Tietolupahakemusten käsittelyprosessi on voinut aiemmin kestää vuosia, kun lupahakemuksia on pitänyt tehdä usealle rekisterinpitäjälle. Tämä on johtanut arvokkaiden tietoaineistojen alikäyttöön. Laki toisiokäytöstä purkaa lupakäsittelyyn liittyvää päällekkäistä hallinnollista taakkaa, nopeuttaa lupakäsittelyä ja sujuvoittaa tietojen yhdistelyä eri rekistereistä.

Esimerkiksi lääketieteellisessä tutkimuksessa tarvitaan usein tietoja terveydenhuollon eri toimintayksiköistä, THL:n ja Kelan rekistereistä, Väestörekisterikeskukselta, Eläketurvakeskukselta ja Tilastokeskukselta. Tietoluvat myöntää jatkossa keskitetysti sosiaali- ja terveysalan tietolupaviranomainen silloin, kun tietoja on tarpeen yhdistellä eri rekisterinpitäjiltä.

Asiakastietojen ensisijaisella käytöllä tarkoitetaan käyttötarkoitusta, jonka vuoksi tiedot on alun perin tallennettu asiakas- ja/tai potilasrekisteriin. Ensisijainen käyttötarkoitus voi olla esimerkiksi potilaan tutkiminen, hoitaminen ja kuntoutus tai vastaavasti sosiaalihuollon asiakkaan saama palvelu tai Kansaneläkelaitoksen etuuskäsittely.

Asiakastietojen toissijaisella käytöllä tarkoitetaan samojen tietojen käyttöä muissa kuin ensisijaisissa käyttötarkoituksissa. Lain mukaiset toissijaiset käyttötarkoitukset ovat tieteellinen tutkimus, tilastointi, kehittämis- ja innovaatiotoiminta, opetus, tietojohtaminen, viranomaisohjaus ja -valvonta sekä viranomaisten suunnittelu- ja selvitystehtävät.

Eri käyttötarkoituksia koskevat erilaiset säädökset. 

Kun kattavat rekisteritiedot ovat helpommin tutkijoiden ja palvelujen järjestäjien käytettävissä, tutkimus ja tiedolla johtaminen tehostuu ja

• ihmisille voidaan tuottaa parempia palveluja, tehokkaampia lääkkeitä, terveyttä edistäviä ja hoitoa tukevia sovelluksia ja terveysteknologiaa
• prosesseja ja palvelujärjestelmiä voidaan kehittää tehokkaammiksi ja paremmin asiakkaiden tarpeita vastaaviksi
• voidaan kehittää ketterämpiä välineitä valvontaan ja esimerkiksi lääkkeiden haittavaikutusten tutkimiseen.

Siten kansalaiset saavat entistä parempaa ja vaikuttavampaa hoitoa ja hoivaa ja hyvinvointi- ja terveyserot kaventuvat.

Aggregointi on tilastotieteen menettely, jolla tietoja yhdistellään ja summataan. Aggregoitu tilastotieto kuvaa henkilöryhmää yksittäisen henkilön sijaan. Henkilöryhmien tiedot on muodostettu siten, että yksilöitä ei voi tunnistaa.

Sosiaali- ja terveysalan tietolupaviranomainen (Findata) myöntää tietoluvat silloin, kun tietoja on tarpeen yhdistellä eri rekisterinpitäjiltä tai jos tarvitaan tietoja yksityisestä sosiaali- ja terveydenhuollosta tai tietolupapyyntö koskee Kanta-palveluihin tallennettua tietoa.

Jos tietoja tarvitaan vain yhdeltä laissa mainitulta rekisterinpitäjältä, se myöntää luvan entiseen tapaan itse. Rekisterinpitäjä voi kuitenkin sopia, että tietolupaviranomainen hoitaa tehtävää sen puolesta.

Tietolupaviranomainen toimii erillisenä yksikkönä Terveyden ja hyvinvoinnin laitoksen (THL) yhteydessä. Tietolupaviranomainen myöntää luvat ja toimii itsenäisesti suhteessa muuhun THL:n toimintaan.

Tietolupaviranomaisen toimintaa ohjaa ja kehittää STM:n ja eri rekisterinpitäjien edustajista koostuva ohjausryhmä. Ohjausryhmä nimetään muun muassa sosiaali- ja terveysministeriön, THL:n, Valviran, Kansaneläkelaitoksen, Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen, Työterveyslaitoksen, Fimean sekä ja sosiaali- ja terveydenhuollon palveluntarjoajien edustajien joukosta.

• Sosiaali- ja terveystietojen toissijaisen käytön ohjausryhmä ja sen alatyöryhmät

Tietolupaviranomaisen ja myös tietolupia myöntävien rekisterinpitäjien toimintaa valvovat mm. oikeusasiamies ja tietosuojavaltuutettu. Tietolupien myöntäjien on annettava kerran vuodessa selvitys sosiaali- ja terveystietojen sekä niiden lokitietojen käsittelystä tietosuojavaltuutetulle. Sosiaali- ja terveysalan valvontavirasto (Valvira) valvoo tietoturvallisia käyttöympäristöjä.

Tietoturvallinen käyttöympäristö on tietokonejärjestelmä, jossa käyttäjät voivat käsitellä luvan mukaisia henkilötason tietoja tietoturvallisesti ja tietosuojan huomioiden. Tietolupaviranomaisen tietoturvallisen käyttöympäristön lisäksi myös muilla alan toimijoilla voi olla omia tietoturvallisia käyttöympäristöjä. 

Tietolupaviranomainen on antanut määräyksen tietoturvallisten käyttöympäristöjen vaatimuksista. Arviointilaitokset arvioivat vaatimusten mukaisuuden ennen kuin sen käyttö voidaan aloittaa ja ympäristö merkitä Valviran rekisteriin. Valvira valvoo tietoturvallisten käyttöympäristöjen lainmukaisuutta.

Siirtymäsäädökset tietoturvallisista käyttöympäristöistä tulivat voimaan 1.5.2022. 

Anonyymiä aggregaattitason tietoa voi saada vapaasti käytettäväksi tietoturvallisten käyttöympäristöjen ulkopuolella.

Useita rekisterinpitäjiä koskevista tietoluvista päättää keskitetysti sosiaali- ja terveysalan tietolupaviranomainen. Tietolupaviranomainen myös kerää aineistot eri organisaatioilta, yhdistelee ne ja luovuttaa tutkijalle käyttöön tietoturvalliseen käyttöympäristöön.

Hakemuskäsittelylle ja tietojen luovutukselle on asetettu määräajat. Aikaisemmin lupien ja tietoaineistojen saaminen eri organisaatiolta on voinut kestää jopa vuosia. Toisiolaki ja tietolupaviranomaisen toiminta korjaavat tämän tilanteen. Toisaalta tietolupaviranomaisen hakemus- ja aineistokäsittely ovat tällä hetkellä ruuhkautuneet ja määräaikoja ei ole kaikissa tilanteissa pystytty pitämään. Toimenpiteet tilanteen korjaamiseksi ovat käynnissä. Tietolupaviranomainen voi myös muodostaa valmisaineistoja, mikä nopeuttaa tietojen luovutusta tutkimukseen. 

Rekisterinpitäjät ja tietolupaviranomainen järjestävät neuvontapalvelua tutkijoille. Lisäksi kaikki reksiterinpitäjät on velvoitettu laatimaan tietoaineistoistaan kuvauksen. Näiden kuvausten laatiminen on parhaillaan käynnissä. 

Velvoite tietoturvallisista käyttöympäristöistä muuttaa merkittävästi tutkijoiden työtä. 1.5.2022 alkaen henkilötason tietoja on saanut käsitellä ainoastaan arvioiduissa tietoturvallisissa käyttöympäristöissä tietosuojan ja -turvan varmistamiseksi. Tavoitteena on, että Suomeen syntyy toimiva ja tehokas tietoturvallisten käyttöympäristöjen verkosto, joka tarjoaa tutkijoille monipuoliset välineet. Syyskuussa 2021 tietoviranomaisella on ainoana arvioitu tietoturvallinen käyttöympäristö käytössä. Monet muut organisaatiot kehittävät ympäristöjä parhaillaan.

Valtioneuvosto on periaatepäätöksessä (LVM/29021/44) 10.6.2021 kiinnittänyt huomiota kriittisten toimialojen tietoturvan ja tietosuojan tasoon. Kaikilla kriittisillä toimialoilla tulee olla lakisääteiset tietoturvavaatimukset. 

Myös tutkimusta tehtäessä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettuja arkaluontoisia henkilötietoja ja niihin yhdistettyjä etuustietoja sekä sosioekonomisia tietoja on pystyttävä käsittelemään tietoturvallisesti ja tietosuoja huomioiden. Tietoaineistoja luvittavien viranomaisten on pystyttävä varmistamaan, että tiedot luovutetaan ainoastaan käyttöympäristöihin, jotka täyttävät todistetusti tietoturvavaatimukset. Eri organisaatioissa on käynnissä näiden tietoturvallisten käyttöympäristöjen kehittäminen ja auditointi. 

Toistaiseksi Suomessa on vain kaksi auditoitua tietoturvallista käyttöympäristöä. Nämä ovat Findatalla ja Tilastokeskuksella. 

Velvoite tietoturvallisista käyttöympäristöistä on tullut voimaan 1.5.2022. 

Suostumusta voi käyttää, jos se on EU:n tietosuoja-asetuksen mukainen suostumus, mutta se ei tarkoita, etteikö muuten tulisi noudattaa toisiolain sääntelyä.

Toisiolain sääntelyn ydin on se, että tietoluvan myöntämisessä on kyse julkisen hallintotehtävän hoitamisesta ja viranomaispäätöksestä. Kun viranomaisasemassa oleva rekisterinpitäjä päättää tietoluvan myöntämisestä, päätöksen tulee perustua lakiin, ja kyseistä rekisterinpitäjää koskevat toisiolain kaikki menettelysäännökset (siis myös tietoturvaa ja maksuja koskevat toisiolain säännökset). 

Suostumus on tietosuoja-asetuksen 6 artiklan 1 (a) alakohdan ja erityisten henkilötietoryhmien kuten esim. terveystietojen osalta 9 artiklan 2 (a) alakohdan mukainen henkilötietojen käsittelyn oikeusperusta. Kansallisesti voidaan kuitenkin säätää, että tietosuoja-asetuksen mukaisella suostumuksella ei voi ohittaa tietosuoja-asetuksen mukaista lähtökohtaista erityisten henkilötietoryhmien käsittelykieltoa. 

Toisiolain soveltamisalaan kuuluvien henkilötietojen käsittelyn oikeusperusta on johdettu tietosuoja-asetuksen monesta eri kohdasta. Käsittely tapahtuu pääosin ns. lakiperusteella, toisin sanoen suostumusta ei enää tarvitse erikseen kysyä. Tämä on tehty nimenomaan helpottamaan rekisteritutkimusta. 

Tietosuoja-asetuksen ja Euroopan tietosuojaneuvoston kannanottojen mukaan suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilanteita, joissa rekisterinpitäjänä on viranomainen, ja joissa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseeseen tulevissa olosuhteissa. Laki turvaa tällöin suostumusta paremmin rekisteröidyn perusoikeudet.
 
Toisiolaki ei kuitenkaan suinkaan estä suostumuksen käyttämistä. Tämä on hyvinkin selvästi todettu esimerkiksi toisiolain 43 §:n 2 momentissa, jonka mukaan, jos luovutettavat tiedot on koottu rekisteröidyn suostumuksella, tietolupa häntä koskeviin rekisteritietoihin voidaan myöntää vain, jos se on suostumuksen ja tiedon käytölle ja luovutukselle annettujen ehtojen mukaista. Jos tietolupahakemusta koskevat tiedot liittyvät käyttötarkoitukseen, joka perustuu rekisteröidyn suostumukseen, tietolupa voidaan myöntää vain sellaisiin tietoihin, jotka rekisteröidyn suostumus kattaa. Lisäksi toisiolain 60 §:n 3 momentissa säädetään myös, miten voidaan rajoitetusti käyttää ennen toisiolain voimaantuloa saatuja suostumuksia.  

Tietosuoja-asetus on suoraan sovellettavaa velvoittavaa lainsäädäntöä. Tietosuoja-asetuksen mukaista suostumusta voi siis käyttää, koska toisiolaissa ei ole käytetty edellä mainittua kansallista liikkumavaraa, jolla suostumuksen käyttäminen olisi rajattu pois. Perustuslakivaliokuntakin on lausunnoissaan (ks. esim. PeVL 4/2021 vp, PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8) pitänyt henkilötietojen suojan kannalta keskeisenä myös tiedollista itsemääräämisoikeutta erityisesti lääketieteellisen tutkimuksen ja potilastietojen käsittelyn kohdalla. 

Mikäli kyseessä on kuitenkin kliininen lääketutkimus, henkilötietojen käsittelyn oikeusperustasta säädetään eduskunnassa tällä hetkellä olevassa hallituksen esityksessä eduskunnalle laiksi kliinisestä lääketutkimuksesta sekä eräiksi siihen liittyviksi laeiksi. Keskeistä tuossa sääntelyssä on saada selkeämpi oikeusperusta potilastietojen käsittelylle ko. tutkimusten koko elinkaaren ajaksi. 

Toisiolaki ei estä harvinaissairauksien tutkimusta. Harvinaissairauksien tutkimusta varten käytän-tönä on usein ollut koota näistä pysyviä sairauskohtaisia tietokantoja. Toisiolaki ei säädä näistä tietokannoista. Jotta tällaisia tietokantoja voidaan ylläpitää, niillä tulisi kuitenkin aina olla joku säädösperusta. Nykyisin tämä perusta on kuitenkin usein puuttunut. Osittain tilannetta on saatu korjattua määrittelemällä osa näistä tietokannoista THL-lain mukaisiksi laaturekistereiksi.
 

Ei estä. Toisiolaki määrittelee, että kehittämis- ja innovaatiotoimintaa varten voidaan käyttää ai-noastaan aggregoituja tietoaineistoja. Kehittämis- ja innovaatiotoimintaa voidaan kuitenkin tehdä myös tieteellisenä tutkimuksena. Aggregaattitason tieto ei välttämättä aina ole riittävää terveys-teknologian kehittämiseksi. Näissä tapauksissa terveysteknologian laitteiden kehittäminen on siten tarkoituksenmukaista toteuttaa tieteellisenä tutkimustoimintana, jolloin viranomainen voi antaa luvan myös henkilötason tietojen hyödyntämiseen, mikäli sen käytölle löytyy tietolupahakemuk-sessa todettu toisiolain mukainen hyväksyttävä peruste. 
 

Tietolupaviranomainen luovuttaa tiedot aina siten, että henkilöiden tietosuoja maksimoidaan kussakin käyttötilanteessa. Lisäksi tietoja luovutetaan vain sen verran kuin niitä välttämättä tarvitaan käyttötilanteessa.

Tietoluvan myöntämisen jälkeen tietolupaviranomainen kokoaa eri rekisterinpitäjien tallentamat tiedot, yhdistelee ne ja luovuttaa ne pyytäjän käytettäväksi tietoturvalliseen käyttöympäristöön.

Laissa on määritelty edellytykset tietoturvalliselle käyttöympäristölle ja Tietolupaviranomainen on anatanut tarkemmin määräyksen tietoturvallisten käyttöympäristöjen vaatimuksista. Ensisijaisesti tiedot luovutetaan luvansaajalle käsiteltäväksi etäkäyttöyhteyden välityksellä siten, että tiedot säilyvät tietolupaviranomaisen tietoturvallisessa käyttöympäristössä. Tarvittaessa tiedot voidaan luovuttaa myös muun organisaation arvioituun ja hyväksyttyyn tietoturvalliseen käyttöympäristöön. 

Lisäksi toissijaisen käytön laissa edellytetään, että tietojärjestelmät tallentavat tietojen käsittely- ja tapahtumahistoriaa eli keräävät lokia erilaisista tapahtumista. Niistä ilmenee esimerkiksi se, kuka tietoja on käsitellyt, miten ja milloin.

Vaatimus tietoturvallisten käyttöympäristöjen käytöstä on tullut voimaan 1.5.2022.

Tietolupaviranomainen luovuttaa tietojen minimointiperiaatteen mukaisesti vain niin vähän tietoa kuin on välttämätöntä kussakin käyttötilanteessa. Lisäksi tietolupaviranomainen yhdistelee tiedot ja luovuttaa ne seuraavassa ensisijaisuusjärjestyksessä käyttötilanteen vaatimusten mukaan:

• aggregoituna tilastotietona, jossa tieto kuvaa henkilöiden sijaan henkilöryhmiä ja ryhmät on muodostettu siten, että yksilöitä ei voi tunnistaa
• anonyyminä henkilötasoisena tietokokonaisuutena
  • henkilön tunnistaminen tiedosta ei ole mahdollista edes välillisesti
• tunnisteettomana henkilötasoisena tietona siten, että yksilön suorat tunnisteet kuten nimet ja osoitteet on poistettu
• pseudonymisoituna henkilötasoisena tietona siten, että yksilön suorat tunnisteet korvattu esim. numerokoodilla
  • henkilö ei ole tunnistettavissa ilman lisätietoja
• henkilötunnisteellisena tietona vain poikkeustapauksissa, hyvin perustellusta syystä.

Vain aggregoitu tilastotieto annetaan vapaaseen käyttöön. Kaikki henkilötasoinen tieto käsitellään aina tietoturvallisessa käyttöympäristössä.

Tietojen saaja ei pysty luovuttamaan tietoja eteenpäin, ja tietojen saajan on turvallista analysoida tietoja pelkäämättä ulkopuolisten pääsyä tietoihin tai tunkeutumista järjestelmiin. 

Lailla varmistetaan, että tietojärjestelmien ylläpitäjät noudattavat asiaankuuluvia parhaita käytäntöjä tietoturvallisuuden varmistamiseksi jatkuvasti.

Anonyymi tieto on henkilötietoa, josta tunnistettavuus on poistettu siten, että henkilön tunnistaminen ei ole enää mahdollista.

Aineistoa ei ole aina mahdollista muuttaa anonyymiksi pelkästään poistamalla nimet, osoitteet ja muut suorat henkilötunnisteet. Lisäksi on poistettava myös tiedot, joiden avulla on mahdollista tunnistaa yksilö välillisesti. Näitä tietoja voivat olla muun muassa tieto harvinaisesta sairaudesta tai tietyn sosiaalihuollon palvelun saamisesta.

Anonyymista tiedosta ei siis voi tunnistaa yksilöä enää välillisestikään. Niin kauan kuin yksilö voidaan tunnistaa tiedosta edes välillisesti tai ne on mahdollista muuttaa takaisin tunnisteelliseksi, kyse on henkilötiedosta. Esimerkiksi genomitieto on sellaista, että sitä ei ole käytännössä mahdollista anonymisoida.                                       

Euroopan unionin tasolla toimiva tietosuojaryhmä (WP29) on antanut anonymisointitekniikoihin liittyvän lausunnon. Siitä käy ilmi seikkoja, joita anonymisoinnissa on otettava huomioon.

Tietoja voidaan luovuttaa käyttötarkoituksesta riippuen joko niin, että tunnistaminen on saajalle mahdotonta tai siten, että rekisteröity voidaan tunnistaa niistä. Lain lähtökohtana on, että tunnisteellisia tietoja luovutetaan vain poikkeuksellisesti, jos käyttötarkoitus välttämättä sitä edellyttää.

Tietoja voidaan myöntää tietoluvalla tieteelliseen tutkimukseen, opetukseen sekä viranomaisen suunnittelu- ja selvitystehtävään. Lupa myönnetään vain, jos on ilmeistä, että tiedon antaminen ei loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lisäksi luvassa määritellään tarpeelliset toimet henkilön yksityisyyden suojaamiseksi. Lupa myönnetään aina määräajaksi.

Silloinkin, kun on tärkeää, että yhtä ihmistä koskevia eri tietoja yhdistellään esimerkiksi henkilötunnuksen avulla, tiedot luovutetaan saajalle ensisijaisesti joko anonyymina tai pseudonyymeina. Pseudonyymi tarkoittaa, että ennen tietojen yhdistämistä, tiettyyn henkilöön yhdistettävissä olevat henkilötiedot korvataan esimerkiksi numerotunnisteilla tai muutetaan sellaiseen muotoon, ettei henkilö ole enää niistä tunnistettavissa ilman lisätietoja.

Tiedot saanut on salassapitovelvollinen sekä lain että lupaehtojen mukaan. Jos tietoluvan saaja rikkoo lupaehtoja, tietolupa voidaan peruuttaa ja tietoja paljastanut voidaan tuomita rikoslain mukaisesti salassapitorikoksesta tai salassapitorikkomuksesta.

Sosiaali- ja terveysalan tietolupaviranomainen säilyttää tunnistamisen mahdollistavat lisätiedot hallussaan erillään muusta tiedosta. Lupaviranomainen varmistaa teknisesti ja hallinnollisesti sen, että vain se voi yhdistää luovutetut tiedot myöhemmin rekisteröityyn ja vain lain sallimissa tilanteissa.

Jos tietoja pyydetään muodossa, josta ei voida enää välillisestikään tunnistaa rekisteröityä, tietolupaviranomaisella on oikeus viranomaisvastuulla, ilman erillistä tietolupaa koota, yhdistellä ja luovuttaa tiedot saajalle aggregoituna tilastotietona, josta yksilöitä ei voi tunnistaa.

Nykyisin rekisteritietoihin perustuvaa tutkimusta ja tilastointia tehdään ilman erillistä suostumusta. Jatkossakaan suostumusta ei erikseen kysytä, vaan tietoja voidaan hyödyntää tutkimukseen ja tilastointiin, viranomaisohjaukseen ja -valvontaan, viranomaisten suunnittelu- ja selvitystehtäviin, opetukseen ja tieto-johtamiseen. Tietolupaviranomainen luovuttaa kuitenkin tietoja vain sen verran kuin kussakin käyttötarkoituksessa on välttämätöntä, ja tiedot käsitellään tunnisteettomiksi.

Lisäksi tietosuoja paranee, koska henkilötietoja voi jatkossa käsitellä vain tietoturvallisessa käyttöympäristössä ja tietolupaviranomainen luovuttaa vapaasti käytettäväksi vain valmiiksi yhdistellyn tilastoaineiston maksimoiden yksilöiden tietosuojan.

Yritykset tarvitsevat sote-rekisteritietoja kun ne kehittävät uusia, tehokkaampia hoitoja ja lääkeitä sekä parempia, kustannustehokkaampia palveluita ja tuotteita. Yritykset saavat tietoluvan vain lain mukaisiin hyvinvointia ja terveyttä edistäviin käyttötarkoituksiin. Tietoja ei saa käyttää esimerkiksi markkinoinnissa tai hinnoittelussa.

Toisiolain myötä on olemassa lakiperuste rekisteritietojen käytölle innovaatio- ja kehittämistoiminnassa. Innovaatio- ja kehittämistoiminta käyttötarkoitukseen on mahdollista saada valmiiksi yhdisteltyä, aggregoitua tilastotietoa.

Innovaatiot ja kehitystoiminta perustuvat usein tutkimukseen, johon on mahdollista saada myös henkilötason aineistoja käytettäväksi tietoturvallisissa käyttöympäristöissä.

Toisiolaki antaa sote palveluiden tuottajille ja ohjaajille lakiperustan käyttää oman alueensa tietoja tiedolla johtamiseen. 

Sote-tietojen yhdisteleminen ja tietopohjan laajentaminen auttavat kehittämään parempia ja vaikuttavampia palveluja sekä asiakkaan kannalta toimivia palvelukokonaisuuksia, erityisesti paljon palveluja käyttäville henkilöille.

Sosiaali- ja terveyspalveluiden järjestäjien on helpompi seurata palvelujen käyttöä ja vaikuttavuutta, vertailla ja kehittää palveluja, kun tietoja voidaan hyödyntää tiedolla johtamisessa reaaliaikaisesti.

Tietolupaa ei tarvita, jos tutkija käyttää aggregoitua tilastotietoa. Aggregoidusta tilastotiedosta yksilöitä ei voi tunnistaa.

Tunnisteellisia tietoja voidaan lain mukaan käyttää toissijaisiin käyttötarkoituksiin ilman tietolupaa vain tietojohtamisessa sekä viranomaisohjauksessa ja -valvonnassa.

Sosiaali- ja terveydenhuollon palvelunantajalla on oikeus käyttää ja yhdistellä tietoja, jotka se on tallentanut omassa toiminnassaan, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja omavalvontaa varten. Tällöinkin tietoja tulisi käyttää tunnisteettomana aina, kun se on mahdollista.

Lisäksi valvontaviranomaisella on oikeus saada tietolupaviranomaiselta tunnisteellisia tietoja viranomaisohjausta ja -valvontaa varten, jos se pyytää niitä muussa laissa säädetyn tiedonsaantioikeutensa perusteella.  Tällöin valvonta ei kohdistu asiakkaisiin, vaan sosiaali- ja terveydenhuollon ammattihenkilöihin tai palvelunantajiin. Tarkoituksena on, että valvontaa varten tarpeelliset tiedot voi saada suoraan tietolupaviranomaiselta eikä niitä tarvitsisi pyytää usealta eri taholta.

Tietoja saa käyttää ainoastaan toisiolain määrittämiin hyvinvointia ja terveyttä edistäviin käyttötarkoituksiin. Siten tietoja ei saa käyttää esimerkiksi markkinointiin, yksilölliseen vakuutusmaksujen määrittelemiseen tai muihin vastaaviin kaupallisiin tarkoituksiin.

Henkilötietojen käyttö tieteelliseen tutkimukseen on EU:n tietosuoja-asetuksen mukaan sallittua. Tieteelliseksi tutkimukseksi tulkitaan asetuksen mukaan paitsi akateeminen tutkimus, myös teknologian kehittäminen ja esittely, perustutkimus, soveltava tutkimus ja yksityisin varoin rahoitettu tutkimus. Sitä, miten tieteellinen tutkimus tulkitaan, ei jatkossa voi päättää kansallisesti, vaan tulkinta seuraa suoraan edellä mainitusta asetuksesta.

Lailla mahdollistetaan myös tietojen käyttö sellaiseen kehittämis- ja innovaatiotoimintaan, joka ei täytä tieteellisen tutkimuksen kriteereitä. Tällöin kuitenkin tiedot luovutetaan ainoastaan aggregoituna tilastotietona, josta henkilötiedot eivät voi paljastua.

Tietojen saaminen on maksullista, mutta maksut pidetään kohtuullisina. Maksuilla katetaan luvan myöntämisestä ja aineistojen kokoamisesta aiheutuneita kustannuksia. Tietolupaviranomaisen kus-tannuksista ja niiden perusteista päätetään valtion maksuperustelain mukaisesti annettavalla STM:n maksuasetuksella. Rekisterin pitäjät määrittelevät kukin itse omien tietoluovutustensa hinnat.

Tietosuoja-asetus edellyttää, että EU-alueella tiedot liikkuvat vapaasti. Laki on kuitenkin laadittu siten, että tietoja käsitellään pääsääntöisesti sosiaali- ja terveysalan tietolupaviranomaisen keskitetyssä tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain käyttöluvan saaneet henkilöt. Luvansaaja voi olla muuallakin kuin Suomessa, mutta tiedot pysyvät tällöin Suomessa. Tietoturvallinen käyttöympäristö on keskeinen tekninen keino turvata myös henkilötietojen suojaa. 

Vain poikkeustapauksessa tietoja voitaisiin luovuttaa luvansaajan osoittamaan muuhun, tietoturvalliseen käyttöympäristöön. Tietoja saisi tällöinkin käyttää vain siinä tarkoituksessa, jossa ne on luvansaajalle luovutettu. EU:n tietosuoja-asetus määrittelee sen, millä edellytyksillä tietoja voidaan luovuttaa EU:n ulkopuolelle.

Perustuslakivaliokunta kiinnitti lausunnossaan erityisesti huomiota henkilöiden tietosuojan varmistamiseen. Tämän perusteella hallituksen esityksen säädöksiä tiukennettiin koskien tietojen anonymisointia kehittämis- ja innovaatiotoimintaan sekä julkaisujen anonymiteetin varmistamista.

• Anonymisoitua henkilötasoista tietoa saa käsitellä ainoastaan tietoturvallisissa käyttöympäristöissä, koska tekniikan kehittyessä ei voida olla varmoja, etteikö anonymisointia voida purkaa.
• Kehittämis- ja innovaatiotoimintaan tietoja annetaan vain aggrekoituna tilastotietona, jos kehittämis- ja innovaatiotoimintaa toteutetaan muutoin kuin tieteellisenä tutkimuksena.
• Julkaisujen osana esitettävien tietojen anonymiteetin varmistamiseen säädettiin menettely.

Henkilötasoisten sosiaali- ja terveystietojen avulla laaditaan tieteellisiä julkaisuja. Julkaisujen osana esitetään analyysejä ja yhteenvetoja lähtötiedoista. Lakiin säädetyn julkaisujen anonymiteetin varmistusmenettelyn avulla tutkija ja tietolupaviranomainen varmistavat, että julkaisussa ei esitetä tietoja, joista yksittäinen henkilö voisi paljastua.