Tietosuoja-asetus edellyttää, että EU-alueella tiedot liikkuvat vapaasti. Laki on kuitenkin laadittu siten, että tietoja käsitellään pääsääntöisesti sosiaali- ja terveysalan tietolupaviranomaisen keskitetyssä tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain käyttöluvan saaneet henkilöt. Luvansaaja voi olla muuallakin kuin Suomessa. Tietoturvallinen käyttöympäristö on keskeinen tekninen keino turvata myös henkilötietojen suojaa.

Tietoja voidaan luovuttaa välttämättömistä syistä luvansaajan osoittamaan muuhun, tietoturvalliseen käyttöympäristöön. Muun ympäristön tulee kuitenkin täyttää Findatan antaman määräyksen kriteerit, sen tulee auditoitu määräystä vasten ja auditoinnista saatavan todistuksen tulee olla voimassa. Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ylläpitää julkista Toini-rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä. Lue lisää Valviran sivuilta: Toisiokäyttöympäristöjen rekisteri (valvira.fi).

Tietoja saisi tällöinkin käyttää vain siinä tarkoituksessa, jossa ne on luvansaajalle luovutettu. EU:n tietosuoja-asetus määrittelee sen, millä edellytyksillä tietoja voidaan luovuttaa EU:n ulkopuolelle.