Tietosuoja-asetus edellyttää, että EU-alueella tiedot liikkuvat vapaasti. Laki on kuitenkin laadittu siten, että tietoja käsitellään pääsääntöisesti sosiaali- ja terveysalan tietolupaviranomaisen keskitetyssä tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain käyttöluvan saaneet henkilöt. Luvansaaja voi olla muuallakin kuin Suomessa. Tietoturvallinen käyttöympäristö on keskeinen tekninen keino turvata myös henkilötietojen suojaa.

Mikäli se on välttämätöntä, tietoja voidaan luovuttaa luvansaajan osoittamaan muuhun, tietoturvalliseen käyttöympäristöön. Muun ympäristön tulee kuitenkin täyttää Findatan antaman määräyksen kriteerit, sen tulee auditoitu määräystä vasten ja auditoinnista saatavan todistuksen tulee olla voimassa. Valvira ylläpitää Toini-rekisteriä, joTietoja saisi tällöinkin käyttää vain siinä tarkoituksessa, jossa ne on luvansaajalle luovutettu. EU:n tietosuoja-asetus määrittelee sen, millä edellytyksillä tietoja voidaan luovuttaa EU:n ulkopuolelle.