Riikliku vereteenistuse infosüsteemi põhimäärus

Määrus kehtestatakse

§ 15 lõike 1 alusel.

1. peatükk Üldsätted

§ 1. Infosüsteemi pidamise eesmärk ja nimetus

(1) Riikliku vereteenistuse infosüsteemi (edaspidi infosüsteem) pidamise eesmärk on tagada vere kvaliteetne käitlemine ja ravi kvaliteet.

(2) Infosüsteemi ingliskeelne nimetus on National Blood Service Information System.

§ 2. Infosüsteemi kaasvastutavate töötlejate ülesanded

(1) Sotsiaalministeerium ja Tervisekassa kaasvastutavate töötlejatena korraldavad koostöös volitatud töötlejaga e-teenuste loomist, arenduste väljatöötamist ja infosüsteemi elektroonilist andmevahetust teiste andmekogudega ning täidavad muid vastutavale töötlejale antud ülesandeid. Kaasvastutavad töötlejad võivad anda täpsemaid juhiseid ja korraldusi volitatud töötlejale.

(2) Sotsiaalministeerium vastutava töötlejana:

1) otsustab infosüsteemi volitatud töötleja;

2) määrab ja korraldab infosüsteemi juurdepääse ning andmete edastamist ja väljastamist;

3) tagab andmesubjekti isikuandmetega seotud rikkumisest teavitamise.

(3) Andmesubjekti jaoks on kaasvastutavate töötlejate kontaktpunktiks Sotsiaalministeerium, kes tagab ja korraldab vastuste andmise ja suhtluse andmekaitset puudutavates küsimustes.

(4) Tervisekassa teeb igakülgset koostööd andmesubjekti pöördumiste lahendamisel ja tagab infosüsteemi jätkusuutlikkuse.

§ 3. Infosüsteemi volitatud töötleja ja tema ülesanded

(1) Infosüsteemi volitatud töötleja on Tervise ja Heaolu Infosüsteemide Keskus, kes peab, haldab ja arendab infosüsteemi, töötleb andmeid ning täidab muid vastutavale töötlejale pandud kohustusi õigusaktide ja nende alusel sätestatud nõuete kohaselt.

(2) Volitatud töötleja tagab andmekogu pidamise ja haldamise õigusaktides sätestatud nõuete kohaselt, sealhulgas:

1) tagab tekkivate dokumentide ja andmete kogumise, haldamise ja säilitamise, sealhulgas andmete kustutamise ja hävitamise ning arhiveeritavate andmete üleandmise;

2) vastutab andmetöötlustoimingute õiguspärasuse eest, sealhulgas turbealase info pideva analüüsimise ja turvariskide väljaselgitamise eest;

3) vastutab isikuandmete töötlemise nõuete täitmise eest ning menetleb isikute avaldusi infosüsteemist andmete ühekordseks väljastamiseks;

4) tagab andmete kasutamise, andmelao ja sellega seotud tegevused;

5) sõlmib andmevahetuse kokkulepped õigusaktides sätestatud ulatuses;

6) peab arvestust kogutud ja väljastatud andmete ja infosüsteemi vahendusel osutatud teenuste üle ning koostab selle arvestuse juhtimiseks ülevaatlikke analüüse;

7) tagab teenuse intsidentide käsitlemise ja kasutajatoe;

8) tagab infosüsteemi haldamise ja rakendustarkvara toimimise;

9) tagab tehnilise halduse, sealhulgas klassifikaatorite, loendite ja standardite pidamise ning standardite ja klassifikatsioonide publitseerimise;

10) teavitab infosüsteemi andmete töötlemisel avastatud rikkumistest kohe vastutavat töötlejat ning võtab viivitamata tarvitusele kõik vajalikud abinõud rikkumise lõpetamiseks;

11) tagab andmete ja infosüsteemi säilimise vastavalt kehtestatud nõuetele;

12) teeb andmekogu vastutavale töötlejale ettepanekuid andmekogu arendamiseks;

13) kaasab vajaduse korral arendus- ja hooldustööde tegemisse teise volitatud töötleja ja sõlmib temaga lepingu, olles hinnanud isikuandmete töötlemise eesmärke, vajadust ja riske, ning teavitab sellest mõistliku aja jooksul enne andmetöötlemise võimaldamist vastutavat töötlejat.

(3) Volitatud töötleja määrab infosüsteemiga liitumise eelduseks olevad tehnilised tingimused ja avaldab need oma veebilehel.

(4) Kaasvastutavate töötlejate ja volitatud töötleja täpsemad ülesanded ja vastutus määratakse kindlaks pooltevahelises koostöökokkuleppes, lähtudes seaduses ja käesolevas määruses sätestatud tingimustest.

2. peatükk Infosüsteemi ülesehitus ja andmekoosseis

§ 4. Infosüsteemi ülesehitus

(1) Infosüsteem koosneb keskandmekogust ja andmelaost.

(2) Keskandmekogu koosseisus on järgmised andmestikud:

1) doonorluse andmestik – doonoriportaali andmestik, doonorite registri andmestik ja vereloovutuste andmestik;

2) verekomponentide andmestik;

3) retsipientide ja vereülekannete andmestik;

4) referentlabori andmestik.

(3) Andmeladu koosneb keskandmekogu ja andmeandjate edastatavatest pseudonüümitud andmetest, mis ei võimalda isikut otseselt tuvastada.

(4) Täiendavaid rakendusi, mis on infosüsteemi osa, käsitatakse meditsiiniseadmena, juhul kui sellekohane kohustus tuleb õigusaktist.

§ 5. Infosüsteemis töödeldavad andmed

(1) Doonoriportaalis töödeldakse doonori kohta järgmisi andmeid:

1) üldandmed;

2) terviseandmed;

3) terviseküsimustiku andmed;

4) broneerimisega seotud andmed.

(2) Doonorite registri andmestiku hulka kuuluvad veregrupp ja vereloovutuse lubatavus.

(3) Vereloovutuste andmestiku hulka kuuluvad ka meditsiinilise läbivaatuse andmed ja verevõtuandmed.

(4) Verekomponentide andmestikku kuulub ka koondatud teave verekomponentide varude kohta.

(5) Retsipientide ja vereülekannete andmestik koosneb retsipiendi üld- ja terviseandmetest ning teenuseosutaja andmetest.

(6) Referentlabori andmestik koosneb retsipiendi üld- ja terviseandmetest ning tellija andmetest.

(7) Infosüsteemi täpsem andmekoosseis on esitatud määruse lisas.

§ 6. Infosüsteemi turvameetmed, turbeaste ja liidestuvate süsteemide kohustused

(1) Infosüsteemi turvameetmed peavad tagama järgmised turvaklassid:

1) konfidentsiaalsus – S2;

2) terviklus – T3;

3) käideldavus – K2.

(2) Infosüsteemi turbeaste on kõrge (H).

(3) Infosüsteemi kasutaja, kes liitub infosüsteemiga oma infosüsteemi kaudu, peab tegema oma infosüsteemi infoturbealaste riskide seire ja analüüsi.

(4) Infosüsteemiga liidestunud verekeskus, verekabinet ja referentlabor teavitab viivitamata volitatud töötlejat kõikidest asjaoludest, mis võivad ohtu seada infosüsteemi turvalisuse.

3. peatükk Andmete esitamine infosüsteemi, andmevahetus, andmete muutmine ja säilitamine

§ 7. Põhilised andmeandjad ja andmete esitamine infosüsteemi

(1) Doonor esitab infosüsteemi § 5 lõikes 1 nimetatud andmed.

(2) Verekeskus esitab infosüsteemi § 5 lõigetes 1–4 nimetatud andmed.

(3) Verekabinet esitab infosüsteemi § 5 lõikes 5 nimetatud andmed.

(4) Referentlabori teenust osutav verekeskus esitab infosüsteemi § 5 lõikes 6 nimetatud andmed.

(5) Andmete õigsuse eest vastutab andmeandja.

§ 8. Teised andmeandjad ja andmevahetus andmekogudega

(1) Rahvastikuregister edastab infosüsteemi:

1) doonori ja retsipiendi isikut identifitseerivad andmed;

2) doonori isiku esindusõiguse ja teovõime andmed;

3) doonori surma registreerimise kande numbri.

(2) Retseptikeskus edastab infosüsteemi:

1) doonorile apteegist väljastatud ravimi ja selle väljastamise aluseks oleva retsepti andmed;

2) doonorile apteegist väljastatud või meditsiiniseadme väljastanud muu isiku väljastatud meditsiiniseadme ja selle väljastamise aluseks oleva meditsiiniseadme kaardi andmed.

(3) Andmevahetus andmeandjatega toimub riigi infosüsteemide andmevahetuskihi kaudu.

§ 9. Andmete muutmine

(1) Infosüsteemi edastatud andmete muutmiseks esitab andmeandja andmekogusse viivitamata uued andmed või teavitab volitatud töötlejat vajadusest esitatud andmeid muuta viivitamata peale vea ilmnemist.

(2) Infosüsteemi volitatud töötlejal on andmekvaliteedi tagamiseks õigus kontrollida infosüsteemi edastatud dokumendi vastavust standardile. Vastutav töötleja ja volitatud töötleja ei hinda osutatud teenuse kohta esitatud andmeid ega andmeandja esitatud andmeid sisuliselt.

(3) Kui infosüsteemi volitatud töötleja avastab infosüsteemis ebakorrektsed andmed või teda teavitatakse andmete ebaõigsusest või ebakorrektsusest, peab ta andmete õigsust kontrollima ning ebaõiged või ebakorrektsed andmed parandama.

(4) Infosüsteemi volitatud töötlejal on õigus teha andmeandjale järelepärimine, kui on tekkinud kahtlus andmete tõepärasuses.

(5) Käesoleva määruse tähenduses loetakse ebakorrektseteks andmeteks need infosüsteemi edastatud andmed, mis ei vasta nõutud standardile ning sellest tulenevalt ei ole võimalik edastatud andmeid infosüsteemi teenustes kasutada või need takistavad teenuste tööd.

§ 10. Andmete säilitamine infosüsteemis ja logid

(1) Infosüsteemi esitatud andmeid säilitatakse vastavalt vereseaduse §-s 15¹ sätestatule.

(2) Infosüsteemi töötlemistoimingute logiandmeid, sealhulgas andmete väljastamise, vaatamise, muutmise, lisamise ja kustutamise aja, andmete koosseisu, andmesaajate ja väljastamise viisi kohta, säilitatakse 30 aastat.

4. peatükk Juurdepääs infosüsteemi andmetele ja andmete väljastamine ning tarkvaralahenduse ja andmelao kasutamine

§ 11. Juurdepääs andmetele ja andmete väljastamine

(1) Doonoril on otsene juurdepääs doonoriportaali andmestikule.

(2) Verekeskuses töötavale spetsialistile tagatakse juurdepääs kõikidele doonori ja vereloovutuse andmetele ning enda sisestatud verekomponentide andmetele.

(3) Verekabineti ja referentlabori spetsialistile tagatakse juurdepääs kõikidele varasematele retsipiendi vereanalüüside ja vereülekannete andmetele.

(4) Juurdepääsu otstarbekuse ja sihipärase kasutuse eest vastutavad verekeskus, verekabinet ja referentlabor.

(5) Infosüsteemi andmetele tagatakse otsejuurdepääs:

1) infosüsteemide andmevahetuskihi kaudu;

2) volitatud töötleja määratud kasutajaõiguste alusel ja viisil;

3) verekeskusele, verekabinetile, referentlaborile, Ravimiametile ja Tervisekassale seadusest tulenevate õiguste, kohustuste ja ülesannete täitmiseks.

(6) Andmete väljastamine infosüsteemist tagatakse:

1) ühekordse andmepäringuna taotluse alusel;

2) poolte vahel sõlmitud lepingu alusel.

(7) Infosüsteemist andmete väljastamise aja ja viisi ning väljastatud andmete saajate ja koosseisu üle peab arvestust infosüsteemi volitatud töötleja.

§ 12. Doonori isikusamasuse tuvastamine

(1) Doonori isikusamasus loetakse tuvastatuks, kui:

1) doonori isikusamasuse on tuvastanud selleks pädev isik õigusaktis sätestatud korras;

2) doonor on ennast autentinud autentimisvahendi, isikut tõendava dokumendi või muu samaväärse vahendi abil.

§ 13. Doonori õigus nõuda ebaõigete isikuandmete parandamist

(1) Doonoril on õigus muuta infosüsteemis ainult neid andmeid, mille ta on ise infosüsteemi esitanud.

(2) Doonoril on õigus nõuda infosüsteemi ebaõigeid isikuandmeid edastanud isikult õigete isikuandmete edastamist. Kui doonor teavitab infosüsteemi vastutavat või volitatud töötlejat nimetatud nõude esitamisest, algatab infosüsteemi volitatud töötleja menetluse andmete parandamiseks.

(3) Kui ebaõiged isikuandmed esitanud doonor teavitab andmeandjat isikuandmete ebaõigsusest, edastab andmeandja viivitamata parandatud isikuandmed infosüsteemi.

(4) Isikuandmetega, mille ebaõigsus on tuvastatud, võivad tutvuda doonor ja ebaõigete isikuandmete esitaja.

§ 14. Infosüsteemi tarkvaralahenduse kasutamine

(1) Doonori seisundi hindamise ja tervisesoovituste kasutamiseks võib infosüsteemi andmekoosseisu ulatuses ning lähtuvalt seaduses sätestatud eesmärkidest kasutada tarkvaralahendust.

(2) Juhul kui lõikes 1 nimetatud infosüsteemis kasutatavat tarkvaralahendust käsitatakse meditsiiniseadmena, peab see olema registreeritud meditsiiniseadmete ja abivahendite andmekogus, kui sellekohane kohustus tuleneb õigusaktist.

§ 15. Andmelao kasutamine

(1) Andmelaos töödeldakse pseudonüümitud isikuandmeid äriprotsesside toetamiseks, poliitika kujundamiseks, mõjude hindamiseks, teabenõuetele vastamiseks ja statistika tegemiseks.

(2) Andmelaos tagatakse juurdepääs:

1) andmeandjale tema enda edastatud andmetele;

2) vastutavale ja volitatud töötlejale, haldusorganile nendele andmetele, mis on vajalikud tema seadusest või selle alusel antud õigusaktist tulenevate ülesannete täitmiseks.

(3) Andmelao avaandmed avalikustatakse volitatud töötleja veebilehel masinloetaval kujul.

5. peatükk Infosüsteemi järelevalve, rahastamine ja lõpetamine

§ 16. Järelevalve

(1) Järelevalvet infosüsteemi pidamise üle teevad kaasvastutavad töötlejad ja Andmekaitse Inspektsioon vastavalt õigusaktides sätestatud pädevusele.

(2) Infosüsteemi kaasvastutaval ja volitatud töötlejal on õigus kontrollida põhimääruses kehtestatud tingimuste täitmist ja nõuete järgimist.

§ 17. Rahastamine

(1) Infosüsteemi rahastatakse riigieelarvest Sotsiaalministeeriumi ja Tervisekassa eelarve kaudu.

§ 18. Infosüsteemi lõpetamine

(1) Infosüsteemi lõpetamine otsustatakse valdkonna eest vastutava ministri määrusega vastavalt avaliku teabe seaduses sätestatule.

6. peatükk Rakendussätted

§ 19. Üleminekusätted

(1) Verekeskus, verekabinet ja referentlabor on kohustatud infosüsteemi andmeid esitama hiljemalt 1. juulist 2027. a.

(2) Paragrahvi 11 lõike 5 punktis 3 ja § 15 lõikes 2 nimetatud juurdepääsu rakendatakse tehnilise lahenduse valmimisel, kuid hiljemalt 1. juulist 2027. a.

(3) Paragrahvi 8 lõigetes 1 ja 2 sätestatut rakendatakse andmevahetuse tehnilise lahenduse valmimisel, kuid hiljemalt 1. juulist 2027. a.

(4) Paragrahvi 3 lõike 2 punktis 9 sätestatud klassifikaatorite, loendite ja standardite pidamine ning standardite ja klassifikatsioonide publitseerimine tagatakse hiljemalt 1. juuliks 2027. a.

§ 20. Jõustumine

(1) Määrus jõustub 1. aprillil 2026. a.

📎 SOM_m12_lisa.pdf (PDF annex)

Sotsiaalminister

Karmen Joller

Kantsler

Maarjo Mändmaa