Ett av Findatas viktigaste mål är att förbättra individens dataskydd och social- och hälsovårdsuppgifternas informationssäkerhet. Vi lämnar alltid ut uppgifterna så att personernas dataskydd maximeras och vi lämnar endast ut uppgifter som absolut behövs.

Efter att vi har beviljat dataanvändningstillståndet samlar vi in de registrerade uppgifterna från olika personuppgiftsansvariga enligt tillstånden, kombinerar uppgifterna i den informationssäkra driftmiljön och lämnar ut dem i en informationssäker driftmiljö till tillståndshavaren. Uppgifterna avlägsnas när behandlingen är klar, dvs. Findata förvarar eller kopierar inte uppgifterna för säkerhets skull för längre tid än för den tid som tillståndet kräver.

Uppgifterna förvaras i ett separat och slutet system, för vilket ett tidsbegränsat användningstillstånd beviljas. När man från driftsmiljön med distansåtkomst vill ta ut till exempel forskningsresultat, säkerställer vi att det inte är möjligt att identifiera någon enskild person i resultaten eller det material som tas ut.

I den informationssäkra driftmiljön

  • fastställs åtkomsträttigheterna till uppgifterna i enlighet med de beviljade tillstånden
  • övervakas åtkomsten till utrustningar, system och lokaler
  • förhindras otillåten användning av lokaler, uppgifter och system
  • registreras behandlingen av uppgifter i en logg
  • begränsas och övervakas datatrafiken

skyddas systemen noggrant från externa hot såsom gärningar eller händelser som äventyrar informationssäkerheten, till exempel virus eller andra attacker.

Social- och hälsovårdsuppgifter får inte används till marknadsföring eller till exempel för att definiera individuella kommersiella tjänster.

Hur förbättrar lagen om sekundär användning dataskyddet?

Lagen om sekundär användning har stiftats med hänsyn till det nationella handlingsutrymmet som EU:s allmänna dataskyddsförordning (GDPR) möjliggör. Grundlagsutskottet och social- och hälsovårdsutskottet har sett till att lagen inte strider mot EU:s dataskyddsförordning. Företrädare för dataombudsmannens byrå har deltagit i lagberedningsgruppen och dataombudsmannen har även hörts i riskdagen.

I lagen om sekundär användning definieras kraven för en informationssäker driftmiljö, där tillståndsinnehavare kan behandla uppgifterna.

Uppgifterna lämnas i första hand ut så att tillståndshavaren kan behandla dem via fjärråtkomst, varvid uppgifterna blir kvar i Findatas informationssäkra driftmiljö.

I vissa fall behöver uppgifter lämnas ut till tillståndshavaren. Då måste mottagaren visa att den under kontrollerade former behandlar uppgifterna i en sådan miljö som avses i lagen och som uppfyller kraven på informationssäkerhet.

Lagen om sekundär användning kräver att informationssystemen sparar historik om behandlingen av uppgifter, dvs. skapar logguppgifter över olika händelser. Logguppgifterna visar till exempel vem som har behandlat uppgifterna, på vilket sätt uppgifterna har behandlats och när de har behandlats.

Vem övervakar att dataskyddet uppfylls?

Verksamheten vid Findata och de personuppgiftsansvariga som beviljar dataanvändningstillstånd övervakas av bland annat justitieombudsmannen och dataombudsmannen.

De som beviljar dataanvändningstillstånd måste en gång per år lämna en redogörelse för behandlingen av social- och hälsovårdsuppgifterna och logguppgifterna till dataombudsmannen.

Tillsynsverket för social- och hälsovården Valvira övervakar de informationssäkra driftmiljöerna.

Vad kan personuppgifter användas till?

Sekundär användning av social- och hälsovårdsuppgifter innebär att social- och hälsovårdens klient- och registeruppgifter används för något annat ändamål än det primära ändamål för vilket uppgifterna ursprungligen har lagrats. Primär användning är till exempel vård av patienten eller handläggning av förmåner.

Lagen om sekundär användning av personuppgifter inom social- och hälsovården (den s.k. lagen om sekundär användning) innehåller bestämmelser om de användningsändamål för vilka tillstånd kan beviljas. Enligt 2 § i lagen kan uppgifter lämnas ut för statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och -övervakning inom social- och hälsovården samt för myndigheternas planerings- och utredningsuppgifter.

Tillstånd kan alltså inte beviljas för vilket ändamål som helst. Tillståndet grundar sig på Findatas myndighetsbeslut. Beslutet är juridiskt bindande och innehåller tydliga tillståndsvillkor. Findata har också rätt att begära ett utlåtande av dataombudsmannen i Finland innan tillstånd beviljas.

Det är bra att beakta att utnyttjandet av social- och hälsouppgifter för sekundära ändamål inte är nytt. Före Findata har motsvarande uppgifter lämnats ut för vetenskaplig forskning och statistikföring. I Finland har man länge samlat in unika register- och forskningsmaterial med vars hjälp det är möjligt att främja medborgarnas hälsa och välfärd.

I personuppgiftsbeskrivningen hittar du mer information om vad Findata använder uppgifterna till.

Varifrån kommer personuppgifterna?

Findata har inte uppgifterna själv, utan samlar uppgifterna av de aktörer och myndigheter inom hälso- sjukvården som avses i lagen om sekundär användning. Dessutom innehåller lagen bestämmelser om de uppgifter som den kan få av dessa aktörer.

Findata samlar inte heller in uppgifter från personerna själva, utan all information som den samlar in finns redan hos någon av ovan nämnda aktörer som avses i lagen om sekundär användning.

Findata som personuppgiftsansvarig

Findata blir personuppgiftsansvarig för personuppgifterna när den tar emot uppgifter från ovan nämnda aktörer. En förutsättning för behandling av personuppgifter är att den personuppgiftsansvarige har en laglig grund för behandlingen.

Findatas lagliga behandlingsgrund är artikel 6.1 e i EU:s allmänna dataskyddsförordning (behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning). När vi behandlar uppgifter som hör till särskilda kategorier av personuppgifter (tidigare benämnd känsliga uppgifter), som är uppgifter om en persons hälsa, ska behandlingen grunda sig utöver på ovan nämnda artikel 6 även på artikel 9.2 g (behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse).

Findata lämnar inte ut uppgifter för beslutsfattande om en enskild persons rättigheter, förmåner eller skyldigheter. Uppgifter lämnas alltså inte ut till exempel till försäkringsbolag för enskilda försäkringsbeslut eller till FPA för upprättande av förmånsbeslut. Uppgifter lämnas inte heller ut för marknadsföring eller definition av individuella kommersiella tjänster.

Vilka rättigheter har du gällande behandling av personuppgifter?

Var och en har rätt till sina egna personuppgifter. Den registrerade har rätt att få information om användningen av hans eller hennes personuppgifter. Denna information finns på Findatas webbplats och i Findatas personuppgiftsbeskrivning i slutet av denna sida. Utöver att få information har den registrerade följande rättigheter till sina egna uppgifter i fråga om det datamaterial som Findata förfogar över:

  • Rätt till tillgång till egna uppgifter
  • Rätt att rätta egna uppgifter
  • Rätt att begränsa behandlingen av egna uppgifter
  • Rätt att invända mot behandling av egna uppgifter

Om du vill utöva dessa rättigheter hittar du de anvisningar som behövs på denna sida under rubriken: Hur kan jag utöva mina rättigheter?

Observera att Findata i regel kan genomföra den registrerades begäran endast i fråga om de uppgifter som den förfogar över. Begäran gällande rätt att få tillgång till egna uppgifter, rätt att korrigera egna uppgifter samt rätt att begränsa behandlingen av egna uppgifter gäller de uppgifter som Findata förfogar över vid den tidpunkt då begäran lämnas in. Däremot kan en begäran som gäller rätt till invändning framställas så att den gäller tills vidare. Findata registrerar samtliga begäran från den registrerade i diariet. Dessutom upprätthåller den en separat förteckning över de registrerade som har framställt en begäran om invändning.

Findata har utarbetat separata blanketter för att tillgodose rättigheterna. Rätten att begränsa behandlingen av uppgifter (artikel 18) kommer dock i fråga endast i vissa situationer och kan förverkligas direkt till följd av andra framställningar.  Till exempel begränsar Findata i praktiken behandlingen av personuppgifter alltid under den tid det är fråga om en begäran om rättelse av personuppgifter (artikel 16). Rätten att begränsa behandlingen av uppgifter gäller också i situationer där den registrerade behöver sina egna personuppgifter för att göra upp, framställa eller försvara ett rättsligt anspråk och där Findata inte längre behöver uppgifterna i fråga.

Findata förvarar personuppgifter endast under den tid som användningsändamålet för det tillstånd som Findata beviljat kräver det (till exempel vetenskaplig forskning eller en myndighets planerings- och utredningsuppgift). Om den registrerade behöver sina egna personuppgifter för att upprätta, framställa eller försvara ett rättsligt anspråk, är det säkrast att begära detta direkt av den personuppgiftsansvarige hos vilken personuppgifterna i fråga förvaras för sitt primära användningsändamål.

Till exempel Digi- och Befolkningsregistercentralen har uppgifter om personens släktskapsförhållanden, civilstånd och adress, sjukhuset har uppgifter om personens vård och FPA har uppgifter om de recept som utfärdats till personen. Du hittar information om personuppgiftsansvariga och registrens datainnehåll på sidan Material.

När är det inte möjligt att utöva rättigheterna?

Det är inte alltid och i alla situationer fullständigt möjligt att utöva rättigheterna. Vid användningsändamål som gäller vetenskaplig forskning och statistikföring är det möjligt att för varje undersökning eller statistikföring begränsa den registrerades rättigheter.

Findata begränsar inte den registrerades rättigheter på eget initiativ. Begränsningen kan komma i fråga endast om det forskningsprojekt som ansökt om dataanvändningstillstånd av Findata har beslutat att begränsa den registrerades rättigheter i projektet. Då ska forskningsprojektet ha utfört en separat konsekvensbedömning och lämnat den till Dataombudsmannens byrå i Finland innan projektet inleds. En sådan begränsning av rättigheterna kan gälla alla ovan nämnda rättigheter. I fråga om andra användningsändamål som föreskrivs i lagen om sekundär användning har tillståndssökanden inte möjlighet att begränsa rättigheterna.

Findata avlägsnar uppgifter om den registrerade ur det egna materialet i situationer där den registrerade invänder mot behandlingen av sina personuppgifter i Findata. Ibland kan det dock uppstå en situation där man till exempel i ett forskningsprojekt har begränsat den registrerades rättigheter, såsom rätten att invända. Då måste Findata överväga hur denna specifika begränsning av forskningsprojektet ska beaktas i förhållande till att vissa registrerade har meddelat att de invänder mot användning av sina personuppgifter. I allmänhet kan invändningsrätten tillgodoses utan att undersökningen blir lidande. Findata begränsar behandlingen av personuppgifter under den tid detta övervägande görs.

Hur kan jag utöva mina rättigheter?

För att kunna utöva dina rättigheterna ska du först fylla i blanketten nedan. Blanketterna har utarbetats så att det för varje rättighet som den registrerade har finns en separat blankett. Fyll i den blankett som gäller den rättighet som du vill utöva.

  • Blankett: Rätten att få tillgång till uppgifter [PDF, 125 kb] öppnas i ett nytt fönster. (Kommer snart)
  • Blankett: Rätten till rättelse av uppgifter [PDF, 190 kb] öppnas i ett nytt fönster. (Kommer snart)
  • Blankett: Rätten att göra invändningar [PDF, 135 kb] öppnas i ett nytt fönster. (Kommer snart)

Findata måste försäkra sig om den registrerades identitet för att rättigheterna ska kunna utövas. Det här är viktigt för att vi med säkerhet ska kunna rikta åtgärderna till rätt person.

Vi ber er skicka den ifyllda blanketten eller blanketterna i första hand via Suomi.fi-tjänstens meddelandefunktion (www.suomi.fi/viestit). Du hittar anvisningar för ibruktagandet av Suomi.fi-meddelanden på adressen: https://www.suomi.fi/ohjeet-ja-tuki/tietoa-viesteista/ota-viestit-kayttoon.

Gör så här:

  • Identifiera dig i Suomi.fi-tjänsten med personliga bankkoder, certifikatkort eller mobilcertifikat
  • Gå till ”Skriv meddelande”
  • Välj ”Institutet för hälsa och välfärd” som mottagare av meddelandet
  • Välj ”Registratorskontor” som mottagarens tjänst eller ärende
  • Skriv ”Findata: Den registrerades rättigheter” som tema för meddelandet
  • Ange i meddelandefältet de rättigheter som du vill utöva (du kan använda blanketternas namn)
  • Lägg till den eller de ifyllda blanketterna som bilagor till punkten ”Lägg till bilagor här”
  • Klicka till sist på ”Skicka meddelande”

Meddelandet styrs till registratorskontoret vid Institutet för hälsa och välfärd (THL), varifrån det förmedlas till Findata för behandling. Vi behandlar i regel begäran inom en månad från mottagandet. Om behandlingen av begäran av någon anledning är särskilt komplicerad, kan vi förlänga behandlingstiden till högst tre månader.

Vi skickar ett svar på genomförandet av begäran/avgörandet av ärendet till den registrerade via Suomi.fi-meddelanden.

Om du vill återkalla din begäran, skicka ett meddelande via Suomi.fi-tjänsten till Findata.

Om du av någon anledning inte kan använda Suomi.fi-tjänsten är det ändå möjligt att utöva rättigheterna. Då ska du uträtta ärendet personligen i entréservicen vid Institutet för hälsa och välfärd (THL) i Helsingfors eller Kuopio.

Du bör dock observera att Findata inte är den ursprungliga personuppgiftsansvariga för social- och hälsouppgifter. Därmed förhindrar till exempel en begäran om invändning mot användning av personuppgifter som skickas till Findata inte att ifrågavarande uppgifter ändå kan utlämnas för sekundär användning av någon annan personuppgiftsansvarig som nämns i 6 § i lagen om sekundär användning.

Om du har ytterligare frågor om tillgodoseendet av rättigheterna kan du be om råd per e-post på adressen info@findata.fi eller via telefonrådgivningen 029 524 6500.

Personuppgiftsbeskrivningar

  • Personuppgiftsbeskrivning: Begäran om information [PDF, 82 kb], länken öppnas i ett nytt fönster. (Kommer snart)
  • Personuppgiftsbeskrivning: Begäran gällande de registrerades rättigheter och de personuppgifter som har erhållits i samband med dem [PDF, 68 kb], länken öppnas i ett nytt fönster. (Kommer snart)

Personuppgiftsbeskrivningen gällande dataanvändningstillstånd uppdateras på webbplatsen före den 1 april 2020.

Kontaktinformation

Findatas dataskyddsombud Kirsi Talonen (förnamn.efternamn@findata.fi).

Tillbaka