Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujenkäytöstä v 1.2 15.10.2018

Tällä sopimuksella yksityinen sosiaali- ja/tai terveydenhuollon palvelunantaja (pääliittyjä) ja pääliittyjän tietojärjestelmiä hyödyntävä sosiaali- ja/tai terveydenhuollon palvelunantaja (vuokralainen) sopivat Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä sekä liittymistä ja käyttöä koskevien ehtojen ja vaatimusten täyttämisestä (yhdessä osapuolet) kulloinkin voimassa olevien Kanta-palveluihin liittymistä ja Kanta-palvelujen käyttöä koskevien lakien, asetusten sekä kansallisten määräysten ja toimintaohjeiden mukaisesti. Sopimuksen teon hetkellä voimassa olevat lait ovat laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (asiakastietolaki 159/2007), laki sähköisestä lääkemääräyksestä (lääkemääräyslaki 61/2007), EU:n yleinen tietosuoja-asetus ja muu voimassa oleva tietosuojalainsäädäntö.

Sopimuksen liitteessä 1 sovitaan mitä Kanta-palveluja vuokralainen käyttää pääliittyjän tietojärjestelmiä hyödyntäen.

Pääliittyjällä tarkoitetaan luvan- tai ilmoituksenvaraista sosiaali- ja/tai terveydenhuollon palvelunantajaa, joka vastaa potilasrekisterin ja lokirekisterin teknisestä ylläpidosta.

Vuokralaisella tarkoitetaan pääliittyjän tietojärjestelmiä hyödyntävää luvan- tai ilmoituksenvaraista sosiaali- ja/tai terveydenhuollon palvelunantajaa, joka liittyy pääliittyjän kautta Kanta-palvelujen käyttäjäksi. Vuokralainen on luovuttanut potilasrekisterinsä teknisen ylläpidon pääliittyjälle sekä hyödyntää pääliittyjän tietojärjestelmiä ja liittyy pääliittyjän kautta Kanta-palvelujen käyttäjäksi.

Vuokralaisella on oltava joko voimassa oleva lupa yksityisen sosiaali- tai terveydenhuollon palvelun tuottamiseen tai, jos vuokralainen on itsenäinen ammatinharjoittaja, hänen on tullut tehdä toiminnastaan ilmoitus aluehallintovirastolle.

2 Liittymisvelvoitteet ja vastuut

Liittymishakemuksen Kelaan tekee pääliittyjä. Vuokralainen ei tee omaa liittymishakemustaan, vaan liittyy Kanta-palveluihin pääliittyjän kautta.

Pääliittyjä on velvollinen laatimaan tietoturvaan ja -suojaan sekä tietojärjestelmien käyttöön liittyvän omavalvontasuunnitelman kulloinkin voimassa olevien lakien, asetusten sekä kansallisten määräysten ja toimintaohjeiden mukaisesti. Vuokralainen on osaltaan velvollinen noudattamaan omavalvontasuunnitelmaa ja toimimaan sen mukaisesti.

Osapuolet sitoutuvat noudattamaan kulloinkin voimassa olevia Kanta- palvelujen yleisiä toimitusehtoja ja palvelukuvauksia. Pääliittyjä sitoutuu ajantasaisesti tiedottamaan vuokralaista Kanta-palvelujen yleisistä toimitusehdoista, pääliittyjän kautta käytettävissä olevista Kanta-palvelujen palvelukuvauksista ja näihin dokumentteihin liittyvistä muutoksista.

Vuokralainen vastaa, että se ja kaikki sen lukuun toimivat palvelunantajat ja ammattihenkilöt ovat tietoisia tästä sopimuksesta ja noudattavat sitä kuin olisivat suoraan sopimuksen osapuolia.

Lisätietoja: xxxxx.xx

> Ketkä liittyvät Kanta-palveluihin

> Miten liitytään Kanta-palveluihin

> Kanta-palvelujen yleiset toimitusehdot

> Potilastiedon arkiston palvelukuvaus

> Resepti-palvelun palvelukuvaus

> Sertifiointi

3 Kanta-palveluihin liittyvät tietojärjestelmät ja niiden ylläpito

Pääliittyjä vastaa siitä, että

• käytössä olevat tietojärjestelmät ja välityspalvelut ovat sertifioituja ja että niitä päivitetään lainsäädännön vaatimusten ja määritysten mukaan.

• tietojärjestelmien ylläpito hoidetaan asianmukaisesti.

• Kanta-palvelujen käyttämien tukipalvelujen (esimerkiksi Lääketietokannan) tietojen päivitykset tapahtuvat kulloinkin voimassa olevan lainsäädännön, asetusten ja ohjeiden mukaisesti.

Tässä sopimuksessa tietojärjestelmällä tarkoitetaan asiakastietolain 159/2007 19 b §:ssä tarkoitettua luokan A tietojärjestelmää kuten potilastietojärjestelmää, web-reseptisovellusta taikka muuta sellaista sertifioitua järjestelmää, jolla käytetään Kanta-palveluja.

Lisätietoja: xxxxx.xx > Sertifiointi

4 Toiminta häiriötilanteissa

4.1 Tietojärjestelmän häiriö

Vuokralainen ja sen lukuun toimivat ammattihenkilöt ovat velvollisia ilmoittamaan pääliittyjän nimeämälle henkilölle tietojärjestelmässä havaitsemastaan häiriötilanteesta.

Pääliittyjä ilmoittaa Kanta-palveluihin liittyvästä häiriöstä vuokralaiselle ja Kelalle. Pääliittyjän vastuulla on ilmoittaa tietojärjestelmän valmistajalle havaitsemansa merkittävät poikkeamat tietojärjestelmän olennaisten vaatimusten täyttymisessä. Pääliittyjä on velvollinen ilmoittamaan Valviralle sellaisesta poikkeamasta, joka aiheuttaa merkittävän riskin potilasturvallisuudelle, tietoturvalle tai tietosuojalle.

4.2 Henkilötietojen tietoturvaloukkaus tai sen epäily

Jos havaitaan henkilötietojen tietoturvaloukkaus tai sen epäily, havaitsijan on ilmoitettava siitä viipymättä sille rekisterinpitäjälle, jonka tietoihin loukkaus tai sen epäily kohdistuu (kts kpl 14 Rekisterinpitäjäyys). Vuokralainen ilmoittaa asiasta myös pääliittyjälle. Kela on Reseptikeskuksen rekisterinpitäjä, joten reseptitietoihin kohdistunut henkilötietojen tietoturvaloukkaus tai sen epäily ilmoitetaan Kelalle.

Rekisterinpitäjä arvioi tietosuoja-asetuksen perusteella loukkauksen riskit rekisteröidyille ja tekee tarvittaessa ilmoituksen valvovalle viranomaiselle (tietosuojavaltuutetulle) 72 tunnin kuluessa ja myös tarvittaessa rekisteröidyille. Osapuolten tulee avustaa rekisterinpitäjää loukkausepäilyn selvittämisessä ja vahinkojen rajoittamisessa

Henkilötietojen tietoturvaloukkauksesta säädetään EU-tietosuoja-asetuksen 33 ja 34 artikloissa.

Lisätietoja: xxxxx.xx > Häiriötilanneohje

5 Tekninen toimintaympäristö ja tukipalvelut

Pääliittyjä vastaa

• teknisestä toimintaympäristöstä ja siitä, että Kanta-palvelujen käyttöön liittyvät vaatimukset täyttyvät, sekä siitä, että tietoliikenneyhteydet ja tekniset tukipalvelut ovat olemassa ja käytettävissä ja että niiden ylläpito hoidetaan asianmukaisesti.

• siitä, että järjestelmän käyttäjillä on käytettävissään dokumentoidut kuvaukset teknisestä toimintaympäristöstä ja tukipalveluista sekä noudatettavista menettelytavoista.

Vuokralainen sitoutuu

• noudattamaan toiminnassaan edellä mainittuja ohjeita sekä

• huolehtimaan siitä, että kaikki sen lukuun toimivat ammattihenkilöt ovat tietoisia ohjeista ja noudattavat niitä toiminnassaan.

6 Tietojärjestelmän käyttäjä- ja käyttöoikeushallinta

Pääliittyjä vastaa tietojärjestelmiensä käyttäjä- ja käyttöoikeuksista omavalvontasuunnitelman vaatimusten mukaisesti.

Vuokralainen vastaa omien tunnustensa käytöstä omavalvontasuunnitelman vaatimusten mukaisesti.

Käyttäjä- ja käyttöoikeushallinnasta säädetään asiakastietolaissa, lääkemääräyslaissa, potilasasiakirja-asetuksessa (298/2009) ja lääkemääräysasetuksessa (485/2008).

Lisätietoja: xxxxx.xx > Sertifiointi

7 Palvelinvarmenteiden hankinta

Pääliittyjä vastaa

• siitä, että tarvittavat palvelinvarmenteet on hankittu ja niiden ylläpito on lainsäädäntöön ja erikseen annettuihin määräyksin perustuen asianmukaista.

• vastaa Potilastiedon arkistoon liittyen järjestelmäallekirjoitusvarmenteen hankkimisesta.

Lisätietoja: Väestörekisterikeskus > Varmenteet-FINeID

8 Kortinlukijat, kortinlukijaohjelmistot ja varmennekortit

Pääliittyjä vastaa

• kortinlukijoiden ja kortinlukijaohjelmistojen hankinnasta ja siitä, että niiden ylläpito hoidetaan lainsäädäntöön ja erikseen annettuihin määräyksiin perustuen asianmukaisesti.

• siitä, että järjestelmän käyttäjillä on käytettävissään kirjalliset ohjeet varmennekorttien käsittelystä ja noudatettavista menettelytavoista.

Vuokralainen sitoutuu

• noudattamaan toiminnassaan edellä mainittuja ohjeita sekä

• huolehtimaan siitä, että kaikki sen lukuun toimivat ammattihenkilöt ovat tietoisia ohjeista ja noudattavat niitä toiminnassaan.

9 Kirjalliset ohjeet asiakastietojen käsittelystä

Pääliittyjä vastaa siitä, että järjestelmän käyttäjillä on käytettävissään kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista.

Vuokralainen sitoutuu noudattamaan toiminnassaan edellä mainittuja ohjeita sekä huolehtimaan siitä, että kaikki sen lukuun toimivat palvelunantajat ja ammattihenkilöt ovat tietoisia ohjeista ja noudattavat niitä toiminnassaan.

Lisätietoja: xxxxx.xx > Potilastiedon arkiston ja reseptin toimintamallit

10 Tarvittava osaamisen ylläpito

Pääliittyjä vastaa siitä, että vuokralaiselle tiedotetaan koulutustarpeesta pääliittyjän kautta käytössä olevista Kanta-palveluista ja niiden käytöstä.

Vuokralainen vastaa siitä, että vuokralainen ja sen lukuun toimivat ammattihenkilöt hankkivat ja ylläpitävät Kanta-palvelujen käyttöön liittyvän tarpeellisen osaamisen pääliittyjän ohjeistuksen mukaan sekä noudattavat annettuja ohjeita ja voimassa olevia sääntöjä.

11 Tietoturvapolitiikka

Pääliittyjä vastaa lakien ja asetusten mukaisen tietoturvapolitiikan laatimisesta. Tietoturvapolitiikasta on laadittu ohjeet pääliittyjän omavalvontasuunnitelmassa.

Vuokralainen vastaa siitä, että sen lukuun toimivat ammattihenkilöt sitoutuvat noudattamaan pääliittyjän laatimaa tietoturvapolitiikkaa.

12 Arkistonhoitajan tehtävät Kanta-palveluissa

Pääliittyjä järjestää arkistonhoitajan palvelut vuokralaiselle Potilastiedon arkiston osalta. Arkistonhoidosta vastaavan henkilö auttaa vuokralaista sille kuuluvien velvoitteiden toteuttamisessa. Pääliittyjän nimeämä henkilö tai nimeämät henkilöt voivat käyttää Potilastiedon arkiston Arkistonhoitajan käyttöliittymää arkistonhoitajan hallinnollisissa tehtävissä (kuten esimerkiksi

käyttöönottokokeessa ja mahdollisissa virheselvittelytilanteissa) vuokralaisen pääliittyjän alaisuudessa rekistereihinsä tuottamien aineistojen osalta.

Lisätietoja: xxxxx.xx > Arkistonhoitajan käyttöliittymä

13 Xxxxxxxx informointi, suostumukset ja kiellot

Molemmat osapuolet vastaavat siitä, että ne ja niiden lukuun toimivat palvelunantajat informoivat potilasta pääliittyjällä käytössä olevista Kanta- palveluista kulloinkin voimassa olevien lakien, asetusten sekä kansallisten määräysten ja toimintaohjeiden mukaisesti. Pääliittyjä vastaa siitä, että informoinnissa tarvittavaa materiaalia pääliittyjällä käytettävistä olevista Kanta- palveluista on toimijoiden saatavilla.

Molemmat osapuolet vastaavat siitä, että suostumusten ja kieltojen vastaanottamisen osalta noudatetaan kulloinkin voimassa olevien lakien, asetusten sekä kansallisten määräysten ja toimintaohjeiden mukaisia käytäntöjä. Pääliittyjä vastaa siitä että potilaiden allekirjoittamat suostumus- ja kieltoasiakirjat arkistoidaan asianmukaisesti.

Lisätietoja: xxxxx.xx > Materiaalipankki

14 Rekisterinpitäjyys

Potilasasiakirjojen rekisterinpitäjänä toimivat pääliittyjä oman henkilöstönsä tuottamien potilasasiakirjojen osalta ja vuokralainen omassa toiminnassaan syntyvien potilasasiakirjojen osalta (potilaslaki (785/1992) 12 § 1 mom., potilasasiakirja-asetus 22 § ja muu voimassaoleva tietosuojalainsäädäntö).

Pääliittyjä ja vuokralainen sopivat erillisellä sopimuksella potilasasiakirjatietojen käsittelyyn liittyvistä tehtävistä ja vastuista sekä varmistaneet, että potilasasiakirjoihin sisältyvien tietojen salassapitoa ja vaitiolovelvollisuutta koskevia säännöksiä noudatetaan.

Tiedonhallintapalvelun ja Reseptikeskuksen rekisterinpitäjänä toimii Kela (asiakastietolaki 14 a § ja lääkemääräyslaki 18 §).

15 Sähköisten lääkemääräysten uudistamispyyntöjen käsittely

Pääliittyjä päättää, ottaako se lääkemääräyksen uudistamispyyntöjä vastaan.

Lääkemääräyksen uudistamispyynnön käsittely on ensisijaisesti kyseisen lääkemääräyksen kirjoittaneen lääkärin tehtävä. Pääliittyjä toimii uudistamispyyntöjen teknisenä vastaanottajana, joka välittää uudistamispyynnöt vuokralaiselle. Jos vuokralainen on estynyt uudistamasta lääkemääräystä, uudistamispyyntö ohjataan pääliittyjän vastuulääkärille. Tämä arvioi jatkotoimenpiteet ja ilmoittaa potilaalle, mikäli lääkemääräystä ei voida uusia.

Vuokralainen, pääliittyjän vastuulääkäri ja pääliittyjä vastaavat yhdessä siitä, että potilas saa tiedon uudistamispyynnön hylkäämisestä.

Sähköisen lääkemääräyksen uudistamisesta säädetään lääkemääräyslain 10

§:n 3 momentissa ja lääkemääräysasetuksen 2 §:n 2 momentissa.

16 Virheellisen tiedon korjaaminen

Potilastiedon arkiston virheellisen tiedon korjaamisesta säädetään potilasasiakirja-asetuksen 20 §:ssä ja EU:n yleisen tietosuoja-asetuksen 16 artiklassa.

Virheellisen lääkemääräyksen korjaamisesta säädetään lääkemääräyslain 10

§:ssä, 16 §:ssä ja EU:n yleisen tietosuoja-asetuksen 16 artikalssa.

Lisätietoja: xxxxx.xx

> Potilastiedon arkiston toimintamallit

> Reseptin toimintamallit

> Potilaan oikeudet

17 Tietojen lainmukainen käyttö ja tietosuoja

Tietosuojavastaava toteuttaa tietojen käsittelyn seurantaa ja valvontaa ja raportoi organisaation johdolle. Tehtävät on määritelty asiakastietolaissa, lääkemääräyslaissa ja EU:n yleisessä tietosuoja-asetuksessa. Pääliittyjä nimeää tietosuojavastaavan(/t) tietojen käsittelyn lainmukaisuuden seuranta- ja valvontatehtäviä varten ja tarvittaessa järjestää tietosuojavastaavan palvelut vuokralaiselle. Tietosuojavastaava voi olla sama henkilö, vaikka nimike ja tehtävät tulevat eri laista.

17.1 Potilastiedon arkisto

Pääliittyjä vastaa siitä, että

17.2 Reseptikeskus

• tietojärjestelmää käytettäessä kerätään lokitiedot potilasrekisterikohtaisesti kaikesta potilastietojen käytöstä, ja että asiakirjojen luovutuksista kirjataan tiedot lokirekisteriin.

• myös Potilastietojen arkistosta luovutettujen tietojen käyttöä seurataan lokivalvonnan avulla. Erityisesti seurataan hätätilahakujen ja erityissuojattujen tietojen käyttöä, sekä erityiseen syyhyn perustuvaa tietojen käyttöä.

• järjestää asiakastietolain mukaisen tietosuojavastaavan palvelut vuokralaiselle.

• xxxxxxxxxx toimitetaan tämän pyynnöstä tieto siitä, kuka on käyttänyt, tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

Pääliittyjä

• omalta osaltaan seuraa ja valvoo, että Reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain lääkemääräyslain mukaan siihen oikeutetut ja että tietojen katselu ja käsittely tapahtuu siinä säädetyillä perusteilla.

• ohjaa potilaan kääntymään Kelan puoleen, jos potilas haluaa käyttää tarkastusoikeuttaan Reseptikeskukseen tai Reseptiarkistoon tallennettujen itseään koskevien tietojen osalta tai jos potilas haluaa tarkastaa lokitietonsa Reseptikeskuksesta tai Reseptiarkistosta. Tarkastusoikeuden toteuttamiseen sovelletaan EU-asetuksen 15 artiklaa.

Vuokralainen valtuuttaa tietosuojavastaavan pyytämään lain edellyttämää valvontaa ja seurantaa varten tarvittavat Reseptikeskuksen lokitiedot Kelalta.

18 Käyttömaksut

Lääkemääräyslain 24 §:n 4 momentin mukaan rekisterinpitäjän ja toimintayksikön tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut Reseptikeskuksessa olevia tietoja.

Kanta-palvelujen käyttömaksuista säädetään asiakastietolain ja lääkemääräyslain nojalla sosiaali- ja terveysministeriön asetuksella. Pääliittyjä vastaa Kanta-palveluiden perimistä käyttömaksuista myös vuokralaisen osalta.

19 Virhetilanteet ja vastuut

Pääliittyjä

20 Voimassaolo

• pyrkii osaltaan täyttämään tämän sopimuksen velvoitteet ja tarjoamaan sopimuksen mukaiset palvelut ja käyttöoikeudet, mutta ei takaa käytettävyyttä ja virheettömyyttä kaikissa tilanteissa.

• pyrkii kohtuuden mukaan korjaamaan sille ilmoitetut virheet ja rikkomukset, mutta ei vastaa keskeytysten, virheiden tai rikkomusten aiheuttamista vahingoista.

• ei ole vastuussa seuraamuksista, jotka aiheutuvat pääliittyjästä riippumattomista syistä.

Tämä sopimus on voimassa allekirjoituspäivämäärästä alkaen toistaiseksi ja on irtisanottavissa kumman tahansa osapuolen toimesta yhden (1) kuukauden irtisanomisajalla. Tämä sopimus korvaa mahdollisen aiemman pääliittyjän ja vuokralaisen välisen sopimuksen Kanta-palveluihin liittymisestä ja Kanta- palvelujen käytöstä (v 1.1).

Mikäli vuokralaisen ja pääliittyjän välillä on muu sosiaali- ja/tai terveyspalvelujen tuottamiseen liittyvä sopimus, joka määrittelee irtisanomisajan toisin, noudatetaan tämänkin sopimuksen osalta kyseisen sopimuksen irtisanomisaikaa. Irtisanominen on toimitettava kirjallisesti tiedoksi toiselle sopimusosapuolelle.

Tämä sopimus päättyy automaattisesti, jos pääliittyjän ja vuokralaisen välille solmittu sosiaali- ja/tai terveyspalveluiden tuottamiseen liittyvä sopimus päättyy.

Lisäksi, jos vuokralainen rikkoo sopimusta siten, että se vakavasti vaarantaa pääliittyjän pääsyn Kanta-palveluihin tai aiheuttaa muuta merkittävää haittaa, pääliittyjällä on oikeus purkaa tämä sopimus välittömästi.

v. 1.2

15.10.2018

21 Allekirjoitukset

Tämä sopimus on tehty kahtena kappaleena, yksi kummallekin osapuolelle.

Päiväys

Allekirjoitukset:

(Pääliittyjä) (Vuokralainen)

Liitteet: Liite 1 Vuokralaisen käyttämät Kanta-palvelut

Document Metadata

Table of Contents

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujenkäytöstä v 1.2 15.10.2018

Document Metadata