Käyttöympäristöjä koskeva määräys

Olemme antaneet toisiolain mukaisen määräyksen, joka kuvaa muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset. Määräys koskee sosiaali- ja terveystietojen toissijaista käyttöä.

Tietoluvalla saatavien aineistojen luovuttaminen on 1.5.2022 lähtien sallittua ainoastaan määräyksen vaatimukset täyttäviin, auditoituihin käyttöympäristöihin. Vaatimukset edellyttävät vastaavaa tietoturvan tasoa kuin Findatan omassa Kapseli-käyttöympäristössä.

Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä.

Lue lisää Valviran sivuilta: Toisiokäyttöympäristöjen rekisteri (valvira.fi).

Sivuilta löydät tietoa myös rekisteriin ilmoittautumisesta ja rekisteröintimaksuista.

Määräystä sovelletaan kaikkiin niihin toisiolaissa säädettyihin käyttötarkoituksiin, joihin tarvitaan tietolupa. Näitä käyttötarkoituksia ovat tieteellinen tutkimus, tilastointi, opetus sekä viranomaisen suunnittelu- ja selvitystehtävä. Opetuksen osalta määräys koskee opetusaineiston valmistamista, ei varsinaista opetusta.

Vaatimusten voimaantulo ei vaikuta voimassa oleviin lupiin. Jos aineistoja käsitellään aiemmin myönnetyn, voimassa olevan luvan perusteella, kyseisten aineistojen käsittely voi jatkua samassa ympäristössä myös 1.5.2022 jälkeen.

Tutustu määräykseen

Määräystä on päivitetty 19.1.2022. Uusi määräys korvaa aiemman, 5.10.2020 annetun määräyksen (THL/2492/4.00.00/2020). Päivitetty määräys sisältää oman kappaleen todistuksen myöntämisen perusteista, jonka lisäksi vaatimuksia on kuvattu tarkemmin.

Luotetut tunnistuslähteet

Määräyksessä mainitut, muiden palveluntarjoajien tietoturvallisille käyttöympäristöille luotetut tunnistuslähteet ovat tällä hetkellä:

Suomi.fi
Haka
Virtu

Lisäksi järjestämme tarvittaessa ulkomaisille asiakkaille erillistilauksesta käyttäjätunnuksen, joilla palveluiden käyttö on mahdollista.

Lisätiedot

Neuvonta

Yleinen neuvonta info@findata.fi

Mistä on kyse?

Findata myöntää sosiaali- ja terveysalan rekisteriaineistojen toissijaiseen käyttöön määräaikaisia tietolupia. Luvan myöntämisen jälkeen se toimittaa eri rekistereistä yhdistellyt tiedot tietoturvalliseen etäkäyttöympäristöön analysoitavaksi.

Aineistot luovutetaan pääsääntöisesti aina Findatan käyttöympäristöön eli Kapseliin. Toisiolaki kuitenkin mahdollistaa tietojen luovuttamisen myös muuhun käyttöympäristöön, mikäli se on välttämätöntä.

Jos toisiolain piiriin kuuluva yksittäinen rekisterinpitäjä on tehnyt omia aineistojaan koskevan tietolupapäätöksen, myös sen tulee luovuttaa tietoaineisto aina toisiolaissa tarkoitettuun tietoturvalliseen käyttöympäristöön.

Findatan määräys kuvaa niitä toiminnallisia, hallinnollisia ja teknisiä vaatimuksia, jotka muiden palveluntarjoajien, eli esimerkiksi sairaanhoitopiirien tietoturvallisten käyttöympäristöjen on toteutettava.

Mitä vaikutuksia määräyksellä on?

Määräyksen mukaisten vaatimusten toteuttaminen on 1.5.2022 lähtien edellytyksenä sille, että tietoja voidaan luovuttaa luvansaajan käsiteltäväksi toissijaisiin tarkoituksiin muussa kuin Findatan tietoturvallisessa Kapseli-käyttöympäristössä. Lisäksi käyttöympäristön on oltava arvioitu tietoturvallisuuden arviointilaitoksen toimesta ja arvioinnista tulee olla todistus.

Vaatimuksissa on huomioitu jo käytössä olevien ympäristöjen ratkaisut ja se mahdollistaa teknisesti erilaisten ratkaisujen hyödyntämisen.

Yksinkertaisimmillaan tietoturvallinen käyttöympäristö voi olla fyysisesti ja teknisesti suojattu tila, jossa on internetistä ja muista laitteista eristetty päätelaite tietojen analysointiin. Toisaalta myös pilvipalveluihin perustuvat tekniset ratkaisut ovat mahdollisia, kunhan palveluntarjoaja huolehtii vaatimusten mukaisesta tietoturvasta.

Myös ulkomaisten tutkijoiden käyttöympäristöjen tulee vastata määräyksen mukaisiin tietosuojan ja -turvallisuuden vaatimuksiin. Niiden kelpoisuuden voi osoittaa kansainvälisiin auditointeihin perustuvilla sertifikaateilla, joiden vaatimustenmukaisuuden Suomessa hyväksytty arviointilaitos tarkistaa.

Muiden aineistojen ja tutkijoiden omien työkalujen tuominen käyttöympäristöihin on mahdollista, kunhan ne tapahtuvat palveluntarjoajan määrittelemän prosessin mukaisesti ja palveluntarjoajan valvonnassa.

Eväste	Kesto	Kuvaus
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Eväste	Kesto	Kuvaus
_pk_id	13 kuukautta	Matomo cookie. Used to store a few details about the user such as the unique visitor ID.
_pk_ses	30 minuuttia	Matomo cookie. Short lived cookies used to temporarily store data for the visit.