Olemme antaneet toisiolain mukaisen määräyksen, joka kuvaa muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset. Määräys koskee sosiaali- ja terveystietojen toissijaista käyttöä.
Tietoluvalla saatavien aineistojen luovuttaminen on ollut 1.5.2022 lähtien sallittua ainoastaan määräyksen vaatimukset täyttäviin, auditoituihin käyttöympäristöihin. Vaatimukset edellyttävät vastaavaa tietoturvan tasoa kuin Findatan omassa Kapseli-käyttöympäristössä.
Määräystä sovelletaan kaikkiin niihin toisiolaissa säädettyihin käyttötarkoituksiin, joihin tarvitaan tietolupa. Näitä käyttötarkoituksia ovat tieteellinen tutkimus, tilastointi, opetus sekä viranomaisen suunnittelu- ja selvitystehtävä. Opetuksen osalta määräys koskee opetusaineiston valmistamista, ei varsinaista opetusta.
Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä.
Lue lisää Valviran sivuilta: Asiakastietolain ja toisiolain mukainen rekisteri Astori (valvira.fi/astori).
Sivuilta löydät tietoa myös rekisteriin ilmoittautumisesta ja rekisteröintimaksuista.
Vaatimusten voimaantulo ei vaikuta voimassa oleviin lupiin. Jos aineistoja käsitellään aiemmin myönnetyn, voimassa olevan luvan perusteella, kyseisten aineistojen käsittely voi jatkua samassa ympäristössä myös 1.5.2022 jälkeen.
Tutustu määräykseen
- Määräys 1/2022: Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset (PDF-tiedosto, 163 kt)
- Liite 1: Tietoturvallisen käyttöympäristön vaatimukset (PDF-tiedosto 308 kt)
Määräystä on päivitetty 19.1.2022. Uusi määräys korvaa aiemman, 5.10.2020 annetun määräyksen (THL/2492/4.00.00/2020). Päivitetty määräys sisältää oman kappaleen todistuksen myöntämisen perusteista, jonka lisäksi vaatimuksia on kuvattu tarkemmin.
Tutustu määräyksen soveltamisohjeeseen
Olemme julkaisseet käyttöympäristöjen palveluntarjoajille ja arviointielimille suunnatun ohjeen, jonka tarkoituksena on selkeyttää vaatimustenmukaisuuden arviointia sekä edistää arviointien yhdenmukaisuutta.
Tutustu ohjeeseen sivulla: Ohje käyttöympäristön vaatimustenmukaisuuden arviointiin
Luotetut tunnistuslähteet
Määräyksessä mainitut, muiden palveluntarjoajien tietoturvallisille käyttöympäristöille luotetut tunnistuslähteet ovat tällä hetkellä:
- Suomi.fi
- Haka
- Virtu
Lisäksi järjestämme tarvittaessa ulkomaisille asiakkaille erillistilauksesta käyttäjätunnuksen, joilla palveluiden käyttö on mahdollista.
Tietoliikenneyhteydet tietoturvalliseen käyttöympäristöön
Joissakin tilanteissa voi olla tarve avata tietoliikenneyhteyksiä tietoturvalliseen käyttöympäristöön. Tällaisia ovat esimerkiksi automaattiset ohjelmistopäivitykset, yhteydet keskitettyihin koodistoihin/kirjastoihin tai federoitujen analyysien suorittaminen.
Jos palveluntarjoajalla on tarve muodostaa yhteyksiä ulos käyttöympäristöstä tai yksittäisestä käyttäjäympäristöstä, seuraavat asiat on huomioitava:
- Yhteyden tarve on perusteltu ja yksittäisen käyttäjäympäristön tapauksessa yhteyden käyttötarkoitus ei ole ristiriidassa tietoluvan ehtojen kanssa.
- Yhteyden kohdeosoitteen osapuoli on tunnistettu ja arvioitu luotettavaksi.
- Yhteyden perustaminen, hallinta ja valvonta tapahtuu palveluntarjoajan toimesta.
- Yhteys on suojattu palomuurilla ja vain käyttötapauksen edellyttämä verkkoliikenne sallitaan.
- Yhteydellä ei saa siirtyä henkilötietoja.
- Olennaisista muutoksista käyttöympäristöön on tehtävä ilmoitus arviointilaitokselle.
Lisätiedot
Mistä on kyse?
Findata myöntää sosiaali- ja terveysalan rekisteriaineistojen toissijaiseen käyttöön määräaikaisia tietolupia. Luvan myöntämisen jälkeen se toimittaa eri rekistereistä yhdistellyt tiedot tietoturvalliseen etäkäyttöympäristöön analysoitavaksi.
Aineistot luovutetaan pääsääntöisesti aina Findatan käyttöympäristöön eli Kapseliin. Toisiolaki kuitenkin mahdollistaa tietojen luovuttamisen myös muuhun käyttöympäristöön, mikäli se on välttämätöntä.
Jos toisiolain piiriin kuuluva yksittäinen rekisterinpitäjä on tehnyt omia aineistojaan koskevan tietolupapäätöksen, myös sen tulee luovuttaa tietoaineisto aina toisiolaissa tarkoitettuun tietoturvalliseen käyttöympäristöön.
Findatan määräys kuvaa niitä toiminnallisia, hallinnollisia ja teknisiä vaatimuksia, jotka muiden palveluntarjoajien, eli esimerkiksi sairaanhoitopiirien tietoturvallisten käyttöympäristöjen on toteutettava.
Mitä vaikutuksia määräyksellä on?
Määräyksen mukaisten vaatimusten toteuttaminen on ollut 1.5.2022 lähtien edellytyksenä sille, että tietoja voidaan luovuttaa luvansaajan käsiteltäväksi toissijaisiin tarkoituksiin muussa kuin Findatan tietoturvallisessa Kapseli-käyttöympäristössä. Lisäksi käyttöympäristön on oltava arvioitu tietoturvallisuuden arviointilaitoksen toimesta ja arvioinnista tulee olla todistus.
Vaatimuksissa on huomioitu jo käytössä olevien ympäristöjen ratkaisut ja se mahdollistaa teknisesti erilaisten ratkaisujen hyödyntämisen.
Yksinkertaisimmillaan tietoturvallinen käyttöympäristö voi olla fyysisesti ja teknisesti suojattu tila, jossa on internetistä ja muista laitteista eristetty päätelaite tietojen analysointiin. Toisaalta myös pilvipalveluihin perustuvat tekniset ratkaisut ovat mahdollisia, kunhan palveluntarjoaja huolehtii vaatimusten mukaisesta tietoturvasta.
Myös ulkomaisten tutkijoiden käyttöympäristöjen tulee vastata määräyksen mukaisiin tietosuojan ja -turvallisuuden vaatimuksiin. Niiden kelpoisuuden voi osoittaa kansainvälisiin auditointeihin perustuvilla sertifikaateilla, joiden vaatimustenmukaisuuden Suomessa hyväksytty arviointilaitos tarkistaa.
Muiden aineistojen ja tutkijoiden omien työkalujen tuominen käyttöympäristöihin on mahdollista, kunhan ne tapahtuvat palveluntarjoajan määrittelemän prosessin mukaisesti ja palveluntarjoajan valvonnassa.