Yhteistyöhankkeen puolivälissä pidettyä työpajaa taustoitti Findatan ICT-päällikkö Heikki Lanu. Osallistujajoukko oli jälleen laaja ja keskustelua käytiin erityisesti siitä, missä tilanteissa sote-palveluntarjoajan rekisteritietoja tulee käsitellä toisiolain mukaisessa tietoturvallisessa käyttöympäristössä.
Toisiolain tietoturvallisia käyttöympäristöjä koskevat vaatimukset toimeenpanevat kansallisesti – ensimmäistä kertaa STM:n hallinnonalalla – EU:n yleisestä tietosuoja-asetuksesta (GDPR) johdettuja vaatimuksia mm. asianmukaisista teknisistä ja organisatorisista suojatoimista. GDPR on ollut voimassa velvoittavana jo toukokuusta 2018 lähtien.
Toisiolaki on tullut asteittain voimaan 1.5.2019 alkaen ja tietoturvallisia käyttöympäristöjä koskeva siirtymäaika päättyi 1.5.2022. Findatan antama määräys tarjoaa kriteeristön lain vaatimusten arvioimiseen.
Toisiolain vaatimusta tietoturvallisesta käyttöympäristöstä ei tarvitse noudattaa, jos tietoja käsitellään tietojohtamisen tarkoituksessa.
Määräyksen osalta taustoitettiin, että riittävän tarkoilla määrityksillä turvaamaan palveluntarjoajien tasapuolinen kohtelu. Muiden palveluntarjoajien käyttöympäristöjä on Valviran Toini-rekisterissä tällä hetkellä yhteensä neljä.
Työpajassa pureuduttiin myös tietojohtamisen käyttötarkoitukseen. Tuotiin esille, ettei toisiolain vaatimusta tietoturvallisesta käyttöympäristöstä tarvitse noudattaa, jos tietoja käsitellään tietojohtamisen tarkoituksessa.
Sitran ja STM:n edustajat taustoittivat tietojohtamista koskevan säännöksen lähtökohtia, jotta säännöksen soveltaminen käytännössä esiintyvissä pulmatilanteissa olisi yksinkertaisempaa.
Yhteistyössä mukana
- Helsingin ja Uudenmaan sairaanhoitopiiri
- Itä-Suomen yliopisto
- Keski-Uudenmaan sote Keusote
- Pirkanmaan sairaanhoitopiiri
- Pohjois-Pohjanmaan sairaanhoitopiiri
- Pohjois-Savon sairaanhoitopiiri
- Sitra
- Sosiaali- ja terveysministeriö
- Varsinais-Suomen sairaanhoitopiiri