FI SV EN

Secondary use of health and social data

The Government proposes a new act on the secondary use of health and social data. The aim is to ensure flexible and secure use of data by establishing a centralised electronic licence service and a licensing authority for the secondary use of health and social data.

Finland has exceptionally extensive and high quality data resources in healthcare and social welfare. However, data are dispersed in a number of different information systems managed, by many different authorities. Currently, those interested in using health and social data for secondary purposes first need to apply for a licence to use data and then submit data requests separately to each of the authorities managing the relevant data. It has been a slow and laborious process to get data for research purposes, for example. The new act would streamline the processing of data requests, allow faster access to data and improve data security.

The Government estimates that the act would increase research and innovation activities relating to public health and wellbeing, disease prevention, and the development of new treatment methods. For individuals, it would mean better services and treatment in healthcare and social welfare and more effective medicines. The licensing authority is expected to generate new high-level business and research activities and thereby create new jobs in Finland.

In the future, one licensing authority would grant the licences and process the data requests regarding the secondary use of health and social data. The first step for persons or operators who want to use health and social data would be to consult the advice services and the data resource descriptions to identify the data resources relevant for their purposes. Next, they would use the electronic system for data request management to fill in their applications for licence to use data and submit their data requests where they would describe the data they need and their purpose and plan for using the data. The licensing authority would receive the applications and requests directly from the electronic system.

After granting a licence to use data, the licensing authority would get the relevant data from different registers and edit, combine and pre-process the data. Next, the licensing authority would transfer the data to a secure environment where the licence holder could process the data by remote access. This data processing environment would be maintained by the licensing authority, and it would meet all the requirements defined by law. It would minimise data security risks and prevent any accidental unauthorised access. The licensing authority could also provide a service where it edits relevant data resources for clients by removing all identification data. Access to this kind of data would not be subject to licence.

The secure electronic environment for data use would mean that in the future health and social data could be used for secondary purposes in research and statistics as well as in development and innovation, teaching, knowledge management, monitoring, steering and official planning. However, all use of data would be governed by law and the authorities. The authorities would also safeguard data security.

The intention is that the new acts would enter into force on 1 July 2018. Some of the provisions would apply only after a transition period.

Asset Publisher

  • Lakiehdotuksessa puhutaan asiakastietojen ensisijaisesta ja toissijaisesta käytöstä. Mikä näiden käsitteiden ero on?

    Asiakastietojen ensisijaisella käytöllä viitataan siihen käyttötarkoitukseen, jonka vuoksi tiedot tallennetaan asiakasrekisteriin. Ensisijainen käyttötarkoitus voi olla esimerkiksi potilaan tutkiminen, hoitaminen ja kuntoutus tai vastaavasti sosiaalihuollon asiakkaan saama palvelu taikka Kansaneläkelaitoksen etuuskäsittely.

    Asiakastietojen toissijaisella käytöllä tarkoitetaan tietojen käyttöä muissa kuin ensisijaisissa käyttötarkoituksissa. Lakiehdotuksen mukaan sallittuja käyttötarkoituksia olisivat tieteellinen tutkimus, tilastointi, kehittämis- ja innovaatiotoiminta, opetus, tietojohtaminen, viranomaisohjaus ja -valvonta sekä viranomaisten suunnittelu- ja selvitystehtävät.

  • Miksi sosiaali- ja terveystietojen toissijaista käyttöä koskevaa lainsäädäntöä halutaan uudistaa ja mitkä ovat uudistuksen tavoitteet?

    Sosiaali- ja terveydenhuollon valtakunnallisia rekisteriaineistoja koskevat säädökset ovat osoittautuneet vanhentuneiksi ja riittämättömiksi. Lakimuutoksen tavoitteena on luoda yhdenmukaiset ja ajantasaiset edellytykset sosiaali- ja terveydenhuollon asiakastietojen sekä muiden terveyteen ja hyvinvointiin liittyvien henkilötietojen käyttöön muissakin kuin niissä käyttötarkoituksissa, joiden vuoksi ne on alun perin rekisteriin tallennettu.

    Lakimuutoksella halutaan myös purkaa lupakäsittelyyn liittyvää päällekkäistä hallinnollista taakkaa sekä sujuvoittaa ja nopeuttaa lupakäsittelyä ja tietojen yhdistelyä eri rekistereistä.

    Jatkossa henkilötietojen käyttöluvat myöntäisi keskitetysti yksi Sosiaali- ja terveysalan käyttölupaviranomainen silloin, kun useimmin käytettyjä tietoaineistoja olisi tarpeen yhdistellä eri rekisterinpitäjiltä. Esimerkiksi lääketieteellisessä tutkimuksessa tarvitaan usein tietoja terveydenhuollon eri toimintayksiköistä, THL:n ja Kelan rekistereistä, Väestörekisterikeskukselta, Eläketurvakeskukselta ja Tilastokeskukselta.

    Nykyisin eri rekisterinpitäjät käsittelevät samaa käyttötarkoitusta varten tarvittavat rekisteritietojen käyttölupahakemukset erikseen. Lisäksi tietoja luovutetaan henkilörekistereistä useisiin eri lakeihin sisältyvien säännösten perusteella. Lupahakemusten käsittelyprosessi voi tämän vuoksi kestää vuosia, mikä taas on johtanut arvokkaiden tietoaineistojen alikäyttöön.

    Myös EU:n tietosuoja-asetusta on alettava soveltaa vuonna 2018. Lainsäädäntöuudistuksen avulla säännökset saataisiin vastaamaan tietosuoja-asetuksen vaatimuksia.

  • Onko tietojen laajemmasta käytöstä mitään hyötyä kansalaisille?

    Tutkimustiedon parempi hyödyntäminen mahdollistaa toimivampien palveluiden ja tehokkaampien lääkkeiden kehittämisen. Kansalaiset saavat parempaa hoitoa ja hoivaa, kun tiedot ovat helpommin ammattihenkilöiden käytettävissä.

    Laajempi tietopohja mahdollistaa sen, että sosiaali- ja terveyspalveluita kehitetään vaikuttavammiksi.

    Yksilöiden tietoja käsitellään tietoturvallisessa ympäristössä, jolloin ne eivät joudu vahingossa vääriin käsin.

  • Miten uusi laki vaikuttaa tutkimukseen?

    Aineistot ovat nopeammin tutkijoiden saatavilla. Käyttöluvista päättää jatkossa yksi Sosiaali- ja terveysalan käyttölupaviranomainen ja niiden luovuttamiselle on asetettu määräajat.

    Käyttölupaa ei tarvittaisi, kun tutkijalle riittävät anonymisoidut tiedot, mikä nopeuttaa tietojen saamista käyttöön. Tutkijan saatavilla on laajemmat tutkimusaineistot nykyistä helpommin. Lupaviranomainen voi muodostaa valmisaineistoja, mikä nopeuttaa tietojen luovutusta tutkimustarkoitukseen.

    Hallituksen esityksessä esitetyt neuvontapalvelut, tietoaineistojen kuvaukset ja lupaviranomaisen tehostuneet palvelut parantavat tutkimuksen edellytyksiä ja tutkijoiden mahdollisuuksia hyödyntää tietoja.

  • Onko tietojen käyttö varmasti turvallista?

    Hallituksen esityksessä on määritelty tarkasti edellytykset tietoturvalliselle ympäristölle, jossa luvansaajat voivat käsitellä tietoja. Ensisijaisesti tiedot luovutetaan luvansaajalle etäkäyttöyhteyden välityksellä siten, että ne säilyvät Sosiaali- ja terveysalan käyttölupaviranomaisen tietoturvallisessa käyttöympäristössä. Joissakin tapauksissa tiedoton tarpeen luovuttaa luvansaajalle. Tällöin saajan on osoitettava, että se käsittelee niitä laissa tarkoin määritellyt tietoturvavaatimukset täyttävässä ympäristössä kontrolloidusti. 

  • Lakiehdotuksen aiempi versio oli lausuntokierroksella. Miten lausuntoja on otettu ehdotuksessa huomioon?

    Lausunnot ovat vaikuttaneet erityisesti kolmeen keskeiseen asiaan. Ehdotusta on muutettu siten, että se on EU:n tietosuoja-asetuksen mukainen. Tämä ilmenee suoraan joistakin ehdotetuista pykälistä, mutta erityisesti hallituksen esityksen perusteluista.

    Sosiaali- ja terveysalan käyttölupaviranomaisen toimivaltaa suhteessa Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Väestörekisterikeskuksen tietoaineistoihin on tarkennettu.

    Lupaviranomaisen tietoturvallinen käyttöympäristö on kuvattu ja määritelty tarkasti. Sille on asetettu ehdotuksessa tiukat vaatimukset, muun muassa ulkopuolinen auditointi.

  • Miten ehdotettu laki vaikuttaisi tietojen käyttöön johtamistarkoituksessa?

    Sosiaali- ja terveydenhuollon asiakastiedot ovat yhdenvertaisesti käytettävissä. Tämä mahdollistaa muun muassa yhteisten asiakkuuksien ja palveluprosessien arvioinnin. Palveluntuottajalla on oikeus käyttää tietojohtamisessa myös ostopalveluna tuottamiensa palveluiden tietoja. Kaiken kaikkiaan ehdotettu laki parantaa mahdollisuutta käyttää tietoja tulevan sosiaali- ja terveydenhuollon uudistuksessa tietopohjana.

  • Jos tutkija haluaisi hyödyntää eri rekisterien tietoja, kuka lupakäsittelystä ja tietojen luovuttamisesta tulevaisuudessa vastaisi?

    Kun tietoaineistoja olisi tarpeen yhdistellä eri rekisterinpitäjiltä, Sosiaali- ja terveysalan käyttölupaviranomainen myöntäisi henkilötietojen käyttöluvat keskitetysti. Käyttöluvan myöntämisen jälkeen lupaviranomainen kokoaisi eri rekisterinpitäjien tallentamat tiedot, yhdistelisi ne ja luovuttaisi ne pyytäjän käytettäväksi tietoturvalliseen käyttöympäristöön. Voimassa olevan lainsäädännön vuoksi Tilastoviranomaiset myöntäisivät edelleen käyttöluvat itse, mutta lupahakemus toimitettaisiin niillekin keskitetyn tietopyyntöjen hallintajärjestelmän kautta.

    Jos tietoja tarvittaisiin vain yhdeltä laissa mainitulta rekisterinpitäjältä, se myöntäisi luvan entiseen tapaan itse. Rekisterinpitäjä voisi kuitenkin sopia, että lupaviranomainen hoitaa tehtävää sen puolesta. Muiden kuin viranomaisten tietoihin luvan myöntäisi aina lupaviranomainen.

  • Perustetaanko uusi lupaviranomainen?

    Lakiehdotuksen mukaan Sosiaali- ja terveysalan käyttölupaviranomainen perustettaisiin erilliseksi yksiköksi Terveyden ja hyvinvoinnin laitoksen (THL) yhteyteen. THL:n tutkijoiden pitäisi hakea käyttöluvat aivan samaan tapaan kuin kaikkien muidenkin tutkijoiden.

    Yksikön toimintaa ohjaisi ja kehittäisi eri rekisterinpitäjien edustajista koostuva ohjausryhmä. Ohjausryhmä nimettäisiin muun muassa sosiaali- ja terveysministeriön, THL:n, Valviran, Kansaneläkelaitoksen, Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen, Työterveyslaitoksen, Fimean sekä ja sosiaali- ja terveydenhuollon palveluntarjoajien edustajien joukosta.
     

  • Miksi lupaviranomainen toimisi juuri THL:n yhteydessä?

    THL:lla on asiantuntemusta sosiaali- ja terveysalan tutkimus- ja kehittämistoiminnasta sekä sen seurannasta ja arvioinnista ja näissä tehtävissä tarvittavista tiedoista. THL:lla on merkittävä osa sosiaali- ja terveysalan rekistereistä ja se toimii myös alansa tilastoviranomaisena.

    THL:llä on myös pitkä kokemus omissa rekistereissään olevien tietojen käyttölupapäätöksistä. Lisäksi sille on myös voimassa olevalla lainsäädännöllä keskitetty päätösvaltaa muidenkin rekisterinpitäjien tietoihin. THL päättää käyttöluvista esimerkiksi, kun tietoja tarvitaan useamman kuin yhden sosiaali- ja terveydenhuollon palveluja tuottavan kunnan tai kuntayhtymän potilasasiakirjoista tai sosiaalihuollon asiakasasiakirjoista. Lisäksi se myöntää lupia Kelan Reseptikeskuksen ja Reseptiarkiston tietoihin sekä yksityisten sosiaali- ja terveydenhuollon toimijoiden tietoihin. Tarkoitus on, että THL:n kokeneita lupakäsittelijöitä siirtyy lupaviranomaisen tehtäviin.
     

  • Rakennetaanko tietojen luovutusta ja käsittelyä varten uusi verkkopalvelu?

    Kyllä. Lupakäsittelyä sekä Sosiaali- ja terveysalan käyttölupaviranomaisen ja hakijan välistä viestintää varten on tarkoitus rakentaa luvituksen hallintajärjestelmä sekä tietoturvalliset käyttöympäristöt ja käyttöliittymät tietojen luovuttamista varten. Lisäksi rekisterinpitäjien ja lupaviranomaisen tulisi järjestää neuvontapalvelu henkilötietojen hyödyntäjille.

    Tietoturvallinen käyttöympäristö varmistetaan muun muassa niin, että

    • käyttöoikeudet määritellään huolellisesti
    • pääsyä käsiksi laitteisiin, järjestelmiin ja sisään toimitiloihin valvotaan
    • toimitilojen, tietojen ja järjestelmien luvaton käyttö estetään
    • käsittelytapahtumat kirjataan
    • tietoliikennettä valvotaan
    • järjestelmät suojataan huolellisesti tietoturvaa vaarantavilta teoilta tai tapahtumilta kuten viruksilta tai muilta haittaohjelmilta
    • tietoliikenteen häirintää valvotaan ja se estetään.
       
  • Miten laki turvaisi yksilön tietosuojaa?

    Kun yksilöä koskevia henkilötietoja tarvitaan toissijaiseen käyttötarkoitukseen usealta eri rekisterinpitäjältä, uuden lain mukaan käyttöluvat myöntäisi keskitetysti Sosiaali- ja terveysalan käyttölupaviranomainen, joka myös kokoaisi tiedot ja yhdistelisi ne. Lupaviranomainen ylläpitäisi lisäksi keskitettyä tietoturvallista käyttöympäristöä, jonne tiedot pääasiallisesti luovutettaisiin luvan saaneen käyttöön. Tällöin muodostettuja tietoaineistoja käsiteltäisiin vain yhdessä paikassa, eikä niitä siirrettäisi luvansaajan haltuun, mikä vähentää osaltaan tietosuojaloukkausten riskiä.

    Tavoitteena on myös, että sosiaali- ja terveydenhuollon tietojen toissijaisista käyttötarkoituksista tulee avointa ja läpinäkyvää siten, että kansalaisten mahdollisuudet saada tietoja tutkimuksista, joissa asiakastietoja käsitellään, paranevat. Viranomaisten, joiden tietoja laki koskee, olisi laadittava aineistokuvaukset rekisteriensä tietosisällöistä ja tietorakenteista.

    Lisäksi tietosuoja-asetuksessa velvoitetaan rekisterinpitäjiä ylläpitämään selostetta vastuullaan olevista henkilötietojen käsittelytoimista. Selosteesta on ilmettävä muun muassa käsittelyn tarkoitukset, kuvaus rekisteröidyistä ja henkilötietojen vastaanottajista, joille tietoja luovutetaan. Näistä kuvauksista myös yksityiset henkilöt voivat halutessaan saada tiedon siitä, mitä tietoja eri rekistereihin kerätään ja minne niitä säännönmukaisesti luovutetaan. Lisäksi laissa edellytettäisiin tietojärjestelmät tallentavat tietojen käsittely- ja tapahtumahistoriaa eli keräävät lokia erilaisista tapahtumista. Niistä ilmenee esimerkiksi se, kuka tietoja on käsitellyt sekä milloin ja mihin niitä on luovutettu.

  • Voiko henkilöllisyyteni paljastua luovutetuista tiedoista?

    Tietoja voitaisiin luovuttaa käyttötarkoituksesta riippuen joko niin, että rekisteröity voidaan tunnistaa niistä tai siten, että tunnistaminen olisi saajalle mahdotonta. Lain lähtökohtana on, että tunnisteellisia tietoja luovutetaan vain poikkeuksellisesti, jos käyttötarkoitus välttämättä sitä edellyttää. Tiedot saanut on salassapitovelvollinen sekä lain että lupaehtojen mukaan. Jos käyttöluvan saaja rikkoo lupaehtoja, lupa voidaan peruuttaa ja tietoja paljastanut voidaan tuomita rikoslain mukaisesti salassapitorikoksesta tai salassapitorikkomuksesta.

    Tietoja voitaisiin myöntää käyttöluvalla tieteelliseen tutkimukseen, kehittämis- ja innovaatiotoimintaan, opetukseen sekä viranomaisen suunnittelu- ja selvitystehtävään. Lupa myönnettäisiin määräajaksi, jos on ilmeistä, että tiedon antaminen ei loukkaisi niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lisäksi luvassa olisi määrättävä tarpeellisista toimista rekisteröityjen yksityisyyden suojaamiseksi.

    Silloinkin, kun on tärkeää, että yhtä ihmistä koskevia eri tietoja yhdistellään esimerkiksi henkilötunnuksen avulla, tiedot luovutetaan saajalle ensisijaisesti joko anonyymina (tiedot eivät ole lainkaan yhdistettävissä yksittäiseen rekisteröityyn) tai pseudonyymeina. Pseudonyymi tarkoittaa, että ennen tietojen yhdistämistä tiettyyn henkilöön yhdistettävissä olevat henkilötiedot korvataan esimerkiksi numerotunnisteilla tai muutetaan sellaiseen muotoon, ettei henkilö ole enää niistä suoraan tunnistettavissa ilman lisätietoja. Sosiaali- ja terveysalan käyttölupaviranomainen säilyttää tunnistamisen mahdollistavat lisätiedot hallussaan erillään muusta tiedosta. Lupaviranomainen varmistaa teknisesti ja hallinnollisesti sen, että vain se voi yhdistää luovutetut tiedot myöhemmin rekisteröityyn ja vain lain sallimissa tilanteissa.

    Jos tietoja pyydetään muodossa, josta ei voida enää välillisestikään tunnistaa rekisteröityä, lupaviranomaisella olisi oikeus viranomaisvastuulla, ilman erillistä käyttölupaa koota, yhdistellä ja luovuttaa tiedot saajalle anonymisoituna.
     

  • Millaisiin toissijaisiin tarkoituksiin tunnisteellisia tietoja voisi käyttää ilman käyttölupaa?

    Tunnisteellisia tietoja voitaisiin käyttää toissijaisiin käyttötarkoituksiin ilman käyttölupaa vain laissa säädetyissä, tarkasti rajatuissa tilanteissa. Näitä olisivat tietojohtaminen sekä viranomaisohjaus- ja valvonta.

    Sosiaali- ja terveydenhuollon palvelunantajalla olisi oikeus käyttää ja yhdistellä tietoja, jotka se on tallentanut omassa toiminnassaan, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja omavalvontaa varten. Tällöinkin tietoja tulisi käyttää anonymisoituna tilastomuodossa aina, kun se on mahdollista.

    Lisäksi valvontaviranomaisella olisi oikeus saada lupaviranomaiselta tunnisteellisia tietoja viranomaisohjausta ja valvontaa varten, jos se pyytää niitä muussa laissa säädetyn tiedonsaantioikeutensa perusteella.  Tällöin valvonta ei kohdistuisi asiakkaisiin, vaan sosiaali- ja terveydenhuollon ammattihenkilöihin tai palvelunantajiin. Tarkoituksena on, että valvontaa varten tarpeelliset tiedot voisi saada suoraan lupaviranomaiselta eikä niitä tarvitsisi pyytää usealta eri taholta.

  • Millaisiin käyttötarkoituksiin eri toimijat voisivat tietoja hyödyntää?

    Laissa säädetyt käyttötarkoitukset olisivat

    • tieteellinen tutkimus
    • tilastointi
    • kehittämis- ja innovaatiotoiminta
    • viranomaisohjaus ja -valvonta
    • viranomaisten suunnittelu- ja selvitystehtävä
    • opetus
    • tietojohtaminen.

    Tietoja on jo aiemmin voinut hyödyntää suurimpaan osaan näistä käyttötarkoituksista. Lailla eri käyttötarkoitukset koottaisiin yhteen ja niistä säädettäisiin aiempaa tarkemmalla tasolla.
     

  • Voiko sosiaali- ja terveystietoja käyttää kaupallisiin tarkoituksiin? Voidaanko minua koskevaa arkaluontoista tietoa luovuttaa yksityisin varoin rahoitettuun tutkimukseen tai kehittämis- ja innovaatiotoimintaan?

    Henkilötietojen käyttö tieteelliseen tutkimukseen olisi EU:n tietosuoja-asetuksen mukaan sallittua. Tieteelliseksi tutkimukseksi tulkitaan asetuksen mukaan paitsi akateeminen tutkimus, myös teknologian kehittäminen ja esittely, perustutkimus, soveltavaa tutkimus ja yksityisin varoin rahoitettu tutkimus. Sitä, miten tieteellinen tutkimus tulkitaan, ei jatkossa voi päättää kansallisesti, vaan tulkinta seuraa suoraan asetuksesta. Tässä mielessä Suomessa tähän asti noudatettu tulkintalinja on ollut tiukempi.

    Lailla mahdollistettaisiin myös tietojen käyttö sellaiseen kehittämis- ja innovaatiotoimintaan, joka ei täytä tieteellisen tutkimuksen kriteereitä. Tällöin kuitenkin edellytettäisiin aina rekisteröidyn suostumusta tai tietojen luovutusta anonymisoituna.

    Tietoja ei saisi käyttää markkinointiin tai siihen, että yksittäisiin henkilöihin otettaisiin niiden perusteella yhteyttä.
     

  • Voidaanko tietoni luovuttaa ulkomaille?

    Tietosuoja-asetus edellyttää, että EU-alueella tiedot liikkuvat vapaasti. Laki on kuitenkin laadittu siten, että tietoja käsitellään pääsääntöisesti Sosiaali- ja terveysalan käyttölupaviranomaisen keskitetyssä tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain käyttöluvan saaneet henkilöt. Luvansaaja voi olla muuallakin kuin Suomessa, mutta tiedot pysyvät tällöin Suomessa. Tietoturvallinen käyttöympäristö olisi keskeinen tekninen keino turvata myös henkilötietojen suojaa sekä arkaluonteisten tietojen suojaa. 

    Vain poikkeustapauksessa tietoja voitaisiin luovuttaa luvansaajan osoittamaan muuhun, tietoturvalliseen käyttöympäristöön. Tietoja saisi tällöinkin käyttää vain siinä tarkoituksessa, jossa ne on luvansaajalle luovutettu. EU:n tietosuoja-asetus määrittelee sen, millä edellytyksillä tietoja voidaan luovuttaa EU:n ulkopuolelle.
     

Further information

Helena Raula, hallitussihteeri 
STM, Sosiaali- ja terveydenhuollon ohjausosasto / OHO, Digitalisaation ja tiedonhallinnan ryhmä DITI 0295163018   forename.surname@stm.fi


Pia-Liisa Heiliö, neuvotteleva virkamies 
STM, Hyvinvointi- ja palveluosasto / HPO, Asiakkuus ja toimintaympäristö -yksikkö / ASTO, Asiakkaat-tulosryhmä / ASI 0295163372   forename.surname@stm.fi


Hannu Hämäläinen, neuvotteleva virkamies 
STM, Hyvinvointi- ja palveluosasto / HPO, Asiakkuus ja toimintaympäristö -yksikkö / ASTO, Asiakkaat-tulosryhmä / ASI 0295163380   forename.surname@stm.fi