Sosiaali- ja terveystietojen käyttöä säätelee useat lait, kuten esimerkiksi
- tietosuojalaki,
- laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä,
- laki lääketieteellisestä tutkimuksesta,
- laki kliinisestä lääketutkimuksesta,
- laki ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä ja
- biopankkilaki.
Sosiaali- ja terveysalan rekisteritietojen toissijaista käyttöä sen sijaan säätelee laki sosiaali- ja terveystietojen toissijaisesta käytöstä eli toisiolaki, joka tuli voimaan vuonna 2019. Samana vuonna perustettiin tietolupaviranomainen Findata, jolle lupatoiminta keskitettiin.
Toisiolaki määrittelee, miten ja millä edellytyksillä sosiaali- ja terveystietoja voidaan käyttää alkuperäisen tarkoituksen ulkopuolella esimerkiksi tutkimuksessa, tilastoinnissa ja muihin kuin potilaiden hoitamiseen tai etuuksien käsittelyyn liittyvissä tarkoituksissa. Toisiolaki säätelee myös tietosuojaa ja salassapitovelvollisuutta koskevia seikkoja sekä asettaa vaatimuksia tietojen käsittelylle ja turvallisuudelle.
Ennen toisiolain voimaantuloa luvan tietojen käyttöön myönsivät yksittäiset rekisterinpitäjät, sosiaali- ja terveysministeriö tai Terveyden ja hyvinvoinnin laitos, eikä aineistojen käsittelemiseen ole ollut yhdenmukaista käytäntöä. Lupatoiminnan ja aineiston käsittelyn keskittäminen Findatalle on parantanut aineistojen tietoturvaa ja kansalaisten tietosuojaa. Kun tiedot yhdistellään keskitetysti, niiden käyttö on suojatumpaa ja sitä pystytään valvomaan tehokkaammin.