På den här sidan hittar du:

Hur tar Findata hand om dataskyddet?

Ett av Findatas viktigaste mål är att förbättra individens dataskydd och social- och hälsovårdsuppgifternas informationssäkerhet. Vi lämnar alltid ut uppgifterna så att personernas dataskydd maximeras och vi lämnar endast ut uppgifter som absolut behövs.

Efter att vi har beviljat dataanvändningstillståndet samlar vi in de registrerade uppgifterna från olika personuppgiftsansvariga enligt tillstånden, kombinerar uppgifterna i den informationssäkra driftmiljön och lämnar ut dem i en informationssäker driftmiljö till tillståndshavaren. Uppgifterna avlägsnas när behandlingen är klar, dvs. Findata förvarar eller kopierar inte uppgifterna för säkerhets skull för längre tid än för den tid som tillståndet kräver.

Uppgifterna förvaras i ett separat och slutet system, för vilket ett tidsbegränsat användningstillstånd beviljas. När man vill ta ut till exempel forskningsresultat från driftmiljön, säkerställer vi att det inte är möjligt att identifiera någon enskild person i resultaten eller det material som tas ut.

I den informationssäkra driftmiljön

  • fastställs åtkomsträttigheterna till uppgifterna i enlighet med de beviljade tillstånden
  • övervakas åtkomsten till utrustningar, system och lokaler
  • förhindras otillåten användning av lokaler, uppgifter och system
  • registreras behandlingen av uppgifter i en logg
  • begränsas och övervakas datatrafiken
  • skyddas systemen noggrant från externa hot såsom gärningar eller händelser som äventyrar informationssäkerheten, till exempel virus eller andra attacker.

Social- och hälsovårdsuppgifter får inte används till marknadsföring eller till exempel för att definiera individuella kommersiella tjänster.

Tillbaka

Hur förbättrar lagen om sekundär användning dataskyddet?

Lagen om sekundär användning har stiftats med hänsyn till det nationella handlingsutrymmet som EU:s allmänna dataskyddsförordning (GDPR) möjliggör. Grundlagsutskottet och social- och hälsovårdsutskottet har sett till att lagen inte strider mot EU:s dataskyddsförordning. Företrädare för dataombudsmannens byrå har deltagit i lagberedningsgruppen och dataombudsmannen har även hörts i riksdagen.

I lagen om sekundär användning definieras kraven för en informationssäker driftmiljö, där tillståndsinnehavare kan behandla uppgifterna.

Uppgifterna lämnas i första hand ut så att tillståndshavaren kan behandla dem via fjärråtkomst, varvid uppgifterna blir kvar i Findatas informationssäkra driftmiljö.

I vissa fall behöver uppgifter lämnas ut till tillståndshavaren. Då måste mottagaren visa att den under kontrollerade former behandlar uppgifterna i en sådan miljö som avses i lagen och som uppfyller kraven på informationssäkerhet.

Lagen om sekundär användning kräver att informationssystemen sparar historik om behandlingen av uppgifter, dvs. skapar logguppgifter över olika händelser. Logguppgifterna visar till exempel vem som har behandlat uppgifterna, på vilket sätt uppgifterna har behandlats och när de har behandlats.

Tillbaka

Vem övervakar att dataskyddet uppfylls?

Verksamheten vid Findata och de personuppgiftsansvariga som beviljar dataanvändningstillstånd övervakas av bland annat justitieombudsmannen och dataombudsmannen.

De som beviljar dataanvändningstillstånd måste en gång per år lämna en redogörelse för behandlingen av social- och hälsovårdsuppgifterna och logguppgifterna till dataombudsmannen.

Tillsynsverket för social- och hälsovården Valvira övervakar de informationssäkra driftmiljöerna.

Tillbaka

Vad kan personuppgifter användas till?

Sekundär användning av social- och hälsovårdsuppgifter innebär att social- och hälsovårdens klient- och registeruppgifter används för något annat ändamål än det primära ändamål för vilket uppgifterna ursprungligen har lagrats. Primär användning är till exempel vård av patienten eller handläggning av förmåner.

Lagen om sekundär användning av personuppgifter inom social- och hälsovården (den s.k. lagen om sekundär användning) innehåller bestämmelser om de användningsändamål för vilka tillstånd kan beviljas. Enligt 2 § i lagen kan uppgifter lämnas ut för statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och -övervakning inom social- och hälsovården samt för myndigheternas planerings- och utredningsuppgifter.

Tillstånd kan alltså inte beviljas för vilket ändamål som helst. Tillståndet grundar sig på Findatas myndighetsbeslut. Beslutet är juridiskt bindande och innehåller tydliga tillståndsvillkor. Findata har också rätt att begära ett utlåtande av dataombudsmannen i Finland innan tillstånd beviljas.

Det är bra att beakta att utnyttjandet av social- och hälsouppgifter för sekundära ändamål inte är nytt. Också före Findata har motsvarande uppgifter lämnats ut för vetenskaplig forskning och statistikföring. I Finland har man länge samlat in unika register- och forskningsmaterial med vars hjälp det är möjligt att främja medborgarnas hälsa och välfärd.

I personuppgiftsbeskrivningen hittar du mer information om vad Findata använder uppgifterna till.

Tillbaka

Varifrån kommer personuppgifterna?

Findata har inte personuppgifter själv, utan samlar uppgifterna av de aktörer och myndigheter inom hälso- sjukvården som avses i lagen om sekundär användning. Dessutom innehåller lagen bestämmelser om de uppgifter som den kan få av dessa aktörer.

Findata samlar inte heller in uppgifter från personerna själva, utan all information som den samlar in finns redan hos någon av ovan nämnda aktörer som avses i lagen om sekundär användning.

Tillbaka

Findata som personuppgiftsansvarig

Findata blir personuppgiftsansvarig för personuppgifterna när den tar emot uppgifter från ovan nämnda aktörer. En förutsättning för behandling av personuppgifter är att den personuppgiftsansvarige har en laglig grund för behandlingen.

Findatas lagliga behandlingsgrund är artikel 6.1 e i EU:s allmänna dataskyddsförordning (behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning). När vi behandlar uppgifter som hör till särskilda kategorier av personuppgifter (tidigare benämnd känsliga uppgifter), som är uppgifter om en persons hälsa, ska behandlingen grunda sig utöver på ovan nämnda artikel 6 även på artikel 9.2 g (behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse).

Findata lämnar inte ut uppgifter för beslutsfattande om en enskild persons rättigheter, förmåner eller skyldigheter. Uppgifter lämnas alltså inte ut till exempel till försäkringsbolag för enskilda försäkringsbeslut eller till FPA för upprättande av förmånsbeslut. Uppgifter lämnas inte heller ut för marknadsföring eller definition av individuella kommersiella tjänster.

Tillbaka

Vilka rättigheter har du gällande behandling av dina personuppgifter?

Var och en har rätt till sina egna personuppgifter. Den registrerade har rätt att få information om användningen av hens personuppgifter. Utöver att få information har den registrerade följande rättigheter till sina egna uppgifter i fråga om det datamaterial som Findata förfogar över:

  • Rätt till tillgång till egna uppgifter
  • Rätt att rätta egna uppgifter
  • Rätt att begränsa behandlingen av egna uppgifter
  • Rätt att invända mot behandling av egna uppgifter

Om du vill utöva dessa rättigheter hittar du de anvisningar som behövs på denna sida under rubriken: Hur kan jag utöva mina rättigheter?

Observera att Findata i regel kan genomföra den registrerades begäran endast i fråga om de uppgifter som den förfogar över. Begäran gällande rätt att få tillgång till egna uppgifter, rätt att korrigera egna uppgifter samt rätt att begränsa behandlingen av egna uppgifter gäller de uppgifter som Findata förfogar över vid den tidpunkt då begäran lämnas in. Däremot kan en begäran som gäller rätt till invändning framställas så att den gäller tills vidare. Findata registrerar samtliga begäran från den registrerade. Dessutom upprätthåller Findata en separat förteckning över de registrerade som har framställt en begäran om invändning.

Findata har utarbetat separata blanketter för att tillgodose rättigheterna. Rätten att begränsa behandlingen av uppgifter (artikel 18) kommer dock i fråga endast i vissa situationer och kan förverkligas direkt till följd av andra framställningar. Till exempel begränsar Findata i praktiken alltid behandlingen av personuppgifter under den tid det är fråga om en begäran om rättelse av personuppgifter (artikel 16). Rätten att begränsa behandlingen av uppgifter gäller också i situationer där den registrerade behöver sina egna personuppgifter för att göra upp, framställa eller försvara ett rättsligt anspråk och där Findata inte längre behöver uppgifterna i fråga.

Findata förvarar personuppgifter endast under den tid som användningsändamålet för det tillstånd som Findata beviljat kräver det (till exempel vetenskaplig forskning eller en myndighets planerings- och utredningsuppgift). Om den registrerade behöver sina egna personuppgifter för att upprätta, framställa eller försvara ett rättsligt anspråk, är det säkrast att begära detta direkt av den personuppgiftsansvarige hos vilken personuppgifterna i fråga förvaras för sitt primära användningsändamål.

Till exempel Myndigeten för digitalisering och befolkningsdata har uppgifter om personers släktskapsförhållanden, civilstånd och adress, sjukhus har uppgifter om personers vård och FPA har uppgifter om de recept som utfärdats. Du hittar information om personuppgiftsansvariga och registrens datainnehåll på sidan Material.

Tillbaka

Minderårigas och registrerades rättigheter

Lagen innehåller inga bestämmelser om hur minderåriga kan utöva rättigheter som tillkommer registrerade. Minderåriga har dock samma rättigheter som vuxna. I EU:s allmänna dataskyddsförordning betonas behovet av att skydda barns personuppgifter.

Utgångspunkten är att en minderårig som kan bilda sig egna åsikter har rätt att fritt uttrycka sina åsikter om användningen och behandlingen av sina personuppgifter.

Kan ett barn själv besluta om att framställa begäran?

Det är inte möjligt att ge exakta åldersgränsrekommendationer om när en minderårig självständigt kan besluta om användningen och behandlingen av sina uppgifter.

Det är viktigt att bedöma barnets ålder och utvecklingsnivå med tanke på ärendet i fråga. Om barnet med beaktande av ålder och utvecklingsnivå kan förstå saken och dess betydelse, kan barnet själv besluta om utövandet av sina rättigheter. För små barn är detta naturligtvis inte möjligt, men ju äldre barn och unga det är fråga om, desto mer beslutanderätt har de. Detta gäller särskilt barn i åldern 12–17 år.

Vårdnadshavaren kan framställa en begäran för barnets räkning – bifoga ett intyg över vårdnaden eller annat lagligt företrädande av barnet

Vårdnadshavaren kan för sitt minderåriga barns räkning framställa en begäran om en registrerads rättigheter. Om vårdnaden är gemensam ska begäran framställas och undertecknas av båda vårdnadshavarna. Ett intyg från befolkningsdatasystemet över vårdnaden om barnet ska fogas till begäran. Begäran ska överensstämma med barnets förmodade vilja och företräda barnets bästa.

Det rekommenderas att vårdnadshavarna diskuterar med barnet om begäran och hör barnets åsikt innan begäran framställs, även om barnet ännu inte själv kan fatta beslut i frågan. Begäran om minderåriga barn ska framställas personvis som separata meddelanden via Suomi.fi-tjänsten för att de ska kunna antecknas som separata ärenden i diariet.

Informera barnet

Vårdnadshavarna ska informera ett minderårigt barn om begäran som framställts på barnets vägnar senast när barnet utifrån sin ålder och utvecklingsnivå kan förstå ärendet. Det är viktigt att informera särskilt i situationer där vårdnadshavarna har motsatt sig behandlingen av personuppgifter för en minderårigs räkning. Begäran som gäller rätten att invända mot att personuppgifterna behandlas är i kraft tills vidare och förlänger därmed giltighetstiden även efter att den minderåriga blivit myndig.

Tillbaka

Begäran kan återkallas

Begäran som gäller rätten till invändning kan återkallas om man så önskar. Detta gäller var och en som har framställt en begäran som gäller rätten till invändning. Därmed kan en minderårig, för vars räkning föräldrarna har framställt en begäran som gäller rätten till invändning, också själv återkalla begäran, om han eller hon med hänsyn till sin ålder och utvecklingsnivå bedöms förstå sakens betydelse.

Tillbaka

När är det inte möjligt att utöva rättigheterna?

Det är inte alltid och i alla situationer fullständigt möjligt att utöva rättigheterna. Vid användningsändamål som gäller vetenskaplig forskning och statistikföring är det möjligt att för varje undersökning eller statistikföring begränsa den registrerades rättigheter.

Findata begränsar inte den registrerades rättigheter på eget initiativ. Begränsningen kan komma i fråga endast om det forskningsprojekt som ansökt om dataanvändningstillstånd av Findata har beslutat att begränsa den registrerades rättigheter i projektet. Då ska forskningsprojektet ha utfört en separat konsekvensbedömning och lämnat den till Dataombudsmannens byrå i Finland innan projektet inleds. En sådan begränsning av rättigheterna kan gälla alla ovan nämnda rättigheter. I fråga om andra användningsändamål som föreskrivs i lagen om sekundär användning har tillståndssökanden inte möjlighet att begränsa rättigheterna.

Findata avlägsnar uppgifter om den registrerade ur det egna materialet i situationer där den registrerade invänder mot behandlingen av sina personuppgifter hos Findata. Ibland kan det dock uppstå en situation där man till exempel i ett forskningsprojekt har begränsat den registrerades rättigheter, såsom rätten att invända. Då måste Findata överväga hur denna specifika begränsning av forskningsprojektet ska beaktas i förhållande till att vissa registrerade har meddelat att de invänder mot användning av sina personuppgifter. I allmänhet kan invändningsrätten tillgodoses utan att undersökningen blir lidande. Findata begränsar behandlingen av personuppgifter under den tid detta övervägande görs.

Tillbaka

Hur kan jag utöva mina rättigheter?

För att kunna utöva dina rättigheter ska du först fylla i blanketten nedan. Blanketterna har utarbetats så att det för varje rättighet som den registrerade har finns en separat blankett. Fyll i den blankett som gäller den rättighet som du vill utöva.

Findata måste försäkra sig om den registrerades identitet för att rättigheterna ska kunna utövas. Det här är viktigt för att vi med säkerhet ska kunna rikta åtgärderna till rätt person.

Vi ber er skicka den ifyllda blanketten eller blanketterna i första hand via Suomi.fi-tjänstens meddelandefunktion (www.suomi.fi/meddelanden). Du hittar anvisningar för ibruktagandet av Suomi.fi-meddelanden på adressen: https://www.suomi.fi/anvisningar-och-stod/information-om-meddelanden/aktivera-meddelanden.

Gör så här:

  • Identifiera dig i Suomi.fi-tjänsten med personliga bankkoder, certifikatkort eller mobilcertifikat
  • Gå till ”Skriv meddelande”
  • Välj ”Institutet för hälsa och välfärd” som mottagare av meddelandet
  • Välj ”Registratorskontor” som mottagarens tjänst eller ärende
  • Skriv ”Findata: Den registrerades rättigheter” som tema för meddelandet
  • Ange i meddelandefältet de rättigheter som du vill utöva (du kan använda blanketternas namn)
  • Lägg till den eller de ifyllda blanketterna som bilagor till punkten ”Lägg till bilagor här”
  • Klicka till sist på ”Skicka meddelande”

Meddelandet styrs till registratorskontoret vid Institutet för hälsa och välfärd (THL), varifrån det förmedlas till Findata för behandling. Vi behandlar i regel begäran inom en månad från mottagandet. Om behandlingen av begäran av någon anledning är särskilt komplicerad, kan vi förlänga behandlingstiden till högst tre månader.

Vi skickar ett svar på avgörandet av ärendet till den registrerade via Suomi.fi-meddelanden.

Om du vill återkalla din begäran, skicka ett meddelande via Suomi.fi-tjänsten till Findata.

Om du av någon anledning inte kan använda Suomi.fi-tjänsten är det ändå möjligt att utöva rättigheterna. Då ska du uträtta ärendet personligen i entréservicen vid Institutet för hälsa och välfärd (THL) i Helsingfors eller Kuopio.

Du bör dock observera att Findata inte är den ursprungliga personuppgiftsansvariga för social- och hälsouppgifter. Därmed förhindrar till exempel en begäran om invändning mot användning av personuppgifter som skickas till Findata inte att ifrågavarande uppgifter ändå kan utlämnas för sekundär användning av någon annan personuppgiftsansvarig som nämns i 6 § i lagen om sekundär användning.

Om du har ytterligare frågor om tillgodoseendet av rättigheterna kan du be om råd per e-post på adressen info@findata.fi eller via telefonrådgivningen 029 524 6500.

Tillbaka

Personuppgiftsbeskrivningar

Tillbaka

Kontaktinformation

Findatas dataskyddsombud Kirsi Talonen (förnamn.efternamn@findata.fi).

Tillbaka