Findata har utfärdat en föreskrift som beskriver de krav som ska ställas på andra tjänsteleverantörers informationssäkra driftmiljöer. Föreskriften gäller sekundär användning av social- och hälsovårdsuppgifter.
I enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården är det från och med den 1 maj 2021 endast tillåtet att analysera material på individnivå i driftmiljöer som uppfyller kraven i föreskriften. Kraven förutsätter informationssäkerhet på motsvarande nivå som i Findatas egen driftmiljö.
Föreskriften tillämpas på alla de användningsändamål som föreskrivs i lagen om sekundär användning, för vilka det behövs dataanvändningstillstånd. Dessa användningsändamål är vetenskaplig forskning, statistikföring, undervisning samt myndigheternas planerings- och utredningsuppgifter. I fråga om undervisningen gäller föreskriften framställning av undervisningsmaterial, inte den egentliga undervisningen.
Läs föreskriften via länken nedan.
Vad är det fråga om?
Findata beviljar tidsbundna datatillstånd för sekundär användning av registermaterial inom social- och hälsovården. Efter att tillståndet beviljats skickar Findata uppgifter som har kombinerats från olika register för analys till en informationssäker driftmiljö med fjärråtkomst.
Materialet överlåts i regel alltid till Findatas driftmiljö. Lagen om sekundär användning gör det dock möjligt att lämna ut uppgifter även till andra driftmiljöer om det är nödvändigt.
Om en enskild personuppgiftsansvarig som omfattas av lagen om sekundär användning har fattat ett beslut om dataanvändningstillstånd för sitt eget material, ska även detta datamaterial alltid överlåtas till en sådan informationssäker driftmiljö som avses i lagen om sekundär användning.
Föreskriften som utfärdats nu beskriver de funktionella, administrativa och tekniska krav som andra tjänsteleverantörer, till exempel sjukvårdsdistriktens informationssäkra driftmiljöer, ska uppfylla.
Innan föreskriften trädde i kraft var den ute på remiss den 22 maj–26 juni 2020, och sammanlagt 54 utlåtanden gavs under denna period. Utlåtandena har beaktats i beredningen av föreskriften.
Vilka effekter har föreskriften?
Från och med den 1 maj 2021 är det en förutsättning att kraven i föreskriften uppfylls för att man ska kunna lämna ut uppgifter till tillståndshavaren för behandling för sekundära ändamål i en annan än Findatas informationssäkra driftmiljö. Dessutom ska driftmiljön ha bedömts av ett bedömningsorgan för informationssäkerhet och det ska finnas ett intyg över bedömningen.
I kraven har man beaktat lösningarna i de miljöer som redan används och det gör det möjligt att utnyttja olika tekniska lösningar.
I sin enklaste form kan en informationssäker driftmiljö vara ett fysiskt och tekniskt skyddat utrymme med en terminal för dataanalys som är isolerad från internet och andra apparater. Å andra sidan är även tekniska lösningar som grundar sig på molntjänster möjliga, förutsatt att tjänsteleverantören ser till att informationssäkerheten uppfyller kraven.
Även utländska forskares driftmiljöer ska uppfylla kraven på dataskydd och informationssäkerhet enligt föreskriften. Behörigheten kan påvisas med certifikat som grundar sig på internationella auditeringar och vars överensstämmelse med kraven kontrolleras av ett bedömningsorgan som godkänts i Finland.
Det är möjligt att importera annat material och forskarnas egna verktyg i driftmiljöerna förutsatt att importen sker enligt den process som tjänsteleverantören fastställt och under tillsyn av tjänsteleverantören.