Tervise infosüsteemi põhimäärus

Määrus kehtestatakse

§ 59¹ lõike 3 alusel.

1. peatükk Üldsätted

§ 1. Tervise infosüsteemi asutamine ja nimetus

(1) Tervise infosüsteem (edaspidi infosüsteem) kuulub riigi infosüsteemi ning on asutatud tervishoiuteenuste korraldamise seaduse alusel.

(2) Infosüsteemi ingliskeelne nimetus on Health Information System.

§ 2. Infosüsteemi pidamise eesmärk

(1) Infosüsteemis töödeldakse tervishoiuvaldkonnaga seotud andmeid tervishoiuteenuse osutamise lepingu sõlmimiseks ja täitmiseks, tervishoiuteenuste kvaliteedi ja patsiendi (edaspidi andmesubjekt) õiguste tagamiseks, rahva tervise kaitseks ning terviseseisundit kajastavate registrite pidamiseks, tervisestatistika tegemiseks ja tervishoiu juhtimiseks.

§ 2¹. Infosüsteemi ülesehitus

(1) Infosüsteem koosneb infosüsteemi keskandmekogust, meditsiiniliste ülesvõtete andmekogust ja andmelaost.

(2) Infosüsteemi keskandmekogu koosneb järgmistest andmestikest:

1) andmesubjekti esitatud andmestik;

2) tervishoiuteenuse osutajate ja teiste isikute esitatud terviseandmestik;

3) üleriigilise digiregistratuuri andmestik;

4) vastavustõendi andmestik;

5) geneetiline andmestik koos selle haldamise süsteemiga.

(3) Meditsiiniliste ülesvõtete andmekogu koosneb andmesubjekti kohta käivatest meditsiinilistest ülesvõtetest.

(4) Andmeladu koosneb keskandmekogu ja andmeandjate edastatavatest pseudonüümitud isikuandmetest, mis ei võimalda isikut tuvastada.

(5) Paragrahvides 13¹ ja 13² sätestatud infosüsteemi osa käsitatakse meditsiiniseadmena ning see peab olema registreeritud meditsiiniseadmete ja abivahendite andmekogus, kui sellekohane kohustus tuleneb õigusaktist.

§ 2². Infosüsteemi turvameetmed ja turbeaste

(1) Infosüsteemi turvameetmed peavad tagama järgmised turvaklassid:

1) konfidentsiaalsus – S2;

2) terviklus – T3;

3) käideldavus – K2.

(2) Infosüsteemi turbeaste on kõrge (H).

(3) Infosüsteemi turvameetmed meditsiiniliste ülesvõtete andmete töötlemisel ja arhiveerimisel peavad tagama järgmised turvaklassid:

1) konfidentsiaalsus – S2;

2) terviklus – T2;

3) käideldavus – K2.

(4) Infosüsteemi meditsiiniliste ülesvõtete andmete töötlemise ja arhiveerimise turbeaste on keskmine (M).

(5) Infosüsteemi kasutaja, kes liitub infosüsteemiga oma infosüsteemi kaudu, peab tegema oma infosüsteemi infoturbealaste riskide seire ja analüüsi.

(6) Lõikes 5 nimetatud isik teavitab viivitamata volitatud töötlejat kõikidest asjaoludest, mis võivad ohtu seada infosüsteemi turvalisuse.

§ 3. Infosüsteemi vastutav töötleja ja volitatud töötleja

(1) Infosüsteemi kaasvastutavad töötlejad on Sotsiaalministeerium ja Tervisekassa.

(2) Infosüsteemi volitatud töötleja on Tervise ja Heaolu Infosüsteemide Keskus, kes peab, haldab ja arendab infosüsteemi, töötleb andmeid ning täidab muid vastutava töötleja pandud kohustusi õigusaktide ja nende alusel sätestatud nõuete kohaselt.

(3) Infosüsteemi volitatud töötleja on Sihtasutus Eesti Tervishoiu Pildipank, kes haldab, töötleb ja arhiveerib meditsiiniliste ülesvõtete andmeid ning täidab vastutava töötleja pandud kohustusi õigusaktide ja nende alusel sätestatud nõuete kohaselt.

(4) Infosüsteemi volitatud töötleja on Sotsiaalkindlustusamet, kes abistab andmesubjekti COVID-19 haigust põhjustava koroonaviiruse SARS-CoV-2 levikuga seotud vastavustõendi avalduse täitmisel, menetleb avaldusi, loob ja väljastab vastavustõendeid.

§ 4. Vastutava ja volitatud töötleja ülesanded

(1) Sotsiaalministeerium ja Tervisekassa kaasvastutavate töötlejatena korraldavad koostöös volitatud töötlejaga e-teenuste loomist, arenduste väljatöötamist ja infosüsteemi elektroonilist andmevahetust teiste andmekogudega ning täidavad muid vastutavale töötlejale omaseid ülesandeid. Kaasvastutavad töötlejad võivad anda täpsemaid juhiseid ja korraldusi volitatud töötlejatele.

(2) Sotsiaalministeerium vastutava töötlejana:

1) otsustab infosüsteemi volitatud töötleja;

2) määrab ja korraldab infosüsteemi juurdepääse, andmete edastamist ja väljastamist;

3) tagab andmesubjekti isikuandmetega seotud rikkumisest teavitamise.

(3) Andmesubjekti jaoks on kaasvastutavate töötlejate kontaktpunktiks Sotsiaalministeerium, kes tagab ja korraldab vastuste andmise ja suhtluse andmekaitsega seonduvalt. Tervisekassa teeb igakülgset koostööd andmesubjekti pöördumiste lahendamisel.

(4) Tervise ja Heaolu Infosüsteemide Keskus volitatud töötlejana tagab andmekogu pidamise ja haldamise õigusaktides sätestatud nõuete kohaselt, sealhulgas:

1) tagab tervishoiuteenuse osutamisel tekkivate dokumentide ja andmete kogumise, haldamise ja säilitamise, sealhulgas andmete kustutamise ja hävitamise ning arhiveeritavate andmete üleandmise § 10 lõikes 5 sätestatud korras;

2) vastutab andmetöötlustoimingute õiguspärasuse eest, sealhulgas turbealase info pideva analüüsimise ja turvariskide väljaselgitamise eest;

3) vastutab isikuandmete töötlemise nõuete täitmise eest ning menetleb isikute avaldusi infosüsteemist andmete ühekordseks väljastamiseks;

4) tagab andmete kasutamise §-s 14 nimetatud tegevusteks ja 4¹. peatükis nimetatud tegevused;

5) sõlmib andmevahetuse kokkulepped õigusaktides sätestatud ulatuses;

6) peab arvestust kogutud ja väljastatud andmete ja infosüsteemi vahendusel osutatud teenuste üle ning koostab selle arvestuse juhtimiseks ülevaatlikke analüüse;

7) tagab teenuse intsidentide käsitlemise ja kasutajatoe;

8) tagab infosüsteemi haldamise ja rakendustarkvara toimimise;

9) tagab tehnilise halduse, sealhulgas tervise infosüsteemi klassifikaatorite, spetsifikatsioonide, loendite ja standardite pidamise ning standardite ja klassifikatsioonide avaldamise;

10) teavitab infosüsteemi andmete töötlemisel avastatud rikkumistest kohe lõikes 2 nimetatud vastutavat töötlejat ning võtab viivitamata tarvitusele kõik vajalikud abinõud rikkumise lõpetamiseks;

11) tagab andmete ja infosüsteemi säilimise vastavalt kehtestatud nõuetele;

12) teeb andmekogu vastutavale töötlejale ettepanekuid andmekogu arendamiseks;

13) kaasab vajaduse korral arendus- ja hooldustööde tegemisse teise volitatud töötleja ja sõlmib temaga lepingu, olles hinnanud isikuandmete töötlemise eesmärke, vajadust ja riske, ning teavitab sellest mõistliku aja jooksul enne andmetöötlemise võimaldamist lõikes 2 nimetatud vastutavat töötlejat.

(5) Sihtasutus Eesti Tervishoiu Pildipank volitatud töötlejana tagab andmekogu haldamise õigusaktides sätestatud nõuete kohaselt, sealhulgas:

1) tagab meditsiiniliste ülesvõtete arhiveerimise teenuse haldamise ja rakendustarkvara toimimise;

2) tagab teenuse intsidentide käsitlemise ja kasutajatoe;

3) peab arvestust väljastatud andmete üle;

4) teavitab infosüsteemi andmete töötlemisel avastatud rikkumistest kohe lõikes 2 nimetatud vastutavat töötlejat ning võtab viivitamata tarvitusele kõik vajalikud abinõud rikkumise lõpetamiseks;

5) muud tegevused, mis lepitakse kokku pooltevahelises halduslepingus.

(5) Sotsiaalkindlustusamet volitatud töötlejana tagab vastavustõendite andmeväljastuse õigusaktides sätestatud nõuete kohaselt, sealhulgas:

1) tagab §-s 14² sätestatu kohase COVID-19 haigust põhjustava koroonaviiruse SARS-CoV-2 levikuga seotud vastavustõendi väljastamise andmesubjektile, kes on selleks soovi avaldanud;

2) vastutab isikuandmete töötlemise nõuete täitmise eest;

3) peab arvestust väljastatud andmete üle;

4) teavitab infosüsteemi andmete töötlemisel avastatud rikkumistest kohe lõikes 2 nimetatud vastutavat töötlejat ning võtab viivitamata tarvitusele kõik vajalikud abinõud rikkumise lõpetamiseks.

(6) Volitatud töötleja määrab infosüsteemiga liitumise eelduseks olevad tehnilised tingimused ja avaldab need oma veebilehel.

2. peatükk Andmete edastamine infosüsteemi

§ 5. Tervishoiuteenuse osutaja andmeandjana

(1) Tervishoiuteenuse osutaja edastab infosüsteemi andmed tervishoiuteenuste korraldamise seaduse § 59² lõike 2 alusel kehtestatud määruses sätestatud andmekoosseisus järgmiselt:

1) ambulatoorse tervishoiuteenuse osutamise kohta andmed või vormistatud dokumendi ühe tööpäeva ja koduõendusteenuse korral vormistatud epikriisi kahe tööpäeva jooksul pärast seda, kui tervishoiutöötaja on asjakohase dokumendi kinnitanud;

2) statsionaarse tervishoiuteenuse osutamise kohta andmed või vormistatud dokumendi viie tööpäeva jooksul pärast seda, kui tervishoiutöötaja on asjakohase dokumendi kinnitanud;

3) tervishoiuteenuse osutamisel vormistatud saatekirja andmed kohe pärast saatekirja vormistamist;

4) surmateatise andmed viivitamata pärast surma fakti tuvastamist ning surma põhjuse teatise ja perinataalsurma põhjuse teatise andmed ühe tööpäeva jooksul pärast seda, kui tervishoiutöötaja on asjakohase dokumendi kinnitanud;

5) nakkushaiguse kahtluse teatise andmed viivitamata pärast kahtluse tekkimist ning nakkushaiguse teatise andmed ühe tööpäeva jooksul pärast lõppdiagnoosi selgumist;

6) mikrobioloogia labori saatekirja vastuse andmed viivitamata pärast uuringutulemuse selgumist ning HIV referentlabori saatekirja vastuse andmed ühe tööpäeva jooksul pärast uuringutulemuse kinnitamist;

7) geneetilised andmed spetsifikatsioonijärgses andmekoosseisus ja saatekirja vastuse andmed viivitamata pärast uuringutulemuse kinnitamist;

8) patsiendi üldandmed viivitamata nende muutumisel.

(1) Kiirabibrigaadi pidaja edastab infosüsteemi järgmised kiirabibaasi ja kiirabibrigaadi andmed viivitamata pärast asjakohase ressursi staatuse muudatust:

1) kiirabibrigaadi kutsung;

2) kiirabiressursi staatus (väljasõidu, vabanemise ja annulleerimise aeg);

3) kiirabibrigaadi raadiosidevahendite identifikaatorid (tunnus, kood);

4) kiirabiressursi muud tehnilised andmed (piirkond, tehnika liik, kontaktandmed, käsijaama andmed jms).

(2) Tervishoiuteenuse osutaja edastab infosüsteemi andmed ravijärjekorra pidamiseks tervishoiuteenuste korraldamise seaduse § 56 lõike 1 punkti 4 alusel.

(2) Andmete edastamisel lõike 2 alusel säilitatakse infosüsteemis järgmised andmed:

1) registreeritud tervishoiuteenuse saamise kuupäev ja kellaaeg koos esimese võimaliku tervishoiuteenuse saamise ajaga;

2) registreeritud tervishoiuteenuse aja kinnitamise kuupäev ja kellaaeg;

3) tervishoiuteenuse registreeringu kinnitanud asutuse andmed (nimi, registrikood);

4) tervishoiuteenuse registreeringu muutmise ja tühistamise andmed (muutmise ja tühistamise kinnitamise kuupäev ja kellaaeg);

5) tervishoiuteenuse registreeringu muutja ja tühistaja andmed (teave, kas õigust teostas andmesubjekt või tervishoiuteenuse osutaja);

6) kui tervishoiuteenuse saamiseks registreerimisel tasuti krediidiasutuse vahendusel, ka makseinfo (maksja ja maksesaaja andmed, arvelduskonto, viitenumber ja summa) ja maksetingimuste info (makseviisid ja tasumise, tühistamise või muutmise tingimused);

7) tervishoiuteenuse saamise andmed (teenust kasutati / ei kasutatud).

(3) Tervishoiuteenuse osutaja edastab infosüsteemi andmed meditsiiniliste ülesvõtete kättesaadavaks tegemiseks tervishoiuteenuste korraldamise seaduse § 59² lõike 3 alusel sätestatud korras.

(3) Tervishoiuteenuse osutaja teavitab määruse § 3 lõikes 2 nimetatud volitatud töötlejat teenuse muudatustest, sealhulgas analüüside nimekirja muudatustest ja täiendustest meditsiinilabori teenuse osutamiseks, esimesel võimalusel peale muudatuste või täienduste tegemist tervishoiuteenuse osutaja juures.

(4) Tervishoiuteenuse osutaja peab andmete edastamisel järgima infosüsteemi kohta kehtivaid standardeid, mille on infosüsteemi volitatud töötleja avaldanud oma veebilehel.

(5) Tervishoiuteenuse osutaja tagab infosüsteemi edastatavate andmete õigsuse.

§ 6. Muud isikud andmeandjana

(1) Rahvastikuregistri vastutav töötleja edastab infosüsteemi:

1) isikut identifitseerivad andmed, kontaktandmed ja kõrgeima omandatud haridustaseme andmed;

2) isiku esindusõiguse, hooldusõiguse, eestkoste ja teovõime andmed;

3) isiku surma kuupäeva ja surma registreerimise kande numbri.

(2) Tervishoiukorralduse infosüsteemi vastutav töötleja edastab infosüsteemi:

1) tervishoiutöötaja kvalifikatsiooni tõendavad andmed;

2) tervishoiutöötaja või tervishoiuteenuse osutamisel osaleva isiku töökohta puudutavad andmed;

3) tervishoiutöötajana või tervishoiuteenuse osutamisel osaleva isikuna registreerimise andmed;

4) tegevusloa omaja kontaktandmed;

5) tegevusloa andmed;

6) organisatsioonilised andmed.

(4) Retseptikeskuse vastutav töötleja edastab infosüsteemi:

1) apteegist väljastatud ravimi ja selle väljastamise aluseks oleva retsepti andmed;

2) apteegist väljastatud või meditsiiniseadme väljastanud muu isiku väljastatud meditsiiniseadme ja selle väljastamise aluseks oleva meditsiiniseadme kaardi andmed.

(5) Tervisekassa edastab infosüsteemi:

1) isiku kindlustuskaitse andmed;

2) haigus- ja hoolduslehe andmed, sealjuures ajutise töövõimetuse hüvitise andmed;

3) perearsti nimistu andmed;

4) tervishoiuteenuse osutamise kohta koostatud raviarvetelt tervishoiuteenuse osutaja andmed, põhidiagnoosi, raviarve summa ning arve alustamise, lõpetamise ja esitamise kuupäeva;

5) nakkushaiguse levikust tingitud hädaolukorra ohu korral ning hädaolukorra ja eriolukorra ajal isikuandmed immuniseerimise korraldamiseks, kui nakkushaiguse levikut ja kulgu arvestades tuleb nimetatud isikule osutada tervishoiuteenust esmajärjekorras ning immuniseerimist korraldav tervishoiuteenuse osutaja on üleriigilise digiregistratuuriga liitunud (isiku ees- ja perekonnanimi, isikukood või muu identifitseeriv tunnus, seos tervishoiuteenuse osutajaga ja prioriteetsus);

6) ravikindlustushüvitise andmed, välja arvatud andmed väljaspool ravijärjekorda osutatud tervishoiuteenuse hüvitise ja piiriülese tervishoiuteenuse hüvitise kohta;

7) kindlustatud isikuga võrdsustamise lepingu pakkumuse ja lepingu andmed (lepingu tähtaeg ja kindlustuskaitse periood, kindlustusvõtja ja kindlustatud isiku nimi ja isikukood, lepingu tingimused, maksete perioodilisus ja maksete summa ning lepingu staatus);

8) Euroopa ravikindlustuskaardi või selle asendussertifikaadi andmed.

(6) Eesti Töötukassa edastab infosüsteemi:

1) töövõime hindamise taotluse andmed;

2) töövõime hindamise menetluse andmed;

3) töövõime hindamisel antud eksperdiarvamuse andja andmed;

4) töövõime hindamisel antud eksperdiarvamuse.

(7) Kaitseressursside Amet ja Kaitsevägi edastavad kaitseväekohustuslase ja kaitseväekohustust võtta sooviva isiku kaitseväeteenistuse seaduse § 26¹ lõike 1 punktis 1 nimetatud eesmärgil tehtava terviseseisundi hindamise käigus koostatud ambulatoorse epikriisi ja uuringu, protseduuri, analüüsi saatekirja ning ambulatoorse teenuse, sealhulgas e-konsultatsiooni saatekirja andmed tervishoiuteenuste korraldamise seaduse § 59² lõike 2 alusel kehtestatud andmekoosseisus.

(7) Kaitseressursside Amet edastab infosüsteemi kaitseväekohustuslase või kaitseväekohustust võtta sooviva isiku nõusoleku andmise ja tagasivõtmise andmed.

(8) Häirekeskus edastab infosüsteemi järgmised kiirabi hädaabiteate menetlemise käigus kogutud andmed:

1) Häirekeskuse juhtumi number;

2) hädaabiteate vastuvõtmise aeg;

3) kiirabibrigaadi kutsung;

4) prioriteet / muudetud prioriteet;

5) tüüpjuhtum;

6) põhjus;

7) tüüpjuhtumi kirjeldus;

8) abivajaja andmed (ees- ja perekonnanimi, vanus, isikukood või sünniaeg, sugu, kodakondsus);

9) oletatav abivajajate arv;

10) Häirekeskusesse teataja andmed (ees- ja perekonnanimi, kontaktandmed);

11) sündmuskoht;

12) väljasõidukorralduse edastamise aeg;

13) väljasõidu aeg;

14) sündmuskohale jõudmise aeg;

15) sündmuskohalt haiglasse lahkumise aeg;

16) haigla nimi;

17) vabanemise aeg;

18) baasi jõudmise aeg;

19) väljasõidukorralduse annulleerimise aeg.

(8) Haridus- ja Teadusministeerium edastab infosüsteemi:

1) õpilase andmed (klass, õpingute alustamine ja õpingute lõpetamine);

2) lõpetatud haridustaseme andmed (haridustaseme nimetus, õpingute alustamine ja õpingute lõpetamine);

3) õppeasutuse andmed (nimi, registreerimisnumber ja aadress).

(8) Vähi sõeluuringute register edastab infosüsteemi vähi sõeluuringu kutse andmed:

1) isikut identifitseerivad andmed (ees- ja perekonnanimi, isikukood);

2) uuringu nimetus, eesmärk ja uuringut läbiviiva tervishoiuteenuse osutaja andmed.

(8) Töötamise registri vastutav töötleja edastab infosüsteemi:

1) isikut identifitseerivad andmed (ees- ja perekonnanimi, isikukood, sünniaeg);

2) isiku tööandja nimi ja registrikood ning töökoha asukoha andmed;

3) töötamise algus- ja lõpukuupäeva ning ametinimetuse;

4) tööaja määra ja töötamise peatumise andmed.

(8) Sotsiaalkindlustusamet edastab infosüsteemi:

1) hoolekandeasutuses viibiva isiku viibimiskoha andmed;

2) puude raskusastme tuvastamise otsuse andmed (puude algus- ja lõpukuupäev, liik, raskusaste, tuvastamise kuupäev ja otsuse number).

(8) Eesti geenivaramu vastutav töötleja edastab infosüsteemi:

1) teenusesaaja üldandmed, sealhulgas isikukood;

2) teabe geenidoonoriks olemise ja geneetiliste andmete olemasolu või puudumise kohta;

3) proovi andmed, sealhulgas proovi unikaalne kood, proovimaterjali tüüp, kasutatud analüüsivahend ja tulemus;

4) proovi andmete edastamisega seotud tehnilised andmed, sealhulgas edastatavate andmete unikaalne identifikaator, koostaja andmed ja andmestiku edastamise aeg;

5) lisateabe proovi võtnud laborilt.

(9) Andmeandjad täidavad oma kohustust avaliku teabe seaduse § 43⁹ lõike 1 punkti 5 alusel kehtestatud infosüsteemide andmevahetuskihi abil, välja arvatud meditsiinilised ülesvõtted, mis edastatakse krüpteeritud andmevahetuskanali vahendusel.

(10) Andmeandja peab andmete edastamisel tagama andmete õigsuse ning järgima infosüsteemi kohta kehtivaid standardeid ja infosüsteemi volitatud töötleja avaldatud nõudeid.

3. peatükk Infosüsteemi logide ja vastavustõendite säilitamine ning andmete muutmine

§ 7. Tervise infosüsteemi turvameetmed ja turbeaste

§ 8. Infosüsteemi logide säilitamine

(3) Infosüsteemi logisid andmete töötlemise kohta, sealhulgas andmete väljastamise, vaatamise, muutmise, lisamise ja kustutamise aja, andmete koosseisu, andmesaajate ja väljastamise viisi kohta, säilitatakse 30 aastat alates kirje tekkimisest.

§ 8¹. Vastavustõendite säilitamise erisus

(1) Laborianalüüsi saatekirja vastuse (analüüsi negatiivne vastus) vastavustõendit säilitatakse 14 päeva selle koostamisest.

(2) Andmesubjekti soovil samade andmete alusel uue samasisulise vastavustõendi loomise korral eelmist tõendit ei säilitata.

§ 9. Andmete muutmine

(1) Infosüsteemi edastatud andmete muutmiseks esitab andmeandja andmekogusse viivitamata uued andmed või teavitab volitatud töötlejat vajadusest esitatud andmeid muuta viivitamata peale vea ilmnemist.

(2) Infosüsteemi volitatud töötlejal on andmekvaliteedi tagamiseks õigus kontrollida infosüsteemi edastatud andmete ja dokumentide vastavust standardile. Vastutav töötleja ja volitatud töötleja ei hinda osutatud teenuse kohta esitatud andmeid ega andmeandja esitatud andmeid sisuliselt.