På den här sidan hittar du
VAD ÄR LAGEN OM SEKUNDÄR ANVÄNDNING Hur förbättrar lagen om sekundär användning dataskyddet VEM ÖVERVAKAR ATT DATASKYDDET UPPFYLLS Vad kan personuppgifterna användas till Varifrån kommer uppgifterna? Viktiga begreppVad är lagen om sekundär användning?
Lagen om sekundär användnig av social- och hälsovårdsuppgifter är en separat lag, officiellt heter den lagen om sekundär användning av personuppgifter inom social- och hälsovården. Riksdagen godkände lagen i plenum den 13 mars 2019 och presidenten stadfäste lagen den 26 april 2019.
Syftet med lagen om sekundär användning är att möjliggöra en effektiv och informationssäker behandling av personuppgifter som har registrerats i social- och hälsovårdsverksamhet och för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården. Syfte är dessutom att trygga skyddet för individens tillitsskydd samt rättigheter och friheter vid behandlingen av personuppgifter.
Bekanta dig med lagen om sekundär användning:
- Uppdaterad lagstiftning i Finlex: Lag om sekundär användning av personuppgifter inom social- och hälsovården 552/2019
- Information om behandlingen av ärendet finns på riksdagens webbplats (på Finska): https://www.eduskunta.fi/FI/vaski/KasittelytiedotValtiopaivaasia/Sivut/HE_159+2017.aspx
Hur förbättrar lagen om sekundär användning dataskyddet?
Social- och hälsovårdsuppgifter har redan i årtionden utnyttjats i Finland för sekundära användningsändamål. Tidigare har tillstånd att använda uppgifterna beviljats av en enskild registeransvarig, social- och hälsovårdsministeriet eller Institutet för hälsa och välfärd, och det har inte funnits någon enhetlig praxis för behandlingen av materialet.
Det centraliserade tillståndsförfarandet och behandlingen av materialet förbättrar datasäkerheten för materialet och medborgarnas dataskydd. För Findatas verksamhet har man byggt en informationssäker, sluten driftmiljö Kapseli. När uppgifterna sammanställs på ett centraliserat sätt är de mer skyddade och effektivare att övervaka.
Lagen om sekundär användning har stiftats med hänsyn till det nationella handlingsutrymmet som EU:s allmänna dataskyddsförordning (GDPR) möjliggör. Grundlagsutskottet och social- och hälsovårdsutskottet har sett till att lagen inte strider mot EU:s dataskyddsförordning. Företrädare för dataombudsmannens byrå har deltagit i lagberedningsgruppen och dataombudsmannen har även hörts i riskdagen.
I lagen om sekundär användning definieras kraven för en informationssäker driftmiljö, där tillståndsinnehavare kan behandla uppgifterna.
- Uppgifterna lämnas i första hand ut så att tillståndshavarens utsedda personer kan behandla dem via fjärråtkomst, varvid uppgifterna blir kvar i Findatas informationssäkra driftmiljö Kapseli.
- I vissa fall behöver uppgifter lämnas ut till tillståndshavaren. Överlåtelse till annat än en kapsel är möjlig endast om driftmiljön har auditerats och dess datasäkerhet har påvisats i enlighet med lagen om sekundär användning.
Lagen om sekundär användning kräver att informationssystemen sparar historik om behandlingen av uppgifter, dvs. skapar logguppgifter över olika händelser. Logguppgifterna visar till exempel vem som har behandlat uppgifterna, på vilket sätt uppgifterna har behandlats och när de har behandlats. Logguppgifter samlas in både om behandlingen som utförs av de myndigheter och personuppgiftsansvariga som behandlar uppgifterna och om behandlingen som utförs av dem som behandlar uppgifterna med stöd av datatillståndet.
Vem övervakar att dataskyddet uppfylls?
Tillståndet att behandla uppgifter för användningsändamål enligt lagen om sekundär användning grundar sig på ett myndighetsbeslut av Findata eller någon annan myndighet som avses i lagen om sekundär användning. Beslutet är juridiskt bindande och innehåller tillståndsvillkor samt uppgifter om de uppgifter som behandlas, personer som har rätt att behandla uppgifter och behandlingsmiljön.
Verksamheten vid Findata och andra myndigheter som beviljar datatillstånd övervakas av bland annat justitieombudsmannen och behandlingen av personuppgifter av dataombudsmannen. Findata och andra myndigheter som beviljar datatillstånd har också rätt att begära utlåtande av dataombudsmannen innan datatillståndet beviljas.
De som beviljar dataanvändningstillstånd måste en gång per år lämna en redogörelse för behandlingen av social- och hälsovårdsuppgifterna och logguppgifterna till dataombudsmannen.
Tillsynsverket för social- och hälsovården Valvira övervakar de informationssäkra driftmiljöerna.
Vad kan personuppgifter användas till?
I Finland har man länge samlat in unika register- och forskningsmaterial med vars hjälp det är möjligt att främja medborgarnas hälsa och välfärd.
Sekundär användning av social- och hälsovårdsuppgifter innebär att social- och hälsovårdens klient- och registeruppgifter används för något annat ändamål än det primära ändamål för vilket uppgifterna ursprungligen har lagrats. Primär användning är till exempel vård av patienten eller handläggning av förmåner.
I lagen om sekundär användning föreskrivs om de användningsändamål för vilka tillstånd kan beviljas. Enligt 2 § i lagen kan uppgifter lämnas ut för statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och -övervakning inom social- och hälsovården samt för myndigheternas planerings- och utredningsuppgifter. Uppgifter kan endast fås för dessa ändamål.
Social- och hälsovårdsuppgifter har utnyttjats för sekundära ändamål också före lagen om sekundär användning. Före lagen om sekundär användning har motsvarande uppgifter lämnats ut för vetenskaplig forskning, statistikföring och undervisningsbruk och tillståndet har beviljats av en enskild social- och hälsovårdsmyndighet eller, om uppgifterna har sökts på flera ställen, av social- och hälsovårdsministeriet och senare Institutet för hälsa och välfärd THL.
Enskilda offentliga registeransvariga är också fortfarande behöriga att bevilja tillstånd och leverera material i vissa fall. Du kan läsa mer om tillståndsbehörigheten på sidan Tillstånd under Från vilken myndighet tillstånd söks.
I dataskyddsanmälningarna hittar du mer information om hur Findata behandlar personuppgifter.
Varifrån kommer uppgifterna?
Findata har inga personuppgifter själv, utan samlar in uppgifter från aktörer och myndigheter inom social- och hälsovården enligt lagen om sekundär användning. I lagen om sekundär användning föreskrivs också om de uppgifter som den som ansöker om tillstånd kan få.
Du hittar en allmän beskrivning av det material inom social- och hälsovården som fås via Findata på sidan Material. Findata samlar inte heller in uppgifter av personerna själva, utan all information som behandlas av Findata fås från de aktörers register som nämns i lagen om sekundär användning.
Viktiga begrepp
Sekundär användning
Sekundär användning av kunduppgifter avser behandling av uppgifterna för andra användningsändamål än de primära användningsändamålen. De lagstadgade sekundära användningsändamålen är
- vetenskaplig forskning
- statistikföring
- utvecklings- och innovationsverksamhet
- undervisning
- informationsledning
- myndighetsstyrning och myndighetstillsyn samt
- myndigheternas planerings- och utredningsuppgifter.
Statistiskt material
I statistiskt material har enskilda personuppgifter samkörts och summerats. Statistiken beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har utformats så att enskilda individer inte kan identifieras.
Begäran om information
Begäran om information är en begäran om att få aggregerade statistiska uppgifter som tagits fram utifrån personuppgifter för ett användningsändamål som avses i lagen om sekundär användning. En begäran om information enligt lagen om sekundär användning kan riktas endast till Findata.
En begäran om en handling enligt offentlighetslagen, dvs. en så kallad begäran om uppgifter om en myndighets offentliga handlingar, är en annan sak.
Dataanvändningstillstånd
Dataanvändningstillstånd är ett tillstånd enligt lagen om sekundär användning att behandla de sekretessbelagda personuppgifter som anges i tillståndet för det användningsändamål som avses i tillståndet.
Tillståndsmyndighet
Findata är tillståndsmyndigheten för användning av social- och hälsovårdsdata, som fattar beslut om dataanvändningstillstånd och begäran om information som gäller andra personuppgiftsansvarigas material. Findata svarar för insamling, samkörning, förbehandling och utlämnande av uppgifter för sekundär användning med stöd av sitt beslut.
Findata övervakar också att villkoren för det beviljade tillståndet iakttas. Findata får återkalla ett dataanvändningstillstånd om tillståndshavaren inte iakttar lagen eller bryter mot villkoren i tillståndet.
Plan för användning av uppgifter
Med plan för användning av uppgifter avses en forskningsplan, projektplan eller motsvarande plan.
Av planen ska framgå
- användningsändamålet för de uppgifter som avses i tillståndsansökan
- den personuppgiftsansvarige och personuppgiftsbiträdena
- den rättsliga grunden för behandlingen samt
- väsentliga omständigheter som gäller dataskydd och informationssäkerhet vid behandlingen av uppgifterna och som omfattar uppgifternas hela livscykel (förvaring, förstöring eller arkivering av uppgifterna).
Personuppgiftsansvarig
En eller flera personer, sammanslutningar, institut eller stiftelser för vilkas
- bruk ett personregister inrättas och
- vilka har rätt att förfoga över registret
eller
- vilka enligt lag ålagts skyldighet att föra register.
Anordnare av tjänster (även tjänsteanordnare)
En tillhandahållare av social- och hälsovårdstjänster som i egenskap av myndighet är skyldig att se till att kunden får sådana tjänster eller förmåner som kunden har rätt till enligt lag eller ett myndighetsbeslut. En privat tjänstetillhandahållare är skyldig att se till att en kund som köper en tjänst privat får sådana tjänster som kunden har rätt till enligt konsumentskyddsbestämmelserna.
Personuppgift
Alla uppgifter som rör en identifierad eller identifierbar person är personuppgifter.
Personuppgifter är uppgifter som kan användas för att direkt eller indirekt identifiera en person, till exempel genom att en enskild uppgift kombineras med en annan uppgift så att identifiering blir möjligt. En person kan identifieras till exempel utifrån namn, personbeteckning eller någon faktor som är kännetecknande för personen.
Primär användning
Med primär användning av kunduppgifter avses det användningsändamål för vilket uppgifterna ursprungligen har registrerats i kund- och/eller patientregistret. Primära användningsändamål kan vara till exempel undersökning, behandling och rehabilitering av en patient eller tillhandahållande av service för en socialvårdsklient eller handläggning av förmåner vid Folkpensionsanstalten.
Kunduppgift
Kunduppgifter är personuppgifter enligt dataskyddsförordningen som enligt lag är sekretessbelagda och som har registrerats i ett kundregister i en kundrelation inom social- och hälsovården eller vid förmånshandläggning eller i ett administrativt register i anknytning till en kundrelation.
Aggregerade uppgifter
Aggregering är en statistisk metod som innebär att uppgifter samkörs och summeras. Aggregerade uppgifter beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har utformats så att enskilda individer inte kan identifieras.