Käyttöympäristövaatimuksia sovelletaan toisiolain siirtymäsäännösten mukaisesti 1.5.2022 lähtien. Vaatimukset koskevat sekä Findatan että rekisterinpitäjien myöntämiä tietolupia ja muutoslupia.
Toisiolain alaisia, tietoluvalla saatavia henkilötietoja voidaan luovuttaa 1.5.2022 lähtien ainoastaan auditoituihin käyttöympäristöihin, jotka täyttävät lain ja Findatan tietoturvallisia käyttöympäristöjä koskevan määräyksen vaatimukset.
Vaatimusten voimaantulo ei vaikuta voimassa oleviin lupiin. Mikäli hankkeelle on aikanaan myönnetty lupa käsitellä tietoja auditoimattomassa käyttöympäristössä, tietojen käsittelemistä voi jatkaa kyseisessä ympäristössä luvan päättymiseen asti.
Hae muutoslupaa ajoissa
Toisiolain siirtymäsäännökseen tuli muutos 1.9.2021, jonka myötä aineistoja on voitu luovuttaa auditoimattomiin käyttöympäristöihin. Luovuttaminen on edellyttänyt enintään 30.4.2022 saakka voimassa olevaa määräaikaista tietolupaa.
Mikäli sinulle on myönnetty tietolupa 30.4.2022 asti ja haluat jatkaa aineiston käsittelyä vielä tämän jälkeen, sinun tulee hakea luvallesi voimassaolon jatkoa ja siirtää aineisto Findatan Kapseliin tai muuhun auditoituun käyttöympäristöön. Jos jätät muutoshakemuksen viimeistään 30.4.2022, voimme käsitellä sen muutoslupahakemuksena uuden tietoluvan sijaan. Muutoslupa on hakijan kannalta edullisempi ja nopeampi vaihtoehto. Näet arvion jonotilanteesta etusivulta: findata.fi/jono ja lupamaksujen hinnat sivulta Hinnasto.
Tietolupa edellyttää jatkossa auditoidun ympäristön
Tietolupien mukaisia aineistoja on 1.5.2022 lähtien mahdollista luovuttaa vain toisiolain ja Findatan määräyksen vaatimukset täyttäviin käyttöympäristöihin, jotka ovat läpäisseet auditoinnin ja joista on voimassa oleva todistus.
Ensisijainen käyttöympäristö aineistoille on aina Findatan tietoturvallinen käyttöympäristö Kapseli. Kapselin käyttö ja aineistojen luovutus sinne jatkuu normaalisti myös 1.5.2022 jälkeen.
Hakija voi perustellusta syystä pyytää aineiston luovuttamista toiseen auditoituun käyttöympäristöön tietolupahakemuksen yhteydessä. Valvira ylläpitää Toini-rekisteriä tietoturva- ja tietosuojavaatimukset täyttävistä toisiokäyttöympäristöistä, joihin aineistoja on mahdollista luovuttaa.
Uusia toisiolain alaisia aineistoja ei voida vapun jälkeen luovuttaa ulkomaille, mikäli ympäristöä ei ole auditoitu. Kapseliin on kuitenkin mahdollista lisätä ulkomaisia käyttäjiä. Sosiaali- ja terveysministeriössä on valmisteilla toisiolakiin ja kansainvälisiin tietoluovutuksiin liittyvä hallituksen esitys.
Muutosluvat vaatimusten piirissä, poikkeuksena muutokset henkilötiedon käsittelijöihin
Muutoslupia koskevat samat vaatimukset kuin uusia tietolupia – yhdellä poikkeuksella: henkilötietojen käsittelijöihin tehtävät muutokset eivät edellytä käyttöympäristövaatimusten täyttymistä.
Mikäli voimassa olevaan tietolupaan haetaan muutosta esimerkiksi luvan voimassaoloajan, seurantavuosien tai muuttujien osalta, muutosluvan myötä tiedot täytyy siirtää lain vaatimukset täyttävään käyttöympäristöön.
Vaatimusten voimaantulo ei vaikuta tietopyyntöihin
Tietoturvallisia käyttöympäristöjä koskevilla vaatimuksilla ei ole vaikutusta tietopyyntöihin. Tietopyynnöllä haettu tilastoaineisto toimitetaan asiakkaalle, eikä sen analysointia koske samat tietoturvavaatimukset kuin yksilötasoista aineistoa.
Vastaamme lain mukaan kaikista tietopyynnöistä huolimatta siitä, koskeeko pyyntö yhden vai usean rekisterinpitäjän aineistoja.
Käynnissä olevat auditointiprosessit
Voimme myöntää tietoluvan, vaikka käyttöympäristön todistukseen tähtäävä auditointi on luvan myöntämishetkellä kesken.
Tällöin aineisto siirretään tietoluvan mukaiseen ympäristöön, kun auditointi on valmis ja siitä on todistus Valviran Toini-rekisterissä.
Lue lisää
- Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (toisiolaki)
- Toisiokäyttöympäristöjen rekisteri (valvira.fi)
- Käyttöympäristöjä koskeva määräys
- Määräys 1/2022: Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset (PDF 163 kt)
- Liite 1: Tietoturvallisen käyttöympäristön vaatimukset (PDF 308 kt)
- Katso myös: Hyväksytyt tietoturvallisuuden arviointilaitokset (Liikenne- ja viestintävirasto Traficom, Kyberturvallisuuskeskus)
