakenteet</heading>
                        <subsection eId="chp_3__sec_9__subsec_1">
                            <content>
                                <p>Tietojärjestelmien ja asiakasasiakirjojen tietorakenteiden tulee mahdollistaa sähköisten asiakasasiakirjojen ja asiakastietojen käyttö, luovuttaminen, säilyttäminen ja suojaaminen 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_9__subsec_2">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos antaa määräykset valtakunnallisten tietojärjestelmäpalvelujen toteutuksen edellyttämistä tietojärjestelmien asiakasasiakirjojen tietosisällöistä ja tietorakenteista sekä tietorakenteissa valtakunnallisesti hyödynnettävistä koodistoista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_10">
                        <num>10 §</num>
                        <heading>Asiakirjan sähköinen allekirjoittaminen</heading>
                        <subsection eId="chp_3__sec_10__subsec_1">
                            <content>
                                <p>Asiakirjojen eheys, muuttumattomuus ja kiistämättömyys on varmistettava sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_10__subsec_2">
                            <content>
                                <p>Luonnollisen henkilön sähköisessä allekirjoittamisessa on käytettävä kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93 EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa säädetään sähköisestä allekirjoituksesta. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_11">
                        <num>11 §</num>
                        <heading>Tiedonhallintapalvelu</heading>
                        <subsection eId="chp_3__sec_11__subsec_1">
                            <content>
                                <p>Tiedonhallintapalvelu koostaa potilasasiakirjoista terveydenhuollon toteuttamisen kannalta keskeiset potilastiedot ja tuottaa niistä yhteenvetoja palvelunantajille potilaan hoidon toteuttamista varten. Keskeisiä potilastietoja, jotka tiedonhallintapalvelu voi koostaa, ovat diagnoosit ja käyntisyyt, riskit, laboratoriotulokset, rokotukset, toimenpiteet, lääkitystiedot, fysiologiset mittaukset ja toimenpidekoodistolla kirjatut kuvantamistutkimukset, toimintakykyyn liittyvät tiedot, ajanvaraustiedot sekä potilaslain 4 a §:n mukainen suunnitelma potilaan tutkimuksesta, hoidosta tai kuntoutuksesta tai muu vastaava suunnitelma. Tiedonhallintapalvelun kautta saa luovuttaa tietoja siten kuin 20 §:ssä säädetään. Tiedonhallintapalvelussa olevia tietoja saa käsitellä 15 §:ssä säädettyjen käyttövaltuuksien puitteissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_12">
                        <num>12 §</num>
                        <heading>Tahdonilmaisupalvelu</heading>
                        <subsection eId="chp_3__sec_12__subsec_1">
                            <content>
                                <p>Tahdonilmaisupalveluun on tallennettava tieto henkilölle annetusta tämän lain ja sähköisestä lääkemääräyksestä annetun lain mukaisista informoinneista sekä henkilön antamista asiakastietojen luovutusta koskevista luovutusluvista, suostumuksista ja kielloista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_12__subsec_2">
                            <intro eId="chp_3__sec_12__subsec_2__intro">
                                <p>Tahdonilmaisupalveluun voidaan tallentaa myös tieto:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_12__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>muista kuin 1 momentissa tarkoitetuista henkilön terveyden- ja sairaanhoitoon tai sosiaalipalveluihin liittyvistä tahdonilmauksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_12__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>muista kuin 1 momentissa tarkoitetuista henkilön sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyvistä tahdonilmauksista.</p>
                                </content>
                            </paragraph>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_13">
                        <num>13 §</num>
                        <heading>Omatietovaranto</heading>
                        <subsection eId="chp_3__sec_13__subsec_1">
                            <content>
                                <p>Henkilö voi tallentaa hyvinvointitietojaan omatietovarantoon hyvinvointisovelluksilla tai kansalaisen käyttöliittymän kautta ja hyödyntää niitä sieltä hyvinvointinsa edistämiseksi. Henkilöllä on oikeus päättää tietojensa käytöstä, muuttamisesta ja poistamisesta omatietovarannosta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_2">
                            <content>
                                <p>Henkilö voi antaa suostumuksen siihen, että palvelunantajalle voidaan luovuttaa omatietovarannossa olevia hyvinvointitietoja sosiaali- ja terveyspalvelujen toteuttamiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_3">
                            <content>
                                <p>Hoitoon tai palveluun vaikuttavien tietojen kirjaamisesta asiakas- tai potilasasiakirjoihin säädetään potilaslaissa, asiakaslaissa ja asiakasasiakirjalaissa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_13__subsec_4">
                            <content>
                                <p>Henkilön omatietovarannossa olevat tiedot on säilytettävä, kunnes henkilö on poistanut ne omatietovarannosta tai enintään 5 vuotta henkilön kuolemasta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_3__sec_14">
                        <num>14 §</num>
                        <heading>Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa</heading>
                        <subsection eId="chp_3__sec_14__subsec_1">
                            <content>
                                <p>Valtakunnallisten tietojärjestelmäpalvelujen ja sinne tallennettujen tietojen on oltava aina käytettävissä. Tietojärjestelmäpalveluilla on oltava tarpeelliset varajärjestelmät toimintahäiriöiden ja poikkeusolojen varalle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_14__subsec_2">
                            <intro eId="chp_3__sec_14__subsec_2__intro">
                                <p>Kansaneläkelaitos vastaa:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>valtakunnallisten tietojärjestelmäpalvelujen edellyttämistä teknisistä määrittelyistä ja teknisistä ohjeista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen asiakastietojen, hyvinvointitietojen ja muiden tietojen turvallisuuden varmistamisesta siten kuin julkisen hallinnon tiedonhallinnasta annetun lain 14 §:ssä säädetään sekä tietojen hävittämisestä säilytysajan päättymisen jälkeen;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>vastuullaan olevien valtakunnallisten  tietojärjestelmäpalvelujen  toteutuksista siten, että asiakas- tai hyvinvointietoja ja muita valtakunnalliseen tietojärjestelmäpalveluihin tallennettuja tietoja luovutetaan vain siten kuin tässä laissa ja sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa säädetään;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>asiakas- ja hyvinvointitiedon käytön ja luovutuksen tallentumisesta lokirekisteriin;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_5">
                                <num>5) </num>
                                <content>
                                    <p>koodistopalvelun tietoteknisestä toteuttamisesta;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_6">
                                <num>6) </num>
                                <content>
                                    <p>valtakunnallisiin tietojärjestelmäpalveluihin liittyvästä tiedottamisesta väestölle;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_2__para_7">
                                <num>7) </num>
                                <content>
                                    <p>valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testaamisesta.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_14__subsec_3">
                            <intro eId="chp_3__sec_14__subsec_3__intro">
                                <p>Kansaneläkelaitoksella on oikeus:</p>
                            </intro>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_1">
                                <num>1) </num>
                                <content>
                                    <p>saada Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta valtakunnallisiin tietojärjestelmäpalveluihin liittyvien lakisääteisten tehtävien hoitamiseksi tarvittavat tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_2">
                                <num>2) </num>
                                <content>
                                    <p>käsitellä asiakas- ja hyvinvointitietoja siltä osin kuin valtakunnallisten tietojärjestelmänpalvelujen ylläpitoon kuuluvat tehtävät välttämättä edellyttävät;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_3">
                                <num>3) </num>
                                <content>
                                    <p>päättää järjestelmän tietotekniseen toimintaan liittyvistä asioista, jollei tästä laista tai sen nojalla annetuista säännöksistä muuta johdu;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_4">
                                <num>4) </num>
                                <content>
                                    <p>luovuttaa Kansaneläkelaitoksen rekisterinpidossa olevia asiakirjoja ja niiden lokitietoja sosiaali- ja terveydenhuollon palvelunantajille asiakastietojen käytön ja luovutuksen seurantaa ja valvontaa varten, jos on ilmeistä, ettei siten vaaranneta turvajärjestelyjen toteutumista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_5">
                                <num>5) </num>
                                <content>
                                    <p>suorittaa palveluidensa ja palveluissa säilytettävien tietojen käyttöön kohdentuvaa valvontaa tietoturvan lisäämiseksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_3__sec_14__subsec_3__para_6">
                                <num>6) </num>
                                <content>
                                    <p>salassapitovelvoitteiden estämättä saada Digi- ja väestötietovirastolta valtakunnallisia tietojärjestelmäpalveluita koskevien tehtävien hoitamiseksi tarvittavat välttämättömät tiedot.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_3__sec_14__subsec_4">
                            <content>
                                <p>Kansaneläkelaitos voi laatia ja luovuttaa valtakunnallisten tietojärjestelmäpalveluiden ohjaamisesta, valvonnasta ja kehittämisestä vastaaville viranomaisille valtakunnallisissa tietojärjestelmäpalveluissa olevista tiedoista ja asiakirjojen kuvailutiedoista ja lokitiedoista yhteenvetoja, joilla on merkitystä valtakunnallisten palvelujen kehittämisessä, seurannassa tai raportoinnissa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_3__sec_14__subsec_5">
                            <content>
                                <p>Valtakunnallisten tietojärjestelmäpalvelujen suojaamisessa noudatetaan sitä, mitä valtion viranomaisten ja kuntien tietoturvallisuutta koskevista velvoitteista erikseen säädetään. Kansaneläkelaitos ei saa antaa valtakunnallisten tietojärjestelmäpalvelujen järjestämiseen liittyvien tässä laissa tarkoitettujen rekisterien eikä niihin liittyvien lokirekistereiden käsittelyä tai säilyttämistä ulkopuolisille.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_4">
                    <num>4 luku</num>
                    <heading>Asiakastietojen käsittely sosiaali- ja terveydenhuollossa</heading>
                    <section eId="chp_4__sec_15">
                        <num>15 §</num>
                        <heading>Käyttöoikeus asiakastietoon</heading>
                        <subsection eId="chp_4__sec_15__subsec_1">
                            <content>
                                <p>Käyttöoikeuksien on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja  muun asiakas- ja potilastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on käyttöoikeus vain työtehtävissään tarvitsemiinsa välttämättömiin asiakastietoihin, joihin hänellä on tiedonsaantioikeus. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu lakiin perustuva oikeus.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_15__subsec_2">
                            <content>
                                <p>Sosiaali- ja terveysministeriön asetuksella säädetään, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_15__subsec_3">
                            <content>
                                <p>Palvelunantajan on määriteltävä sosiaali- ja terveydenhuollon ammattihenkilön tai muun asiakastietoja käsittelevän henkilön oikeus käyttää asiakastietoja. Palvelunantajan on pidettävä rekisteriä asiakastietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_16">
                        <num>16 §</num>
                        <heading>Asiakkaan informointi valtakunnallisista tietojärjestelmäpalveluista</heading>
                        <subsection eId="chp_4__sec_16__subsec_1">
                            <content>
                                <p>Palvelunantajan on annettava asiakkaalle tiedot hänen oikeuksistaan sekä hänen asiakastietoihinsa liittyvistä valtakunnallisista tietojärjestelmäpalveluista ja niiden yleisistä toimintaperiaatteista. Tiedot on annettava asiakkaalle viimeistään hänen ensimmäisen asiointinsa yhteydessä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_16__subsec_2">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos vastaa asiakkaille annettavan informaation tietosisällöstä ja Kansaneläkelaitos vastaa informaatiomateriaalista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_17">
                        <num>17 §</num>
                        <heading>Asiakastietojen käsittelijöiden tunnistaminen</heading>
                        <subsection eId="chp_4__sec_17__subsec_1">
                            <content>
                                <p>Asiakastietojen sähköisessä käsittelyssä asiakas, palvelunantaja, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet on tunnistettava luotettavasti. Asiakastietoja käsittelevät henkilöt, palvelunantajat, tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava todentamalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_17__subsec_2">
                            <content>
                                <p>Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin tunnistamisen ja todentamisen teknisistä keinoista. Ennen asetuksen antamista sosiaali- ja terveysministeriön tulee kuulla Digi- ja väestötietovirastoa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_18">
                        <num>18 §</num>
                        <heading>Luovutuslupa, suostumus ja kielto</heading>
                        <subsection eId="chp_4__sec_18__subsec_1">
                            <content>
                                <p>Asiakas voi antaa 20 ja 21 §:ssä tarkoitetut luovutusluvat ja suostumukset valtakunnallisten tietojärjestelmäpalvelujen välityksellä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_2">
                            <content>
                                <p>Jäljempänä 20 §:n 1 momentissa ja 21 §:n 1 momentissa tarkoitettujen luovutuslupien on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja niiden on oltava vapaaehtoisesti annettuja. Luovutuslupa on voimassa toistaiseksi ja sen voi peruuttaa. Jäljempänä 20 §:n 2 momentissa ja 21 §:n 2 momentissa tarkoitetusta suostumuksesta säädetään tietosuoja-asetuksessa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_3">
                            <content>
                                <p>Jos asiakkaalla ei ole edellytyksiä arvioida luovutusluvan tai suostumuksen merkitystä, asiakastietoja saa luovuttaa hänen laillisen edustajansa antaman luovutusluvan tai suostumuksen perusteella. Asiakkaan laillisella edustajalla on oikeus salassapitovelvollisuuden estämättä saada luovutusluvan tai suostumuksen antamista ja toteuttamista varten välttämättömät asiakasta koskevat tiedot.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_4">
                            <content>
                                <p>Asiakkaalla on oikeus kieltää sosiaalihuollon rekisterinpitäjää luovuttamasta itseään koskevia sosiaalihuollon asiakastietoja toiselle sosiaalihuollon rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Potilaalla on oikeus kieltää terveydenhuollon rekisterinpitäjää luovuttamasta häntä koskevia potilastietoja toiseen terveydenhuollon rekisteriin tai toiselle terveydenhuollon rekisterinpitäjälle valtakunnallisten tietojärjestelmäpalvelujen välityksellä. Huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää alaikäisen puolesta potilastietojen luovutusta potilaslain 13 §:n 3 momentin 3 kohdan mukaisissa tilanteissa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_5">
                            <content>
                                <p>Asiakas tai potilas voi kohdistaa kiellon kaikkiin sosiaalihuollon asiakastietoihinsa ja potilastietoihinsa. Kiellon voi kohdentaa julkiseen sosiaali- ja terveydenhuollon rekisterinpitäjään ja sen rekisteriin sekä yksityisessä sosiaalihuollossa rekisterinpitäjään ja yksityisessä terveydenhuollossa työterveyshuollon rekisteriin. Sosiaalihuollossa kiellon voi kohdentaa sosiaalihuollon palvelutehtävään tai yksittäiseen asiakasasiakirjaan. Terveydenhuollossa kiellon voi kohdentaa palvelutapahtumaan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_6">
                            <content>
                                <p>Kiellolla ei voi estää ammattihenkilön tai viranomaisen lakiin perustuvaa ja asiakkaan tai potilaan tahdonilmaisusta riippumatonta tiedonsaantioikeutta tietoon.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_18__subsec_7">
                            <content>
                                <p>Kiellon on perustuttava 16 §:n mukaisessa menettelyssä annettavaan riittävään tietoon ja sen on oltava vapaaehtoisesti annettu. Kielto on voimassa toistaiseksi ja sen saa peruuttaa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_19">
                        <num>19 §</num>
                        <heading>Luovutusluvan, suostumuksen tai kiellon antaminen ja peruuttaminen</heading>
                        <subsection eId="chp_4__sec_19__subsec_1">
                            <content>
                                <p>Asiakastietojen luovuttamista koskeva luovutuslupa, suostumus ja kielto annetaan valtakunnalliseen tietojärjestelmäpalveluun liittyneelle palvelunantajalle tai kansalaisen käyttöliittymän välityksellä. Palvelunantajan on tallennettava tieto annetusta luovutusluvasta, suostumuksesta ja kiellosta tahdonilmaisupalveluun viivytyksettä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_2">
                            <content>
                                <p>Luovutusluvan, suostumuksen ja kiellon vastaanottajan on annettava asiakkaan pyynnöstä hänelle tuloste luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta tai kyseiset asiakirjat tulee tarvittaessa antaa hänelle muulla saavutettavalla tavalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_3">
                            <content>
                                <p>Kansaneläkelaitos määrittelee luovutuslupa-asiakirjan, suostumusasiakirjan ja kieltoasiakirjan tietosisällön. Luovutuslupa-asiakirjasta, suostumusasiakirjasta ja kieltoasiakirjasta on käytävä ilmi luovutusluvan, suostumuksen ja kiellon merkitys asiakastietojen käsittelyssä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_19__subsec_4">
                            <content>
                                <p>Luovutusluvan, suostumuksen ja kiellon peruuttamiseen sovelletaan, mitä 1–3 momentissa säädetään niiden antamisesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_20">
                        <num>20 §</num>
                        <heading>Potilastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla</heading>
                        <subsection eId="chp_4__sec_20__subsec_1">
                            <content>
                                <p>Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle terveydenhuollon palvelunantajalle tai toiseen saman palvelunantajan potilasrekisteriin potilaan terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Potilastietoja ei kuitenkaan saa luovuttaa ilman potilaan antamaa luovutuslupaa tai potilaslain 13 §:n 3 momentin 3 kohdassa taikka muussa luovutuksen oikeuttavassa laissa säädettyä perustetta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_20__subsec_2">
                            <content>
                                <p>Terveydenhuollon potilastietoja saa luovuttaa salassapitosäännösten estämättä sosiaalihuollon palvelunantajalle sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi potilaan antaman suostumuksen perusteella. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_20__subsec_3">
                            <content>
                                <p>Potilasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun potilasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo potilaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei potilas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin potilastietoihin säädetään 15 §:ssä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_20__subsec_4">
                            <content>
                                <p>Potilastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen potilaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_21">
                        <num>21 §</num>
                        <heading>Sosiaalihuollon asiakastietojen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla </heading>
                        <subsection eId="chp_4__sec_21__subsec_1">
                            <content>
                                <p>Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla toiselle sosiaalihuollon palvelunantajalle asiakkaan sosiaalihuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi. Asiakastietoja ei kuitenkaan saa luovuttaa ilman asiakkaan antamaa luovutuslupaa tai muussa luovutuksen oikeuttavassa laissa säädettyä perustetta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_21__subsec_2">
                            <content>
                                <p>Sosiaalihuollon asiakastietoja saa luovuttaa salassapitosäännösten estämättä terveydenhuollon palvelunantajalle terveydenhuollon järjestämiseksi, tuottamiseksi ja toteuttamiseksi asiakkaan antaman suostumuksen perusteella. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_21__subsec_3">
                            <content>
                                <p>Luovutuspyyntöön perustuva asiakasta koskevan tiedon luovutus palvelunantajille toteutetaan valtakunnallisten tietojärjestelmäpalvelujen avulla sen jälkeen, kun asiakasta on informoitu 16 §:ssä tarkoitetulla tavalla ja asiakas- tai hoitosuhteen olemassaolo asiakkaan ja luovutuspyynnön esittäjän välillä on tietoteknisesti varmistettu, ellei asiakas ole kieltänyt tietojensa luovuttamista 18 §:n nojalla. Käyttöoikeudesta välttämättömiin asiakastietoihin säädetään 15 §:ssä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_21__subsec_4">
                            <content>
                                <p>Sosiaalihuollon asiakastiedot voidaan luovuttaa asiakkaalle hyvinvointisovelluksen tai kansalaisen käyttöliittymän kautta. Saadakseen tiedot hyvinvointisovellukseen asiakkaan tulee ottaa hyvinvointisovellus käyttöön ja hyväksyä tietojen luovutus.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_22">
                        <num>22 §</num>
                        <heading>Asiakastietojen välittäminen valtakunnallisten tietojärjestelmäpalveluiden avulla sosiaali- ja terveydenhuollon ulkopuolelle</heading>
                        <subsection eId="chp_4__sec_22__subsec_1">
                            <content>
                                <p>Valtakunnallisten tietojärjestelmäpalvelujen avulla saadaan välittää todistuksia, lausuntoja ja muita asiakastietoja sisältäviä asiakirjoja sosiaali- ja terveydenhuollon ulkopuoliselle toimijalle. Asiakirjoja saadaan salassapitosäännösten estämättä välittää asiakkaan pyynnön tai vastaanottajan lakiin perustuvan pyynnön taikka tiedon luovuttajan lakiin perustuvan tiedonantovelvollisuuden perusteella. Asiakasasiakirjojen välittäminen toteutetaan valtakunnalliseen tietojärjestelmäpalveluun kuuluvan kysely- ja välityspalvelun avulla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_22__subsec_2">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos antaa määräykset siitä, minkä tyyppisiä asiakirjoja saa välittää kysely- ja välityspalvelun avulla.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_23">
                        <num>23 §</num>
                        <heading>Sähköinen asiointi ja tietojen käsittely toisen puolesta</heading>
                        <subsection eId="chp_4__sec_23__subsec_1">
                            <content>
                                <p>Henkilöllä on oikeus käsitellä toisen henkilön puolesta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja kyseistä henkilöä koskevia tietoja valtuutuksen tai holhoustoimesta annetun lain (442/1999) 29 §:n 2 momentin nojalla. Huoltajalla on oikeus käsitellä huollettavasta valtakunnalliseen tietojärjestelmäpalveluun tallennettuja tietoja, ellei asiakaslain 11 §:n 3 momentista, potilaslain 9 §:n 2 momentista, tietosuoja-asetuksen 8 artiklan 1 kohdasta, tietosuojalain 5 §:stä tai lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n 4 momentista muuta johdu.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_24">
                        <num>24 §</num>
                        <heading>Kansalaisen käyttöliittymä ja sen välityksellä näytettävät asiakastiedot ja tahdonilmaisut</heading>
                        <subsection eId="chp_4__sec_24__subsec_1">
                            <content>
                                <p>Henkilö voi antaa tahdonilmauksia sekä hoitaa asiakkuuteensa ja asiakas- ja hyvinvointitietojensa hallinnointiin liittyviä asioita kansalaisen käyttöliittymällä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_24__subsec_2">
                            <content>
                                <p>Henkilölle saadaan näyttää tai toimittaa kansalaisen käyttöliittymän välityksellä valtakunnallisiin tietojärjestelmäpalveluihin hänestä tallennetut tiedot lukuun ottamatta sellaista tietoa, jota julkisuuslain 11 §:n 2 momentin tai muun lainsäädännön mukaan asiakkaalla ei ole oikeutta saada. Lisäksi henkilölle saadaan näyttää käyttöliittymän välityksellä hänen tietojensa käsittelyä koskevat luovutus- ja käyttölokitiedot lukuun ottamatta luovutuksensaajan henkilötietoja.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_24__subsec_3">
                            <content>
                                <p>Sen estämättä, mitä 2 momentissa säädetään, henkilölle saadaan näyttää hänen puolestaan asioineen henkilön nimi.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_25">
                        <num>25 §</num>
                        <heading>Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta</heading>
                        <subsection eId="chp_4__sec_25__subsec_1">
                            <content>
                                <p>Palvelunantajan on kerättävä lokitiedot asiakasrekisterikohtaisesti kaikesta asiakastietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_25__subsec_2">
                            <content>
                                <p>Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytön valvontaa ja seurantaa varten tarvittavista tiedoista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_25__subsec_3">
                            <content>
                                <p>Luovutuslokirekisteriin on tallennettava tieto luovutetuista asiakastiedoista, siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, tietojen luovutustarkoituksesta, luovutuksensaajasta, luovutusajankohdasta sekä muista luovutusten valvontaa ja seurantaa varten tarvittavista tiedoista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_25__subsec_4">
                            <content>
                                <p>Kansaneläkelaitoksen on kerättävä seurantaa ja valvontaa varten 6 §:ssä tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin tallennettujen ja niiden kautta luovutettujen tietojen luovutuslokitiedot, joista ilmenee luovutetut tietosisällöt, luovutuksen saaja ja luovutusajankohta, muut tarvittavat tiedot sekä ammattilaisen käyttöliittymällä käsiteltyjen tietojen käyttölokitiedot. Edellä 6 §:ssä tarkoitettuun lokirekisterien säilytyspalveluun tallennetaan palvelunantajan asiakasasiakirjojen luovuttamista koskevat lokitiedot. Lokirekisterin säilytyspalveluun voidaan tallentaa käyttöä koskevat lokitiedot.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_25__subsec_5">
                            <content>
                                <p>Lokitietojen säilytysajasta voidaan säätää tarkemmin sosiaali- ja terveysministeriön asetuksella. Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_26">
                        <num>26 §</num>
                        <heading>Asiakkaan tiedonsaantioikeus tietojensa käsittelystä</heading>
                        <subsection eId="chp_4__sec_26__subsec_1">
                            <content>
                                <p>Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tiedonhallintapalvelun, tahdonilmaisupalvelun, reseptikeskuksen ja omatietovarannon lokitiedot, käytettyjen tai luovutettujen asiakas- ja hyvinvointitietojen lokitiedot sekä tiedot käyttö- ja luovutusajankohdasta siltä osin kuin tiedot kuuluvat Kansaneläkelaitoksen rekisterinpitoon.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_26__subsec_2">
                            <content>
                                <p>Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_26__subsec_3">
                            <content>
                                <p>Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja tai Kansaneläkelaitos voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 24 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_26__subsec_4">
                            <content>
                                <p>Jos palvelunantaja tai Kansaneläkelaitos katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_26__subsec_5">
                            <content>
                                <p>Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan tai Kansaneläkelaitoksen on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_5">
                    <num>5 luku</num>
                    <heading>Tietoturvallisuuden ja tietosuojan omavalvonta</heading>
                    <section eId="chp_5__sec_27">
                        <num>27 §</num>
                        <heading>Tietoturvasuunnitelma</heading>
                        <subsection eId="chp_5__sec_27__subsec_1">
                            <intro eId="chp_5__sec_27__subsec_1__intro">
                                <p>Palvelunantajan, välittäjän ja Kansaneläkelaitoksen on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma. Tietoturvasuunnitelmassa on oltava selvitykset, miten seuraavat asiakas- ja potilastietojen ja järjestelmien käsittelyyn liittyvät vaatimukset varmistetaan:</p>
                            </intro>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>henkilöillä, jotka käyttävät tietojärjestelmiä, on niiden käytön vaatima koulutus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>tietojärjestelmien yhteydessä on saatavilla niiden asianmukaisen käytön kannalta tarpeelliset käyttöohjeet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>tietojärjestelmiä käytetään tietojärjestelmäpalvelun tuottajan antaman ohjeistuksen mukaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_4">
                                <num>4) </num>
                                <content>
                                    <p>tietojärjestelmiä ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeistuksen mukaisesti;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_5">
                                <num>5) </num>
                                <content>
                                    <p>tietojärjestelmän käyttöympäristö soveltuu tietojärjestelmien asianmukaiseen sekä tietoturvan ja tietosuojan varmistavaan käyttöön;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_6">
                                <num>6) </num>
                                <content>
                                    <p>tietojärjestelmiin liitetyt muut tietojärjestelmät tai muut järjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_7">
                                <num>7) </num>
                                <content>
                                    <p>tietojärjestelmiä asentaa, ylläpitää ja päivittää vain henkilö, jolla on siihen tarvittava ammattitaito ja asiantuntemus;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_8">
                                <num>8) </num>
                                <content>
                                    <p>29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset 34 §:ssä säädetyt olennaiset vaatimukset; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_5__sec_27__subsec_1__para_9">
                                <num>9) </num>
                                <content>
                                    <p>palvelunantajalla, välittäjällä ja Kansaneläkelaitoksella on suunnitelma siitä, miten omavalvonta järjestetään ja toteutetaan sen toiminnassa.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_5__sec_27__subsec_2">
                            <content>
                                <p>Ennen liittymistään valtakunnallisten tietojärjestelmäpalvelujen käyttäjäksi on palvelunantajan tietoturvasuunnitelmassa selvitettävä, miten tietosuoja ja valtakunnallisten palvelujen tietoturvallisen käytön edellyttämät vaatimukset on varmistettu.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_27__subsec_3">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetuista tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista sekä tietoturvallisuuden todentamisesta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_5__sec_28">
                        <num>28 §</num>
                        <heading>Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu</heading>
                        <subsection eId="chp_5__sec_28__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveydenhuollon palvelunantajan vastaavan johtajan on huolehdittava, että 27 §:ssä tarkoitettu tietoturvasuunnitelma laaditaan ja sitä noudatetaan. Vastaavan johtajan on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_28__subsec_2">
                            <content>
                                <p>Tietosuojan ja tietoturvan seurannan ja valvonnan toteuttamiseksi palvelunantajalla on oikeus saada Kansaneläkelaitokselta omien asiakasrekisteriensä lokitiedot, tiedonhallintapalvelussa ja tahdonilmaisupalvelussa olevien tietojen käsittelyyn liittyvät lokitiedot ja omatietovarannon lokitiedot siltä osin kuin asianomaisen palvelujenantajan henkilökunta on katsellut ja käsitellyt asiakkaan tiedonhallintapalvelussa, tahdonilmaisupalvelussa ja omatietovarannossa olevia tietoja, jos se on tarpeen asiakkaan asiakastietojen käsittelyn lainmukaisuuden selvittämiseksi.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_28__subsec_3">
                            <content>
                                <p>Kansaneläkelaitoksen ja välittäjän on seurattava tietoturvasuunnitelmansa toteutumista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_5__sec_28__subsec_4">
                            <content>
                                <p>Tietosuojavastaavan nimittämisestä sekä tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksen 37–39 artiklassa.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_6">
                    <num>6 luku</num>
                    <heading>Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja käyttöönotto</heading>
                    <section eId="chp_6__sec_29">
                        <num>29 §</num>
                        <heading>Tietojärjestelmien ja hyvinvointisovellusten käyttötarkoitus ja luokittelu</heading>
                        <subsection eId="chp_6__sec_29__subsec_1">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja siitä, kuinka se täyttää sitä koskevat olennaiset vaatimukset.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_29__subsec_2">
                            <intro eId="chp_6__sec_29__subsec_2__intro">
                                <p>Sosiaali- ja terveydenhuollon tietojärjestelmät sekä hyvinvointisovellukset on jaoteltava käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. Luokkaan A kuuluvat:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_29__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>Kansaneläkelaitoksen ylläpitämät valtakunnalliset tietojärjestelmäpalvelut;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_29__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>valtakunnallisiin tietojärjestelmäpalveluihin liitettäviksi tarkoitetut asiakastietoja käsittelevät tietojärjestelmät ja hyvinvointisovellukset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_29__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>muut käyttötarkoituksensa perusteella sertifioitavat tietojärjestelmät, hyvinvointisovellukset ja välittäjien palvelut.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_29__subsec_3">
                            <content>
                                <p>Muut kuin 2 momentissa tarkoitetut tietojärjestelmät kuuluvat luokkaan B.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_29__subsec_4">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä tietojärjestelmien luokkien määräytymisestä. Terveyden ja hyvinvoinnin laitos päättää epäselvissä tilanteissa, kuuluuko tietojärjestelmä luokkaan A tai B.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_30">
                        <num>30 §</num>
                        <heading>Tietojärjestelmien ja hyvinvointisovellusten rekisteröinti</heading>
                        <subsection eId="chp_6__sec_30__subsec_1">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmästä ja hyvinvointisovelluksen valmistajan on ilmoitettava hyvinvointisovelluksesta Sosiaali- ja terveysalan lupa ja valvontavirastolle ennen tietojärjestelmän tai hyvinvointisovelluksen ottamista tuotantokäyttöön. Ilmoituksessa on oltava tieto tietojärjestelmän tai hyvinvointisovelluksen valmistajasta ja käyttötarkoituksesta sekä 35 ja 36 §:n mukaiset selvitykset ja 37 §:ssä tarkoitettu todistus käyttötarkoituksen mukaisten olennaisten vaatimusten täyttämisestä. Jos tietojärjestelmäpalvelun tuottaja on eri taho kuin valmistaja, ilmoituksessa on oltava tieto myös tietojärjestelmäpalvelun tuottajasta. Tietojärjestelmäpalvelun tuottajan on ilmoitettava tietojärjestelmän tuotantokäyttöön tarkoitetun version tuen päättymisestä tai tietojärjestelmän siirtymisestä toisen tietojärjestelmäpalvelun tuottajan vastuulle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_30__subsec_2">
                            <intro eId="chp_6__sec_30__subsec_2__intro">
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista sosiaali- ja terveydenhuollon tietojärjestelmistä ja hyvinvointisovelluksista. Rekisterissä on oltava tieto:</p>
                            </intro>
                            <paragraph eId="chp_6__sec_30__subsec_2__para_1">
                                <num>1) </num>
                                <content>
                                    <p>tuotantokäyttöön tarkoitetuista tietojärjestelmistä ja hyvinvointisovelluksista, niiden käyttötarkoituksista sekä niiden täyttämistä olennaisista vaatimuksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_30__subsec_2__para_2">
                                <num>2) </num>
                                <content>
                                    <p>luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten yhteentoimivuuden testauksen tuloksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_30__subsec_2__para_3">
                                <num>3) </num>
                                <content>
                                    <p>luokkaan A kuuluvien tuotantokäyttöön hyväksyttyjen tietojärjestelmien ja hyvinvointisovellusten tietoturvallisuuden arvioinnista saadun tietoturvallisuuden arviointia koskevan todistuksen voimassaolosta; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_6__sec_30__subsec_2__para_4">
                                <num>4) </num>
                                <content>
                                    <p>tuotantokäytössä olevan luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen merkittävästä poikkeamasta poikkeaman keston ajan.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_6__sec_30__subsec_3">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa ja valvontavirasto voi antaa määräyksiä ilmoituksen sisällöstä, voimassaolosta, ilmoituksen uudistamisesta ja rekisteriin merkittävistä tiedoista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_31">
                        <num>31 §</num>
                        <heading>Tietojärjestelmän ja hyvinvointisovelluksen ottaminen tuotantokäyttöön</heading>
                        <subsection eId="chp_6__sec_31__subsec_1">
                            <content>
                                <p>Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön ja liittää valtakunnallisiin tietojärjestelmäpalveluihin sen jälkeen, kun tietojärjestelmä tai hyvinvointisovellus on sertifioitu 35 §:n mukaisesti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_31__subsec_2">
                            <content>
                                <p>Tietojärjestelmää tai hyvinvointisovellusta ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja 30 §:n 2 momentissa tarkoitetussa rekisterissä tai luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen tietoturvallisuuden arviointia koskeva todistus on vanhentunut.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_6__sec_32">
                        <num>32 §</num>
                        <heading>Tietojärjestelmän ja hyvinvointisovelluksen käyttöönoton jälkeinen seuranta</heading>
                        <subsection eId="chp_6__sec_32__subsec_1">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietojärjestelmästä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksesta sen tuotantokäytön aikana saatavia kokemuksia. Tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista on ilmoitettava kaikille järjestelmää käyttäville palvelunantajille. Hyvinvointisovelluksen merkittävistä poikkeamista on ilmoitettava kaikille hyvinvointisovelluksen käyttäjille. Luokkaan A kuuluvien tietojärjestelmien ja hyvinvointisovellusten merkittävistä poikkeamista on tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan ilmoitettava Kansaneläkelaitokselle ja Sosiaali- ja terveysalan lupa- ja valvontavirastolle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_32__subsec_2">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan on seurattava tietojärjestelmien ja hyvinvointisovelluksen valmistajan hyvinvointisovellusten olennaisten vaatimusten muutoksia ja tehtävä muutosten edellyttämät korjaukset. Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle ja Kansaneläkelaitokselle. Tietoturvallisuuden arviointia koskeva todistus tai yhteentoimivuuden testaus on uudistettava, jos tietojärjestelmään tai hyvinvointisovellukseen tehdään merkittäviä muutoksia, tai olennaisia vaatimuksia on muutettu tavalla, joka edellyttää uutta sertifiointia.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_32__subsec_3">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on säilytettävä yhteentoimivuutta ja tietoturvaa koskevat sekä muut valvonnan edellyttämät tiedot vähintään viisi vuotta tietojärjestelmänsä tai hyvinvointisovelluksensa tuotantokäytön päättymisestä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_6__sec_32__subsec_4">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä siitä, mitkä ovat 1 momentissa tarkoitettuja merkittäviä poikkeamia ja miten niitä koskevat ilmoitukset tehdään.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_7">
                    <num>7 luku</num>
                    <heading>Tietojärjestelmien ja hyvinvointisovellusten olennaiset vaatimukset</heading>
                    <section eId="chp_7__sec_33">
                        <num>33 §</num>
                        <heading>Tietojärjestelmäpalvelun tuottajan ja valmistajan sekä hyvinvointisovelluksen valmistajan yleiset velvollisuudet</heading>
                        <subsection eId="chp_7__sec_33__subsec_1">
                            <content>
                                <p>Tietojärjestelmän valmistaja on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta riippumatta siitä, suorittaako se nämä toimet itse vai tekeekö joku muu ne sen lukuun. Hyvinvointisovelluksen valmistaja on vastuussa sovelluksen suunnittelusta ja valmistuksesta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_33__subsec_2">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottajan on laadittava kuvaus tietojärjestelmänsä ja hyvinvointisovelluksen valmistajan hyvinvointisovelluksensa käyttötarkoituksesta ja annettava sen yhteydessä järjestelmän käyttäjälle yhteentoimivuuden, tietoturvallisuuden ja tietosuojan sekä toiminnallisuuden kannalta tarpeelliset tiedot ja ohjeet järjestelmän käyttöönotosta, tuotantokäytöstä ja ylläpidosta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_33__subsec_3">
                            <content>
                                <p>Tietojärjestelmän mukana annettavien tietojen ja ohjeiden on oltava suomen-, ruotsin- tai englanninkielisiä. Tietojärjestelmää käyttävälle sosiaali- tai terveydenhuollon henkilöstölle tarkoitettujen tietojen ja ohjeiden on oltava suomen- tai ruotsinkielisiä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_33__subsec_4">
                            <content>
                                <p>Tietojärjestelmän valmistajalla on oltava laatujärjestelmä, jota sovelletaan tietojärjestelmän suunnitteluun ja valmistukseen tietojärjestelmän käyttötarkoituksen edellyttämällä tavalla.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_34">
                        <num>34 §</num>
                        <heading>Tietojärjestelmälle ja hyvinvointisovellukselle asetettavat olennaiset vaatimukset</heading>
                        <subsection eId="chp_7__sec_34__subsec_1">
                            <content>
                                <p>Asiakastietojen käsittelyssä käytettävän tietojärjestelmän ja hyvinvointisovelluksen tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Hyvinvointisovelluksen tulee täyttää saavutettavuusvaatimukset. Vaatimusten on täytyttävä käytettäessä tietojärjestelmää sekä itsenäisesti että yhdessä muiden siihen liitettäviksi tarkoitettujen tietojärjestelmien kanssa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_34__subsec_2">
                            <content>
                                <p>Palvelunantajan  käyttämien  tietojärjestelmien  on  vastattava  käyttötarkoitukseltaan  palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_34__subsec_3">
                            <content>
                                <p>Tietojärjestelmä täyttää olennaiset vaatimukset silloin, kun se on suunniteltu, valmistettu ja toimii tietoturvaa ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määrittelyjen mukaisesti. Toiminnallisuutta koskevat olennaiset vaatimukset täyttyvät, jos tietojärjestelmällä pystytään suorittamaan käyttötarkoituksen mukaisessa asiakas- ja potilastietojen käsittelyssä lakien ja niiden nojalla annettujen säännösten edellyttämät toiminnot.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_34__subsec_4">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä ja siitä, mitkä olennaiset vaatimukset on täytettävä eri palveluissa käytettävissä tietojärjestelmissä ja hyvinvointisovelluksissa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_35">
                        <num>35 §</num>
                        <heading>Vaatimustenmukaisuuden osoittaminen</heading>
                        <subsection eId="chp_7__sec_35__subsec_1">
                            <content>
                                <p>Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen vaatimustenmukaisuus on osoitettava sertifioinnilla eli tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan antamalla selvityksellä siitä, että tietojärjestelmä tai hyvinvointisovellus täyttää käyttötarkoituksensa mukaiset toiminnallisuutta koskevat vaatimukset, hyväksytyllä yhteentoimivuuden testauksella ja 37 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla tietoturvallisuuden arviointia koskevalla todistuksella. Tietojärjestelmäpalvelun tuottaja tai hyvinvointisovelluksen valmistaja vastaa siitä, että tietojärjestelmä tai hyvinvointisovellus on sertifioitu.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_35__subsec_2">
                            <content>
                                <p>Luokkaan B kuuluvan tietojärjestelmän vaatimustenmukaisuus on osoitettava tietojärjestelmäpalvelun tuottajan antamalla kirjallisella selvityksellä siitä, että tietojärjestelmä asianmukaisesti asennettuna, ylläpidettynä ja käytettynä täyttää käyttötarkoituksensa mukaiset olennaiset vaatimukset. Tietojärjestelmäpalvelun tuottaja vastaa tietojärjestelmän olennaisten toiminnallisten vaatimusten arvioinnista. Tietojärjestelmäpalvelun tuottajan tulee vakuuttaa osana vaatimuksista annettavaa selvitystä, että järjestelmässä on toteutettu ne toiminnot, jotka selvityksen mukaisesti kuuluvat järjestelmän käyttötarkoitukseen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_35__subsec_3">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos voi antaa määräyksiä vaatimustenmukaisuuden osoittamisessa noudatettavista menettelyistä ja annettavan selvityksen sisällöstä. Lisäksi Kansaneläkelaitos voi antaa määräyksiä tässä laissa tai sähköisestä lääkemääräyksestä annetussa laissa tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin liitettävien tietojärjestelmien yhteentoimivuuden todentamisessa noudatettavista menettelyistä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_36">
                        <num>36 §</num>
                        <heading>Yhteentoimivuuden testaaminen</heading>
                        <subsection eId="chp_7__sec_36__subsec_1">
                            <content>
                                <p>Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen on oltava yhteentoimiva valtakunnallisten tietojärjestelmäpalvelujen ja siihen liitettyjen muiden tietojärjestelmien kanssa. Yhteentoimivuus on osoitettava Kansaneläkelaitoksen järjestämässä yhteentoimivuuden testauksessa. Ennen yhteentoimivuuden testausta tietojärjestelmäpalvelun tuottajan ja hyvinvointisovelluksen valmistajan on annettava Kansaneläkelaitokselle selvitys siitä, miten tietojärjestelmän tai hyvinvointisovelluksen toiminnallisuutta koskevat vaatimukset on toteutettu ja testattu. Yhteentoimivuuden testauksen ajankohdasta ja toteuttamisesta on sovittava Kansaneläkelaitoksen kanssa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_36__subsec_2">
                            <content>
                                <p>Tuotantokäyttöön otetun luokkaan A kuuluvan tietojärjestelmän on oltava mukana valtakunnallisiin tietojärjestelmäpalveluihin liitettävien muiden tietojärjestelmien yhteistestauksissa tietojärjestelmien keskinäisen yhteentoimivuuden varmistamiseksi. Kansaneläkelaitos päättää niistä tietojärjestelmistä, joiden tulee osallistua yhteentoimivuuden testaukseen. Yhteentoimivuuden testaukseen osallistuvien tietojärjestelmien tietojärjestelmäpalvelun tuottajat vastaavat itse testauksen niille aiheuttamista kustannuksista. Kansaneläkelaitos antaa yhteentoimivuuden testaukseen perustuvan puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttymisestä, kun ne on todennettu.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_36__subsec_3">
                            <content>
                                <p>Edellä 1 momentissa säädetystä poiketen Kansaneläkelaitoksen ylläpitämille valtakunnallisille tietojärjestelmäpalveluille sekä niille A-luokan tietojärjestelmille, joita ei liitetä valtakunnallisiin tietojärjestelmäpalveluihin, ei suoriteta erillistä yhteentoimivuuden testausta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_37">
                        <num>37 §</num>
                        <heading>Tietoturvallisuuden arviointi</heading>
                        <subsection eId="chp_7__sec_37__subsec_1">
                            <content>
                                <p>Luokkaan A kuuluvan tietojärjestelmän ja hyvinvointisovelluksen olennaisten tietoturvallisuusvaatimustenmukaisuuden arviointi suoritetaan tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti. Tämän lain mukaiseen tietoturvallisuuden arviointiin ei kuitenkaan sisälly tietojärjestelmäpalvelun tuottajan, valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Tietoturvallisuuden arviointi tehdään tietojärjestelmäpalvelun tuottajan tai hyvinvointisovelluksen valmistajan hakemuksesta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_37__subsec_2">
                            <content>
                                <p>Tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan tietoturvallisuuden arvioinnista tietojärjestelmäpalvelun tuottajalle ja hyvinvointisovelluksen valmistajalle todistus sekä siihen liittyvä tarkastusraportti. Arviointi on suoritettava tietojärjestelmän ja hyvinvointisovelluksen käyttötarkoitusta koskevien olennaisten vaatimusten tai järjestelmään tehtyjen muutosten laajuuden mukaisesti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_37__subsec_3">
                            <content>
                                <p>Tietoturvallisuuden arviointilaitos voi vaatia tietojärjestelmäpalvelun tuottajalta ja hyvinvointisovelluksen valmistajalta kaikki arvioinnin edellyttämät tiedot todistuksen laatimiseksi. Todistuksen antamiseen sovelletaan muutoin, mitä tietoturvallisuuden arviointilaitoksista annetun lain 9 §:ssä säädetään. Todistus on voimassa enintään kolme vuotta. Todistuksen voimassaoloa voidaan jatkaa enintään kolmeksi vuodeksi kerrallaan.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_7__sec_38">
                        <num>38 §</num>
                        <heading>Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus</heading>
                        <subsection eId="chp_7__sec_38__subsec_1">
                            <content>
                                <p>Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Kansaneläkelaitokselle ja Terveyden ja hyvinvoinnin laitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä ja evätyistä todistuksista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_7__sec_38__subsec_2">
                            <content>
                                <p>Tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä ja hyvinvointisovelluksista, joille arviointilaitos on myöntänyt tietoturvallisuuden arviointia koskevan todistuksen.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_8">
                    <num>8 luku</num>
                    <heading>Ohjaus ja valvonta</heading>
                    <section eId="chp_8__sec_39">
                        <num>39 §</num>
                        <heading>Ohjaus, valvonta ja seuranta</heading>
                        <subsection eId="chp_8__sec_39__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan yleinen suunnittelu, ohjaus ja valvonta sekä päätöksenteko merkittävien tiedonhallintahankkeiden kokonaisrahoituksesta kuuluvat sosiaali- ja terveysministeriölle. Digi- ja väestötietoviraston hoitaman varmennepalvelun yleinen ohjaus ja valvonta kuuluvat kuitenkin sosiaali- ja terveysministeriölle ja valtiovarainministeriölle yhteisesti.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_39__subsec_2">
                            <content>
                                <p>Terveyden ja hyvinvoinnin laitos vastaa sosiaali- ja terveydenhuollon asiakastiedon sähköisen käsittelyn ja siihen liittyvän tiedonhallinnan sekä 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen ja yhteisten hallinnonalakohtaisten tietovarantojen käytön ja toteuttamisen suunnittelusta, ohjauksesta ja seurannasta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_39__subsec_3">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä aluehallintovirasto toimialueellaan ohjaavat ja valvovat niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_40">
                        <num>40 §</num>
                        <heading>Tietojärjestelmien valvonta ja tarkastukset</heading>
                        <subsection eId="chp_8__sec_40__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää tietojärjestelmien vaatimustenmukaisuutta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_40__subsec_2">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia. Tarkastus voidaan tehdä ennalta ilmoittamatta. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Lisäksi tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:ssä säädetään. Jos tarkastettava taho vastustaa tarkastuksen suorittamista tai muutoin yrittää vaikeuttaa sitä, on valvontaviranomaisella oikeus saada poliisin virka-apua siten kuin poliisilain (872/2011) 9 luvun 1 §:n 1 momentissa säädetään.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_40__subsec_3">
                            <content>
                                <p>Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_40__subsec_4">
                            <content>
                                <p>Tarkastuksesta on laadittava pöytäkirja, josta on toimitettava jäljennös 30 päivän kuluessa asianosaiselle. Tarkastus katsotaan päättyneeksi, kun tarkastuspöytäkirjan jäljennös on annettu tiedoksi asianosaiselle. Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuspöytäkirja kymmenen vuoden ajan tarkastuksen päättymisestä lukien.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_41">
                        <num>41 §</num>
                        <heading>Ilmoittaminen tietojärjestelmän olennaisten vaatimusten poikkeamista</heading>
                        <subsection eId="chp_8__sec_41__subsec_1">
                            <content>
                                <p>Jos palvelunantaja havaitsee, että tietojärjestelmän olennaisten vaatimusten täyttymisessä on merkittäviä poikkeamia, sen on ilmoitettava asiasta tietojärjestelmäpalvelun tuottajalle. Jos poikkeama voi aiheuttaa merkittävän riskin asiakasturvallisuudelle tai tietoturvalle, on palvelunantajan, apteekin, tietojärjestelmäpalvelun tuottajan tai valmistajan, Kansaneläkelaitoksen tai Terveyden ja hyvinvoinnin laitoksen ilmoitettava siitä Sosiaali- ja terveysalan lupa- ja valvontavirastolle. Myös muu taho voi ilmoittaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle havaitsemistaan riskeistä. Jos palvelunantaja tai muu taho havaitsee tietojärjestelmän olennaisten vaatimusten täyttymisessä tietosuojapoikkeamia, sen on ilmoitettava asiasta tietosuojavaltuutetulle.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_42">
                        <num>42 §</num>
                        <heading>Tiedonsaantioikeus</heading>
                        <subsection eId="chp_8__sec_42__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä sosiaali- ja terveydenhuollon tietojärjestelmien valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset ja päätökset sosiaali- ja terveydenhuollon tietojärjestelmistä koskevat.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_43">
                        <num>43 §</num>
                        <heading>Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön</heading>
                        <subsection eId="chp_8__sec_43__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita avustajina arvioidessaan tietojärjestelmän vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata tietojärjestelmiä, mutta eivät voi tehdä hallintopäätöksiä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellyttämä asiantuntemus ja pätevyys. Ulkopuoliseen asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_44">
                        <num>44 §</num>
                        <heading>Määräys velvollisuuksien täyttämiseksi</heading>
                        <subsection eId="chp_8__sec_44__subsec_1">
                            <content>
                                <p>Jos sosiaali- tai terveydenhuollon tietojärjestelmäpalvelun tuottaja tai tietojärjestelmän valmistaja, palvelunantaja, välittäjä taikka Kansaneläkelaitos on laiminlyönyt tässä laissa säädetyn velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_8__sec_45">
                        <num>45 §</num>
                        <heading>Käytössä oleviin tietojärjestelmiin kohdistuvat velvollisuudet</heading>
                        <subsection eId="chp_8__sec_45__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirasto voi tehdessään 40 §:n nojalla tietojärjestelmää koskevan valvonnan ja tarkastuksen samalla määrätä tietojärjestelmäpalvelun tuottajan tai valmistajan korjaamaan tuotantokäytössä olevia tietojärjestelmiä koskevat puutteet.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_45__subsec_2">
                            <content>
                                <p>Jos tietojärjestelmä voi vaarantaa asiakas- tai potilasturvallisuuden tai toteuttaa puutteellisesti käyttötarkoituksen mukaiset olennaiset vaatimukset, eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, virasto voi kieltää tietojärjestelmän käytön, kunnes puutteet on korjattu. Lisäksi Kansaneläkelaitos voi sulkea yhteyden ylläpitämiinsä valtakunnallisiin tietojärjestelmäpalveluihin, jos niihin liitetty tietojärjestelmä tai sen käyttäjätaho vaarantaa valtakunnallisten tietojärjestelmäpalvelujen asianmukaisen toiminnan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_8__sec_45__subsec_3">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa tietojärjestelmäpalvelun tuottajan tai sen valtuuttaman edustajan tiedottamaan tietojärjestelmän tuotantokäyttöä koskevasta kiellosta tai määräyksestä asettamassaan määräajassa ja määräämällään tavalla.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_9">
                    <num>9 luku</num>
                    <heading>Erinäiset säännökset</heading>
                    <section eId="chp_9__sec_46">
                        <num>46 §</num>
                        <heading>Sosiaali- ja terveydenhuollon sähköisen tiedonhallinnan yhteistyö</heading>
                        <subsection eId="chp_9__sec_46__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysministeriön on huolehdittava, että sosiaali- ja terveydenhuollon sähköistä tiedonhallintaa ja valtakunnallisia tietojärjestelmäpalveluja koskevan yhteistyön koordinointia varten on järjestetty yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain toteutumista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_46__subsec_2">
                            <content>
                                <p>Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_46__subsec_3">
                            <content>
                                <p>Kansaneläkelaitoksen on huolehdittava, että valtakunnallisten tietojärjestelmäpalvelujen tuotantotoimintaan liittyen on järjestetty yhteistyötavat ja -menettelyt palvelunantajien, apteekkien ja muiden tuotantotoiminnan sidosryhmien kanssa.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_9__sec_47">
                        <num>47 §</num>
                        <heading>Maksut</heading>
                        <subsection eId="chp_9__sec_47__subsec_1">
                            <content>
                                <p>Kansaneläkelaitoksen ja Digi- ja väestötietoviraston hoitamien 6 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen käyttö on palvelunantajille maksullista. Kunnallisen sosiaali- ja terveydenhuollon maksut peritään sairaanhoitopiireittäin sairaanhoitopiirin kuntayhtymältä. Kansaneläkelaitoksen perimät maksut säädetään valtion maksuperustelain (150/1992) 10 §:ssä säädetyn estämättä sosiaali- ja terveysministeriön asetuksella sellaisiksi, että ne vastaavat palvelujen hoidosta aiheutuvien kustannusten määrää. Maksujen tulee lisäksi turvata Kansaneläkelaitoksen palvelurahaston maksuvalmius. Digi- ja väestötietoviraston suoritteista perittävistä maksuista säädetään valtion maksuperustelaissa ja sen nojalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_47__subsec_2">
                            <content>
                                <p>Kansaneläkelaitoksen ja Digi- ja väestötietoviraston tulee toimittaa vuosittain sosiaali- ja terveysministeriölle selvitys edellisen vuoden kustannuksista ja kustannuksiin vaikuttaneista tekijöistä sekä arvio seuraavan neljän vuoden käyttömaksujen perustana olevista kokonaiskustannuksista ja seuraavan neljän vuoden investointitarpeista ja niiden kustannuksista.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_47__subsec_3">
                            <content>
                                <p>Tietojärjestelmäpalvelun tuottaja vastaa sertifioinnin aiheuttamista kustannuksista. Kansaneläkelaitoksella on oikeus periä maksu 36 §:ssä tarkoitetusta yhteentoimivuuden testauksesta valtion maksuperustelain 6 §:n 1 momentissa tarkoitetun omakustannusarvon mukaisesti. Sosiaali- ja terveysalan lupa- ja valvontavirastolle 30 §:n mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen. Maksusta säädetään sosiaali- ja terveysministeriön asetuksella ottaen huomioon, mitä valtion maksuperustelaissa ja sen nojalla maksuista säädetään. Tietoturvallisuuden arviointilaitoksen hyväksymisestä perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_9__sec_48">
                        <num>48 §</num>
                        <heading>Rangaistussäännökset</heading>
                        <subsection eId="chp_9__sec_48__subsec_1">
                            <intro eId="chp_9__sec_48__subsec_1__intro">
                                <p>Joka tahallaan tai törkeästä huolimattomuudesta</p>
                            </intro>
                            <paragraph eId="chp_9__sec_48__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>rikkoo 17 §:n 1 momentissa säädettyä tunnistamisvelvollisuutta,</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_9__sec_48__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>luovuttaa asiakastietoja 20–22 §:n vastaisesti ilman asiakkaan luovutuslupaa, suostumusta tai laissa säädettyä oikeutta taikka</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_9__sec_48__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>laiminlyö 16 §:n 1 momentissa säädetyn informointivelvollisuuden ja siten vaarantaa asiakkaan yksityisyyden suojaa,</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_9__sec_48__subsec_1__para_4">
                                <content>
                                    <p>
                                        on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, 
                                        <i>sosiaali- ja terveydenhuollon asiakastietojen käsittelyrikkomuksesta</i>
                                         sakkoon.
                                    </p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_9__sec_48__subsec_2">
                            <content>
                                <p>Rangaistus tietomurrosta säädetään rikoslain (39/1889) 38 luvun 8 §:ssä ja rangaistus tietosuojarikoksesta mainitun luvun 9 §:ssä. Salassapitovelvollisuuden rikkomisesta säädetään mainitun luvun 1 ja 2 §:ssä sekä mainitun lain 40 luvun 5 §:ssä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_9__sec_49">
                        <num>49 §</num>
                        <heading>Uhkasakko</heading>
                        <subsection eId="chp_9__sec_49__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla antamaa määräystä tai tekemää päätöstä voidaan tehostaa uhkasakolla. Uhkasakosta säädetään uhkasakkolaissa (1113/1990).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_9__sec_50">
                        <num>50 §</num>
                        <heading>Muutoksenhaku</heading>
                        <subsection eId="chp_9__sec_50__subsec_1">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontaviraston tekemän tarkastuksen yhteydessä annettuun määräykseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_50__subsec_2">
                            <content>
                                <p>Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_9__sec_50__subsec_3">
                            <content>
                                <p>Sosiaali- ja terveysalan lupa- ja valvontaviraston tämän lain nojalla tekemää päätöstä tai määräystä on oikaisuvaatimuksesta tai muutoksenhausta huolimatta noudatettava, jollei oikaisuvaatimusta käsittelevä viranomainen tai hallintotuomioistuin toisin määrää.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
                <chapter eId="chp_10">
                    <num>10 luku</num>
                    <heading>Voimaantulo- ja siirtymäsäännökset</heading>
                    <section eId="chp_10__sec_51">
                        <num>51 §</num>
                        <heading>Voimaantulo</heading>
                        <subsection eId="chp_10__sec_51__subsec_1">
                            <content>
                                <p>Tämä laki tulee voimaan 1 päivänä marraskuuta 2021.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_51__subsec_2">
                            <content>
                                <p>Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (159/2007).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_10__sec_52">
                        <num>52 §</num>
                        <heading>Siirtymäsäännökset</heading>
                        <subsection eId="chp_10__sec_52__subsec_1">
                            <content>
                                <p>Julkisen sosiaalihuollon palvelunantajan on liityttävä 6 §:n 1 momentin 1 kohdassa mainittuun valtakunnalliseen asiakastietojen arkistointipalveluun viimeistään 1 päivänä syyskuuta 2024 ja yksityisen sosiaalihuollon palvelunantajan viimeistään 1 päivänä tammikuuta 2026.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_2">
                            <content>
                                <p>Lain 13 §:n 2 momenttia, 18 §:n 5 momentin mukaista kaikkiin asiakas- ja potilastietoihin kohdistuvaa kieltoa ja työterveyshuoltoon kohdistuvaa kieltoa, 20 §:n 2 momenttia ja 21 §:n 2 momenttia sovelletaan viimeistään 1 päivänä tammikuuta 2024.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_3">
                            <content>
                                <p>Lain 18 §:ää sovelletaan kaikkiin asiakas- ja potilastietoihin ja työterveyshuollon rekisteriin kohdistettavaa kieltoa lukuun ottamatta viimeistään silloin, kun asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_4">
                            <content>
                                <p>Lain 19 §:ää sovelletaan sosiaalihuollossa 1 päivästä tammikuuta 2023 tai viimeistään silloin, kun sosiaalihuollon asiakasasiakirjoja luovutetaan 6 §:n 1 momentin 1 kohdassa mainitusta valtakunnallisesta asiakastietojen arkistointipalvelusta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_5">
                            <content>
                                <p>Lain 20 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä joulukuuta 2023.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_6">
                            <content>
                                <p>Lain 21 §:n 1 ja 3 momenttia sovelletaan viimeistään 1 päivänä tammikuuta 2023.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_7">
                            <content>
                                <p>Lain 21 §:n 4 momenttia sovelletaan hyvinvointisovellusten osalta viimeistään 1 päivänä toukokuuta 2025.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_8">
                            <intro eId="chp_10__sec_52__subsec_8__intro">
                                <p>Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2026 seuraavien asiakirjojen tallentaminen:</p>
                            </intro>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_1">
                                <num>1)</num>
                                <content>
                                    <p>ajanvarausasiakirja asiakkaalle varatuista ja hänelle ilmoitettavista terveydenhuollon ajanvarauksista;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_2">
                                <num>2)</num>
                                <content>
                                    <p>seulontatutkimuksista syntyvät kuvantamistutkimukseen liittyvät asiakirjat ja laboratoriotulokset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_3">
                                <num>3)</num>
                                <content>
                                    <p>ajoterveyteen liittyvät todistukset ja lomakkeet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_4">
                                <num>4)</num>
                                <content>
                                    <p>tapaturmiin ja ammattitauti-ilmoituksiin liittyvät todistukset ja lomakkeet;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_5">
                                <num>5)</num>
                                <content>
                                    <p>lääkärinlausunto terveydentilasta (T-todistus);</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_6">
                                <num>6)</num>
                                <content>
                                    <p>lääkärintodistus (TOD);</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_7">
                                <num>7)</num>
                                <content>
                                    <p>lääkärintodistus C; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_8__para_8">
                                <num>8)</num>
                                <content>
                                    <p>kuolintodistus.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_9">
                            <intro eId="chp_10__sec_52__subsec_9__intro">
                                <p>Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa seuraavien kuvantamistutkimuksiin liittyvien asiakirjojen tallentaminen viimeistään 1 päivänä lokakuuta 2029:</p>
                            </intro>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_1">
                                <num>1)</num>
                                <content>
                                    <p>säteilyrasitustiedot;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_2">
                                <num>2)</num>
                                <content>
                                    <p>video- ja äänitallenteet sekä valokuvat;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_3">
                                <num>3)</num>
                                <content>
                                    <p>patologian kuva-aineistot;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_4">
                                <num>4)</num>
                                <content>
                                    <p>biosignaalit;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_5">
                                <num>5)</num>
                                <content>
                                    <p>suun terveydenhuollon yksiköiden tallentamat kuvat; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_9__para_6">
                                <num>6)</num>
                                <content>
                                    <p>muut kuvat: piirustukset ja havainnekuvat.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_10">
                            <content>
                                <p>Lain 8 §:n 2 momentin velvoitteesta tallentaa liittymisen jälkeen asiakasasiakirjojen alkuperäiset kappaleet valtakunnalliseen arkistointipalveluun poiketen terveydenhuollon palvelunantajan tulee aloittaa viimeistään 1 päivänä lokakuuta 2029 hoitotyön päivittäismerkintöjen tallentaminen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_11">
                            <intro eId="chp_10__sec_52__subsec_11__intro">
                                <p>Julkisen sosiaalihuollon ja sen lukuun toimivan palvelunantajan tulee aloittaa sosiaalihuollon asiakasasiakirjojen tallentaminen valtakunnalliseen arkistointipalveluun seuraavasti:</p>
                            </intro>
                            <paragraph eId="chp_10__sec_52__subsec_11__para_1">
                                <num>1)</num>
                                <content>
                                    <p>lapsiperheiden, työikäisten ja iäkkäiden palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä syyskuuta 2024;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_11__para_2">
                                <num>2)</num>
                                <content>
                                    <p>lastensuojelun palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2025;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_11__para_3">
                                <num>3)</num>
                                <content>
                                    <p>vammaispalvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2025;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_11__para_4">
                                <num>4)</num>
                                <content>
                                    <p>päihdehuollon palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä maaliskuuta 2026; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_11__para_5">
                                <num>5)</num>
                                <content>
                                    <p>perheoikeudellisten palvelujen palvelutehtävässä syntyvät asiakasasiakirjat viimeistään 1 päivänä syyskuuta 2026.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_12">
                            <intro eId="chp_10__sec_52__subsec_12__intro">
                                <p>Palveluntuottajan ja asiakkaan väliseen sopimukseen perustuvassa yksityisessä sosiaalihuollossa syntyvien asiakasasiakirjojen tallentaminen valtakunnallisiin tietojärjestelmäpalveluihin on aloitettava seuraavasti:</p>
                            </intro>
                            <paragraph eId="chp_10__sec_52__subsec_12__para_1">
                                <num>1)</num>
                                <content>
                                    <p>lapsiperheiden, työikäisten, iäkkäiden ja vammaispalvelujen palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä tammikuuta 2026;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_10__sec_52__subsec_12__para_2">
                                <num>2)</num>
                                <content>
                                    <p>päihdehuollon palvelutehtävässä syntyvät asiakirjat viimeistään 1 päivänä maaliskuuta 2026.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_10__sec_52__subsec_13">
                            <content>
                                <p>Sosiaalihuollon palvelutehtävissä syntyvien video- ja äänitallenteiden tallentaminen tulee kuitenkin aloittaa viimeistään 1 päivänä lokakuuta 2029.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Esityöt" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2020/212">HE 212/2020</ref>
                        </p>
                        <p>StVM 11/2021</p>
                        <p>EV 71/2021</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 27.8.2021</p>
                        <p>
                            <signature>
                                <role refersTo="">Tasavallan Presidentti</role>
                                <person refersTo="">Sauli Niinistö</person>
                            </signature>
                            <signature>
                                <role refersTo="">Perhe- ja peruspalveluministeri</role>
                                <person refersTo="">Krista Kiuru</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
