Vanliga frågor om sekundär användning av personuppgifter inom social- och hälsovården

Med primär användning av kunduppgifter avses det användningsändamål för vilket uppgifterna ursprungligen har registrerats i kund- och/eller patientregistret. Primära användningsändamål kan vara t.ex. undersökning, behandling och rehabilitering av en patient eller tillhandahållande av service för en socialvårdsklient eller handläggning av förmåner vid Folkpensionsanstalten.

Med sekundär användning av kunduppgifter avses användning av uppgifterna för något annat användningsändamål än det primära. Enligt lagen är sekundära användningsändamål vetenskaplig forskning, statistikföring, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt myndigheternas planerings- och utredningsuppgifter.

Olika författningar gäller för olika användningsändamål. För utvecklings- och innovationsverksamhet kan man endast få aggregerade statistiska uppgifter utifrån vilka en person inte kan identifieras.

Aggregation är en statistisk metod som innebär att uppgifter blandas och slås ihop. Aggregerade statistiska uppgifter beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har sammanställts så att enskilda individer inte kan identifieras.

Behandlingen av ansökningar om dataanvändningstillstånd har tidigare kunnat räcka flera år när man har varit tvungen att ansöka om tillstånd av flera olika personuppgiftsansvariga. Det har lett till att värdefullt datamaterial har underutnyttjats. Lagen om sekundär användning avvecklar den överlappande administrativa bördan i samband med tillståndsbehandlingen, försnabbar tillståndsbehandlingen och gör samkörningen av uppgifter ur olika register smidigare.

I samband med t.ex. medicinsk forskning behövs det ofta uppgifter från olika verksamhetsenheter inom hälso- och sjukvården och ur de register som förs av Institutet för hälsa och välfärd och Folkpensionsanstalten samt från Befolkningsregistercentralen, Pensionsskyddscentralen och Statistikcentralen. Dataanvändningstillstånd beviljas i fortsättningen centralt av tillståndsmyndigheten för social- och hälsovårdsuppgifter när uppgifter från olika personuppgiftsansvariga behöver samköras.

När heltäckande registeruppgifter är lättare tillgängliga för forskare och serviceanordnare effektiviseras forskningen och informationsledningen, och

• människor kan erbjudas bättre tjänster, effektivare läkemedel samt program och hälsoteknik som främjar hälsan och stöder vården
• processer och servicesystem kan göras effektivare och fås att bättre motsvara kundernas behov
• smidigare verktyg för tillsyn och t.ex. undersökning av läkemedels biverkningar kan utvecklas.

Således erbjuds medborgarna bättre och effektivare vård och omsorg, och skillnaderna i välfärd och hälsa minskar.

Tillståndsmyndigheten för användning av social- och hälsovårdsdata beviljar användningstillstånd när uppgifter från olika personuppgiftsansvariga behöver samköras eller uppgifter om privat social- och hälsovård behövs eller begäran om dataanvändningstillstånd gäller uppgifter som har registrerats i Kanta-tjänsterna.

Om uppgifter behövs endast från en av de personuppgiftsansvariga som nämns i lagen, kan den ansvariga själv bevilja tillstånd på samma sätt som tidigare. Den personuppgiftsansvariga kan dock avtala om att tillståndsmyndigheten sköter uppgiften i dess ställe.

Tillståndsmyndigheten för användning av social- och hälsovårdsdata inrättas som en separat enhet i anslutning till Institutet för hälsa och välfärd. Det är fråga om en enhet som är åtskild från institutets övriga verksamhet.

Verksamheten vid tillståndsmyndigheten och också vid de personuppgiftsansvariga som beviljar dataanvändningstillstånd övervakas av bl.a. justitieombudsmannen och dataombudsmannen. De som beviljar dataanvändningstillstånd ska en gång per år lämna dataombudsmannen en utredning om hur social- och hälsovårdsuppgifterna och logguppgifterna om dem har behandlats. Tillstånds- och tillsynsverket för social- och hälsovården övervakar de informationssäkra driftmiljöerna.

Tillståndsmyndighetens verksamhet styrs och utvecklas av en styrgrupp bestående av företrädare för olika personuppgiftsansvariga. Styrgruppen ska bestå av företrädare för bl.a. social- och hälsovårdsministeriet, Institutet för hälsa och välfärd, Tillstånds- och tillsynsverket för social- och hälsovården, Folkpensionsanstalten, Pensionsskyddscentralen, Befolkningsregistercentralen och Statistikcentralen, Arbetshälsoinstitutet, Säkerhets- och utvecklingscentret för läkemedelsområdet samt leverantörerna av social- och hälsovårdstjänster.

Det antas att forskningen kommer att underlättas när tillståndsförfarandet för de uppgifter som behövs för forskning blir smidigare och forskarna får tillgång till färdigt samkörda uppgifter.

Beslut om dataanvändningstillstånd som gäller flera personuppgiftsansvariga fattas centralt av tillståndsmyndigheten för användning av social- och hälsovårdsdata, och en tidsfrist fastställs för utlämnandet av uppgifter.

Tillståndsmyndigheten kan sammanställa färdigt datamaterial, vilket försnabbar utlämnandet av uppgifter för forskning. Forskarna får färdigt samkörda uppgifter, och detta innebär att forskarna lättare och snabbare kan börja analysera uppgifterna, dvs. utföra sitt eget arbete.

Dessutom ska de personuppgiftsansvariga och tillståndsmyndigheten ordna en rådgivningstjänst för dem som utnyttjar kunduppgifter inom social- och hälsovården. Rådgivningstjänsten, beskrivningarna av datamaterialet och tillståndsmyndighetens effektiviserade tjänster förbättrar förutsättningarna för forskning och forskarnas möjligheter att utnyttja uppgifter.

Forskarna har ett mindre ansvar för dataskyddet, eftersom forskarna med hjälp av det material som tillståndsmyndigheten har sammanställt utför sina analyser i den informationssäkra driftmiljö som tillståndsmyndigheten erbjuder.

Också forskningsteman och forskningshypoteser kan undersökas effektivare redan innan det egentliga forskningsarbetet inleds, och t.ex. dataanalys, maskininlärning och algoritmer samt smidiga verktyg kan utnyttjas i arbetet.

Tillståndsmyndigheten lämnar alltid ut uppgifter på så sätt att personers integritetsskydd maximeras i varje situation där uppgifterna används. Dessutom lämnas uppgifter ut endast i den utsträckning de nödvändigt behövs i den situation där uppgifterna används.

Efter det att dataanvändningstillståndet har beviljats samlar tillståndsmyndigheten in de registrerade uppgifterna av olika personuppgiftsansvariga, samkör uppgifterna och lämnar ut dem till den som har begärt dem för att användas i en informationssäker driftmiljö.

I lagen anges också kraven på den informationssäkra driftmiljö där tillståndshavarna kan behandla uppgifterna. Uppgifterna lämnas i första hand ut så att tillståndshavaren kan behandla dem via en fjärranslutning, varvid uppgifterna förblir i tillståndsmyndighetens informationssäkra driftmiljö.

I vissa fall behöver uppgifter lämnas ut till tillståndshavaren. Då måste mottagaren visa att den under kontrollerade former behandlar uppgifterna i en i lagen angiven miljö som uppfyller kraven på informationssäkerhet.

Enligt lagen om sekundär användning förutsätts det dessutom att informationssystemen sparar historik om behandlingen av uppgifterna, dvs. skapar en logg över händelser i systemen. Av historiken framgår t.ex. vem som har behandlat uppgifterna, på vilket sätt och när det har skett.

Tillståndsmyndigheten lämnar i enlighet med minimeringsprincipen ut endast de uppgifter som är nödvändiga i varje situation där uppgifter används. Dessutom samkör tillståndsmyndigheten uppgifterna och lämnar ut dem i följande prioritetsordning enligt kraven på situationen där uppgifter används:

• aggregerade statistiska uppgifter, där uppgifterna inte beskriver personer utan grupper av personer och grupperna har utformats så att enskilda individer inte kan identifieras
• anonyma informationshelheter på personnivå (en person kan utifrån materialet inte identifieras ens indirekt)
• icke-identifierbara uppgifter på personnivå så att individens direkta identifierare såsom namn och adress har avlägsnats
• pseudonymiserade uppgifter på personnivå på så sätt att individens direkta identifierare har ersatts med t.ex. en sifferkod (en person kan inte identifieras utan kompletterande uppgifter)
• uppgifter med personligt identifikationsnummer, endast i undantagsfall och av väl motiverade skäl.

Endast aggregerade statistiska uppgifter lämnas ut för fri användning. Alla uppgifter på personnivå behandlas alltid i en informationssäker driftmiljö.

Den som tar emot uppgifterna kan inte lämna uppgifterna vidare och kan tryggt analysera uppgifterna utan att vara rädd för att utomstående ska få tillgång till uppgifterna eller göra intrång i systemen. 

Lagen säkerställer att de som ansvarar för datasystemen iakttar relevanta bästa praxis för att säkerställa informationssäkerheten kontinuerligt.
 

Anonyma uppgifter är personuppgifter som har anonymiserats på ett sådant sätt att en person inte längre kan identifieras.

Ett material kan inte alltid anonymiseras enbart på så sätt att namn, adresser och andra direkta identifierare avlägsnas. Uppgifter med hjälp av vilka en individ kan identifieras indirekt måste också avlägsnas. Dessa uppgifter kan vara uppgifter om bl.a. en sällsynt sjukdom eller erhållande av en viss socialvårdstjänst.

En individ kan alltså inte heller indirekt identifieras utifrån anonyma uppgifter. Så länge en individ kan identifieras ens indirekt utifrån uppgifterna eller de kan ändras tillbaka till identifierbara uppgifter är det fråga om personuppgifter. Till exempel genominformation är sådan att den i praktiken inte kan anonymiseras.

Europeiska unionens dataskyddsgrupp (WP29) har gett ett utlåtande om anonymiseringstekniker. Av utlåtandet framgår vad som ska beaktas vid anonymisering.

Uppgifter kan beroende på användningsändamålet lämnas ut antingen så att mottagaren inte kan identifiera den registrerade eller så att den registrerade kan identifieras utifrån uppgifterna. Utgångspunkten i lagen är att identifierbara uppgifter lämnas ut endast i undantagsfall, om användningsändamålet nödvändigt kräver det.

Uppgifter kan lämnas ut till den som beviljats dataanvändningstillstånd för vetenskaplig forskning, för undervisning samt för myndigheternas planerings- och utredningsuppgifter. Tillstånd beviljas endast om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut. I tillståndet fastställs dessutom de åtgärder som behöver vidtas för att skydda en persons integritet. Tillstånd beviljas alltid för viss tid.

Även när det är viktigt att olika uppgifter om en människa samkörs t.ex. med hjälp av personbeteckningen, lämnas uppgifterna ut till mottagaren i första hand i anonymiserad eller pseudonymiserad form. Med pseudonymisering avses att man innan uppgifterna samkörs ersätter personuppgifter som kan tillskrivas en viss person med t.ex. en sifferkod eller ändrar dem till en sådan form att personen inte längre går att identifiera utan kompletterande uppgifter.

Den som har mottagit uppgifterna har tystnadsplikt både enligt lagen och enligt tillståndsvillkoren. Om den som har beviljats dataanvändningstillstånd bryter mot tillståndsvillkoren, kan tillståndet återkallas, och den som har röjt uppgifterna kan dömas för sekretessbrott eller sekretessförseelse i enlighet med strafflagen.

Tillståndsmyndigheten för användning av social- och hälsovårdsdata förvarar de kompletterande uppgifter som möjliggör identifiering separat från övriga uppgifter. Tillståndsmyndigheten säkerställer på ett tekniskt och administrativt sätt att endast tillståndsmyndigheten senare kan koppla de utlämnade uppgifterna till den registrerade och endast i sådana situationer som är tillåtna enligt lag.

Om någon begär att få uppgifter som är i sådan form att det inte ens indirekt går att identifiera en registrerad person, har tillståndsmyndigheten rätt att under myndighetsansvar och utan något särskilt dataanvändningstillstånd samla in, samköra och lämna ut uppgifterna till mottagaren i form av aggregerade statistiska uppgifter utifrån vilka det inte går att identifiera någon enskild individ.

I dagens läge görs forskning och statistikföring som baserar sig på registeruppgifter utan separat samtycke. Samtycke begärs inte heller i fortsättningen separat, utan uppgifter kan utnyttjas för forskning och statistikföring, myndighetsstyrning och myndighetstillsyn, myndigheternas planerings- och utredningsuppgifter, undervisning samt informationsledning. Tillståndsmyndigheten lämnar dock ut uppgifter endast i den utsträckning det är nödvändigt för respektive dataanvändningsändamål, och uppgifterna anonymiseras.

Dessutom förbättras dataskyddet eftersom personuppgifter i fortsättningen kan behandlas endast i en informationssäker driftmiljö och eftersom tillståndsmyndigheten för fri användning lämnar ut endast färdigt samkört datamaterial så att individers integritetsskydd maximeras.

Innovationsverksamhet och utvecklande underlättas när företag har möjlighet att för dessa ändamål få färdigt samkörda, aggregerade statistiska uppgifter i större omfattning och snabbare.

Lagen om sekundär användning innebär att det kommer att finnas en tydlig rättslig grund för användningen av registeruppgifter i innovations- och utvecklingsverksamhet. Detta skapar förutsättningar att utveckla och effektivisera innovationsverksamheten, vilket förbättrar företagens verksamhetsförutsättningar, skapar flera arbetsplatser och inbringar inkomster för samhällsekonomin.

Det blir lättare för dem som ordnar social- och hälsovårdstjänster att följa upp användningen av tjänsterna och deras effekter och att jämföra och utveckla tjänster, eftersom uppgifter kan utnyttjas i informationsledningen i realtid.

Lagen om sekundär användning förbättrar förutsättningarna för utvecklings- och innovationsverksamhet inom social- och hälsovården, vilket möjliggör att det utvecklas nya verktyg för informationsledningens behov.

Dataanvändningstillstånd behövs inte om forskaren använder aggregerade statistiska uppgifter. Individer kan inte identifieras utifrån aggregerade statistiska uppgifter.

Identifierbara uppgifter kan enligt lagen användas för sekundära användningsändamål utan dataanvändningstillstånd endast för informationsledning samt myndighetsstyrning och myndighetstillsyn.

En tillhandahållare av social- och hälsovårdstjänster har rätt att använda och samköra uppgifter som tillhandahållaren har registrerat i samband med sin egen verksamhet, om detta är nödvändigt för produktionen, uppföljningen, utvärderingen, planeringen, utvecklingen, ledningen och egenkontrollen av den serviceverksamhet som tjänstetillhandahållaren ansvarar för. Även då ska uppgifterna alltid när det är möjligt vara anonymiserade.

En tillsynsmyndighet har dessutom rätt att för myndighetsstyrning och myndighetstillsyn få identifierbara uppgifter av tillståndsmyndigheten, om den begär att få dem med stöd av sådan rätt att få upplysningar som anges i någon annan lag. Tillsynen gäller då inte kunder, utan yrkesutbildade personer eller tjänstetillhandahållare inom hälso- och sjukvården eller socialvården. Avsikten är att de uppgifter som behövs för tillsynen ska kunna fås direkt av tillståndsmyndigheten och att begäran om uppgifter inte ska behöva riktas till flera olika aktörer.
 

Uppgifterna får inte användas för marknadsföring eller fastställande av individuella försäkringspremier.

Användning av personuppgifter för vetenskaplig forskning är tillåten enligt EU:s dataskyddsförordning. Som vetenskaplig forskning tolkas enligt förordningen utöver akademisk forskning även teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Vad som tolkas som vetenskaplig forskning kan i fortsättningen inte beslutas nationellt, utan tolkningen följer direkt av ovannämnda förordning.

Genom lagen möjliggörs även användning av uppgifter för sådan utvecklings- och innovationsverksamhet som inte uppfyller kriterierna för vetenskaplig forskning. I detta fall lämnas uppgifterna dock ut endast som aggregerade statistiska uppgifter utifrån vilka personuppgifter inte kan röjas.
 

Erhållande av uppgifter är avgiftsbelagt, men avgifterna hålls på en skälig nivå. Med avgifterna täcks kostnaderna för beviljandet av tillstånd och sammanställningen av material. Beslut om kostnaderna och grunderna för dem fattas genom social- och hälsovårdsministeriets avgiftsförordning som utfärdas i enlighet med lagen om grunderna för avgifter till staten.

Enligt dataskyddsförordningen ska uppgifter ha fri rörlighet inom EU:s territorium. Lagen är dock skriven så att uppgifterna behandlas huvudsakligen i den centraliserade informationssäkra driftmiljö som tillståndsmyndigheten för användning av social- och hälsovårdsdata förvaltar och som endast personer med dataanvändningstillstånd har rätt att använda. Tillståndshavaren kan befinna sig även någon annanstans än i Finland, men uppgifterna stannar i Finland. Den informationssäkra driftmiljön är ett centralt tekniskt sätt att säkerställa skyddet för personuppgifter.

Endast i undantagsfall kan uppgifter lämnas ut till en annan informationssäker driftmiljö som tillståndshavaren har anvisat. Även då får uppgifterna användas endast för det ändamål för vilket de har lämnats ut till tillståndshavaren. I EU:s dataskyddsförordning finns bestämmelser om under vilka förutsättningar uppgifter kan lämnas ut utanför EU.
 

Grundlagsutskottet fäste i sitt utlåtande särskild uppmärksamhet vid säkerställande av enskildas integritetsskydd. Utifrån detta skärptes bestämmelserna i regeringens proposition gällande anonymisering av uppgifter för utvecklings- och innovationsverksamhet samt säkerställande av anonymiteten i publikationer.

• Anonymiserade uppgifter på personnivå får behandlas endast i en informationssäker driftmiljö, eftersom man när tekniken utvecklas inte kan vara säker på att anonymiseringen inte i framtiden kan brytas. 
• För utvecklings- och innovationsverksamhet lämnas uppgifter ut endast som aggregerade statistiska uppgifter, om utvecklings- och innovationsverksamheten genomförs för något annat ändamål än vetenskaplig forskning.
• Till lagen fogades bestämmelser om ett förfarande för att säkerställa anonymiteten för uppgifter som presenteras i en publikation.

Vetenskapliga publikationer utarbetas med hjälp av social- och hälsovårdsuppgifter på personnivå. I publikationerna publiceras analyser och sammandrag av utgångsuppgifterna. Genom förfarandet för att säkerställa den lagstadgade anonymiteten i publikationer ser forskaren och tillståndsmyndigheten till att det i en publikation inte presenteras uppgifter utifrån vilka en enskild person kan identifieras.