Sosiaali- ja terveysalan tietolupaviranomainen Findata on antanut määräyksen, joka kuvaa muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset. Määräys koskee sosiaali- ja terveystietojen toissijaista käyttöä.

Toisiolain mukaisesti yksilötasoisten aineistojen analysointi on 1.5.2021 lähtien sallittua ainoastaan määräyksen vaatimukset täyttävissä käyttöympäristöissä. Vaatimukset edellyttävät vastaavaa tietoturvan tasoa kuin Findatan omassa käyttöympäristössä.

Määräystä sovelletaan kaikkiin niihin toisiolaissa säädettyihin käyttötarkoituksiin, joihin tarvitaan tietolupa. Näitä käyttötarkoituksia ovat tieteellinen tutkimus, tilastointi, opetus sekä viranomaisen suunnittelu- ja selvitystehtävä. Opetuksen osalta määräys koskee opetusaineiston valmistamista, ei varsinaista opetusta.

Pääset tutustumaan määräykseen alla olevasta linkistä.

Sosiaali- ja terveysalan tietolupaviranomaisen määräys: Muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavat vaatimukset (PDF 2,6 Mt, aukeaa uuteen ikkunaan)

Mistä on kyse?

Findata myöntää sosiaali- ja terveysalan rekisteriaineistojen toissijaiseen käyttöön määräaikaisia tietolupia. Luvan myöntämisen jälkeen se toimittaa eri rekistereistä yhdistellyt tiedot tietoturvalliseen etäkäyttöympäristöön analysoitavaksi.

Aineistot luovutetaan pääsääntöisesti aina Findatan käyttöympäristöön. Toisiolaki kuitenkin mahdollistaa tietojen luovuttamisen myös muuhun käyttöympäristöön, mikäli se on välttämätöntä.

Jos toisiolain piiriin kuuluva yksittäinen rekisterinpitäjä on tehnyt omia aineistojaan koskevan tietolupapäätöksen, myös sen tulee luovuttaa tietoaineisto aina toisiolaissa tarkoitettuun tietoturvalliseen käyttöympäristöön.

Nyt annettu määräys kuvaa niitä toiminnallisia, hallinnollisia ja teknisiä vaatimuksia, jotka muiden palveluntarjoajien, eli esimerkiksi sairaanhoitopiirien tietoturvallisten käyttöympäristöjen on toteutettava.

Määräyksestä järjestettiin ennen sen voimaantuloa lausuntokierros 22.5.–26.6.2020, jonka aikana lausuntoja annettiin yhteensä 54 kpl. Lausunnot on huomioitu määräyksen valmistelussa.

Mitä vaikutuksia määräyksellä on?

Määräyksen mukaisten vaatimusten toteuttaminen on 1.5.2021 lähtien edellytyksenä sille, että tietoja voidaan luovuttaa luvansaajan käsiteltäväksi toissijaisiin tarkoituksiin muussa kuin Findatan tietoturvallisessa käyttöympäristössä. Lisäksi käyttöympäristön on oltava arvioitu tietoturvallisuuden arviointilaitoksen toimesta ja arvioinnista tulee olla todistus.

Vaatimuksissa on huomioitu jo käytössä olevien ympäristöjen ratkaisut ja se mahdollistaa teknisesti erilaisten ratkaisujen hyödyntämisen.

Yksinkertaisimmillaan tietoturvallinen käyttöympäristö voi olla fyysisesti ja teknisesti suojattu tila, jossa on Internetistä ja muista laitteista eristetty päätelaite tietojen analysointiin. Toisaalta myös pilvipalveluihin perustuvat tekniset ratkaisut ovat mahdollisia, kunhan palveluntarjoaja huolehtii vaatimusten mukaisesta tietoturvasta.

Myös ulkomaisten tutkijoiden käyttöympäristöjen tulee vastata määräyksen mukaisiin tietosuojan ja -turvallisuuden vaatimuksiin. Niiden kelpoisuuden voi osoittaa kansainvälisiin auditointeihin perustuvilla sertifikaateilla, joiden vaatimustenmukaisuuden Suomessa hyväksytty arviointilaitos tarkistaa.

Muiden aineistojen ja tutkijoiden omien työkalujen tuominen käyttöympäristöihin on mahdollista, kunhan ne tapahtuvat palveluntarjoajan määrittelemän prosessin mukaisesti ja palveluntarjoajan valvonnassa.

Katso myös:

Lisätiedot:

Heikki Lanu
ICT-päällikkö
etunimi.sukunimi@findata.fi