Förberedande uppgifter och införande

Förberedande uppgifter och införande

Förberedande uppgifter

Vilka berörs av skyldigheten att ansluta sig till Patientdataarkivet för det gäller den privata hälso- och sjukvården?

  • Skyldigheten att ansluta sig till Patientdataarkivet gäller de företag och yrkesutövare inom den privata hälso- och sjukvården som arkiverar journalhandlingar elektroniskt.
  • Tillhandahållare av hälso- och sjukvårdstjänster samt yrkesutövare som ansluter sig till Patientdataarkivet ska ha adekvata giltiga tillstånd eller anmälningar för verksamhet som tillhandahållare av social- och hälsovårdstjänster.
  • I hälso- och sjukvårdens patientregister sparas inte klient-/patientuppgifter som hör till socialvårdens register. Patientuppgifter gällande hälso- och sjukvård som socialvården registrerar ska skiljas åt i datasystemet.

Jag är verksam som självständig yrkesutövare inom hälso- och sjukvården, hur gör jag för att få in de patientuppgifter som jag registrerar i Kanta?

  • Kontrollera att det patientdatasystem som du använder eller köper som en tjänst är certifierat (Valviras register). Utred tillsammans med leverantören av patientdatasystemet att datakommunikationen, förmedlartjänsterna och den övriga utrustningen som behövs för att använda tjänsten uppfyller de krav som Kanta-tjänsterna ställer.
  • Utför nödvändiga anslutningsförberedelser (bl.a. skaffa certifikatkort, gör upp en plan för egenkontroll och lämna anslutningsansökan till FPA). Kontrollera också att tillståndsfrågorna är ajour i SOTE-organisationsregistret eller IAH-koderna. Du hittar mer information i handboken om Kanta-tjänsterna.

Hur ska man tolka en situation där uppgifterna vid anslutningen till Kanta-tjänsterna förvaras i informationssystem A men efter anslutningen lagras uppgifter endast i informationssystem B? Måste båda informationssystemen anslutas till Kanta-tjänsterna?

  • De gamla uppgifterna i informationssystem A kan jämställas med ett pappersarkiv, eftersom det inte finns extern förbindelse. Detta är en vanlig situation när man har bytt informationssystem och velat behålla de gamla uppgifterna.
  • Det är ok att jämställa uppgifterna med ett pappersarkiv och även andra bestämmelser om arkivering är då tillämpliga. Projektet som gäller arkivering av gamla uppgifter erbjuder i fortsättning möjlighet att fundera på om dokumenten kunde överföras från informationssystem B till Patientdataarkivet och om det vore idé att genomföra en kontrollerad nedkörning av det informationssystem som tas ur bruk. Läs mer om arkivering av gamla uppgifter.

Vilken är skillnaden mellan den plan för egenkontroll som Valvira förutsätter och den plan för egenkontroll av dataskyddet och informationssäkerheten som klientuppgiftslagen förutsätter?

  • Valviras plan för egenkontroll är ett mer omfattande dokument som görs upp med tanke på verksamheten. I den antecknas alla centrala åtgärder som tjänsteproducenterna själva vidtar för att övervaka sina verksamhetsenheter, personalens verksamhet och kvaliteten på de producerade tjänsterna. Planen är ett dagligt redskap för kvaliteten på och utvecklingen av tjänsterna. Tjänsteproducenten förutsätts ha yrkesskicklighet, kunskap och erfarenhet att bedöma vilken slags styrning och övervakning som behövs för att  säkerställa att verksamheten är högklassig och överensstämmer med bestämmelserna.
  • Klientuppgiftslagens plan för egenkontroll av dataskyddet och informationssäkerheten är fokuserad på behandling av klient- och patientuppgifter, informationshantering, hantering av informationssystemen samt informationssäkerhet och dataskydd.

Vem berörs av skyldigheten att utarbeta en plan för egenkontroll av dataskyddet och informationssäkerheten enligt klientuppgiftslagen (159/2007)?

  • Enligt klientuppgiftslagen ska alla tillhandahållare av socialvårdstjänster och hälso- och sjukvårdstjänster som arkiverar klient- eller patientuppgifter elektroniskt iaktta egenkontroll i sin verksamhet och utarbeta en plan för egenkontroll. Den plan för egenkontroll som avses i klientuppgiftslagen omfattar kvalitetsledning och egenkontroll i anslutning till informationssäkerhet och dataskydd.
  • Företag och yrkesutövare som arkiverar journalhandlingar elektroniskt har varit skyldiga att senast 31.3.2015 ha utarbetat en plan för egenkontroll av informationssäkerhet och dataskydd.

Om en yrkesutövare är hyresgäst till exempel i en läkarstation och använder läkarstationens patientdatasystem, så ska även yrkesutövaren utarbeta en plan för egenkontroll eller räcker det med att läkarstationen har utarbetat en plan för egenkontroll?

  • I en sådan situation ska det vara tydligt inskrivet i läkarstationens plan för egenkontroll att planen också gäller yrkesutövare som är verksamma i dess lokaler. Ansvarsfördelningen ska också vara inskriven i avtalet mellan läkarstationen och yrkesutövaren. Om en yrkesutövare verkar självständigt, ska yrkesutövaren utarbeta en plan för egenkontroll av dataskyddet och informationssäkerheten för den egna verksamheten.

Måste ett litet företag genomföra alla anslutningsförberedelser som krävs och utarbeta en plan för egenkontroll av dataskyddet och informationssäkerheten?

  • Ja, alla uppgifter som hör till anslutningen måste gås igenom, men de kan anpassas till företagets verksamhet.  Punkterna i planen för egenkontroll av dataskyddet och informationssäkerheten ska gås igenom och kraven anpassas till företagets storlek och verksamhetens omfattning. Det lönar sig att behandla i synnerhet tekniska krav och krav på informationssystemen tillsammans med systemleverantörerna. 

Var får man de certifikatkort som behövs för inloggning?       

  • Certifikatkortet beviljas av Befolkningsregistercentralen (BFC) och avhämtas på de registreringsställen som den offentliga hälso- och sjukvården tillhandahåller (Bokningstjänsten vid hälso- och sjukvårdens certifikattjänster). Aktivkorten inom hälso- och sjukvården är yrkeskort, personalkort, aktörskort och tillfälligt kort. Yrkesutbildade personer inom hälso- och sjukvården använder yrkeskort för att logga in. Mer information om certifikat för hälso- och sjukvården finns på BRC:s webbplats

Vad kostar certifikatkorten som fås från befolkningsregistercentralen?

  • Yrkeskorten och korten för personal som i patientvården behandlar patientuppgifter är avgiftsfria hos Befolkningsregistercentralen. De övriga korten (personalkort, aktörskort, tillfälligt kort) är avgiftsbelagda. Registreringsställena prissätter själva sin tjänst och tar ut avgiften för den. Du kan höra dig för om storleken på avgiften direkt hos registreringsstället när du bokar tid (Bokningstjänsten vid hälso- och sjukvårdens certifikattjänster). För praktiserande hälso- och sjukvårdsstuderande kan man beställa avgiftsbelagda personalkort.

Får jag ett meddelande om att yrkeskortet håller på att gå ut?

  • Giltighetstiden anges på kortet. Kortavläsningssystemet varnar om att giltighetstiden går ut en månad innan kortet går ut. Ett nytt yrkeskort skickas inte automatiskt utan kortet måste beställas. Leveranstiden för det nya kortet är cirka två veckor.
  • Yrkesutbildade personer inom social- och hälsovården kan själva förnya yrkeskortet så länge det är giltigt via den elektroniska tjänsten.  (https://haevarmenne.vrk.fi/)

Var kan man köpa en kortläsare och behöver man installera andra program än kortläsarprogrammet?                     

  • Användarrätten till kortläsarprogrammet följer med kortet. Identifieringen av det elektroniska certifikatkortet förutsätter att datorn har en läsapparat, dvs. kortläsare, som antingen är integrerad i eller externt kopplad till datorn.
  • Utöver en webbläsare behövs inget annat än kortläsarprogrammet som fås på Befolkningsregistercentralens sida eevertti.
  • Kortläsaren ska helst skaffas hos en professionell affär för IT-tillbehör och samtidigt bör man försäkra sig om kompabiliteten.                  

Om patientdatasystemet har lagts ut på entreprenad och skaffats från en informationssystemleverantör som s.k. SaaS-tjänst, så behövs certifikatkort för systemleverantörens representant?

  • Nej, det behövs inte.

Införande

Vad är en anslutningsmodell?

  • Med anslutningsmodell avses den administrativa modell som företaget tillämpar för att ansluta sig som användare av Kanta-tjänsterna. Anslutningsmodellerna för den privata hälso- och sjukvården är likadana för både elektroniska recept och Patientdataarkivet.
  • Företag och yrkesutövare ansluter sig till tjänsten Kanta antingen med direktanslutning eller gemensam anslutning. Vid gemensam anslutning ansvarar den anslutande aktören för patientdatasystemet och ansluter tillsammans med sig själv de företag och yrkesutövare som använder samma datasystem.
  • Med huvudanslutare avses en tillhandahållare av social- och/eller hälsovårdstjänster som har tillstånd eller har gjort anmälan och som ansvarar för det tekniska underhållet av patientregister och loggregister. Tillsammans med huvudanslutaren kan ansluta sig en tillhandahållare av social- och/eller hälsovårdstjänster som har tillstånd eller har gjort anmälan och som ansluter sig som användare av Kanta-tjänsterna via huvudanslutaren och utnyttjar huvudanslutarens informationssystem.

A. Direkt anslutning s.k. basmodell

  • Tjänsteproducenter med enbart anställd personal
  • Yrkesutövare

B. Gemensam anslutning

  • Yrkesutövare eller företag som verkar i den anslutande aktörens lokaler och som använder dennes patientdatasystem kan ansluta sig tillsammans med den anslutande aktören.
    • Den anslutande aktören gör anslutningsansökan
  • Den anslutande aktören kan tillsammans med sig själv ansluta andra verksamhetsenheter och yrkesutövare inom hälso- och sjukvården som verkar i till exempel franchisingkedjor eller en koncern och som använder den anslutande aktörens patientdatasystem.
    • Den anslutande huvudaktören gör anslutningsansökan
  • När huvudanslutaren godkänner att annan tillhandahållare av privata hälso- och sjukvårdstjänster använder Kanta-tjänsterna via huvudanslutarens system ska denne kontrollera att
    • aktören i fråga har giltiga och behövliga tillstånd eller anmälningar för verksamhet som tillhandahållare av social- och hälsovårdstjänster,
    • aktörens uppgifter finns lagrade i Tillstånds- och tillsynsverket för social- och hälsovårdens VALVERI-register och att
    • aktuella uppgifterna visas i THL:s SOTE-organisationsregister eller IAH-koder för självständiga yrkesutövare
  • Den anslutande aktören och de som ansluter sig samtidigt ska ha ett ingått ett avtal enligt Kanta-avtalsmodellen där man konstaterar att man följer de verksamhetsmodeller och anvisningar som Kanta-tjänsterna förutsätter samt ansvar och skyldigheter för båda parter i detta avseende.

Kan företag ansluta ett verksamhetsområde åt gången, till exempel om en koncern har flera verksamhetsområden?

  • Ja, det kan de. Då är det fråga om utvidgning av användningen. 

Enligt vilken anslutningsmodell kan företag som hör till franchising-kedjor ansluta sig till Patientdataarkivet?

  • Om företagen som hör till kedjan använder samma patientdatasystem, kan de om de så vill ansluta sig enligt modellen för gemensam anslutning.
  • I övriga fall ska företagen i kedjan göra en egen anslutningsansökan och förbindelse.

Jag är en yrkesutövare som kommer att ansluta sig tillsammans med huvudanslutaren enligt modellen för gemensam anslutning. Måste jag utarbeta en egen plan för egenkontroll, eller räcker det med huvudanslutarens plan för egenkontroll?

  • Enligt klientuppgiftslagen ska alla tillhandahållare av social- och hälsovårdstjänster som arkiverar klient- eller patientuppgifter elektroniskt iaktta egenkontroll i sin verksamhet och utarbeta en plan för egenkontroll av dataskyddet och informationssäkerheten. Företag och självständiga yrkesutövare som arkiverar journalhandlingar elektroniskt har varit skyldiga att utarbeta en plan för egenkontroll av dataskyddet och informationssäkerheten senast den 31 mars 2015.
  • Om en självständig yrkesutövare är hyresgäst till exempel hos en läkarstation och använder läkarstationens patientdatasystem, ska det i en sådan situation vara klart och tydligt inskrivet i läkarstationens plan för egenkontroll av dataskyddet och informationssäkerheten att planen även gäller självständiga yrkesutövare som är verksamma i dess lokaler, och yrkesutövaren ska iaktta denna plan för egenkontroll i sin verksamhet. Ansvarsfördelningen ska också vara inskriven i avtalet mellan läkarstationen och den självständiga yrkesutövaren. Om en yrkesutövare verkar självständigt,  ska yrkesutövaren utarbeta en plan för egenkontroll av dataskyddet och informationssäkerhten för den egna verksamheten.
  • Huvudanslutaren är skyldig att utarbeta en plan för egenkontroll av informationssäkerheten och dataskyddet samt användningen av informationssystem i enlighet med gällande lagar, förordningar samt nationella föreskrifter och anvisningar. Hyresgästen är skyldig att följa planen för egenkontroll och agera i enlighet med den. Huvudanslutaren ska övervaka att de som ansluter sig tillsammans med huvudanslutaren använder Kanta-tjänsterna i enlighet med kraven på egenkontroll. Huvudanslutaren ansvarar för verksamheten hos de tillhandahållare av hälso- och sjukvårdstjänster som anslutit sig via huvudanslutaren som för sin egen verksamhet.

Vilken ställning har hyrda arbetstagare vid anslutningen till Kanta-tjänsterna? Gäller det avtal om anslutning till Kanta-tjänsterna och användning av Kanta-tjänsterna som ingår i modellen för gemensam anslutning även arbetstagare som kommit som hyrd arbetskraft?

  • Nej, det gör det inte. Hyrda arbetstagare jämställs med företagets egna arbetstagare.       

Vilken är tidsgränsen för anslutning för den privata hälso- och sjukvården (Potilastiedon arkisto)?

  • Tillhandahållare av tjänster inom den privata hälso- och sjukvården är skyldiga att ansluta sig till Patientdataarkivet så fort som möjligt om långtidsförvaringen av journalhandlingar är elektronisk. För hälso- och sjukvårdstjänster skulle anslutningsförpliktelsen uppfyllas 1.9.2015. Myndigheterna följer hur anslutningarna framskrider och vidtar vid behov åtgärder, om införandet fördröjs i onödan. 
  • Verksamhetsenheter inom munhälsovården (offentlig och privat) ska ansluta sig till Patientdataarkivet senast före utgången av 2016.
  • SHM gav 13.10.2015 en förordning (Social- och hälsovårdsministeriets förordning om riksomfattande informationstjänster inom hälso- och sjukvården) med bestämmelser om uppgifter som är viktiga med tanke på patientens hälso- och sjukvård och som ska visas via patientens informationshanteringstjänst. Förordningen har bestämmelser om tidtabellen för hur handlingarna ska sparas i Kanta-tjänsten.
  • Förordningen utgör en grund för hur de riksomfattande datasystemtjänsterna (Kanta-tjänsterna) ska genomföras under de närmaste åren. De angivna tidpunkterna för när det nya informationsinnehållet i patientdataarkivet ska tas i bruk är bakre gränser. Nya funktioner kan tas i bruk genast när leverantörerna av patientdatasystemet har infört dem i sina system.

Vad blir det för sanktioner om man inte hinner ansluta sig före den lagstadgade tidsgränsen?

  • Myndigheterna följer hur anslutningarna framskrider och vidtar vid behov åtgärder, om införandet fördröjs i onödan. 

Vilken anslutningsförpliktelse gäller för sådana företag som producerar såväl hälso- och sjukvårdstjänster som socialvårdstjänster?

  • Anslutningsförpliktelsen beror på enligt vilken lag tjänsterna produceras. Exempelvis boendeservice än tjänster enligt socialvårdslagen och då sker anslutningen först senare. Till exempel hemsjukvård är åter hälsotjänster. För hälso- och sjukvårdstjänster skulle anslutningsförpliktelsen uppfyllas 1.9.2015.
  • Om det till exempel inom en koncern finns separata verksamhetsenheter inom hälso- och sjukvården ska de anslutas till Kanta så snabbt som möjligt. Om en socialvårdsenhet, som ansluter sig till Kanta först senare, producerar hälsouppgifter, ska dessa uppgifter separeras till ett eget register inom enheten. Fas I i produktionsanvändningen av Klientdataarkivet för socialvården inleds 2018.

Vilka kostnader åsamkas företaget av anslutningen till patientdataarkivet?

Vem i företaget får underteckna den anslutningsansökan som skickas till FPA?

  • En person med underteckningsrätt i företaget.

För anslutning till Kanta-tjänsterna behövs företagets identifikationsuppgifter. Vad ska man göra om uppgifter om en självständig yrkesutövare som är verksam i företagets lokaler inte syns i kodtjänsten för självständiga yrkesutövare (IAH-koderna) i THL:s kodtjänst?

  • För att man ska kunna ansluta sig till Kanta-tjänsterna ska det finnas uppdaterade identifikationsuppgifter om de verksamhetsenheter och deras serviceenheter eller yrkesutövare i den kodtjänst som THL upprätthåller (register över social- och hälsoorganisationer eller koder över självständiga yrkesutövare) Samtliga företag ansvarar för att de egna uppgifterna är korrekta, men även för de företag som verkar i företagets lokaler. Om uppgifterna om en yrkesutövare som verkar i lokalerna inte visas i kodtjänsten ska företaget självt se till att uppgifterna blir synliga.
  • Kontrollera i god tid att identifikationsuppgifterna är korrekta (Anvisning för granskning av uppgifter). Korrigeringar av felaktiga uppgifter och tillägg av nya görs alltid hos regionförvaltningsverket i det egna området (där man ansökt om verksamhetstillstånd) eller Valvira (nationella tillstånd).
  • OBS: För att uppgifterna om yrkesutövare ska vara synliga i kodtjänsten ska FO-numret meddelas till regionförvaltningsverket.

Sidan har uppdaterats 18.06.2018