Avtal om anslutning till och användning av Kanta-tjänsterna
Avtal om anslutning till och användning av Kanta-tjänsterna
1.11.2021
Kela | FPA | Kanta 255r.09.21 |
Kanta-palvelut | Xxxxx tjänsterma | |
PL 450, 00056 Kela | PB 450, 00056 FPA |
Version | Ändring | Gjord av | Datum |
Modell för gemensam Kanta-anslutning publicerad | FPA, Kanta-tjänster | 25.10.2013 | |
1.0 | Tillagt Patientdataarkivet | FPA, Kanta-tjänster | 20.10.2015 |
1.1 | Överfört till ny dokumentmall | FPA, Kanta-tjänster | 1.2.2017 |
1.2 | GDPR | FPA, Kanta-tjänster | 15.10.2018 |
1.3 | Överfört till tillgänglighetsanpassad dokumentmall. Tillagt socialvård i innehållen. Innehållet uppdaterat för att motsvara den nya lagstiftningen. | FPA, Kanta-tjänster | 30.9.2021 |
Innehåll
2 Anslutningsförpliktelser och -ansvar 3
3 Informationssystem som kopplas till Kanta-tjänsterna och underhåll av dem 4
4 Agerande i störningssituationer 5
4.1 Störning i informationssystemet 5
4.2 Personuppgiftsincidenter eller misstänkta sådana 5
5 Teknisk verksamhetsmiljö och stödtjänster 6
6 Hantering av behörigheter till informationssystemet 6
7 Anskaffning av servercertifikat 6
8 Kortläsare, kortläsarprogram och certifikatkort 7
9 Skriftliga anvisningar om behandlingen av kunduppgifter 7
10 Upprätthållande av nödvändiga kunskaper 8
11 Informationssäkerhetspolicy 8
12 Arkivariens uppgifter i fråga om Kanta-tjänsterna 8
13 Kanta-information, tillstånd för utlämnande, samtycken och förbud 8
15 Behandling av begäran om förnyelse av elektroniska recept 9
16 Rättelse av felaktiga uppgifter 10
17 Lagenlig användning av uppgifter samt dataskydd 10
17.1 Patientdataarkivet och Klientdataarkivet för socialvården 11
19 Felsituationer och ansvar 12
Genom detta avtal avtalar en tillhandahållare av privata social- och/eller hälsotjänster (huvudanslutare) och en tillhandahållare av social- och/eller hälsotjänster som utnyttjar huvudanslutarens informationssystem (hyresgäst) om anslutning till och användning av Kanta-tjänsterna samt om uppfyllande av de villkor och krav som gäller anslutningen och användningen (tillsammans Xxxxxxxx) i enlighet med gällande lagar, förordningar samt nationella föreskrifter och anvisningar om anslutning till och användning av Kanta-tjänsterna. De lagar som gäller vid den tidpunkt då avtalet upprättas är lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (kunduppgiftslagen 784/2021), lagen om elektroniska recept (receptlagen 61/2007), EU:s allmänna dataskyddsförordning och övrig gällande dataskyddslagstiftning.
I bilaga 1 till avtalet avtalas om vilka Xxxxx-tjänster hyresgästen använder genom att utnyttja huvudanslutarens informationssystem.
Med huvudanslutare avses en tillhandahållare av social- och/eller hälsotjänster som ska ha tillstånd eller ha gjort anmälan och som ansvarar för det tekniska underhållet av klient-
/patientregistret och loggregistret.
Med hyresgäst avses en tillhandahållare av social- och/eller hälsotjänster som ska ha tillstånd eller ha gjort anmälan och som utnyttjar huvudanslutarens informationssystem och som via huvudanslutaren ansluter sig som användare av Kanta-tjänsterna. Hyresgästen har överlåtit det tekniska underhållet av sitt klient-/patientregister åt huvudanslutaren samt utnyttjar huvudanslutarens informationssystem och ansluter sig som användare av Kanta- tjänsterna via huvudanslutaren. Hyresgästen ska antingen ha giltigt tillstånd att producera privata social- eller hälsovårdstjänster eller, om hyresgästen är en självständig yrkesutövare, ha gjort anmälan om sin verksamhet till regionförvaltningsverket.
2 Anslutningsförpliktelser och -ansvar
Huvudanslutaren gör anslutningsansökan till FPA. Hyresgästen gör ingen egen anslutningsansökan, utan ansluter sig till Kanta-tjänsterna via Huvudanslutaren.
Huvudanslutaren är skyldig att göra upp en informationssäkerhetsplan i anslutning till informationssäkerheten och dataskyddet samt användningen av informationssystemen i enlighet med gällande lagar, förordningar samt nationella föreskrifter och anvisningar.
Hyresgästen är för sin del skyldig att iaktta informationssäkerhetsplanen och agera i enlighet med den.
Parterna förbinder sig att iaktta gällande allmänna leveransvillkor för Kanta-tjänsterna och tjänstebeskrivningarna för Kanta-tjänsterna. Huvudanslutaren förbinder sig att ge hyresgästen aktuell information om de allmänna leveransvillkoren för Kanta-tjänsterna, tjänstebeskrivningarna för de Kanta-tjänster som är tillgängliga via huvudanslutaren och ändringar i dessa dokument.
Hyresgästen ansvarar för att hyresgästen och alla tjänsteleverantörer och yrkesutbildade personer som arbetar för hyresgästens räkning känner till och iakttar detta avtal som om de vore parter i det.
Mer information: xxxxx.xx
> Allmänna leveransvillkor för Kanta-tjänsterna
> Tjänstebeskrivning för Patientdataarkivet
> Tjänstebeskrivning för Klientdataarkivet för socialvården
> Tjänstebeskrivning för Recepttjänsten
> Bilaga till förbindelsen angående kundrelationen till Kanta-tjänsterna: Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna
3 Informationssystem som kopplas till Kanta-tjänsterna och underhåll av dem
Huvudanslutaren ansvarar för att
• de informationssystem och förmedlingstjänster som används är certifierade och att de uppdateras i enlighet med lagstiftningens krav och specifikationer.
• informationssystemen underhålls på behörigt sätt.
• uppgifterna i de stödtjänster som Kanta-tjänsterna använder (till exempel Läkemedelsdatabasen) uppdateras i enlighet med gällande lagstiftning, förordningar och anvisningar.
Med informationssystem avses i detta avtal informationssystem av klass A enligt 29 § i kunduppgiftslagen 784/2021, såsom klient- eller patientdatasystem, webbreceptprogram eller något annat certifierat system som utnyttjas för att använda Kanta-tjänster.
Mer information: xxxxx.xx > Certifiering
4 Agerande i störningssituationer
4.1 Störning i informationssystemet
Hyresgästen och yrkesutbildade personer som arbetar för hyresgästens räkning är skyldiga att underrätta den person som huvudanslutaren utsett om störningar som de upptäckt i informationssystemet.
Huvudanslutaren underrättar hyresgästen och FPA om störningar som hänför sig till Kanta- tjänsterna. Huvudanslutaren ansvarar för att meddela informationssystemtillverkaren om sådana betydande avvikelser i uppfyllandet av de väsentliga kraven på informationssystemet som huvudanslutaren upptäckt. Huvudanslutaren är skyldig att meddela Xxxxxxx om sådana avvikelser som medför en betydande risk för klient- eller patientsäkerheten, informationssäkerheten eller dataskyddet.
4.2 Personuppgiftsincidenter eller misstänkta sådana
Tillvägagångssättet vid behandling av personuppgiftsincidenter som gäller Recepttjänsten, Informationshanteringstjänsten och Viljeyttringstjänsten samt utlämningsloggar som uppkommer inom social- och hälsovården har granskats i bilagan till förbindelsen angående kundrelationen till Kanta-tjänsterna: Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna.
Om man upptäcker en personuppgiftsincident eller en misstänkt sådan, ska den som gör upptäckten utan dröjsmål anmäla saken till den personuppgiftsansvariga vars uppgifter personuppgiftsincidenten eller den misstänkta incidenten gäller (se kap. 14 Personuppgiftsansvar). En hyresgäst ska också anmäla saken till huvudanslutaren. FPA är gemensamt personuppgiftsansvarig för Receptcentret och därför ska personuppgiftsincidenter eller misstänkta sådana som gäller receptuppgifter anmälas till FPA eller någon annan gemensamt personuppgiftsansvarig till vars verksamhet den missstänkta personuppgiftsincidenten hänför sig.
Den personuppgiftsansvarige bedömer på basis av dataskyddsförordningen vilka risker incidenten medför för den registrerade och anmäler vid behov incidenten till tillsynsmyndigheten (dataombudsmannen) inom 72 timmar och informerar vid behov också den registrerade. Parterna ska assistera den personuppgiftsansvarige vid utredningen av den misstänkta personuppgiftsincidenten och begränsningen av skadorna.
Bestämmelser om personuppgiftsincidenter finns i artikel 33 och 34 i EU:s dataskyddsförordning.
Mer information: xxxxx.xx > Anvisningar vid störningar
5 Teknisk verksamhetsmiljö och stödtjänster
Huvudanslutaren ansvarar för
• den tekniska verksamhetsmiljön och för att de krav som hänför sig till användningen av Kanta-tjänsterna är uppfyllda samt för att det finns användbara teleförbindelser och tekniska stödtjänster och för att de underhålls på behörigt sätt.
• att de som använder systemen har tillgång till dokumenterade beskrivningar av den tekniska verksamhetsmiljön och stödtjänsterna samt av de tillvägagångssätt som ska iakttas.
Hyresgästen förbinder sig att
• iaktta ovannämnda anvisningar i sin verksamhet samt
• se till att alla yrkesutbildade personer som arbetar för dess räkning känner till anvisningarna och iakttar dem i sin verksamhet.
6 Hantering av behörigheter till informationssystemet
Huvudanslutaren ansvarar för behörigheterna till sina informationssystem i enlighet med kraven i informationssäkerhetsplanen. Hyresgästen ansvarar för användningen av sina egna koder i enlighet med kraven i informationssäkerhetsplanen.
Bestämmelser om hanteringen av behörigheter finns i kunduppgiftslagen, receptlagen, förordningen om journalhandlingar (298/2009) och receptförordningen (485/2008). I enlighet med 15 § i kunduppgiftslagen utfärdas genom förordning av social- och hälsovårdsministe- riet bestämmelser om vilka uppgifter yrkesutbildade personer och andra personer som be- handlar kunduppgifter får använda på grund av sina arbetsuppgifter och de tjänster som de tillhandahåller.
Mer information: xxxxx.xx > Certifiering
7 Anskaffning av servercertifikat
Huvudanslutaren ansvarar för
• att nödvändiga servercertifikat har skaffats och för att de underhålls på behörigt sätt i enlighet med lagstiftning och särskilt utfärdade föreskrifter.
• anskaffningen av systemsignaturcertifikat i anslutning till Patientdataarkivet/Klientdataarkivet för socialvården.
Mer information: Myndigheten för digitalisering och befolkningsdata (MDB) > Certifikat- FINeID
8 Kortläsare, kortläsarprogram och certifikatkort
Huvudanslutaren ansvarar för
• anskaffningen av kortläsare och kortläsarprogram och för att de underhålls på behörigt sätt i enlighet med lagstiftning och särskilt utfärdade föreskrifter.
• att de som använder systemen har tillgång till skriftliga anvisningar om hanteringen av certifikatkort och de tillvägagångssätt som ska iakttas.
Hyresgästen förbinder sig att
• iaktta ovannämnda anvisningar i sin verksamhet samt att
• se till att alla yrkesutbildade personer som arbetar för Hyresgästens räkning känner till anvisningarna och iakttar dem i sin verksamhet.
9 Skriftliga anvisningar om behandlingen av kunduppgifter
Huvudanslutaren ansvarar för att de som använder systemet har tillgång till skriftliga anvisningar om behandlingen av kunduppgifter och de tillvägagångssätt som ska iakttas.
Hyresgästen förbinder sig att iaktta ovannämnda anvisningar i sin verksamhet samt att se till att alla tjänsteleverantörer och yrkesutbildade personer som arbetar för hyresgästens räkning känner till anvisningarna och iakttar dem i sin verksamhet.
Mer information:
> xxxxx.xx: Verksamhetsmodeller för Patientdataarkivet och receptet
> xxx.xx: Funktionella specifikationer för serviceproduktion inom socialvården
> xxx.xx: Verksamhetsmodeller och verksamhetssätt
10 Upprätthållande av nödvändiga kunskaper
Huvudanslutaren ansvarar för att hyresgästen informeras om utbildningsbehov i fråga om de Kanta-tjänster som används via huvudanslutaren och om användningen av dem.
Hyresgästen ansvarar för att hyresgästen och de yrkesutbildade personer som arbetar för hyresgästens räkning förvärvar och upprätthåller sådana kunskaper som behövs för att använda Kanta-tjänsterna enligt huvudanslutarens anvisningar samt iakttar givna anvisningar och gällande regler.
11 Informationssäkerhetspolicy
Huvudanslutaren ansvarar för att en informationssäkerhetspolicy som överensstämmer med lagar och förordningar utarbetas. Anvisningar om informationssäkerhetspolicyn finns i huvudanslutarens informationssäkerhetsplan.
Hyresgästen ansvarar för att de yrkesutbildade personer som arbetar för hyresgästens räkning förbinder sig att iaktta huvudanslutarens informationssäkerhetspolicy.
12 Arkivariens uppgifter i fråga om Kanta-tjänsterna
Huvudanslutaren ordnar arkivarietjänster för hyresgästen i fråga om Patientdataarkivet/Klientdataarkivet för socialvården. Den person som ansvarar för arkivskötseln ska hjälpa hyresgästen att uppfylla de förpliktelser som ankommer på hyresgästen. Den person eller de personer som huvudanslutaren utsett kan använda Arkivariens användargränssnitt för arkivariens administrativa uppgifter (till exempel för ibruktagningsprovet och för att reda ut eventuella fel) i fråga om material som hyresgästen producerat för sina register under huvudanslutaren.
Mer information: xxxxx.xx > Arkivariens användargränssnitt
13 Kanta-information, tillstånd för utlämnande, samtycken och förbud
Bägge parterna ansvarar för att de och de tjänsteleverantörer som arbetar för deras räkning informerar patienten/klienten om de Kanta-tjänster som huvudanslutaren använder i enlighet med gällande lagar, förordningar samt nationella föreskrifter och anvisningar.
Huvudanslutaren ansvarar för att aktörerna har tillgång till material som behövs för informationen om de Kanta-tjänster som är tillgängliga hos huvudanslutaren.
Bägge parterna ansvarar för att praxis som överensstämmer med gällande lagar, förordningar samt nationella föreskrifter och anvisningar iakttas i fråga om mottagandet av tillstånd för utlämnande samt samtycken och förbud.
Mer information: xxxxx.xx > Materialbank
Huvudanslutaren är personuppgiftsansvarig för journalhandlingar som den egna personalen producerar och en hyresgäst för journalhandlingar som uppkommer inom hyresgästens egen verksamhet (patientlagen (785/1992) 12 § 1 mom., förordningen om journalhandlingar 22 § och övrig gällande dataskyddslagstiftning).
Huvudanslutaren är personuppgiftsansvarig för klientuppgifter som uppkommer inom huvudanslutarens verksamhet och en hyresgäst för klientuppgifter som uppkommer inom hyresgästens verksamhet (artikel 4.7 i dataskyddsförordningen). Om huvudanslutaren eller hyresgästen är serviceproducent, dokumenterar serviceproducenten de klientuppgifter som uppkommer vid produktionen av tjänsten i ifrågavarande serviceanordnares klientregister (Handbok om Kanta-tjänsterna för aktörer inom socialvården, kapitel 12).
Huvudanslutaren och hyresgästen kommer genom ett särskilt avtal överens om uppgifter och ansvar i anslutning till behandlingen av patient-/klientuppgifter samt säkerställer att bestämmelserna om sekretess och tystnadsplikt i fråga om patient-/klientuppgifter iakttas.
Enligt 4 § i kunduppgiftslagen är varje tillhandahållare av social- och hälsotjänster samt Folkpensionsanstalten gemensamt personuppgiftsansvariga för utlämningsloggar som uppkommer inom social- och hälsovården, för informationshanteringstjänsten och för viljeyttringstjänsten. Enligt 18 § i receptlagen är Recepttjänsten ett gemensamt register för Folkpensionsanstalten och apoteken samt för tjänstetillhandahållare och självständiga läkemedelsförskrivare som gör upp elektroniska recept. Folkpensionsanstalten är i artikel
26.1 i dataskyddsförordningen avsedd kontaktpunkt för de registrerade.
15 Behandling av begäran om förnyelse av elektroniska recept
Huvudanslutaren beslutar om huvudanslutaren tar emot begäranden om receptförnyelse.
Begäran om receptförnyelse ska i första hand handläggas av den läkare som gjort upp receptet i fråga. Huvudanslutaren fungerar som teknisk mottagare av förnyelsebegäran och förmedlar förnyelsebegäran till hyresgästen. Om hyresgästen är förhindrad att förnya receptet, styrs förnyelsebegäran till huvudanslutarens ansvariga läkare. Denna bedömer vilka fortsatta åtgärder som kan vidtas och underrättar patienten om receptet inte kan förnyas.
Hyresgästen, huvudanslutarens ansvariga läkare och huvudanslutaren ansvarar tillsammans för att patienten informeras om avslag på förnyelsebegäran.
Bestämmelser om förnyelse av elektroniska recept finns i 10 § 3 mom. i receptlagen och i 2
§ 2 mom. i receptförordningen.
16 Rättelse av felaktiga uppgifter
Bestämmelser om rättelse av felaktiga uppgifter i Patientdataarkivet finns i 20 § i förordningen om journalhandlingar och i artikel 16 i EU:s allmänna dataskyddsförordning.
Bestämmelser om rättelse av felaktiga uppgifter i Klientdataarkivet för socialvården finns förutom i artikel 16 i EU:s dataskyddsförordning även i 13 § i lagen om klienthandlingar inom socialvården samt i åttonde kapitlet i förvaltningslagen (434/2003).
Bestämmelser om rättelse av felaktiga recept finns i 10 § och 16 § i receptlagen och i artikel 16 i EU:s allmänna dataskyddsförordning.
Mer information: xxxxx.xx
> Verksamhetsmodeller för Patientdataarkivet
> Verksamhetsmodeller för Receptet
> Anvisning om patientens rättigheter
> Handbok om Kanta-tjänsterna för aktörer inom socialvården
17 Lagenlig användning av uppgifter samt dataskydd
Dataskyddsombudet genomför uppföljningen och övervakningen av behandlingen av uppgifter och rapporterar till organisationens ledning. Dataskyddsombudets uppgifter specificeras i EU:s allmänna dataskyddsförordning. Huvudanslutaren utser ett (/flera) dataskyddsombud som följer och övervakar att behandlingen av uppgifter är lagenlig och
ordnar vid behov dataskyddsombudstjänster för hyresgästen. Dataskyddsombudet kan vara en och samma person, även om titeln och uppgifterna kommer från olika lagar.
17.1 Patientdataarkivet och Klientdataarkivet för socialvården
Huvudanslutaren ansvarar för att
• det specifikt för varje kundregister samlas in logguppgifter om all användning av kunduppgifter när informationssystemet används, och för att uppgifter om utlämnande av handlingar registreras i loggregistret.
• även användningen av uppgifter som utlämnats från Patientdataarkivet eller Klientdataarkivet för socialvården följs med hjälp av loggövervakning. I synnerhet följs användningen av nödsökningar och särskilt skyddade uppgifter, samt sådan användning av uppgifter som grundar sig på särskilda skäl.
• ordna dataskyddsombudstjänster enligt dataskyddsförordningen för hyresgästen.
• patienten/klienten på begäran får information om vem som har använt eller till vem det har utlämnats uppgifter om honom eller henne samt information om grunden för användningen eller utlämnandet.
Huvudanslutaren
• följer och övervakar att uppgifterna i Recepttjänsten kan läsas och behandlas endast av dem som är behöriga enligt receptlagen och att uppgifterna läses och behandlas på de grunder som anges i receptlagen.
• anvisar patienten att vända sig till FPA om patienten vill utöva sin rätt till insyn i uppgifter som lagrats om honom eller henne i Recepttjänsten eller Receptarkivet, eller om patienten vill kontrollera sina logguppgifter i Recepttjänsten. På rätten till insyn tillämpas artikel 15 i EU-förordningen. I 26 § i kunduppgiftslagen finns dessutom bestämmelser om kundens rätt att få information om behandlingen av sina egna uppgifter.
Hyresgästen befullmäktigar dataskyddsombudet att från FPA begära sådana logguppgifter i Recepttjänsten som behövs för den övervakning och tillsyn som lagen förutsätter.
Enligt 24 § 4 mom. i receptlagen ska den personuppgiftsansvarige och verksamhetsenheten på eget initiativ vidta behövliga åtgärder, om någon lagstridigt har läst, använt eller lämnat ut uppgifter som finns i Recepttjänsten.
Bestämmelser om användningsavgifter för Kanta-tjänsterna utfärdas genom förordning av social- och hälsovårdsministeriet med stöd av kunduppgiftslagen och receptlagen.
Huvudanslutaren ansvarar för de användningsavgifter som tas ut för Kanta-tjänsterna även för hyresgästens del.
Huvudanslutaren
• strävar för egen del efter att uppfylla förpliktelserna i detta avtal och till- handahålla avtalsenliga tjänster och behörigheter, men garanterar inte användbarhet och felfrihet i alla situationer.
• strävar i rimlig mån efter att rätta till anmälda fel och förseelser, men ansvarar inte för skador som orsakats av avbrott, fel eller förseelser.
• ansvarar inte för påföljder som uppkommer av orsaker som inte beror på Huvudanslutaren.
Detta avtal är i kraft från datum för undertecknandet tills vidare och kan uppsägas av vardera parten med en uppsägningstid på en (1) månad. Detta avtal ersätter ett eventuellt tidigare avtal mellan huvudanslutaren och hyresgästen om anslutning till och användning av Kanta- tjänsterna (v 1.2).
Om det finns något annat avtal mellan hyresgästen och huvudanslutaren om produktion av social och/eller hälsotjänster, där det bestäms något annat om uppsägningstiden, iakttas uppsägningstiden för det avtalet även i fråga om detta avtal. Den andra avtalsparten ska delges uppsägningen skriftligt.
Detta avtal upphör automatiskt om ett avtal mellan huvudanslutaren och hyresgästen om produktion av social- och/eller hälsotjänster upphör att gälla.
Vidare, om hyresgästen bryter mot avtalet på ett sätt som allvarligt äventyrar Huvudanslutarens tillträde till Kanta-tjänsterna eller medför andra betydande olägenheter, har huvudanslutaren rätt att häva detta avtal omedelbart.
Detta avtal har upprättats i två exemplar, ett för vardera avtalsparten.
Datum
Underskrifter:
(Huvudanslutare) (Hyresgäst)
Bilagor: Bilaga 1 Kanta-tjänster som Hyresgästen använder