Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä

Eduskunnan päätöksen mukaisesti säädetään:

I OSA. LAIN SOVELTAMISALA JA ASIAKASTIETOJEN KÄSITTELY

1 luku. Yleiset säännökset

1 § Lain tarkoitus

Tämän lain tarkoituksena on yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveydenhuollossa sekä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa.

2 § Soveltamisala ja suhde muuhun lainsäädäntöön

Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta EU 2016/679, jäljempänä tietosuoja-asetus, täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluiden järjestämisen ja toteuttamisen käyttötarkoituksissa. Tässä laissa säädetään myös hyvinvointitietojen käsittelystä henkilön omaa hyvinvointia edistettäessä. Jos tässä laissa säädetään toisin kuin tietosuojalaissa (1050/2018), sovelletaan tämän lain säännöksiä.

Sähköisen lääkemääräyksen ja muiden reseptikeskukseen tallennettavien lääkehoitoa koskevien merkintöjen käsittelystä säädetään tämän lain lisäksi sähköisestä lääkemääräyksestä annetussa laissa (61/2007), jäljempänä lääkemääräyslaki.

Tällä lailla annetaan toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annettua Euroopan parlamentin ja neuvoston direktiiviä (EU) 2022/2555 (NIS 2 -direktiivi) ja kyberturvallisuuslakia (124/2025) täydentävät ja täsmentävät säännökset käsiteltäessä sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa.

3 § Määritelmät

Tässä laissa tarkoitetaan:

1) asiakkaalla sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, tarkoitettua sosiaalihuollon asiakasta sekä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, tarkoitettua potilasta;

2) asiakirjalla kirjallista ja kuvallista esitystä sekä sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla;

3) asiakasasiakirjalla asiakirjaa, joka on laadittu tai vastaanotettu tai joka sisältää tietoja asiakkaan sosiaali- tai terveyspalvelujen tarpeen arviointia varten, tarvittavien palvelujen järjestämistä tai toteuttamista varten taikka lääkkeen toimittamista varten;

4) potilasasiakirjalla potilasta koskevaa asiakasasiakirjaa;

5) sosiaalihuollon asiakasasiakirjalla sosiaalihuollon asiakasta koskevaa asiakasasiakirjaa;

6) asiakastiedolla potilastietoa ja sosiaalihuollon asiakastietoa;

7) potilastiedolla potilasasiakirjaan ja muuhun terveydenhuollossa laadittuun asiakirjaan sisältyvää potilaan terveydentilaa tai toimintakykyä tai tämän saamaa terveyspalvelua koskevaa asiakastietoa;

8) sosiaalihuollon asiakastiedolla sosiaalihuollon asiakasasiakirjaan ja muuhun sosiaalihuollossa laadittuun asiakirjaan sisältyvää sosiaalihuollon asiakkaan tuen tarvetta, hänen asiansa käsittelyä tai hänelle annettavaa sosiaalipalvelua koskevaa asiakastietoa;

9) hyvinvointitiedolla henkilön itsensä tuottamaa ja hallinnoimaa ja hänen terveyttään ja hyvinvointiaan koskevaa tietoa, jonka henkilö on tallentanut 17 kohdassa tarkoitettuun omatietovarantoon;

10) luovutusluvalla henkilön tahdonilmaisua, jolla henkilö tai hänen laillinen edustajansa antaa luvan asiakastietojen luovuttamiseen sosiaali- ja terveydenhuollon palvelunantajien ja niiden asiakastietoja sisältävien rekisterien välillä sosiaali- ja terveyspalvelujen järjestämiseksi ja toteuttamiseksi;

11) palvelunantajalla viranomaista, julkisoikeudellista yhteisöä, yksityistä elinkeinonharjoittajaa, yhteisöä tai säätiötä, joka järjestää tai toteuttaa sosiaalipalveluja tai terveyspalveluja sekä työnantajaa, joka järjestää työterveyshuollon palvelut työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdassa tarkoitetulla tavalla;

12) apteekilla lääkelain (395/1987) 38 §:n 1 kohdassa tarkoitettua apteekkia;

13) apteekkarilla lääkelain 38 §:n 6 kohdassa tarkoitettua henkilöä, jolle on myönnetty lupa apteekin pitämiseen sekä yliopiston apteekin ja sen sivuapteekin apteekin hoitajaa;

14) valtakunnallisella asiakastietovarannolla valtakunnallisiin tietojärjestelmäpalveluihin kuuluvaa asiakastietojen tietovarantoa, jossa säilytetään ja jonka avulla hyödynnetään asiakasasiakirjoja, muita asiakastietoja sisältäviä asiakirjoja tai muuta sosiaali- ja terveydenhuollon kannalta tarpeellista tietoa;

15) tiedonhallintapalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla tuotetaan potilastiedon yhteenvetoja;

16) tahdonilmaisupalvelulla valtakunnallista tietojärjestelmäpalvelua, jolla ylläpidetään informointi-, luovutuslupa-, suostumus- ja kieltoasiakirjoja, sosiaali- ja terveyspalveluihin liittyviä tahdonilmauksia sekä muita sosiaali- ja terveysalan palveluihin ja asiakastietojen käsittelyyn liittyviä tahdonilmauksia;

17) omatietovarannolla hyvinvointitietojen säilyttämistä ja käsittelemistä varten valtakunnallisiin tietojärjestelmäpalveluihin muodostettua keskitettyä tietovarantoa;

18) hyvinvointisovelluksella sovellusta, joka liittyy omatietovarantoon ja jolla käsitellään hyvinvointitietoa, sekä sovellusta, johon henkilö voi saada asiakastietonsa valtakunnallisesta asiakastietovarannosta, reseptikeskuksesta tai tiedonhallintapalvelusta;

19) tietojärjestelmällä ohjelmistoa, järjestelmää tai osajärjestelmää, jota valmistajan suunnittelemien ominaisuuksien mukaisesti on tarkoitettu käytettäväksi asiakasasiakirjojen sähköiseen käsittelyyn, asiakirjojen tallentamiseen valtakunnallisiin tietojärjestelmäpalveluihin tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai jolla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja;

20) tietojärjestelmäpalvelun tuottajalla tahoa, joka tarjoaa tai toteuttaa palvelunantajalle kohdassa 19 tarkoitettua tietojärjestelmää ja joka vastaa tietojärjestelmän valmistajana, valmistajan lukuun tai yhden tai useamman valmistajan puolesta tietojärjestelmälle asetetuista vaatimuksista;

21) tietojärjestelmän valmistajalla tahoa, joka on vastuussa sosiaali- ja terveydenhuollon tietojärjestelmän suunnittelusta ja valmistuksesta;

22) välittäjällä palvelunantajan tietojärjestelmäpalvelujen tuottamisessa, tietojärjestelmien teknisen tai fyysisen käyttöympäristön toteuttamisessa tai valtakunnallisiin tietojärjestelmäpalveluihin liittymisessä käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä ylläpitotoimien yhteydessä tai muutoin salaamattomia asiakastietoja;

23) sertifioinnilla menettelyä, jolla todennetaan tietojärjestelmän tai hyvinvointisovelluksen täyttävän sitä koskevat tuotantokäyttöä varten vaadittavat olennaiset vaatimukset;

24) tietoturvallisuuden arviointilaitoksella tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitettua yritystä, yhteisöä tai viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt.

2 luku. Asiakastietojen käsittelyä koskevat yleiset periaatteet

4 § Asiakastietojen salassapito

Sosiaali- ja terveydenhuollon asiakastiedot ovat pysyvästi salassa pidettäviä.

Salassa pidettävää asiakastietoa sisältävää asiakirjaa taikka sen kopiota tai tulostetta ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi. Sivullisella tarkoitetaan tässä laissa terveydenhuollossa muita kuin asianomaisen palvelunantajan tai apteekin palveluksessa, lukuun tai sen toimeksiannosta potilaan terveyspalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä ja sosiaalihuollossa muita kuin asianomaisen palvelunantajan palveluksessa, lukuun tai sen toimeksiannosta sosiaalihuollon asiakkaan sosiaalipalvelujen järjestämiseen tai toteuttamiseen taikka niihin liittyviin tehtäviin osallistuvia henkilöitä.

Terveydenhuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia potilaan hoidon toteuttamisen kannalta välttämättömiä potilastietoja salassapitosäännösten estämättä. Sosiaalihuollon toimintayksiköissä saa käsitellä palvelunantajan rekisteriin kuuluvia sosiaalihuollon toteuttamisen kannalta välttämättömiä asiakastietoja salassapitosäännösten estämättä.

5 § Vaitiolovelvollisuus ja hyväksikäyttökielto

Palvelunantaja ja apteekkari sekä niiden palveluksessa tai harjoittelijana oleva tai muu palvelunantajan ja apteekkarin toimeksiannosta tai sen lukuun toimiva taho samoin kuin sosiaalihuollon luottamustehtävää hoitava tai asiakastietoja palvelunantajalta tai apteekilta saanut taho ovat saamiensa asiakastietojen ja muiden asiakasta koskevien henkilökohtaisten tietojen osalta vaitiolovelvollisia. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde tai tehtävä on päättynyt.

Edellä 1 momentissa tarkoitettu henkilö ei saa oikeudettomasti ilmaista sivulliselle saamiaan tietoja eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Asiakas, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asiakkuuden perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asiakasta itseään eikä käyttää niitä omaksi taikka toisen hyödyksi tai toisen vahingoksi. Asiakas, hänen edustajansa tai avustajansa saa kuitenkin käyttää muitakin kuin häntä itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asiakkaan tiedonsaantioikeus on perustunut.

6 § Vaitiolovelvollisuudesta ja salassapidosta poikkeaminen

Vaitiolovelvollisuudesta ja salassapidosta saa poiketa asiakkaan suostumuksella tai jos siitä on tässä tai muussa laissa säädetty.

7 § Asiakastietojen käsittelyn ohjeet

Palvelunantajan vastaavan johtajan ja apteekkarin on annettava kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehdittava henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä.

8 § Asiakastietojen käsittelyyn osallistuvien tunnistaminen

Asiakastietojen käsittelyssä asiakas, palvelunantaja, apteekki, muu asiakastietojen käsittelyn osapuoli ja näiden edustajat sekä tietotekniset laitteet ja valtakunnalliset tietojärjestelmäpalvelut on tunnistettava luotettavasti.

Palvelunantajan, apteekin, Kansaneläkelaitoksen sekä tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan ja välittäjän on tarkistettava asiakastietoja käsittelevien henkilöiden sekä tietoteknisten laitteiden tunnistamisessa käytettävien tunnistusvälineiden voimassaolo noudattaen, mitä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009), jäljempänä tunnistus- ja luottamuspalvelulaki, 25 §:n 4–6 momentissa säädetään.

9 § Käyttöoikeus asiakastietoon

Oikeuden käyttää asiakastietoja on perustuttava sosiaali- tai terveydenhuollon ammattihenkilön ja muun asiakastietoja käsittelevän henkilön työtehtävään ja annettavaan palveluun siten, että henkilöllä on oikeus käyttää vain työtehtävissään tarvitsemiansa välttämättömiä asiakastietoja. Asiakastietojen käsittelyn perusteena on oltava tietoteknisesti varmistettu asiakas- tai hoitosuhde tai muu asiakkaan sosiaali- ja terveyspalvelun järjestämiseen ja toteuttamiseen liittyvä tehtävä.

Sosiaali- ja terveysministeriön asetuksella säädetään, mitä tietoja ammattihenkilöt ja muut asiakastietoja käsittelevät henkilöt työtehtävänsä ja annettavan palvelun perusteella saavat käyttää.

Palvelunantajan ja apteekin on määriteltävä, mitä välttämättömiä asiakastietoja sosiaali- ja terveydenhuollon ammattihenkilöllä ja muulla asiakastietoja käsittelevällä henkilöllä on oikeus käyttää. Palvelunantajan ja apteekin on pidettävä rekisteriä asiakastietojen käsittelyssä käytettävien tietojärjestelmiensä ja asiakasrekisteriensä käyttäjistä sekä näiden oikeuksista käyttää asiakastietoja.

10 § Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta

Palvelunantajan on kerättävä lokitiedot rekisterikohtaisesti kaikesta asiakastietojen ja hyvinvointitietojen käytöstä ja luovutuksesta seurantaa ja valvontaa varten. Apteekin on kerättävä käyttölokitiedot lääkemääräysten ja muiden lääkemääräyslain 3 §:n 1 momentin 4 kohdassa tarkoitettuun reseptikeskukseen tallennettujen lääkehoitoa koskevien merkintöjen käsittelystä.

Käyttölokirekisteriin on tallennettava tieto käytetyistä asiakas- ja hyvinvointitiedoista, siitä palvelunantajasta, jonka asiakastietoja käytetään, asiakas- ja hyvinvointitietojen käyttäjän nimestä ja yksilöivästä tunnisteesta, tietojen käyttötarkoituksesta ja käyttöajankohdasta sekä muista käytönvalvontaa ja seurantaa varten tarvittavista tiedoista. Reseptikeskusta koskeviin lokitietoihin on tallennettava tiedot siitä, ketkä ovat katsoneet, muuttaneet tai muutoin käsitelleet lääkemääräyksen tai muun reseptikeskukseen tallennetun lääkehoitoa koskevan merkinnän tietoja sekä toimenpiteen ajankohta.

Luovutuslokirekisteriin on tallennettava kuvaus luovutetuista asiakastiedoista sekä tieto siitä palvelunantajasta, jonka asiakastietoja luovutetaan, asiakastietojen luovuttajasta, luovutuksen saajasta, luovutusajankohdasta, käyttötarkoituksesta, johon tiedot on luovutettu sekä luovutuksen perusteena oleva säännös taikka luovutuslupaa tai suostumusta koskevat tiedot sekä muut luovutusten valvontaa ja seurantaa varten tarvittavat tiedot.

Terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.

11 § Asiakkaan tiedonsaantioikeus tietojensa käsittelystä

Asiakkaalla on oikeus saada asiakastietojensa ja hyvinvointitietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta, Kansaneläkelaitokselta tai apteekilta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille tai jos niiden antaminen saattaisi vaarantaa rikosten estämisen, paljastamisen ja selvittämisen taikka yleisen turvallisuuden tai kansallisen turvallisuuden suojelemisen. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.

Jos asiakas pyytää uudestaan lokitietoja, jotka hän on jo saanut, palvelunantaja, Kansaneläkelaitos tai apteekki voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 74 §:ssä tarkoitetun kansalaisen käyttöliittymän avulla ei kuitenkaan saa periä maksua.

Jos palvelunantaja, Kansaneläkelaitos tai apteekki katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.

Jos asiakas katsoo, että hänen asiakastietojaan tai hyvinvointitietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelunantajan, Kansaneläkelaitoksen tai apteekin on annettava asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista sekä esitettävä perusteltu käsityksensä siitä, onko tietojen käyttö tai luovuttaminen ollut lain mukaista. Jos palvelunantaja, Kansaneläkelaitos tai apteekki arvioi tietojen käsittelyn olleen lainvastaista, sen on oma-aloitteisesti ryhdyttävä välttämättömiin toimenpiteisiin.

12 § Oikeus kieltäytyä asiakkaan pyynnöstä rajoittaa tietojen käsittelyä

Palvelunantaja saa kieltäytyä toteuttamasta asiakkaan pyyntöä rajoittaa henkilötietojensa käsittelyä tietosuoja-asetuksen 18 artiklan nojalla, jos tietojen käsittelyn rajoittamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.

3 luku. Sosiaali- ja terveydenhuollon asiakastietojen rekisterinpito

13 § Asiakastietojen rekisterinpitäjä

Julkisessa sosiaali- ja terveydenhuollossa palvelun järjestämisestä vastaava palvelunantaja on asiakastietojen rekisterinpitäjä, jos ei muualla laissa toisin säädetä. Yksityisessä sosiaali- ja terveydenhuollossa asiakastietojen rekisterinpitäjä on se palvelunantaja, jonka kanssa asiakas on tehnyt sopimuksen palvelun toteuttamisesta.

Työterveyshuollossa rekisterinpitäjä on se palvelunantaja, jonka kanssa työnantaja on tehnyt sopimuksen työterveyshuoltopalveluiden toteuttamisesta taikka työterveyshuoltolain 7 §:ssä tarkoitettu työnantaja, joka järjestää itse työterveyshuollon.

14 § Palveluntuottajan vastuut toisen palvelunantajan lukuun toimittaessa

Kun palveluntuottaja antaa sosiaali- tai terveyspalveluja toisen palvelunantajan lukuun, vastaa palveluntuottaja:

1) asiakastietojen kirjaamisesta ja tallentamisesta lukuun toimimansa palvelunantajan rekisteriin;

2) käyttöoikeuksien antamisesta asiakastietoihin omassa organisaatiossaan;

3) henkilötietojen käsittelyn aktiivisesta ohjauksesta ja valvonnasta organisaatiossaan;

4) alkuperäisten asiakasasiakirjojen toimittamisesta lukuun toimimallensa palvelunantajalle viipymättä; sekä

5) tietosuoja-asetuksessa ja viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, säädettyjen asiakkaan oikeuksien toteuttamisesta yhdessä lukuun toimimansa palvelunantajan kanssa.

Palvelunantajan ja palveluntuottajan on sovittava tarkemmin 1 momentin 4 kohdassa tarkoitettujen asiakasasiakirjojen toimittamisesta ja 5 kohdassa tarkoitettujen asiakkaan oikeuksien toteuttamisesta sekä muista tietosuoja-asetuksen 28 artiklassa tarkoitetuista seikoista.