Tältä sivulta löydät
Mikä toisiolaki on Miten toisiolaki parantaa tietosuojaa Miten tietosuojan toteutumista valvotaan Mihin henkilötietoja voidaan käyttää Mistä tiedot ovat peräisin Keskeisiä käsitteitäMikä toisiolaki on?
Toisiolaki on sosiaali- ja terveystietojen toissijaisesta käytöstä on säädetty erillinen laki, virallisesti nimeltään laki sosiaali- ja terveystietojen toissijaisesta käytöstä. Eduskunta hyväksyi lain täysistunnossaan 13.3.2019 ja presidentti vahvisti lain 26.4.2019.
Toisiolain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely. Lisäksi tavoitteena on turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä.
Tutustu toisiolakiin:
- Laki sosiaali- ja terveystietojen toissijaisesta käytöstä 552/2019 (finlex.fi)
- Asian käsittelytiedot eduskunnan sivuilla (eduskunta.fi)
Perehdy muihin sosiaali- ja terveystietojen toissijaista käyttöä sääteleviin lakeihin:
- Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus, GDPR, eur-lex.europa.eu)
- Tietosuojalaki 1050/2018 (finlex.fi)
- Laki viranomaisten toiminnan julkisuudesta 621/1999 (finlex.fi)
Miten toisiolaki parantaa tietosuojaa?
Sosiaali- ja terveystietoja on hyödynnetty Suomessa toissijaisiin käyttötarkoituksiin jo vuosikymmenten ajan. Aiemmin luvan tietojen käyttöön on myöntänyt yksittäinen rekisterinpitäjä, sosiaali- ja terveysministeriö tai Terveyden ja hyvinvoinnin laitos, eikä aineistojen käsittelemiseen ole ollut yhdenmukaista käytäntöä.
Keskitetty lupamenettely ja aineiston käsittely parantavat aineistojen tietoturvaa ja kansalaisten tietosuojaa. Findatan toimintaa varten on rakennettu tietoturvallinen, suljettu Kapseli-käyttöympäristö. Kun tiedot yhdistellään keskitetysti, niiden käyttö on suojatumpaa ja sitä pystytään valvomaan tehokkaammin.
Toisiolaki on säädetty EU:n yleisen tietosuoja-asetuksen (GDPR) mahdollistaman kansallisen liikkumavaran perusteella. Perustuslakivaliokunta ja sosiaali- ja terveysvaliokunta ovat huolehtineet, ettei toisiolaki ole ristiriidassa EU:n tietosuoja-asetuksen kanssa. Lain valmistelutyöryhmään on osallistunut tietosuojavaltuutetun toimiston edustajia ja tietosuojavaltuutettua on kuultu myös eduskunnassa.
Toisiolaki määrittelee edellytykset tietoturvalliselle ympäristölle, jossa luvansaajat voivat käsitellä tietoja.
- Ensisijaisesti tiedot luovutetaan tietoluvassa nimettyjen henkilöiden käsiteltäväksi etäkäyttöyhteyden välityksellä siten, että tiedot säilyvät Findatan tietoturvallisessa Kapseli-käyttöympäristössä.
- Joissakin tapauksissa tiedot on välttämätöntä luovuttaa luvansaajalle. Luovuttaminen muuhun kuin Kapseliin on mahdollista vain, jos käyttöympäristö on auditoitu ja sen tietoturva osoitettu toisiolain mukaisesti.
Toisiolaki edellyttää, että tietojärjestelmät tallentavat tietojen käsittely- ja tapahtumahistoriaa eli keräävät lokia erilaisista tapahtumista. Niistä ilmenee esimerkiksi se, kuka tietoja on käsitellyt, miten tietoja on käsitelty ja milloin tietoja on käsitelty. Sekä tietoja käsittelevien viranomaisten ja rekisterinpitäjien että tietoluvan perusteella tietoja käsittelevien suorittamasta käsittelystä kerätään lokitietoa.
Miten tietosuojan toteutumista valvotaan?
Lupa tietojen käsittelyyn toisiolain mukaisissa käyttötarkoituksissa perustuu Findatan tai muun toisiolaissa tarkoitetun viranomaisen tekemään viranomaispäätökseen. Päätös on oikeudellisesti sitova ja sisältää lupaehdot sekä tiedot käsiteltävistä tiedoista, käsittelyyn oikeutetuista henkilöistä ja käsittely-ympäristöstä.
Findatan ja muiden tietolupia myöntävien viranomaisten toimintaa valvoo muun muassa oikeusasiamies ja henkilötietojen käsittelyä tietosuojavaltuutettu. Findatalla ja muilla tietolupia myöntävillä viranomaisilla on myös oikeus pyytää lausunto tietosuojavaltuutetulta ennen tietoluvan myöntämistä.
Tietolupien myöntäjien täytyy antaa tietosuojavaltuutetulle kerran vuodessa selvitys sosiaali- ja terveystietojen sekä niiden lokitietojen käsittelystä.
Sosiaali- ja terveysalan valvontavirasto Valvira valvoo tietoturvallisia käyttöympäristöjä.
Mihin henkilötietoja voidaan käyttää?
Suomessa on kerätty pitkään ainutlaatuisia rekisteri- ja tutkimusaineistoja, joiden avulla on mahdollista edistää kansalaisten terveyttä ja hyvinvointia.
Sosiaali- ja terveystietojen toissijainen käyttö tarkoittaa sitä, että sosiaali- ja terveydenhuollon asiakas- ja rekisteritietoja käytetään muussa kuin siinä ensisijaisessa tarkoituksessa, jonka vuoksi ne on alun perin tallennettu. Ensisijaista käyttöä ovat esimerkiksi potilaan hoitaminen tai etuuskäsittely.
Toisiolaissa säädetään niistä käyttötarkoituksista, joihin lupa voidaan myöntää. Toisiolain 2 §:n mukaan tietoja voidaan luovuttaa tilastointiin, tieteelliseen tutkimukseen, kehittämis- ja innovaatiotoimintaan, opetukseen, tietojohtamiseen, sosiaali- ja terveydenhuollon viranomaisohjaukseen ja -valvontaan sekä viranomaisen suunnittelu- ja selvitystehtävään. Tietoja voi saada vain näihin käyttötarkoituksiin.
Sosiaali- ja terveystietoja on hyödynnetty toissijaisiin tarkoituksiin myös ennen toisiolakia. Ennen toisiolakia vastaavia tietoja on luovutettu tieteelliseen tutkimukseen, tilastointiin ja opetuskäyttöön, ja luvan on myöntänyt yksittäinen sosiaali- ja terveydenhuollon viranomainen tai, jos tietoja on haettu useammasta paikasta, sosiaali- ja terveysministeriö ja myöhemmin Terveyden ja hyvinvoinnin laitos THL.
Yksittäiset julkiset rekisterinpitäjät ovat myös edelleen toimivaltaisia myöntämään lupia ja toimittamaan aineistoja tietyissä tapauksissa. Voit lukea lisää lupatoimivallasta sivulta Luvat kohdasta Miltä viranomaiselta luvat haetaan.
Tietosuojailmoituksista löydät lisää tietoa siitä, miten Findata käsittelee henkilötietoja.
Mistä tiedot ovat peräisin?
Findatalla ei itsellään ole henkilötietoja, vaan se kerää tietoja toisiolaissa säädetyiltä sosiaali- ja terveysalan toimijoilta ja viranomaisilta. Toisiolaissa säädetään myös tiedoista, joita luvanhakija voi saada.
Löydät yleisen kuvauksen Findatan kautta saatavista sosiaali- ja terveysalan aineistoista Aineistot-sivulta. Findata ei myöskään kerää tietoja henkilöiltä itseltään, vaan kaikki sen käsittelemä tieto saadaan toisiolaissa mainittujen toimijoiden rekistereistä.
Keskeisiä käsitteitä
Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta
Sosiaali- ja terveysalan ohjaus- tai valvontaviranomainen voi hakea Findatalta aggregoitua tilastotietoa tietopyynnöllä, jos se tarvitsee toisiolain alaisia tietoja ohjaus- tai valvontatehtävänsä toteuttamiseksi.
Tiedot voidaan perustellusta pyynnöstä luovuttaa myös tunnisteellisina, jos valvontaviranomaisella on muun lain mukaan oikeus saada ne salassapitovelvoitteista riippumatta.
Aggregoitu tieto
Aggregointi on tilastotieteen menettely, jolla tietoja yhdistellään ja summataan. Aggregoitu tieto kuvaa henkilöryhmää yksittäisen henkilön sijaan. Henkilöryhmien tiedot on muodostettu siten, että yksilöitä ei voi tunnistaa.
Asiakastieto
Asiakastieto on lain mukaan salassa pidettävää, tietosuoja-asetuksen mukaista henkilötietoa, joka on tallennettu sosiaali- ja terveydenhuollon tai etuuskäsittelyn asiakassuhteessa asiakasrekisteriin tai asiakkuuteen liittyvään hallinnolliseen rekisteriin.
Ensisijainen käyttö
Asiakastietojen ensisijaisella käytöllä tarkoitetaan käyttötarkoitusta, jonka vuoksi tiedot on alun perin tallennettu asiakas- ja/tai potilasrekisteriin. Ensisijainen käyttötarkoitus voi olla esimerkiksi potilaan tutkiminen, hoitaminen ja kuntoutus tai vastaavasti sosiaalihuollon asiakkaan saama palvelu tai Kansaneläkelaitoksen etuuskäsittely.
Henkilötieto
Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.
Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella.
Kehittämis- ja innovaatiotoiminta
Kehittämis- ja innovaatiotoiminnalla tarkoitetaan teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon soveltamista ja käyttöä yhdessä toisiolaissa tarkoitettujen henkilötietojen kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja tuotteita, prosesseja tai palveluja.
Lisäksi toiminnan tarkoituksen tulee
- edistää kansanterveyttä tai sosiaaliturvaa
- kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää
- suojella yksilöiden terveyttä tai hyvinvointia tai
- turvata heidän niihin liittyviä oikeuksiaan ja vapauksiaan.
Palvelunjärjestäjä
Sosiaali- tai terveydenhuollon palvelunantaja, jolla on viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden. Yksityisen palvelunantajan velvollisuus on huolehtia siitä, että yksityisesti palvelun ostava asiakas saa kuluttajansuojaa koskevien säännösten mukaisen hänelle kuuluvan palvelun.
Rekisterinpitäjä
Henkilö, yhteisö, laitos tai säätiö, jonka
- käyttöä varten henkilörekisteri perustetaan ja
- jolla on oikeus määrätä henkilörekisterin käytöstä
tai - jonka tehtäväksi rekisterinpito on lailla säädetty.
Tiedonhyödyntämissuunnitelma
Tiedonhyödyntämissuunnitelmalla tarkoitetaan tutkimussuunnitelmaa, hankesuunnitelmaa ja vastaavaa suunnitelmaa.
Suunnitelmasta tulee ilmetä
- lupahakemuksessa tarkoitettujen tietojen käyttötarkoitus
- tietojen rekisterinpitäjä ja käsittelijät
- käsittelyn oikeudellinen peruste sekä
- tietojen käsittelyn tietosuojaan ja tietoturvaan liittyvät olennaiset seikat kattaen koko tietojen elinkaaren (tietojen säilytys, hävittäminen tai arkistointi)
Tietojohtaminen
Tietojohtaminen on tiedon käsittelemistä palvelunantajan asiakas-, palvelu- ja tuotantoprosesseissa
- toiminnan, tuotannon ja talouden ohjauksen
- johtamisen ja
- päätöksenteon tukena.
Sosiaali- ja terveydenhuollon palveluntarjoajilla on toisiolain nojalla oikeus käsitellä omia asiakastietojaan tietojohtamista varten ilman erikseen haettavaa lupaa. Jos palveluntarjoaja haluaa verrata omaa toimintaansa muiden palveluntarjoajien toimintaan, tarvittavaa vertailuaineistoa voi hakea Findatalta aggregoituna tilastoaineistona.
Tietolupaviranomainen
Findata on sosiaali- ja terveysalan tietolupaviranomainen, joka tekee muiden rekisterinpitäjien aineistoja koskevia tietolupa- ja tietopyyntöpäätöksiä. Findata vastaa päätöstensä mukaisten tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön.
Findata myös valvoo myöntämänsä luvan ehtojen noudattamista. Se saa peruttaa tietoluvan, jos luvansaaja ei noudata lakia tai rikkoo luvan ehtoja.
Tietolupa
Tietolupa on toisiolain mukaisesti myönnetty lupa käsitellä luvassa määriteltyjä salassa pidettäviä henkilötietoja luvassa mainittuun käyttötarkoitukseen.
Tietopyyntö
Tietopyyntö on pyyntö saada toisiolain mukaiseen käyttötarkoitukseen henkilötiedoista muodostettua aggregoitua tilastotietoa. Toisiolain mukaisen tietopyynnön voi osoittaa vain Findatalle.
Julkisuuslain mukainen asiakirjakirjapyyntö, eli niin kutsuttu tietopyyntö viranomaisen julkisia asiakirjoja koskien on eri asia.
Tilastotasoinen aineisto
Tilastotasoisessa aineistossa yksittäisiä henkilötietoja on yhdistelty ja summattu. Tilastot kuvaavat henkilöryhmiä yksittäisen henkilön sijaan. Henkilöryhmien tiedot on muodostettu siten, että yksilöitä ei voi tunnistaa.
Toisiokäyttö / toissijainen käyttö
Asiakastietojen toissijaisella käytöllä tarkoitetaan tietojen käyttöä muissa kuin ensisijaisissa käyttötarkoituksissa. Lain mukaiset toissijaiset käyttötarkoitukset ovat
- tieteellinen tutkimus
- tilastointi
- kehittämis- ja innovaatiotoiminta
- opetus
- tietojohtaminen
- viranomaisohjaus ja -valvonta sekä
- viranomaisten suunnittelu- ja selvitystehtävät.
