Väljaandja: Vabariigi Valitsus Akti liik: määrus Teksti liik: algtekst Jõustumise kp: 15.03.2019 Avaldamismärge: RT I, 12.03.2019, 14 Vabariigi Valitsuse 1. detsembri 2016. a määruse nr 138 „Tervise infosüsteemi põhimäärus” muutmine Vastu võetud 07.03.2019 nr 23 Määrus kehtestatakse tervishoiuteenuste korraldamise seaduse § 59^1 lõike 3 alusel. § 1. Vabariigi Valitsuse 1. detsembri 2016. a määruses nr 138 „Tervise infosüsteemi põhimäärus” tehakse järgmised muudatused: 1) paragrahvi 1 lõiked 1 ja 2 sõnastatakse järgmiselt: „(1) Tervise infosüsteem (edaspidi infosüsteem) kuulub riigi infosüsteemi ning on asutatud tervishoiuteenuste korraldamise seaduse alusel. (2) Infosüsteemi ingliskeelne nimetus on Health Information System.”; 2) paragrahvides 2 ja 3 ning peatükkides 2–6 asendatakse sõnad „tervise infosüsteem” sõnaga „infosüsteem” vastavas käändes; 3) määrust täiendatakse §-dega 21 ja 22 järgmises sõnastuses: „§ 21. Infosüsteemi ülesehitus (1) Infosüsteem koosneb infosüsteemi keskandmekogust, meditsiiniliste ülesvõtete andmekogust ja andmelaost. (2) Infosüsteemi keskandmekogu koosneb järgmistest andmestikest: 1) patsiendi esitatud andmestik; 2) tervishoiuteenuse osutajate ja teiste isikute esitatud terviseandmestik (digilugu); 3) üleriigilise digiregistratuuri andmestik. (3) Meditsiiniliste ülesvõtete andmekogu koosneb patsiendi kohta käivatest meditsiinilistest ülesvõtetest. (4) Andmeladu koosneb keskandmekogu pseudonüümitud isikuandmetest, mis ei võimalda isikut tuvastada. § 22. Infosüsteemi turvameetmed ja turbeaste (1) Infosüsteemi turvameetmed peavad tagama järgmised turvaklassid: 1) konfidentsiaalsus – S2; 2) terviklus – T3; 3) käideldavus – K2. (2) Infosüsteemi turbeaste on kõrge (H). (3) Infosüsteemi turvameetmed meditsiiniliste ülesvõtete andmete töötlemisel ja arhiveerimisel peavad tagama järgmised turvaklassid: 1) konfidentsiaalsus – S2; 2) terviklus – T2; 3) käideldavus – K2. (4) Infosüsteemi meditsiiniliste ülesvõtete andmete töötlemise ja arhiveerimise turbeaste on keskmine (M). (5) Infosüsteemi kasutaja, kes liitub infosüsteemiga oma infosüsteemi kaudu, peab tegema oma infosüsteemi infoturbealaste riskide seire ja analüüsi. (6) Lõikes 5 nimetatud isik teavitab viivitamata volitatud töötlejat kõikidest asjaoludest, mis võivad ohtu seada infosüsteemi turvalisuse.”; 4) paragrahvi 4 lõike 1 punkt 1 sõnastatakse järgmiselt: „1) võib infosüsteemi volitatud töötlejale anda täpsemaid juhiseid ja korraldusi;”; 5) paragrahvi 4 lõike 2 punkt 1 sõnastatakse järgmiselt: „1) tagab tervishoiuteenuse osutamisel tekkivate dokumentide ja andmete kogumise, haldamise ja säilitamise, sealhulgas andmete kustutamise ja hävitamise ning arhiveeritavate andmete üleandmise § 10 lõikes 5 sätestatud korras;”; 6) paragrahvi 4 lõike 2 punkt 31 sõnastatakse järgmiselt: „31) tagab andmete kasutamise §-s 14 nimetatud tegevusteks;”; 7) paragrahvi 4 täiendatakse lõikega 4 järgmises sõnastuses: „(4) Volitatud töötleja määrab infosüsteemiga liitumise eelduseks olevad tehnilised tingimused ja avaldab need oma veebilehel.”; 8) paragrahvi 5 lõike 1 sissejuhatavast lauseosast jäetakse välja tekstiosa „punkti 1”; 9) paragrahvi 5 lõike 1 punkt 1 sõnastatakse järgmiselt: „1) ambulatoorse tervishoiuteenuse osutamise kohta andmed või vormistatud dokumendi ühe tööpäeva ja koduõendusteenuse korral vormistatud epikriisi kahe tööpäeva jooksul pärast seda, kui tervishoiutöötaja on asjakohase dokumendi kinnitanud;”; 10) paragrahvi 5 lõikes 3 asendatakse sõnad „viivitamata pärast ülesvõtte tegemist” sõnadega „sätestatud korras”; 11) paragrahvi 5 lõige 4 sõnastatakse järgmiselt: „(4) Tervishoiuteenuse osutaja peab andmete edastamisel järgima infosüsteemi kohta kehtivaid standardeid, mille on infosüsteemi volitatud töötleja avaldanud oma veebilehel.”; 12) paragrahvi 5 täiendatakse lõikega 5 järgmises sõnastuses: „(5) Tervishoiuteenuse osutaja tagab infosüsteemi edastatavate andmete õigsuse.”; 13) määruse 3. peatüki pealkiri sõnastatakse järgmiselt: „3. peatükk Infosüsteemi logide säilitamine ja andmete muutmine”; 14) paragrahv 7 tunnistatakse kehtetuks; 15) paragrahvi 8 pealkiri sõnastatakse järgmiselt: „§ 8. Infosüsteemi logide säilitamine”; 16) paragrahvi 8 lõiked 1, 2 ja 4 tunnistatakse kehtetuks; 17) määruse 4. peatüki pealkiri sõnastatakse järgmiselt: „4. peatükk Infosüsteemi andmetele juurdepääs, andmete väljastamine ja andmelao kasutamine”; 18) paragrahvi 10 lõige 1 sõnastatakse järgmiselt: „(1) Infosüsteemi andmetele tagatakse otsejuurdepääs: 1) infosüsteemide andmevahetuskihi kaudu; 2) volitatud töötleja määratud kasutajaõiguste alusel ja viisil.”; 19) paragrahvi 10 täiendatakse lõikega 11 järgmises sõnastuses: „(11) Andmete väljastamine infosüsteemist tagatakse: 1) ühekordse andmepäringuna taotluse alusel; 2) poolte vahel sõlmitud lepingu alusel.”; 20) paragrahvi 10 lõige 2 tunnistatakse kehtetuks; 21) paragrahvi 10 täiendatakse lõikega 5 järgmises sõnastuses: „(5) Arhiiviseaduse alusel arhiiviväärtuslikuks hinnatud andmed või vormistatud dokumendid antakse üle Rahvusarhiivile. Üleandmise üksikasjad lepitakse kokku koostöös Rahvusarhiivi ja infosüsteemi vastutava töötlejaga. Volitatud töötleja tagab kokkuleppekohase andmete üleandmise Rahvusarhiivile.”; 22) paragrahvi 11 lõige 1 sõnastatakse järgmiselt: „(1) Tervishoiuteenuse osutajal on infosüsteemis olevatele isikuandmetele juurdepääs tervishoiuteenuse osutamise kavandamiseks, teenuse osutamise lepingu sõlmimiseks ja täitmiseks ning tervishoiuteenuste korraldamise seaduse § 56 lõike 1 punktis 7 sätestatud ulatuses ja eesmärgil.”; 23) paragrahvi 11 lõiked 2 ja 3 tunnistatakse kehtetuks; 24) paragrahvi 11 lõige 4 sõnastatakse järgmiselt: „(4) Juurdepääsuõiguse teostamisel kontrollitakse tervishoiuteenuse osutaja tegevusloa kehtivust. Kui päringu algatab tervishoiutöötaja või tervishoiuteenuste korraldamise seaduse § 593 lõikes 21 nimetatud isik, kontrollitakse ka vastava isiku registreeringu kehtivust.”; 25) paragrahv 14 sõnastatakse järgmiselt: „§ 14. Andmelao kasutamine (1) Andmelaos töödeldakse pseudonüümitud isikuandmeid äriprotsesside toetamiseks, poliitika kujundamiseks, mõjude hindamiseks ja teabenõuetele vastamiseks. (2) Andmelaos tagatakse juurdepääs: 1) andmeandjale tema enda edastatud andmetele; 2) haldusorganile nendele andmetele, mis on vajalikud tema seadusest tulenevate ülesannete täitmiseks. (3) Andmelao avaandmed avalikustatakse § 3 lõikes 2 nimetatud volitatud töötleja veebilehel masinloetaval kujul.”; 26) paragrahvi 20 lõige 1 sõnastatakse järgmiselt: „(1) Andmesubjektil on õigus anda juurdepääs infosüsteemis olevatele andmetele teadliku nõusoleku alusel. Nõusolek peab vastama Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88) sätestatud tingimustele.”; 27) määruse 6. peatüki pealkiri sõnastatakse järgmiselt: „6. peatükk Infosüsteemi järelevalve, rahastamine ja lõpetamine”; 28) paragrahvi 22 täiendatakse lõikega 3 järgmises sõnastuses: „(3) Infosüsteemi vastutaval ja volitatud töötlejal on õigus kontrollida, kas tervishoiuteenuse osutaja täidab § 22 lõikes 5 kehtestatud nõudeid.”; 29) määruse 6. peatükki täiendatakse §-dega 221 ja 222 järgmises sõnastuses: „§ 221. Rahastamine Infosüsteemi rahastatakse riigieelarvest Sotsiaalministeeriumi kaudu. Rahastamine ei hõlma tervishoiuteenuse osutaja kulutusi infosüsteemiga liitumiseks ning andmete, sealhulgas ravijärjekorra ja meditsiiniliste ülesvõtete kättesaadavaks tegemiseks vajalike andmete, edastamiseks. § 222. Infosüsteemi lõpetamine Infosüsteemi lõpetamise otsustab Vabariigi Valitsus vastavalt avaliku teabe seaduses sätestatule.”. § 2. Määrus jõustub 15. märtsil 2019. a. Jüri Ratas Peaminister Riina Sikkut Tervise- ja tööminister Taimar Peterkop Riigisekretär