Vuonna 2019 voimaan tullut toisiolaki on parantanut merkittävästi sosiaali- ja terveystietojen toissijaisen käytön tietoturvaa ja tietosuojakäytäntöjä.
Findata on tehnyt noin 1 300 lupapäätöstä ja tietoturvallisessa Kapseli-käyttöympäristössä on tällä hetkellä noin 1 100 käyttäjää. Lisäksi Suomessa on jo yhdeksän muuta auditoitua käyttöympäristöä, joissa arkaluonteisia aineistoja voidaan analysoida.
Vaikka viidessä vuodessa on saavutettu huomattavaa edistystä yhdenmukaisten käytäntöjen, tietoturvan tason ja toisiokäytön läpinäkyvyyden osalta, parannustarpeita on edelleen.
Lain muuttamisessa on syytä huomioida erityisesti seuraavat kymmenen asiaa.
1. Lupaviranomaisen tulee olla riippumaton ja puolueeton toimija
Lupia myöntävän viranomaisen tulee olla tutkimustoiminnasta eriytetty organisaatio. Näin varmistetaan hakijoiden yhdenvertainen kohtelu sekä lupaharkinnan riippumattomuus ja puolueettomuus.
2. Keskitetty malli on säilytettävä, kun lupia myönnetään useamman rekisterinpitäjän aineistoihin
Lupatoiminnan keskittäminen takaa yhdenmukaiset käsittelyprosessit, parantaa tietosuojaa ja lisää läpinäkyvyyttä sote-tietojen toissijaisesta käytöstä.
Keskitetyllä lupatoiminnalla varmistetaan, että koostettava aineistokokonaisuus on kooltaan ja tiedoiltaan tarkoituksenmukainen, aineistonkäsittelyyn oikeutetut henkilöt on määritelty yhdenmukaisesti ja kaikkia aineistoja koskevat samat lupaehdot.
3. Kehittämis- ja innovaatiotoimintaan on saatava myös yksilötasoista dataa
Pseudonymisoidun aineiston käsittely tapahtuisi muiden yksilötasoisten aineistojen tapaan tietoturvallisissa käyttöympäristöissä.
4. Keskitetty tulosten anonymiteetin varmistus on poistettava Findatalta
Keskitetty tulosten anonymiteetin varmistaminen on monimutkaista toteuttaa niin, että se olisi tehokasta ja tarkoituksenmukaista.
Tutkijoilla on parhaat valmiudet tulosten anonymiteetin määrittämiseen silloin, kun anonymisointiin on selkeät ohjeistukset ja tarvittaessa koulutusta.
Anonymiteetin varmistaminen on tehokkainta toteuttaa silloin, kun tuloksia ladataan tietoturvallisista käyttöympäristöistä.
5. Rekisterinpitäjien ja Findatan tarjoamiin palveluihin tulee lisätä saatavuuspalvelut
Saatavuuspalvelut tukevat etenkin kliinisten tutkimusten suunnittelua ja parantavat mahdollisuuksia saada kansainvälistä tutkimustoimintaa Suomeen. Saatavuuspalvelut voisivat olla esimerkiksi maksullista neuvontapalvelua.
6. Algoritmien ja tekoälyratkaisujen opettaminen, kehittäminen ja testaaminen on lisättävä toisiolain mukaisiin käyttötarkoituksiin
Toisiolakia tulee ajanmukaistaa mahdollistamaan esimerkiksi sote-palvelujärjestelmän tehostamiseen ja hoitokäytäntöjen parantamiseen käytettävien tekoälypohjaisten ratkaisujen kehitystyö.
7. Yhden rekisterinpitäjän tietoja koskevien tilastomuotoisten tietojen tuottaminen on mahdollistettava rekisterinpitäjille
Kun tietoja tarvitaan useammalta kuin yhdeltä rekisterinpitäjältä, tietopyyntöjen käsittely tapahtuisi edelleen keskitetysti Findatassa kuten tietolupienkin osalta.
8. Yksilötasoisen anonyymin aineiston käsittely on mahdollistettava tietoturvallisen ympäristön ulkopuolella
Yksilötasoisen anonyymin aineiston käsittely tietoturvallisten käyttöympäristöjen ulkopuolella tuo merkittäviä hyötyjä kansalliselle tutkimukselle ja hoitokäytäntöjen kehittämiselle, kun supertietokoneita voidaan hyödyntää esimerkiksi anonyymien kuvatiedostojen edistyneessä käsittelyssä.
9. Findatan tietoturvallisen siirtopalvelun lisäksi myös muiden siirtopalveluiden käyttö on sallittava
Muiden kuin Findatan siirtopalveluiden käytön mahdollistaminen rajatuissa tilanteissa sujuvoittaa aineistosiirtoja. Tietoturvan varmistamiseksi tulee säätää siirtopalveluiden tietoturvavaatimukset.
Riittävän kapasiteetin takaamiseksi siirtopalvelun käytöstä tulisi voida veloittaa.
10. Findatan läpilaskutusvelvollisuus on poistettava
Rekisterinpitäjien on järkevintä laskuttaa tietojen poimimisesta ja toimittamisesta aiheutuneet kustannukset itse suoraan luvansaajilta.
Findatan tehtävänä oleva rekisterinpitäjien aineistokustannusten periminen ja tulouttaminen rekisterinpitäjille on lisännyt laskutuksen hallinnollista taakkaa ja tuonut laskutukseen ylimääräisiä vaiheita.