FI SV

Sekundär användning av social- och hälsouppgifter

Social- och hälsovårdsministeriet bereder en lagändring som syftar till att klient- och personuppgifter som har registrerats inom social- och hälsovården i framtiden ska kunna användas så smidigt och säkert som möjligt för de olika ändamål som är tillåtna enligt lagen.

Lagändringen innebär att klient- och patientuppgifter inom social- och hälsovården samt andra personuppgifter med anknytning till hälsa och välfärd i större omfattning än för närvarande ska kunna användas också för andra ändamål än det primära användningsändamål för vilket de ursprungligen fördes in i registret (s.k. sekundär användning). För närvarande kan uppgifterna användas enligt i lag föreskrivna villkor för vetenskaplig forskning, statistikföring, myndighetsstyrning och myndighetstillsyn samt myndigheternas planerings- och utredningsuppgifter. Lagändringen gör att de kan användas också för undervisning, informationsledning och utvecklings- och innovationsverksamhet.

I och med lagändringen ska tillstånd att använda personuppgifter beviljas av en enda tillståndsmyndighet, när uppgifter från flera olika registeransvariga behöver samköras eller det behövs uppgifter från den privata social- och hälsovården.  Numera behandlar olika registeransvariga ansökningar om tillstånd att använda registeruppgifter som gäller samma forsknings- och utvecklingsprojekt var och en för sig. Uppgifter lämnas ut från olika personregister på basis av bestämmelser i olika lagar.

Syftet med lagreformen är att

  • samla de utspridda bestämmelserna om sekundär användning av social- och hälsouppgifter i en lag
  • avveckla den överlappande administrativa bördan i samband med behandling av användningstillstånd
  • göra behandlingen av användningstillstånd samt samkörning av uppgifter från olika register smidigare och snabbare
  • öka användningen av social- och hälsovårdens värdefulla datalager i forsknings- och utvecklingsverksamhet
  • ännu bättre än tidigare trygga dataskyddet och informationssäkerheten samt skyddet för klienternas och patienternas personuppgifter och berättigade förväntningar.

Tillstånd beviljas av en separat enhet vid Institutet för hälsa och välfärd

Enligt lagförslaget ska tillståndsmyndigheten finnas i anslutning till Institutet för hälsa och välfärd. Andra myndigheter som lagförslaget gäller är social- och hälsovårdsministeriet, Institutet för hälsa och välfärd, Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), regionförvaltningsverken, Arbetshälsoinstitutet, Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea) och offentliga tillhandahållare av social- och hälsovård samt i mer begränsad utsträckning Folkpensionsanstalten, Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen. Även uppgifter från den privata social- och hälsovården ska få användas med tillstånd av den tillståndsmyndighet som enligt förslaget ska finnas i anslutning till Institutet för hälsa och välfärd.

Tillståndsmyndighetens verksamhet ska vara åtskild från Institutet för hälsa och välfärds övriga verksamhet. Dess verksamhet ska styras och utvecklas av en styrgrupp bestående av företrädare för ovannämnda organisationer.

För behandlingen av användningstillstånd och kommunikationen mellan tillståndsmyndigheten och den som ansöker om användningstillstånd ska det enligt förslaget skapas ett centraliserat system för tillståndshantering samt informationssäkra elektroniska miljöer och anslutningar för utlämnande av uppgifter. De registeransvariga och tillståndsmyndigheten ska ordna en rådgivningstjänst för dem som behöver uppgifterna.

Lagreformen förutsätter att det görs ändringar i lagen om Institutet för hälsa och välfärd. Samtidigt revideras de bestämmelser med stöd av vilka Institutet för hälsa och välfärd i syfte att fullgöra sina lagstadgade uppgifter samlar in information från producenter av social- och hälsotjänster.

Efter reformen överensstämmer den nationella lagstiftningen om saken med EU:s dataskyddsförordning

EU:s dataskyddsförordning trädde i kraft den 25 maj 2016. Förordningen kommer att börja tillämpas två år efter att den trätt i kraft, dvs. den 25 maj 2018, i EU:s samtliga medlemsstater.  Med hjälp av lagstiftningsreformen blir bestämmelserna inom detta lagstiftningsområde överensstämmande med kraven i dataskyddsförordningen.

Den föreslagna lagen avses träda i kraft stegvis fr.o.m. den 1 januari 2018.

Regeringens proposition med förslag till lag om informationssäker användning av social- och hälsouppgifter var på remiss 15.8–30.9.2016, varefter beredningen av den fortsatte i en arbetsgrupp och fortfarande fortgår som tjänstemannaberedning. Avsikten är att propositionen ska överlämnas till riksdagen i september 2017.

Frågor och svar:

  • Lagstiftning

    I lagförslaget talas det om primär och sekundär användning av klientuppgifter. Vad är skillnaden mellan dessa?

    Med primär användning av klientuppgifter avses det användningsändamål för vilket uppgifterna förs in i klientregistret. Det primära användningsändamålet kan t.ex. vara undersökning, behandling och rehabilitering av en patient, tillhandahållande av service för en socialvårdsklient eller handläggning av en förmån vid Folkpensionsanstalten.

    Med sekundär användning av klientuppgifter avses användning av dem för något annat användningsändamål än det primära användningsändamålet. Enligt lagförslaget är tillåtna användningsändamål vetenskaplig forskning, statistikföring, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt myndigheternas planerings- och utredningsuppgifter.  

    Varför vill man revidera lagstiftningen om sekundär användning av social- och hälsouppgifter och vilka är målen med revideringen?

    De författningar som gäller social- och hälsovårdens riksomfattande registermaterial har visat sig vara föråldrade och otillräckliga. Målet med lagändringen är att skapa enhetliga och moderna förutsättningar för användning av social- och hälsovårdens klient- och patientuppgifter samt andra personuppgifter som anknyter till hälsa och välfärd även för andra användningsändamål än de användningsändamål för vilka de ursprungligen har förts in i registret.

    Med lagändringen vill man också avveckla överlappande administrativ börda i anslutning till tillståndshandläggningen samt göra tillståndshandläggningen och samkörning av uppgifter från olika register smidigare och snabbare.

    I fortsättningen ska tillstånden att använda personuppgifter beviljas av en enda tillståndsmyndighet när man behöver samköra ofta använt datamaterial från olika registeransvariga. Exempelvis vid medicinsk forskning behövs det ofta uppgifter från olika verksamhetsenheter inom hälso- och sjukvården, Institutet för hälsa och välfärds och Folkpensionsanstaltens register, Befolkningsregistercentralen, Pensionsskyddscentralen och Statistikcentralen.

    För närvarande behandlar olika registeransvariga behövliga ansökningar om rätt att använda registeruppgifter var och en för sig, även om ansökningarna gäller samma användningsändamål. Dessutom lämnas uppgifter ut från olika personregister på basis av bestämmelser i olika lagar. Därför kan handläggningen av ansökningarna om användningstillstånd ta flera år i anspråk, vilket har lett till att värdefullt datamaterial inte används i den utsträckning som vore möjlig.

    Även EU:s dataskyddsförordning ska börja tillämpas 2018. Med hjälp av ändringarna i lagstiftningen blir bestämmelserna överensstämmande med kraven i dataskyddsförordningen.

  • Tillståndsmyndighet

    Om en forskare vill använda uppgifter från flera olika register, vem svarar då för tillståndshandläggningen och utlämnandet av uppgifter i framtiden?

    Om man behöver samköra datamaterial från flera olika registeransvariga, beviljar en och samma tillståndsmyndighet tillstånd att använda personuppgifterna. Efter att användningstillståndet har beviljats samlar tillståndsmyndigheten in uppgifterna från de registeransvariga, samkör dem och lämnar ut dem till den som har bett om dem för att användas i en informationssäker miljö. På grund av den gällande lagstiftningen ska statistikmyndigheterna även i fortsättningen bevilja användningstillstånd själva, men tillståndsansökan ska även till dem lämnas in via ett centraliserat system för tillståndshantering.

    Om uppgifter behövs endast från en av de registeransvariga som nämns i lagen, kan den bevilja tillstånd själv på samma sätt som tidigare. Den registeransvariga kan dock avtala om att tillståndsmyndigheten sköter uppgiften i dess ställe.

    Inrättas en ny tillståndsmyndighet?

    Enligt lagförslaget inrättas en tillståndsmyndighet som en separat enhet i anslutning till Institutet för hälsa och välfärd (THL). Forskare vid Institutet för hälsa och välfärd måste ansöka om användningstillstånd på samma sätt som alla andra forskare.

    Enhetens verksamhet ska styras och utvecklas av en styrgrupp bestående av företrädare för olika registeransvariga. Styrgruppen ska bestå av företrädare för bl.a. social- och hälsovårdsministeriet, Institutet för hälsa och välfärd, Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten, Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen, Arbetshälsoinstitutet, Säkerhets- och utvecklingscentret för läkemedelsområdet samt offentliga tillhandhållare av social- och hälsovård. 

    Varför ska tillståndsmyndigheten finnas just i anslutning till Institutet för hälsa och välfärd?

    Institutet för hälsa och välfärd besitter sakkunskap om forsknings- och utvecklingsverksamhet inom social- och hälsoområdet samt uppföljning och utvärdering av sådan och vilka uppgifter som behövs i sådan verksamhet. Institutet för hälsa och välfärd har en betydande del av registren inom social- och hälsoområdet och är också statistikmyndighet inom sitt område.

    Institutet för hälsa och välfärd har också lång erfarenhet av att fatta beslut om tillstånd att använda uppgifter som finns i institutets egna register, och dessutom har det redan genom gällande lagstiftning fått beslutanderätt om uppgifter i andra registeransvarigas register. Institutet för hälsa och välfärd beslutar om användningstillstånd t.ex. när uppgifter behövs ur patientjournaler eller klienthandlingar från fler än en kommun eller samkommun som producerar social- och hälsovårdstjänster. Det beviljar dessutom tillstånd att använda uppgifter ur Folkpensionsanstaltens Receptcenter och Receptarkiv.

    Skapas en ny nättjänst för utlämnande och behandling av uppgifter?

    Ja. För behandlingen av användningstillstånd och kommunikationen mellan tillståndsmyndigheten och den som ansöker om användningstillstånd är avsikten att det ska skapas ett centraliserat system för tillståndshantering samt informationssäkra miljöer och anslutningar för utlämnande av uppgifter. Dessutom ska de registeransvariga och tillståndsmyndigheten ordna en rådgivningstjänst för dem som använder personuppgifterna.

    En informationssäker miljö säkerställs bl.a. genom att

    • användarrättigheterna definieras noggrant
    • tillgång till utrustning, system och lokaler övervakas
    • olovlig användning av lokaler, uppgifter och system hindras
    • behandlingshistorik förs
    • datakommunikationen övervakas
    • systemen skyddas noggrant från gärningar eller händelser som äventyrar informationssäkerheten, såsom virus eller andra sabotageprogram
    • störningar av datakommunikationen övervakas och hindras.
  • Dataskydd samt behandling och användning av uppgifter

    Hur tryggar den föreslagna lagen individens dataskydd?  

    När personuppgifter som gäller en individ behövs från flera olika registeransvariga för ett sekundärt användningsändamål, ska beviljandet av användningstillstånden enligt den nya lagen skötas centraliserat av en enda tillståndsmyndighet, som också sammanställer och samkör dem. Tillståndsmyndigheten upprätthåller dessutom en centraliserad informationssäker elektronisk miljö, dit uppgifterna i huvudsak utlämnas och där den som har fått tillstånd att använda uppgifterna kan använda dem. Det betyder att uppgifterna då behandlas i endast en miljö, vilket bidrar till att minska risken för dataskyddsintrång.

    Målet är också att de sekundära användningsändamålen för social- och hälsovårdsuppgifter ska bli öppna och transparenta så att medborgarnas möjligheter att få information om forskning där klient- och patientuppgifter behandlas blir bättre. De myndigheter vars uppgifter lagen gäller ska sammanställa beskrivningar av datainnehållet och datastrukturerna i sina register. Enligt dataskyddsförordningen är registeransvariga dessutom skyldiga att föra register över sådan behandling av personuppgifter som utförts under deras ansvar. Detta register ska innehålla uppgifter om bl.a. ändamålen med behandlingen, en beskrivning av de registrerade och de mottagare till vilka personuppgifterna lämnas ut. Ur dessa beskrivningar kan även privatpersoner om de så vill få uppgifter om vilka uppgifter som registreras i olika register och vart de i regel lämnas ut. Enligt lagen förutsätts dessutom att informationssystemen sparar historik om behandling av uppgifterna, dvs. skapar en logg över händelser i systemen. Av dem framgår t.ex. vem som har behandlat uppgifterna och vart de har lämnats ut. 

    Kan uppgifter som lämnas ut röja min identitet?

    Uppgifter ska beroende på användningsändamål kunna lämnas ut antingen på ett sådant sätt att den registrerade kan identifieras utifrån dem eller på ett sådant sätt att det är omöjligt för den som tar emot uppgifterna att identifiera någon utifrån dem. Utgångspunkten i lagen är att identifierbara uppgifter lämnas ut endast i undantagsfall, om användningsändamålet nödvändigt kräver det. Den som har mottagit uppgifterna har tystnadsplikt både enligt lagen och enligt tillståndsvillkoren. Om den som har beviljats användningstillstånd bryter mot tillståndsvillkoren, kan tillståndet återkallas, och den som har röjt uppgifterna kan dömas för sekretessbrott eller sekretessförseelse i enlighet med strafflagen.

    Uppgifter kan lämnas ut till den som beviljats användningstillstånd för vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning samt myndigheternas planerings- och utredningsuppgifter. Tillstånd kan beviljas för viss tid, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifter lämnas ut. Tillståndet ska dessutom innehålla föreskrifter om åtgärder som behövs för att skydda de registrerades integritet.

    Även när det är viktigt att olika uppgifter om en människa samkörs t.ex. med hjälp av personbeteckningen, lämnas uppgifterna ut till mottagaren i första hand i anonymiserad form (uppgifterna går inte över huvud taget att koppla till en enskild registrerad) eller pseudonymiserad form (innan uppgifterna samkörs ersätts personuppgifter som kan tillskrivas en viss person med t.ex. en nummerkod eller ändras till en sådan form att personen inte längre går att identifiera utan kompletterande uppgifter. Tillståndsmyndigheten förvarar då de kompletterande uppgifter som möjliggör identifiering separat från övriga uppgifter. Tillståndsmyndigheten säkerställer på ett tekniskt och administrativt sätt att endast tillståndsmyndigheten senare kan koppla de utlämnade uppgifterna till den registrerade och endast i sådana situationer som är tillåtna enligt lag).

    Om någon begär att få uppgifter som är i sådan form att det inte ens indirekt går att identifiera en registrerad person, har tillståndsmyndigheten rätt att under myndighetsansvar och utan något särskilt användningstillstånd samla in, samköra och lämna ut uppgifterna till mottagaren i anonymiserad och statistisk form (s.k. aggregerade uppgifter).

    För hurdana sekundära användningsändamål kan identifierbara uppgifter användas utan användningstillstånd?

    Identifierbara uppgifter ska kunna användas för sekundära användningsändamål utan användningstillstånd endast i sådana exakt avgränsade situationer som det föreskrivs om i lag. Dessa situationer är informationsledning samt myndighetsstyrning och myndighetstillsyn.

    En tillhandahållare av social- och hälsovård har rätt att använda och samköra uppgifter som tillhandahållaren har registrerat i samband med sin egen verksamhet, om detta är nödvändigt för produktionen, uppföljningen, planeringen, utvecklingen, ledningen och egenkontrollen av den serviceverksamhet som är på dess ansvar. Även då ska de uppgifter som används vara i anonymiserad och statistisk form när det är möjligt.

    En tillsynsmyndighet har dessutom rätt att få identifierbara uppgifter av tillståndsmyndigheten för myndighetsstyrning och myndighetstillsyn, om tillsynsmyndigheten begär att få dem med stöd av sådan rätt att få upplysningar som det föreskrivs om i någon annan lag.  Tillsynen gäller inte klienter eller patienter, utan yrkesutbildade personer eller tillhandahållare av service inom hälso- och sjukvården eller socialvården. Avsikten är att de uppgifter som behövs för tillsynen ska kunna fås direkt av tillståndsmyndigheten och att begäran om uppgifter inte ska behöva riktas till flera olika aktörer.

  • Insamling av uppgifter och möjlighet att inverka på användningen av uppgifterna

    För hurdana användningsändamål kommer olika aktörer att kunna använda uppgifterna?

    De användningsändamål som det föreskrivs om i lagen är

    • vetenskaplig forskning
    • statistikföring
    • utvecklings- och innovationsverksamhet
    • myndighetsstyrning och myndighetstillsyn
    • myndigheternas planerings- och utredningsuppgifter
    • undervisning
    • informationsledning.

    Man har redan tidigare kunnat använda uppgifterna för merparten av dessa användningsändamål. Nu är avsikten att de olika användningsändamålen samlas i en lag och att det föreskrivs mer exakta bestämmelser om dem än tidigare.

    Kan social- och hälsouppgifterna användas för kommersiella ändamål? Kan känsliga uppgifter om mig lämnas ut för privatfinansierad forskning eller utvecklings- och innovationsverksamhet?

    Användning av personuppgifter för vetenskaplig forskning är tillåten enligt EU:s dataskyddsförordning. Som vetenskaplig forskning tolkas enligt förordningen utöver akademisk forskning även teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Begreppet vetenskaplig forskning kan i fortsättningen inte definieras på nationell nivå, utan definitionen följer direkt av förordningen. I fråga om detta har man hittills haft en snävare tolkning i Finland.

    Genom lagen möjliggörs även användning av uppgifter för sådan utvecklings- och innovationsverksamhet som inte uppfyller kriterierna för vetenskaplig forskning. Då krävs dock att den registrerade har gett sitt samtycke eller att uppgifterna lämnas ut i anonymiserad och statistisk form.

    Uppgifterna får inte användas för marknadsföring eller för att kontakta enskilda personer.

    Kan mina uppgifter lämnas ut till utlandet?

    Enligt dataskyddsförordningen ska uppgifter ha fri rörlighet inom EU:s territorium. Lagen är dock skriven så att uppgifterna behandlas huvudsakligen i tillståndsmyndighetens centraliserade informationssäkra miljö, som endast personer med användningstillstånd har rätt att använda. Tillståndshavaren kan befinna sig även någon annanstans än i Finland, men uppgifterna stannar i Finland. Den informationssäkra miljön är ett centralt tekniskt sätt att säkerställa även skyddet för personuppgifter och skyddet för känsliga uppgifter.  

    Endast i undantagsfall kan uppgifter lämnas ut till en annan informationssäker miljö som tillståndshavaren har anvisat. Även då får uppgifterna användas endast för det ändamål för vilket de har lämnats ut till tillståndshavaren. I EU:s dataskyddsförordning finns bestämmelser om under vilka förutsättningar uppgifter kan lämnas ut utanför EU. 

Mer information

Helena Raula, lakimies 
STM, Sosiaali- ja terveyspalveluosasto, Digitalisaation ja tiedonhallinnan ryhmä 0295163018  


Pia-Liisa Heiliö, konsultativ tjänsteman 
STM, Sosiaali- ja terveyspalveluosasto, Asiakkaat ja henkilöstö -ryhmä 0295163372  


Hannu Hämäläinen, konsultativ tjänsteman 
STM, Sosiaali- ja terveyspalveluosasto, Asiakkaat ja henkilöstö -ryhmä 0295163380