Kaikki uutiset ja tiedotteet

Miten toisiolaki parantaa tietosuojaa?

Vuonna 2019 voimaan tullut toisiolaki parantaa kansalaisten tietosuojaa määrittelemällä tarkasti, miten ja millä edellytyksillä sosiaali- ja terveystietoja voidaan käyttää alkuperäisen käyttötarkoituksen ulkopuolella, esimerkiksi tutkimuksessa ja tilastoinnissa.

Ennen toisiolakia tietojen käsittelyssä oli tietoturvariskejä:

  • Tietolupien hakua ei ollut keskitetty:
    • Lupia myönsivät yksittäiset rekisterinpitäjät, sosiaali- ja terveysministeriö tai Terveyden ja hyvinvoinnin laitos, eikä lupakäytännöt olleet yhtenäisiä.
  • Tietoja voitiin siirtää fyysisillä tallenteilla
    • Aineistoja saatettiin lähettää suoraan luvansaajille esimerkiksi muistitikuilla tai CD-levyillä. Tämä teki tietoturvan ja tietojen käytön valvonnan mahdottomaksi.
  • Tietojen käyttöä ei voitu valvoa jälkikäteen
    • Aineistojen poistamista tietoluvan voimassaolon päätyttyä ei pystytty seuraamaan.

Toisiolaki on parantanut tietosuojaa erityisesti seuraavilla tavoilla:

  1. Lupamenettelyn keskittäminen Findatalle
    • Toisiolain myötä tietolupien myöntäminen on keskitetty Findatalle, mikä on parantanut aineistojen tietoturvaa ja kansalaisten tietosuojaa.
    • Kun tiedot yhdistellään keskitetysti, niiden käyttö on suojatumpaa ja sitä pystytään valvomaan tehokkaammin.
  2. Aineistojen pseudonymisointi
    • Toisiolain mukaiset aineistot ovat pseudonymisoituja, eli niistä on poistettu suorat tunnistetiedot ennen kuin ne luovutetaan luvansaajille.
    • Pseudonymisointi estää yksittäisten henkilöiden tunnistamisen.
  3. Tietoturvallinen käyttöympäristö
    • Tietojen analysointi tapahtuu tietoturvallisessa käyttöympäristössä, jossa ei ole internet-yhteyttä.
    • Tietoturvalliset käyttöympäristöt parantavat tietoturvaa:
      • Vain tietoluvassa mainitut käyttäjät saavat käsitellä henkilötietoaineistoa tietoturvallisessa käyttöympäristössä.
      • Käyttäjät tunnistautuvat kaksivaiheisesti.
      • Käyttöympäristöön ei voi ladata ulkopuolisia tietoja.
      • Tietoja ei voi siirtää pois ympäristöstä ilman Findatan tarkistusta.
      • Yhteyden katkaisun jälkeen käyttäjillä ei ole enää pääsyä aineistoon
  4. Parannettu valvonta
    • Findatan toimintaa valvoo muun muassa oikeusasiamies ja henkilötietojen käsittelyä tietosuojavaltuutettu.
    • Findata voi pyytää tietosuojavaltuutetulta lausunnon ennen tietoluvan myöntämistä.
    • Findata raportoi tietosuojavaltuutetulle vuosittain sosiaali- ja terveystietojen sekä niiden lokitietojen käsittelystä.
    • Käyttöympäristöjen tietoturvaa valvoo Sosiaali- ja terveysalan valvontavirasto Valvira.