1.1  Tausta

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, jäljempänä toisiolaki ) tuli voimaan 1.5.2019. Toisiolain tarkoituksena on luoda edellytykset sosiaali- ja terveydenhuollon palvelutoiminnassa syntyvien henkilötasoisten asiakastietojen sekä muiden terveyteen ja hyvinvointiin liittyvien henkilötietojen käytölle tilastointiin, tutkimukseen, kehittämis- ja innovaatiotoimintaan, opetukseen, tietojohtamiseen, viranomaisohjaukseen ja -valvontaan sekä viranomaisten suunnittelu- ja selvitystehtäviin. Laki mahdollistaa sosiaali- ja terveydenhuollon asiakas- ja potilastiedon hyödyntämisen muussa kuin kyseisen tiedon alkuperäisessä käyttötarkoituksessa.  

Toisiolain voimassaoloaikana on ilmennyt haasteita liittyen lainsäädännössä määriteltyihin toisiokäytön reunaehtoihin. Toisiolain ongelmia ovat tuoneet esille useat sidosryhmät. Haasteisiin liittyen on myös toimitettu vetoomus eduskunnalle toisiolain muuttamiseksi. 

Pääministeri Petteri Orpon hallitusohjelmassa on kiinnitetty huomiota toisiolain ja toisiokäytön haasteisiin. Hallitusohjelman yhtenä tavoitteena on ratkaista sote-tiedon toisiolain ja -käytön haasteet niin, että voidaan edistää Suomessa tehtävää tutkimusta ja mahdollisuutta hyödyntää tietoa. 

Eduskunnan valiokuntakäsittelyiden yhteydessä on kiinnitetty huomiota siihen, että toisiolaki on osoittautunut käytännössä vaikeasti sovellettavaksi ja aiheuttanut usein epäselvyyttä suhteesta muuhun lainsäädäntöön (PeVL 25/2021 vp). Perustuslakivaliokunnan saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia (PeVL 50/2022 vp, PeVL 3/2024 vp). Valiokunnat ovat katsoneet, että toisiolain uudistamistarpeita on syytä tarkastella huolellisesti erityisesti tieteellisen tutkimuksen näkökulmasta (PeVL 25/2021 vp, StVM 17/2021 vp). Sosiaali- ja terveysvaliokunnan saaman selvityksen mukaan toisiolain soveltajilla on ollut epäselvyyttä myös sääntelyn suhteesta suostumuksen käyttämiseen käsittelyn oikeusperusteena. Valiokunta totesi, että mahdolliset epäselvyydet tulee viipymättä selvittää ja tehdä tarvittavat lainsäädännölliset muutokset (StVM 17/2021 vp). 

Muita tutkimuslainsäädäntöön liittyviä kirjauksia hallitusohjelmassa ovat tavoite poistaa esteitä tutkimukselta ja yhtenäistää tutkimuslainsäädäntöä, arvioida tutkimus- ja innovaatiotoiminnan osaamisen välittyminen tutkimuslainsäädännön lainvalmisteluun perustamalla tutkimuslainsäädäntöneuvosto sekä selvittää mahdollisuudet varmistaa kuvamuotoisen materiaalin säilyminen nykyistä pidempään ensiö- ja toisiokäyttöä varten. Hallitusohjelman mukaisesti Suomi myös osallistuu aktiivisesti EU:n terveystietoalueen (European Health Data Space, EHDS-asetus) puitteissa tehtävään työhön. 

Toisiolain uudistamisen lisäksi sosiaali- ja terveysministeriössä on käynnissä sote-tutkimuslainsäädännön selkiyttämisen hanke, johon kuuluvat laki kliinisestä lääketutkimuksesta (983/2021, lääketutkimuslaki ), laki lääketieteellisestä tutkimuksesta (488/1999, tutkimuslaki ), biopankkilaki (688/2012), laki ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä (101/2001, kudoslaki ) sekä laki lääkinnällisistä laitteista (719/2021). Hankkeen tarkoituksena on selkiyttää ja yhtenäistää tutkimuslainsäädännön kokonaisuutta ja lakien suhdetta toisiolakiin.  

Toisiolain korjaaminen ja tutkimuslainsäädännön selkiyttäminen ovat keskeinen osa kansallista Terveys- ja hyvinvointialan kasvuohjelmaa Terveys- ja hyvinvointialan kasvua ja uudistumista vauhdittava tutkimus-, kehittämis- ja innovaatio-ohjelma. , joka toimii jatkona terveysalan TKI-kasvustrategialle. Terveys- ja hyvinvointialan kasvuohjelma on käynnistetty sosiaali- ja terveysministeriön, työ- ja elinkeinoministeriön, opetus- ja kulttuuriministeriön, ulkoministeriön ja valtiovarainministeriön yhteistyönä. Ohjelman tavoitteena on muun muassa edistää Suomen terveys- ja hyvinvointialan kansainvälistä tunnettavuutta ja houkuttelevuutta tutkimus- ja innovaatiotoiminnan, investointien ja uuden liiketoiminnan näkökulmasta. Ks. ja https://stm.fi/-/kasvuohjelma-vauhdittamaan-terveys-ja-hyvinvointialan-tutkimus-kehitys-ja-innovaatiotoimintaa 

Sosiaali- ja terveysministeriössä valmistellaan myös EU:n EHDS-asetuksen kansallista toimeenpanoa, joka tulee merkittävästi vaikuttamaan terveystietojen toisiokäytön sääntelyyn. EHDS-asetuksen toimeenpanon valmistelun tukena toimivat asetuksen kansallisen koordinaation ohjausryhmä ja sen terveystietojen ensiökäytön ja toisiokäytön alaryhmät. 

1.2  Valmistelu

Hallituksen esitys on valmisteltu virkamiestyönä sosiaali- ja terveysministeriössä. Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa https://stm.fi/hankkeet tunnuksella STM040:00/2024.  

Hallituksen esityksen valmistelun tukena on toiminut toisiolain korjaamisen ja tutkimuslainsäädännön selkiyttämisen työryhmä (STM113:00/2024). Työryhmä on asetettu ajalle 22.8.2024–28.2.2026. Työryhmän ensisijaisena tavoitteena oli tunnistaa ja arvioida toisiolain nykytilaan liittyviä ongelmakohtia sekä koota asiantuntemukseen perustuvia toimenpide-ehdotuksia tunnistettujen ongelmakohtien korjaamiseksi. Työskentelyn myöhemmässä vaiheessa työryhmän tehtävänä on arvioida ja koota ehdotuksia muun tutkimuslainsäädännön selkiyttämiseen liittyvistä muutostarpeista. 

Sosiaali- ja terveysministeriö järjesti hallituksen esitysluonnoksesta lausuntokierroksen 3.3.2025-14.4.2025. Lausuntoja vastaanotettiin 99 kappaletta. 

Toisiolain korjaamisen hankkeesta järjestettiin webinaari 26.11.2024, jossa käytiin läpi työryhmän työskentelyä ja sen kokousten aiheita. Sosiaali- ja terveysministeriö järjesti toisiolaista ja sen tunnistetuista haasteista sidosryhmätilaisuuden 7.6.2024, johon oli kutsuttu laajasti eri sidosryhmiä. Lisäksi tutkimuslainsäädäntöön liittyvistä haasteista on keskusteltu kolmessa ministeriön järjestämässä tilaisuudessa syksyllä 2023. 

2.1  Yleistä

Toisiolain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely sekä niiden yhdistäminen Kansaneläkelaitoksen, Väestörekisterikeskuksen (nykyään Digi- ja väestötietoviraston), Tilastokeskuksen ja Eläketurvakeskuksen henkilötietoihin. Toisiolain yhtenä keskeisenä tarkoituksena on suojata kaikessa sosiaali- ja terveystietojen toissijaisessa käsittelyssä henkilötiedot siten, että kansalaisten luottamusta voidaan vahvistaa suhteessa heidän tietojensa käsittelyyn toissijaisessa käyttötarkoituksessa. Toisiolaki mahdollistaa aiempaa paremman tietoturvan sosiaali- ja terveydenhuollon arkaluonteisten henkilötietojen toissijaisessa käsittelyssä. 

Toisiolain soveltamisessa on ilmennyt useita haasteita, joihin on kiinnitetty huomiota tutkijoiden ja muiden toisiokäyttäjien, terveydenhuollon toimijoiden, viranomaisten ja kansalaisten taholta. Toisiolain haasteista on laadittu useampia selvityksiä, kuten esimerkiksi opetus- ja kulttuuriministeriön selvitys tutkimusta koskevien sosiaali- ja terveydenhuollon säädösten vaikutuksesta tutkimuksen vapauteen ja tutkimus-, kehittämis- ja innovaatiotoimintaan Bützow A. Selvitys tutkimusta koskevien sosiaali- ja terveydenhuollon säädösten vaikutuksesta tutkimuksen vapauteen ja tutkimus-, kehittämis- ja innovaatiotoimintaan. Opetus- ja kulttuuriministeriön julkaisuja 2021:42. , Gesund Partners Oy:n esiselvitys toisiolain vaikutuksista sote-tietojen toisiokäyttöön tutkimus-, kehitys- ja innovaatiotoiminnassa sekä opetuksessa Koiste V, Siranko H. Esiselvitys toisiolain vaikutuksista sote-tietojen toisiokäyttöön tutkimus-, kehitys- ja innovaatiotoiminnassa sekä opetuksessa. Gesund Partners Oy, tammikuu 2022. ja Gesund Partners Oy:n toimenpiteet toisiolain toimeenpanon tueksi Koiste V, Siranko H. Raportti. Toimenpiteen toisiolain toimeenpanon tueksi. Gesund Partners Oy, helmikuu 2022. . Eduskunnalle on toimitettu vetoomus toisiolain muuttamiseksi, jonka ovat allekirjoittaneet Suomen yliopistollisten sairaaloiden johtajaylilääkärit. Vetoomus eduskunnalle toisiolain muuttamiseksi 9.4.2021. Toisiolaista on myös kirjoitettu useampia artikkeleita ja mielipidekirjoituksia. Esimerkiksi Miika T. Nieminen, Mikael Brix, Juhani Junttila, Johannes Kettunen, Minna Mäkiniemi ja Jarmo Reponen: Toisiolaki - uhka, ei mahdollisuus, Lääketieteellinen Aikakauskirja Duodecim 2024;140(9):715–7; ja Wedenoja, S, Soini, S, Porkka, K & Seppänen, M 2022, ' Rekisteritutkimus uhattuna - toisiolakiin liittyvistä ongelmista kohti ratkaisuja ', Suomen lääkärilehti, Vuosikerta. 77, Nro 33–34, Sivut 1343–1345. 

Toisiolakiin liittyviä haasteita ja muutostarpeita on tunnistettu useita. Toisiolakiin ja tutkimuslainsäädäntöön liittyvistä haasteista on keskusteltu sosiaali- ja terveysministeriön järjestämissä tilaisuuksissa syksyllä 2023 ja toisiolain sidosryhmätilaisuudessa 7.6.2024. Keskustelujen perusteella sosiaali- ja terveysministeriössä kerättiin aiheita, jotka tunnistettiin keskeisiksi toisiolain haasteiksi. Keskeiset haasteet ovat sellaisia, joiden ratkaiseminen voisi merkittävästi vaikuttaa tieteellisen tutkimuksen ja toisiokäytön edistämiseen. Aiheita käsiteltiin toisiolain korjaamisen ja tutkimuslainsäädännön selkiyttämisen työryhmän kokouksissa syksyllä 2024. Työryhmän tavoitteena oli koota asiantuntemukseen perustuvia toimenpide-ehdotuksia toisiolain tunnistettujen ongelmakohtien korjaamiseksi. Työryhmässä keskusteltiin aiheista ja niiden ratkaisuvaihtoehdoista. Tässä hallituksen esityksessä esitettävät ehdotukset perustuvat työryhmässä käytyyn keskusteluun ja virkamiesvalmisteluun.  

Keskeiset toisiolain haasteet liittyvät tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittelyyn, kansainvälisen tutkimusyhteistyön edistämiseen, toisiokäytön maksuihin, tietoaineistojen ja tulosten anonymisoinnin vastuisiin sekä toisiolain suhteeseen kliinisiin tutkimuksiin. 

Toisiolakiin liittyy näiden aiheiden lisäksi myös muita muutostoiveita. Tässä hallituksen esityksessä keskitytään keskeisiin toisiolain haasteisiin, jotka tulisi saada ratkaistua nopealla aikataululla. Toisiolain uudistamista tullaan jatkamaan EHDS-asetuksen toimeenpanon yhteydessä. EHDS-asetus tulee vaikuttamaan merkittävästi terveystietojen toisiokäytön sääntelyyn. Asetuksen toimeenpanon yhteydessä tulee arvioida, mitä kansallista lainsäädäntöä on mahdollista pitää voimassa asetuksen sääntelyn lisäksi. Kansallisen lainsäädännön arvioimisen yhteydessä tullaan tarkastelemaan myös toisiolain muutostarpeita. Lisäksi toisiolain suhdetta muuhun tutkimuslainsäädäntöön tullaan tarkastelemaan tutkimuslainsäädännön selkiyttämisen hankkeessa. 

2.2  Tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittely

Toisiolain hallituksen esityksen (HE 159/2017 vp) perusteluissa todettiin, että esityksen keskeisenä tavoitteena oli sujuvoittaa ja nopeuttaa olennaisesti tietojen käyttölupiin liittyvää käsittelyä ja keventää siihen liittyvää, rinnakkaisista lupamenettelyistä aiheutuvaa hallinnollista taakkaa. Aiemmin monen eri rekisterinpitäjän tietoja ja rekisteritietojen käyttölupia käsittelivät erikseen eri viranomaiset ja tietoja luovutettiin eri lakeihin sisältyvien säännösten perusteella. Lakiehdotuksen tarkoituksena oli purkaa lupakäsittelyyn liittyvää päällekkäistä hallinnollista taakkaa, sujuvoittaa ja nopeuttaa olennaisesti lupakäsittelyn sekä tietojen yhdistelyn prosessia. Lisäksi tarkoituksena oli luoda keskitetty sähköinen lupamenettely ja tietojen luovutusmenettely sekä edellytykset luovutettavien tietojen tietoturvalliselle ja tietosuojan takaavalle sähköiselle käsittelylle. 

Toisiolain säätämisen tavoitteista huolimatta toisiolaissa omaksuttu osittain keskitetty malli tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittelylle on koettu haasteelliseksi ja joustamattomaksi. Erityisesti on kiinnitetty huomiota toisiolaissa Sosiaali- ja terveysalan tietolupaviranomaiselle (jäljempänä Tietolupaviranomainen ) asetettuihin tehtäviin.  

Toisiolain 11 §:n mukaan Tietolupaviranomainen käsittelee kaikki tietolupahakemukset, jotka koskevat usean toisiolain 6 §:ssä tarkoitetun rekisterinpitäjän tietoja, Kanta-palveluihin tallennettuja tietoja ja yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän tietoja. Toisiolain 6 §:n 1–8 kohdassa tarkoitetut rekisterinpitäjät käsittelevät tietolupahakemukset, jotka koskevat pelkästään niiden omia tietoja. Rekisterinpitäjä voi luovuttaa tämän toimivallan Tietolupaviranomaiselle, jolloin Tietolupaviranomainen käsittelee rekisterinpitäjän tietoja koskevat tietolupahakemukset tämän puolesta. Toimivallan ovat tällä hetkellä luovuttaneet Terveyden ja hyvinvoinnin laitos (THL), Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) ja aluehallintovirastot. Sosiaali- ja terveydenhuollon lupa- ja valvontavirasto sekä aluehallintovirastot yhdistetään uuteen Lupa- ja valvontavirastoon (LVV) vuoden 2026 alusta. 

Toisiolain 6 §:n mukaisia rekisterinpitäjiä, jotka eivät ole luovuttaneet toimivaltaa käsitellä omien tietojensa tietolupia ovat sosiaali- ja terveysministeriö, Kansaneläkelaitos (Kela), Työterveyslaitos, Lääkealan turvallisuus- ja kehittämiskeskus (Fimea), sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät, Tilastokeskus, Eläketurvakeskus ja Digi- ja väestötietovirasto (DVV).  

Tietolupaviranomainen käsittelee myös kaikki toisiolain 45 §:n mukaiset tietopyynnöt saada toisiolaissa tarkoitetuista henkilötiedoista muodostettua aggregoitua tilastotietoa. Yksittäisillä rekisterinpitäjillä ei ole oikeutta käsitellä toisiolain mukaisia tietopyyntöjä. 

Toisiolain 7 §:n mukaan Tilastokeskus sekä Terveyden ja hyvinvoinnin laitos tilastoviranomaisena vastaavat tilastoviranomaisena tilastotarkoituksiin keräämiensä tietojen tietoluvista tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista tilastolain (280/2004) mukaisesti. 

Toisiolain mallin haasteena on nähty erityisesti Tietolupaviranomaisen rajalliset resurssit käsitellä usean rekisterinpitäjän tietoaineistoja koskevia tietolupahakemuksia. Rajallisten resurssien vuoksi hakemusten käsittelyajat ovat olleet ajoittain pitkiä. Tietolupaviranomainen ei toimintansa alkuvaiheessa pystynyt myöntämään tietolupia toisiolain asettamissa määräajoissa ja hakemusten käsittelyjono saattoi venyä pitkäksi. Toisiolain voimaantuloa edeltävään tilanteeseen verrattuna tietolupien käsittelyaikojen on katsottu pidentyneen erityisesti niissä tilanteissa, joissa tietolupaa haetaan useamman kuin yhden yliopistosairaalan tietoaineistoja koskien. 

Toisiolain korjaamisen ja tutkimuslainsäädännön selkiyttämisen työryhmässä on käsitelty toisiolain nykymallin etuja ja haittoja. Työryhmässä on katsottu, että nykymallin edut tulevat esiin erityisesti tilanteessa, jossa tietoaineistojen hakija haluaa yhdeltä luukulta kaikki palvelut. Tietolupaviranomaisen perustamisen on nähty selkiyttävän ja helpottavan lupaprosessia, kun hakemuksia ei tarvitse lähettää usealle rekisterinpitäjälle. Tietolupaviranomainen on myös yhdenmukaistanut prosesseja tietolupahakemusten käsittelyyn ja tietolupien myöntämiseen liittyen. Tietolupaviranomainen on laatinut ohjeistuksia ja luonut käytäntöjä toisiokäytön edistämiseksi sekä lisännyt tietoisuutta Suomen kattavista rekisteriaineistoista ulkomailla. Tietolupaviranomainen on tehostanut toimintaansa koko toisiolain voimassaolon ajan ja tällä hetkellä suurin osa tietolupahakemuksista saadaan käsiteltyä toisiolain mukaisissa määräajoissa. 

Tietolupaviranomainen teki vuonna 2024 yhteensä 113 myönteistä tietolupapäätöstä. https://findata.fi/tietoa-findatasta/vuosikatsaus-2024/ Tietoluvat koskivat keskimäärin yli neljän eri rekisterinpitäjän aineistoja. Enimmillään yksi lupa koski 23 rekisterinpitäjän aineistoja ja vähimmillään yhden. Tietoluvan muutospäätöksiä tehtiin vuonna 2024 yhteensä 183 ja tietopyyntöpäätöksiä tehtiin vuonna 2024 yhteensä 22 (8 % kaikista hakemuksista).  

Tietolupaviranomaisen tietolupahakemusten käsittelyajoissa oli paljon vaihtelua vuonna 2024. Nopeimmillaan hakemukseen tehtiin päätös 10 päivässä ja käsittelyajan mediaani oli 82 päivää. Tietolupahakemukset olivat käsittelyajastaan keskimäärin noin kolmasosan Tietolupaviranomaisen käsittelyssä, loput ajasta hakemuksiin odotettiin tietoja asiakkaalta tai rekisterinpitäjiltä. Tietolupien muutoshakemusten käsittelyajan mediaani oli kuusi päivää. 

Tietolupaviranomaiselle lähetetyistä hakemuksista vuonna 2024 85 %:ssa tietoja haettiin THL:n, Kelan ja/tai Tilastokeskuksen rekistereistä. Seuraavaksi haetuimpia olivat HUS-yhtymän, Digi- ja väestötietoviraston sekä Varsinais-Suomen hyvinvointialueen aineistot.  

Sosiaali- ja terveysministeriö toteutti kyselyn hyvinvointialueiden ja kansallisten rekisterinpitäjien toisiolain mukaisten tietolupien määristä vuosina 2019–2023. https://stm.fi/en/-/selvitys-hyvinvointialueet-myontavat-yha-enemman-lupia-sosiaali-ja-terveydenhuollon-tietojen-toisiokayttoon Kyselystä kävi ilmi, että rekisterinpitäjien myöntämissä tietoluvissa on ollut pientä kasvua vuodesta 2019 vuoteen 2023. Luvut ovat kuitenkin epätarkkoja, sillä hyvinvointialueilla ja rekisterinpitäjissä ei välttämättä systemaattisesti kirjata toisiolain mukaisia tietolupia. Tietolupahakemusten ja tietolupien määrä vaihtelee alueittain. Esimerkiksi Keski-Uudenmaan hyvinvointialue käsittelee vuosittain noin 4–7 tietolupahakemusta ja alle 5 pyyntöä yhdistää sen tietoja muiden rekisterinpitäjien tietoihin. Pirkanmaan hyvinvointialue taas käsittelee vuosittain noin 60 tietolupahakemusta ja 10–20 pyyntöä yhdistää sen tietoja muiden rekisterinpitäjien tietoihin. HUS-yhtymä käsittelee noin 100 tietolupahakemusta vuosittain ja noin 50 pyyntöä yhdistää sen tietoja muiden rekisterinpitäjien tietoihin.  

Eniten pyyntöjä yhdistää tietoja muiden rekisterinpitäjien tietoihin kohdistuu THL:n (noin 130 kpl), Kelan (noin 100 kpl) ja Tilastokeskuksen (noin 60 kpl) tietoaineistoihin. Fimean aineistoihin kohdistuu vuosittain noin 3–7 kpl, Digi- ja väestötietoviraston noin 40 kpl, Työterveyslaitoksen alle 5 kpl, Valviran alle 5 kpl ja Eläketurvakeskuksen tietoaineistoihin noin 25 pyyntöä yhdistää rekisterinpitäjien aineistoja muiden rekisterinpitäjien aineistoihin.  

Tietolupaviranomaiselle lähetettyjen hakemusten käsittelyajan pituuteen vaikuttaa luvanhakijoiden ja rekisterinpitäjien kanssa tehtävä yhteistyö. Tietolupahakemuksen tiedoissa voi olla puutteita, jolloin Tietolupaviranomaisen tulee pyytää hakijaa täydentämään hakemuksessa mainittuja tietoja. Lisäksi hakemuksen käsittelyssä käydään vuoropuhelua niiden rekisterinpitäjien kanssa, joiden tietoja tietolupahakemus koskee. Rekisterinpitäjien kanssa keskustellaan tietoaineistojen poiminnasta ja sen toteutuksesta ja poiminnan kustannuksista. Rekisterinpitäjien ja hakijoiden kanssa käytävä keskustelu on edellytys sille, että tietoaineistojen poiminta toteutetaan sujuvasti ja että hakija saa käyttötarkoitukseensa tarvittavat tiedot. 

Aineistopoimintojen sujuvoittamiseksi Tietolupaviranomainen on muuttanut hakemuskäsittelyä niin, että luvanhakijaa ohjeistetaan ottamaan yhteyttä tietoaineistojen rekisterinpitäjiin jo ennen hakemuksen lähettämistä. Muutoksen tarkoituksena on ollut syventää hakijan ja rekisterinpitäjän välistä ymmärrystä siitä, mitä tietoaineistoja rekisterinpitäjän hallussa on ja mitkä tiedot ovat tarpeellisia hakijan käyttötarkoitusta varten, jotta tietoaineistojen poiminta voidaan toteuttaa mahdollisimman tehokkaasti ja tietojen minimointiperiaate huomioiden. Jotkin luvanhakijat ovat kuitenkin kokeneet, että yhteistyön lisääminen hakemuskäsittelyn alkuvaiheessa on tarkoittanut yhden luukun mallin heikentymistä. 

Hakemuskäsittelyyn liittyvä lisätietojen pyyntö sekä hakijoiden ja rekisterinpitäjien kanssa tehtävä yhteistyö kasvattaa sitä aikaa, joka kuluu tietolupahakemuksen lähettämisestä tietoaineistojen luovuttamiseen tietoturvalliseen käyttöympäristöön. Keskitetyn viranomaisen kyvykkyys arvioida hakijan käyttötarkoitukseen tarvittavia tietoja on koettu haasteelliseksi, sillä rekisterinpitäjillä on tietoaineistojen haltijoina parhain tietämys omista tietoaineistoistaan. Tietolupaviranomaisen hakemusprosessi on myös koettu kankeaksi erityisesti sellaisissa tilanteissa, joissa ei ole kyse pelkästä rekisteritutkimuksesta, vaan tutkimuksessa yhdistyy erilaisia tutkimustyyppejä. 

Toisiolain nykymallia onkin toivottu muutettavan joustavampaan ja hajautetumpaan suuntaan. On ehdotettu, että tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittelytehtäviä olisi mahdollista antaa Tietolupaviranomaisen lisäksi useammalle toimijalle. Hajautetumman mallin toivotaan tuovan ratkaisuja niihin haasteisiin, joita nykyinen malli on tuonut käsittelyaikojen pituuden ja hakemusprosessin joustamattomuuden suhteen. 

2.3  Kansainvälinen tutkimusyhteistyö

Toinen keskeinen toisiolakiin liittyvä haaste on kansainvälisen tutkimusyhteistyön toteuttaminen toisiolain alaisilla tietoaineistoilla. Toisiolaki edellyttää, että tietoluvan nojalla luovutettavia tietoja käsitellään toisiolain mukaisissa tietoturvallisissa käyttöympäristöissä. Tietoturvallisella käyttöympäristöllä tarkoitetaan toisiolain 3 §:n 11 kohdan mukaan teknisiä, organisatorisia ja fyysisiä tietojen käsittelyn toimintaympäristöjä, joiden tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin. Toisiolaissa ja Tietolupaviranomaisen määräyksessä on asetettu tietyt vaatimukset tietoturvallisille käyttöympäristöille ja hyväksytyn käyttöympäristön tulee olla auditoitu tietoturvallisuuden arviointilaitoksen toimesta. 

Tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi aina toisiolain 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön, joko Tietolupaviranomaisen Kapseli-käyttöympäristöön ks. https://findata.fi/kapseli/ tai muuhun toisiolain 20 §:n mukaiseen tietoturvalliseen käyttöympäristöön. Tietopyynnössä pyydetty aggregoitu tilastotieto taas voidaan luovuttaa tietopyynnön tekijälle.  

Vaatimus tietoaineistojen käsittelystä toisiolain mukaisessa tietoturvallisessa käyttöympäristössä aiheuttaa haasteen kansainvälisen tutkimusyhteistyön toteuttamiselle. Toisiolain 20 §:n mukaisia tietoturvallisia käyttöympäristöjä on tällä hetkellä kymmenen ja ne kaikki sijaitsevat Suomessa. Toisiolain mukaisesti auditoituja käyttöympäristöjä ei ole tällä hetkellä Suomen ulkopuolella, jonka vuoksi toisiolain mukaisella tietoluvalla ei ole mahdollista luovuttaa tietoaineistoja Suomen ulkopuolelle. 

Nykytilanne ei mahdollista sellaisen tutkimusyhteistyön toteuttamista, jossa haluttaisiin yhdistää toisiolain mukaista tietoaineistoa muiden maiden tietoaineistoihin Suomen ulkopuolella sijaitsevassa käyttöympäristössä. Ulkomaisilla tutkijoilla on kuitenkin mahdollisuus saada etäkäyttöyhteydellä pääsy toisiolain mukaisiin tietoturvallisiin käyttöympäristöihin ja käsitellä niissä suomalaisia tietoaineistoja. Lisäksi tutkijalle voidaan luovuttaa toisiolain mukaisia aggregoituja tilastotietoja. Jos tutkimushankkeessa haluttaisiin yhdistää suomalaisia ja ulkomaisia tietoaineistoja, ulkomainen tietoaineisto tulee siirtää toisiolain mukaiseen tietoturvalliseen käyttöympäristöön. Ulkomaisten toimijoiden halukkuus toimia Suomen kansallisten vaatimusten mukaisesti ja tuoda tietoaineistot suomalaiseen käyttöympäristöön kansainvälisissä tutkimushankkeissa on nähty epätodennäköisenä. 

Lääketieteellinen tutkimus on luonteeltaan kansainvälistä ja tutkimusta tehdään usein kansainvälisissä konsortioissa. Toisiolain vaatimus tietoturvallisista käyttöympäristöistä estää tällä hetkellä suomalaisten tutkijoiden osallistumisen sellaiseen kansainväliseen tutkimusyhteistyöhön, jossa halutaan yhdistää usean maan rekisteritietoja. Suomalaisten osallistumista kansainväliseen tutkimusyhteistyöhön edistäisi se, että ulkomailla sijaitsevia käyttöympäristöjä auditoitaisiin toisiolain mukaisesti. Mikään ulkomainen toimija ei kuitenkaan tällä hetkellä ole auditoinut käyttöympäristöä toisiolain mukaisesti. 

Voimassa oleva toisiolaki ei sinänsä estä ulkomaisen käyttöympäristön auditoimista tietoturvalliseksi käyttöympäristöksi, sillä toisiolaissa ei oteta kantaa siihen, missä tietoturvallisen käyttöympäristön tulee sijaita maantieteellisesti. Toisiolaki sisältää yleiset vaatimukset tietoturvallisille käyttöympäristöille ja vaatimuksen siitä, että käyttöympäristön vaatimustenmukaisuus tulee osoittaa tietoturvallisuuden arviointilaitoksen antamalla todistuksella. Liikenne- ja viestintäviraston (jäljempänä Traficom ) Kyberturvallisuuskeskuksen sivuilla on lista hyväksytyistä tietoturvallisuuden arviointilaitoksista. ks. https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/arviointi-hyvaksynta-ja-neuvonta/hyvaksytyt-tietoturvallisuuden-arviointilaitokset Tietolupaviranomaisen tietoturvallisia käyttöympäristöjä koskevan määräyksen mukaan tietoturvallisen käyttöympäristön on fyysisesti sijaittava EU/ETA-alueella ja käyttöympäristön palveluntarjoajan on oltava EU/ETA-alueella rekisteröity organisaatio. ks. https://findata.fi/palvelut-ja-ohjeet/maaraykset/ 

Vaikka tietoturvallinen käyttöympäristö voi Tietolupaviranomaisen määräyksen mukaan sijaita EU/ETA-alueella, tällä hetkellä kaikki toisiolain mukaiset tietoturvalliset käyttöympäristöt sijaitsevat Suomessa. Kansainvälisen tutkimusyhteistyön edistämiseksi on katsottu tarpeelliseksi kehittää ratkaisu, joka mahdollistaisi toisiolain mukaisten tietoaineistojen käsittelyn ulkomaisissa käyttöympäristöissä ja suomalaisten tutkijoiden osallistumisen kansainväliseen rekisteritutkimukseen nykyistä sujuvammin. 

Tietoturvallisia käyttöympäristöjä koskevat vaatimukset toisiolaissa

Tietoturvallinen käyttöympäristö on yksi toisiolain keskeisistä suojatoimista, jolla mahdollistetaan arkaluonteisten henkilötietojen käsittely turvallisessa ympäristössä ja turvataan yksilön henkilötietojen suojaa. Muita keskeisiä suojatoimia on kuvattu toisiolain 60 §:n muuttamista koskevassa hallituksen esityksessä (HE 96/2021 vp) sivuilla 29–30. Tietoturvallisella käyttöympäristöllä voidaan estää väärinkäytöksiä ja toteuttaa kyberturvallisuutta henkilötietojen käytössä toisiotarkoitukseen. Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä tietosuoja-asetus ) edellytetään riittäviä suojatoimia, kun käsitellään arkaluonteisia ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.  

Toisiolaki mahdollistaa useiden tietoturvallisten käyttöympäristöjen perustamisen, kunhan ympäristö täyttää toisiolaissa asetetut vaatimukset. Useiden käyttöympäristöjen perustaminen on katsottu perustelluksi, jotta tutkijat ja muut toisiokäyttäjät voivat valita käyttötarkoitukseensa sopivimman käyttöympäristön ja erilaiset käyttöympäristöt voivat erikoistua tiettyjen aineistojen käsittelyyn. 

Tällä hetkellä toisiolain mukaisia tietoturvallisia käyttöympäristöjä on Tietolupaviranomaisen tietoturvallisen käyttöympäristön lisäksi yhdeksän; HUS-yhtymän HUS Acamedic, Istekki Oy:n T3 Tutkijan työtila, ESiOR Oy:n SPESiOR, Helsingin yliopiston FIMM-Sandbox ja FinnGen Sandbox, CSC Tieteen tietotekniikan keskus Oy:n SD Desktop, Tilastokeskuksen Fiona-käyttöympäristö, Aalto-yliopiston SECDATA, ja Varsinais-Suomen hyvinvointialueen Aurian Atolli. Käyttöympäristöt rekisteröidään Sosiaali- ja terveysalan lupa- ja valvontaviraston toisiokäyttöympäristöjen rekisteriin. ks. https://valvira.fi/sosiaali-ja-terveydenhuolto/kayttoymparistot 

Toisiolain 18 §:ssä asetetaan yleisiä tietoturvavaatimuksia toisiokäytölle. Käsittelyn riittävä tietoturvallisuus on varmistettava riskienhallinnalla, pääsynhallinnalla, aktiivisella valvonnalla sekä noudattamalla tietoturvallisuuden ja tietosuojan toteutuksesta ja valvonnasta vastaavan viranomaisen määräyksiä ja ohjeita. Erityistä huomiota on kiinnitettävä käyttörajoitusten sekä salassapitovelvoitteen toteuttamiseen. 

Toisiolain 20–30 §:ssä asetetaan vaatimukset tietoturvallisille käyttöympäristöille. Toisiolain 20 §:n 1 momentin mukaan Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä, jossa voidaan varmistaa Tietolupaviranomaisen tai muun toisiolaissa tarkoitetun viranomaisen toisiolain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely. 

Toisiolain 20 §:n mukaan henkilötiedot luovutetaan ensisijaisesti Tietolupaviranomaisen tietoturvalliseen käyttöympäristöön. Toisiolain 20 §:n 3 momentin mukaan, jos tietolupahakemuksessa pyydetään luovuttamaan tietoaineistoja käsiteltäviksi muussa kuin Tietolupaviranomaisen käyttöympäristössä, hakemuksessa on erikseen perusteltava syyt, joiden vuoksi tämä on välttämätöntä. Tietolupaviranomainen tai muu toisiolaissa tarkoitettu viranomainen saa tällöin luovuttaa tiedot hakijalle vain, jos käyttöympäristö täyttää toisiolain 20 §:n 2 momentissa ja 21–29 §:ssä säädetyt edellytykset.  

Toisiolain 21 §:n 1 momentin mukaan tietoturvallisen käyttöympäristön käyttäjät on tunnistettava luotettavasti sekä todennettava. Toisiolain 22 §:ssä säädetään tietoturvallisen käyttöympäristön käyttäjien käyttöoikeuksista ja 22 §:n 3 momentin mukaan Tietolupaviranomainen antaa määräykset niistä perusteista, joiden mukaisesti palveluntarjoajan on määriteltävä luvansaajan käyttöoikeudet asiakastietoihin. 

Toisiolain 23 §:n 1 momentin mukaan tietoturvallinen käyttöympäristö on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti noudattaen, mitä julkisuuslain 36 §:ssä ja mainitun pykälän 1 momentin nojalla annetussa valtioneuvoston asetuksessa säädetään. Tietoaineistojen ja tietojärjestelmien tietoturvallisuudesta valtionhallinnossa säädetään nykyään julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, jäljempänä tiedonhallintalaki ) 4 luvussa. Tiedonhallintalain 18 §:ssä säädetään turvallisuusluokiteltavista asiakirjoista valtionhallinnossa. Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä säädetään tarkemmin valtioneuvoston asetuksella asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019).  

Toisiolain 24 §:n 1 momentin mukaan tietoturvallisen käyttöympäristön on täytettävä tietoturvaa ja tiedonsiirron yhteentoimivuutta koskevat vaatimukset, jotka perustuvat viranomaisten antamiin määräyksiin, suosituksiin ja näiden osoittamiin, tietoturvalliseen käyttöympäristöön soveltuviin standardeihin. Toisiolain 24 §:n 2 momentin mukaan Tietolupaviranomainen antaa tarkemmat määräykset muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista. Vaatimuksissa on edellytettävä vastaavaa tietoturvan tasoa kuin Tietolupaviranomaisen omassa käyttöympäristössä vaaditaan.  

Tietoturvalliset käyttöympäristöt tulee auditoida toisiolain tietoturvaa koskevien vaatimusten mukaisesti tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) mukaisten arviointilaitosten toimesta. Toisiolain 25 §:n mukaan käyttöympäristön tietoturvallisuus on osoitettava 26 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla todistuksella. Tietolupaviranomainen voi antaa tarkempia määräyksiä tietoturvallisuuden osoittamisessa noudatettavista menettelyistä. 

Toisiolain 26 §:ssä asetetaan vaatimukset käyttöympäristöjen tietoturvallisuuden arvioinnille. Toisiolain 26 §:n 1 momentin mukaan tietoturvallisuuden arviointilaitos arvioi toisiolain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti palveluntarjoajan hakemuksesta, täyttääkö käyttöympäristö tietoturvallisuutta koskevat vaatimukset. Arviointiperusteina on käytettävä Tietolupaviranomaisen määräyksiä turvalliselle käyttöympäristölle asetettavista vaatimuksista. 

Toisiolain 30 §:ssä säädetään Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävästä valvoa ja edistää sitä, että tietoturvalliset käyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellytyksenä olevia tarkastuksia. 

Tietolupaviranomaisen määräyksessä asetetut vaatimukset tietoturvallisille käyttöympäristöille

Toisiolain 24 §:n 2 momentin mukaan Tietolupaviranomainen antaa tarkemmat määräykset muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista. Ensimmäinen tietoturvallisia käyttöympäristöjä koskeva määräys julkaistiin 5.10.2020. Tietolupaviranomainen julkaisi päivitetyn version määräyksestä 19.1.2022. https://findata.fi/palvelut-ja-ohjeet/maaraykset/ 

Tietolupaviranomaisen määräyksessä asetetaan tekniset vaatimukset tunnistautumiselle, käyttäjien ja käyttöoikeuksien hallinnalle, ympäristön suojaamiselle, lokitukselle, ympäristön hallinnalle ja valvonnalle, aineistojen poistolle käyttöympäristöstä sekä vaatimukset toimijan luotettavuudelle, tietosuojalle, toimitiloille ja henkilöstölle. 

Määräyksen vaatimusten toteutuminen osoitetaan toisiolain 26 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla todistuksella. Vaatimuksissa viitataan muun muassa tietoturvallisuuden auditointityökaluun viranomaisille (Katakri Katakri on viranomaisten auditointityökalu, jota viranomainen voi käyttää arvioidessaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä. Ks. . https://um.fi/katakri-tietoturvallisuuden-auditointityokalu-viranomaisille ), pilvipalveluiden turvallisuuden arviointikriteeristöön (PiTuKri Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Kriteeristö on tarkoitettu työkaluksi pilvipalvelujen turvallisuuden arviointiin. Kriteeristö on laadittu Suomen kansallisten tarpeiden näkökulmasta. Ks. . https://www.kyberturvallisuuskeskus.fi/fi/julkaisut/pilvipalveluiden-turvallisuuden-arviointikriteeristo-pitukri ) ja ISO/IEC 27001 –standardiin.  

2.4  Toisiokäytön maksut

Yksi toisiokäyttöön liittyvä keskeinen haaste on toisiokäytön maksut. Toisiolain on katsottu kasvattaneen toisiokäytön kustannuksia ja tietoluvista ja tietopyynnöistä perittäviä maksuja. Toisiokäytön maksuja on kritisoitu erityisesti siitä näkökulmasta, että ne ovat liian korkeita ilman ulkopuolista rahoitusta toteutettaville tutkijalähtöisille ja akateemisille tutkimuksille. Haasteita koetaan myös maksujen läpinäkyvyyden ja ennakoitavuuden kanssa. 

Tietolupaviranomaisen maksut perustuvat toisiolakiin, valtion maksuperustelulakiin (150/1992) ja sosiaali- ja terveysministeriön asetukseen Sosiaali- ja terveysalan tietolupaviranomaisen suoritteiden maksullisuudesta (1054/2024). Toisiolain 49 §:n mukaan Tietolupaviranomainen tai muu luvan myöntänyt viranomainen saa periä maksun tietoluvasta ja tietopyyntöä koskevasta päätöksestä. Maksun määräytymisen perusteista säädetään valtion maksuperustelaissa. 

Toisiolain 50 §:n mukaan Tietolupaviranomainen saa periä korvauksen toisiolaissa tarkoitetun tietoluvan ja tietopyyntöä koskevan päätöksen mukaisten tietojen poimimisesta, toimittamisesta ja yhdistelystä, esikäsittelystä, pseudonymisoinnista ja anonymisoinnista sekä tietoturvallisen käyttöympäristön käytöstä. 

Viranomaisten maksuja koskeva sääntely perustuu valtion maksuperustelakiin. Valtion maksuperustelain 6 §:n mukaan julkisoikeudellisesta suoritteesta valtiolle perittävän maksun suuruuden tulee vastata suoritteen tuottamisesta valtiolle aiheutuvien kokonaiskustannusten määrää ( omakustannusarvo ). Julkisoikeudellisella suoritteella tarkoitetaan valtion viranomaisen suoritetta, jonka kysyntä perustuu lakiin tai asetukseen ja jonka tuottamiseen viranomaisella on tosiasiallinen yksinoikeus.  

Tietolupaviranomaisen maksuista säädetään sosiaali- ja terveysministeriön asetuksessa Sosiaali- ja terveysalan tietolupaviranomaisen suoritteiden maksullisuudesta. Maksuasetuksen mukaan Tietolupaviranomainen perii suoritteen omakustannusarvon mukaisen maksun tietoluvan ja tietopyyntöä koskevan päätöksen mukaisten tietojen poimimisesta, toimittamisesta ja yhdistelystä, esikäsittelystä, pseudonymisoinnista ja anonymisoinnista. Tietolupaviranomainen perii keskimääräiseen omakustannusarvoon perustuvan kiinteän maksun tietoluvista, tietopyynnöistä ja niiden muutoksista sekä niihin liittyvistä opinnäytetöistä. Tietoturvallisen käyttöympäristön käytön Tietolupaviranomainen hinnoittelee liiketaloudellisin perustein. 

Valtion maksuperustelain 6 §:n mukaan maksu voidaan määrätä perittäväksi yleisesti suoritteen omakustannusarvoa alempana tai jättää kokonaan perimättä, jos siihen terveyden- ja sairaanhoitoon, muihin sosiaalisiin tarkoituksiin, oikeudenhoitoon, ympäristönsuojeluun, koulutustoimintaan tai yleiseen kulttuuritoimintaan liittyvistä tai näihin verrattavista syistä on perusteltua syytä. Erityisestä syystä maksu voidaan määrätä tietyltä ryhmältä perittäväksi suoritteen omakustannusarvoa alempana tai jättää kokonaan perimättä. Tietolupaviranomaisen maksuasetuksessa on säädetty alennettu maksu tutkijalähtöisille tutkimuksille, eli ilman ulkopuolista rahoitusta tai julkisen terveydenhuollon toimintayksikön, korkeakoulun, tutkimuslaitoksen tai muun julkisen tai yleishyödyllisen yhteisön rahoituksella toteutettaville tutkimuksille. 

Tietolupaviranomaisen luvansaajilta perimistä maksuista noin 27 % muodostuu Tietolupaviranomaisen päätösmaksuista ja aineiston käsittelyn kustannuksista ja noin 73 % muodostuu rekisterinpitäjien poimintakustannuksista. Rekisterinpitäjien keskimääräisissä poimintakustannuksissa on huomattavaa vaihtelua. https://findata.fi/hinnasto/keskimaaraisia-kustannusarvioita/ Rekisterinpitäjien korkeat poimintakustannukset ja niiden vaihtelu aiheuttavat haasteita tietoaineistojen hakijoille, joiden voi olla vaikeaa ennakoida tietoluvasta aiheutuvia kustannuksia. Poimintakustannuksiin vaikuttavat erityisesti rekisterinpitäjien erilaiset valmiudet ja resurssit suorittaa poimintoja. Joillakin hyvinvointialueilla tietoaineistojen käsittely on ulkoistettu kolmannelle osapuolelle, joka voi nostaa poimintojen toteuttamisen kustannuksia.  

Toisiokäytön maksuihin vaikuttaa myös yleisesti ottaen viranomaisten ja hyvinvointialueiden taloudellinen tilanne sekä tutkimus-, kehittämis- ja innovaatiotoimintaan kohdistuva rahoitus. Erityisesti hyvinvointialueilla niiden toiminta keskittyy pääasiassa lakisääteisten sosiaali- ja terveyspalvelujen toteuttamiseen. Hyvinvointialueilla ei välttämättä ole tarvittavaa rahoitusta ja resursseja kehittääkseen toimintaansa toisiokäytön osalta ja näin ollen tehostaa tietoaineistojen käsittelyä ja poimintoja toisiokäyttöä varten. 

Petteri Orpon hallitusohjelmassa on kiinnitetty huomiota tutkimus-, kehitys- ja innovaatiotoiminnan ratkaisevaan merkitykseen uuden tiedon ja osaamisen synnyttämisessä, tuottavuuden kasvussa, elinkeinoelämän uudistumisessa ja hyvinvoinnin luomisessa. Hallitus onkin sitoutunut kansalliseen tavoitteeseen nostaa Suomen tutkimus- ja kehittämismenot 4 prosenttiin bruttokansantuotteesta vuoteen 2030 mennessä. 

Toinen toisiokäytön maksuihin liittyvä haaste on toisiolain 50 §:ssä säädetty Tietolupaviranomaisen läpilaskutusperiaate. Toisiolain 50 §:n mukaan korvaukset, jotka koskevat tietolupaan ja tietopyyntöä koskevaan päätökseen perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. Rekisterinpitäjällä tai henkilötietojen käsittelijällä, joka luovuttaa Tietolupaviranomaiselle tietoja toisiolaissa tarkoitetun tietoluvan ja tietopyyntöä koskevan päätöksen perusteella, on oikeus saada Tietolupaviranomaiselta korvauksena näin määräytyvä osuutensa luvansaajan ja tietopyyntöä koskevan päätöksen saajan maksettaviksi määrätyistä kustannusten korvauksista. 

Rekisterinpitäjän on toimitettava Tietolupaviranomaiselle pyynnöstä arvio kustannuksista, joita tietojen käsittelystä korvaukseen oikeutetulle aiheutuu. Tietolupaviranomainen perii luvansaajalta ja tietopyyntöä koskevan päätöksen saajalta korvaukset ja tulouttaa ne tiedot toimittaneille rekisterinpitäjille. 

Valtiokonttori on ohjeistanut Tietolupaviranomaista turvaamaan rekisterinpitäjien saatavia ennakkolaskuttamalla luvansaajia, joka on lisännyt laskuttamisen hallinnollista taakkaa. Tietolupaviranomaisen tulee Valtiokonttorin ohjeistuksen mukaan turvata rekisterinpitäjien saatavat ennakkolaskuttamalla luvansaajia odotettavissa olevista kustannuksista. Tämän jälkeen Tietolupaviranomainen laskuttaa toteutuneet rekisterinpitäjien kustannukset luvansaajilta, palauttaa mahdollisesti käyttämättä jääneet ennakot luvansaajille sekä maksaa rekisterinpitäjille toteutuneet, luvansaajalta laskutetut kustannukset. Ennakkolaskutukseen liittyvä prosessi aiheuttaa Tietolupaviranomaisessa hallinnollista taakkaa ja edellyttää lisäresursseja. Läpilaskutusperiaate voi myös aiheuttaa luvansaajalle käsityksen, että tietoluvasta perittävät maksut koostuvat ainoastaan Tietolupaviranomaisen päätösmaksusta ja aineistojen käsittelystä, vaikka todellisuudessa rekisterinpitäjien poimintakustannukset muodostavat valtaosan luvansaajalta perittävästä maksusta. 

2.5  Tietoaineistojen ja tulosten anonymisointi

Toisiolaissa on säädetty tietoaineistojen anonymisoinnin sekä tietoluvan nojalla luovutetuista tiedoista johdettujen tulosten anonymisoinnin vastuista. Tietoaineistojen ja tuotettujen tulosten anonymisoinnin vastuiden osalta on nähty tarve selkeyttää toisiolain sääntelyä. 

Tietoaineistojen anonymisointi

Toisiolain 51 §:ssä säädetään tietoaineistojen käsittelystä ja luovutuksesta luvansaajalle tietoluvan myöntämisen jälkeen. Jos Tietolupaviranomainen on myöntänyt tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi. 

Jos taas yksittäinen rekisterinpitäjä on tehnyt omiin rekistereihinsä sisältyviä tietoja koskevan tietolupapäätöksen, se kokoaa rekistereistään tiedot, tarvittaessa yhdistelee, esikäsittelee ja pseudonymisoi ne sekä luovuttaa tietoaineiston luvansaajan käsiteltäväksi. Jos kuitenkin tietoaineisto luovutetaan luvansaajalle anonymisoituna, rekisterinpitäjän tulee toimittaa lupapäätös sekä luvan mukaiset tiedot Tietolupaviranomaiselle tarvittaessa yhdisteltäviksi ja esikäsiteltäviksi sekä anonymisoitavaksi. Toisiolain mukaan Tietolupaviranomainen vastaa aina käsiteltäviksi luovutettavien tietojen anonymisoinnista ja niiden luovuttamisesta luvansaajan käsiteltäväksi. 

Tietolupaviranomainen vastaa siis tietoaineistojen anonymisoinnista myös silloin, kun kyse on yksittäisen rekisterinpitäjän myöntämästä tietoluvasta ja sen tietoaineistojen anonymisoinnista. Toisiolain 8 §:n 3 momentin mukainen korkean tason asiantuntijaryhmä on antanut kuva- ja signaalitiedon anonymisointia toisiokäytössä koskevan linjauksen ks. https://stm.fi/-/kuva-ja-signaalitiedon-anonymisointia-toisiokaytossa-koskeva-linjaus-julkaistu , jonka mukaan anonymisoinnin suorittamisen ulkoistamisen osalta alkuperäiselle rekisterinpitäjälle Tietolupaviranomainen tekee tapauskohtaista harkintaa. Anonymisoinnin ulkoistamisesta alkuperäiselle rekisterinpitäjälle ei kuitenkaan ole säädetty toisiolain 51 §:n 2 momentissa.  

Toisiolain 51 §:n 2 momentin periaatetta siitä, että Tietolupaviranomainen vastaa aina käsiteltäviksi luovutettavien tietojen anonymisoinnista on ehdotettu muutettavaksi niin, että tietoaineistojen rekisterinpitäjillä olisi oikeus suorittaa omien tietoaineistojensa anonymisointia. Tietoaineistojen anonymisoinnin vastuu liittyy myös tietolupa- ja tietopyyntöpäätösten sekä tietoaineistojen käsittelyn nykyiseen osittain keskitettyyn mallin.  

Toinen tietoaineistojen anonymisointiin liittyvä aihe, johon on toivottu lisää joustavuutta, on toisiolain mukaisten anonymisoitujen tietoaineistojen käsittely tietoturvallisissa käyttöympäristöissä. Toisiolain 51 §:n mukaan tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi aina 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön, ellei siitä ole muodostettu aggregoitua tilastotietoa. Toisiolaki edellyttää, että tietoluvan nojalla luovutettavat pseudonymisoidut tai anonymisoidut tietoaineistot käsitellään tietoturvallisissa käyttöympäristöissä. Toisiolain mukaisista tiedoista muodostettuja anonymisoituja tietoja ei siis ole mahdollista käsitellä tietoturvallisten käyttöympäristöjen ulkopuolella. Tietoturvallisten käyttöympäristöjen ulkopuolelle voidaan luovuttaa ainoastaan aggregoitua tilastotietoa tietopyynnön perusteella.  

Tietosuoja-asetuksen johdanto-osan 26 kohdan mukaan tietosuojaperiaatteita ei pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tietosuoja-asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä. 

Toisiolain alkuperäisessä hallituksen esityksessä (HE 159/2017 vp) ehdotettiin, että toisiolain mukaisella tietopyynnöllä olisi ollut mahdollista saada anonymisoituja tietoja. Tämä olisi tarkoittanut, että anonymisoituja tietoja olisi voitu luovuttaa luvansaajalle ilman tietoturvallisen käyttöympäristön vaatimusta. Toisiolain tietopyynnön määritelmää kuitenkin muutettiin eduskuntakäsittelyn yhteydessä. Sosiaali- ja terveysvaliokunnan mietinnössä (StVM 37/2018 vp) todettiin, että valiokunnan kuulemisissa oli toistunut huoli sen varmistamisesta, että anonymisointia ei ole myöhemmin mahdollista purkaa kehittyneillä purkutekniikoilla. Anonyymeistäkin tietoaineistoista voi niitä yhdistelemällä ja kehittyvien purkutekniikoiden avulla olla mahdollista selvittää yksittäisten rekisteröityjen henkilöllisyys ja heitä koskevia tietoja, minkä vuoksi anonymisoidunkin tietoaineiston käsittelylle oli sosiaali- ja terveysvaliokunnan näkemyksen mukaan tarpeen asettaa tarvittavat rajoitukset. 

Eduskuntakäsittelyn myötä tietopyynnön määritelmää muutettiin niin, että sen perusteella oli mahdollista saada ainoastaan aggregoitua tilastotietoa. Sosiaali- ja terveysvaliokunnan mietinnössä ratkaisua perusteltiin sillä, että aggregoidussa tilastotiedossa ei ole riskiä yksittäisten henkilöiden tunnistamisesta ja muutos olisi tietoturvan näkökulmasta merkittävä parannus. 

Tulosten anonymisointi

Toisiolain 52 §:ssä säädetään tietoluvan nojalla luovutetuista tiedoista johdettujen tulosten julkaisemisesta. Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan julkaista, Tietolupaviranomainen vastaa julkaistavien tietojen anonymisoinnin varmistamisesta. Tietolupaviranomainen voi kuitenkin perustellusta syystä lupapäätöksessään myöntää luvansaajalle oikeuden toteuttaa itse julkaistavien edellä mainittujen tietojen anonymisoinnin ehdolla, että ne toimitetaan jälkikäteen Tietolupaviranomaisille. 

Tietolupaviranomainen tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle vapaasti julkaistaviksi tämän tekemän pyynnön ja pyyntöön liitetyn ehdotuksen perusteella riippumatta siitä, onko tietoluvan myöntänyt yksittäinen rekisterinpitäjä vai Tietolupaviranomainen. 

Toisiolain 52 § on aiheuttanut epäselvyyttä siitä, mitä tarkoitetaan tulosten julkaisemisella. Sanamuotoa on mahdollista tulkita useammalla eri tavalla. Lisäksi pykälässä kuvataan epäselvästi, milloin tuotettujen tulosten anonymisointi on luvansaajan vastuulla ja milloin Tietolupaviranomaisen vastuulla. Pykälässä tulee erottaa toisistaan toisaalta tietoturvallisesta käyttöympäristöstä ulos otettavien tulosten anonymisointi ja toisaalta tuotettujen tulosten anonymisoinnin varmistaminen. Nykyisessä sanamuodossa nämä kaksi vaihetta eivät tule selkeästi esille.  

Tulosten anonymisointia toteutetaan niin, että luvansaaja lähtökohtaisesti tuottaa anonymisoidut tulokset tietoturvallisesta käyttöympäristöstä ulos otettavista tiedoista. Tietolupaviranomaisen vastuulla on varmistaa tuotettujen tulosten anonymisointi. Tietolupaviranomaisella on käytettävissään rajalliset resurssit tuotettujen tulosten anonymisoinnin varmistamiseen. Tämän vuoksi Tietolupaviranomainen suorittaa anonymisoinnin varmistamista pistokoemaisilla tarkastuksilla. Tällaisia tarkastuksia ei kuitenkaan ole mainittu pykälän sanamuodossa. Tulosten anonymisoinnin helpottamiseksi Tietolupaviranomainen on tuottanut ohjeet anonyymien tulosten tuottamiseen. Ks. https://findata.fi/palvelut-ja-ohjeet/anonyymien-tulosten-tuottaminen/ Tulosten anonymisoinnin vastuiden epäselvyys aiheuttaa tarpeen selkeyttää toisiolain 52 §:n sääntelyä, jotta se kuvastaisi paremmin tuotettujen tulosten anonymisoinnin ja anonymisoinnin varmistamisen nykytilaa.  

2.6  Kliiniset tutkimukset

2.7  Tietosuoja-asetus ja tietosuojalaki

Toisiolain mukainen henkilötietojen käsittely kuuluu luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (jäljempänä tietosuoja-asetus ) ja tietosuojalain (1050/2018) soveltamisalan piiriin. Toisiolaissa annetaan yleistä tietosuoja-asetusta täydentävät säännökset henkilötietojen käsittelystä. Toisiolaki säädettiin ennen kansallisen tietosuojalain voimaantuloa, jolloin toisiolain säätämisen yhteydessä ei otettu huomioon tietosuojalain säännöksiä. Tietosuojalakia kuitenkin sovelletaan toisiolain alaiseen henkilötietojen käsittelyyn.  

Toisiolain henkilötietojen käsittelyä koskevissa säännöksissä käytetään tietosuoja-asetuksen sallimaa kansallista liikkumavaraa. Kansallista liikkumavaraa voidaan käyttää silloin, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan. Sääntelyliikkumavaraa sisältyy myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn osalta tietosuoja-asetuksen 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin sekä 4 kohtaan. Tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan kansallinen lainsäädäntö voi sisältää yksityiskohtaisempia säännöksiä asetuksen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset.  

Tietosuoja-asetuksen 9 artiklan 2 kohdan g ja j alakohtien mukaan erityisten henkilötietoryhmien käsittely tärkeää yleistä etua koskevasta syystä tai tieteellisiä tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden tai jäsenvaltion lainsäädännön nojalla edellyttää, että käsittely on oikeasuhtaista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja lainsäädännössä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. 

Tietosuoja-asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja tulee toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat muun muassa henkilötietojen pseudonymisointi sekä muut tekniset, menettelylliset ja organisatoriset toimenpiteet. 

Tietolupaviranomaisen ja muiden toisiolain nojalla tietoja käsittelevien organisaatioiden oikeus käsitellä henkilötietoja perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan ja 9 artiklan 2 kohdan g alakohtaan. Tiedonsaajien henkilötietojen käsittely perustuu käyttötarkoituksesta riippuen tietosuoja-asetuksen 6 artiklan 1 kohdan a, c, e tai f alakohtaan ja erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan g, h tai j alakohtaan. 

Toisiolakiin sisältyvät tietosuoja-asetusta ja tietosuojalakia täydentävät välttämättömät säännökset. Toisiolain säännökset toimivat tietosuoja-asetuksen edellyttäminä suojatoimina rekisteröityjen perusoikeuksien ja etujen suojaamiseksi. Hallituksen esityksessä toisiolain muuttamisesta (HE 96/2021 vp) on kuvattu toisiolain tietosuojaa ja tietoturvaa koskevia järjestelyitä, jotka suojaavat toisiolain käyttötarkoituksissa käsiteltäviä henkilötietoja. 

2.8  Eurooppalainen terveystietoalue (EHDS-asetus)

Euroopan parlamentin ja neuvoston asetus (EU) 2025/327 eurooppalaisesta terveystietoalueesta sekä direktiivin 2011/24/EU ja asetuksen (EU) 2024/2847 muuttamisesta (European Health Data Space, jäljempänä EHDS-asetus ) tuli voimaan 26.3.2025. Asetuksen yleinen soveltaminen alkaa 26.3.2027, jonka lisäksi asetus sisältää useita siirtymäaikoja.  

Asetuksen tarkoituksena on edistää sähköisten terveystietojen saatavuutta ensisijaista ja toissijaista käyttöä varten. Asetuksessa säädetään terveystietojen ensisijaista ja toissijaista käyttöä koskevista vaatimuksista ja hallinnosta sekä vaatimuksista potilaskertomusjärjestelmille ja hyvinvointisovelluksille. Asetuksella perustetaan rajat ylittävä infrastruktuuri sähköisten terveystietojen ensisijaista ja toissijaista käyttöä varten sekä ensiö- ja toisiokäyttöä koordinoiva eurooppalaisen terveystietoalueen neuvosto. 

EHDS-asetuksen 4 luku koskee terveystietojen toisiokäyttöä ja siinä säännellään mekanismeista, joilla terveystietoja on mahdollista jakaa EU:n jäsenmaissa yhteisten käytäntöjen avulla. Toisiokäyttöä koskeva 4 luku sisältää monia yhtäläisyyksiä Suomen kansalliseen toisiolakiin. Asetuksen mukaan jokaiseen EU:n jäsenmaahan perustetaan yksi tai useampi terveystietoihin pääsystä vastaava elin (tietolupaviranomainen), joka käsittelee tietolupia ja tietopyyntöjä. Lisäksi asetuksessa luodaan yhteinen hakemus- ja lupamenettely ja säännellään siitä, mitä tietokategorioita ja mihin käyttötarkoituksiin terveystietoja voidaan käyttää toissijaisessa käytössä. Asetus sisältää myös säännökset turvatuista käsittely-ympäristöistä, joissa olisi mahdollista käsitellä tietoluvan nojalla luovutettavia terveystietoja. Lisäksi säännellään terveystietojen laatu- ja hyödyllisyysvaatimuksista, kuten datan laatu- ja hyötymerkistä, aineistokuvauksista ja EU:n tietoaineistoluettelosta. 

EHDS-asetuksen toissijaisen käytön 4 lukua sovelletaan 26.3.2029. Luvun 55 artiklan 6 kohtaa, 70 artiklaa, 73 artiklan 5 kohtaa, 75 artiklan 1 ja 12 kohtaa, 77 artiklan 4 kohtaa ja 78 artiklan 6 kohtaa sovelletaan kuitenkin jo 26.3.2027. Luvun 51 artiklan 1 kohdan b, f, g, m ja p tietokategorioita sovelletaan 26.3.2031. Lisäksi kolmansien maiden liittymistä koskevaa 75 artiklan 5 kohtaa sovelletaan 26.3.2035. 

EHDS-asetus on suoraan sovellettavaa EU-oikeutta. Se tulee vaikuttamaan merkittävästi EU:n jäsenmaiden terveystietojen ensisijaisen ja toissijaisen käytön sääntelyyn. EHDS-asetus tulee vaikuttamaan toisiolakiin ja sen myötä tulee arvioida, mitä kansallista lainsäädäntöä on mahdollista pitää voimassa EU-sääntelyn lisäksi. Asetus sisältää pakollisten velvoitteiden lisäksi myös kansallista liikkumavaraa. Asetuksen 1 artiklan 7 kohdan mukaan asetuksen soveltaminen ei rajoita sellaisten unionin tai kansallisen lainsäädännön erityissäännösten soveltamista, joissa säädetään pääsystä sähköisiin terveystietoihin jatkokäsittelyä varten, jonka suorittavat jäsenvaltioiden julkisen sektorin elimet, unionin toimielimet, elimet ja laitokset taikka yksityiset tahot, joille on unionin tai kansallisen lainsäädännön nojalla annettu yleistä etua koskeva tehtävä tällaisen tehtävän suorittamiseksi. Lisäksi 1 artiklan 8 kohdan mukaan asetus ei vaikuta sellaiseen pääsyyn sähköisiin terveystietoihin niiden toissijaista käyttöä varten, josta on sovittu julkisten tai yksityisten tahojen välisillä sopimus- tai hallinnollisilla järjestelyillä. Kansallista liikkumavaraa sisältyy myös muun muassa 55 artiklan 1 kohtaan, jonka mukaan jäsenvaltiot voivat nimetä yhden tai useamman terveystietoihin pääsystä vastaavan elimen, joka on vastuussa 57, 58 ja 59 artiklassa säädettyjen tehtävien ja velvoitteiden suorittamisesta. 

EHDS-asetuksen rinnalla olisi siis mahdollista säilyttää kansallista sääntelyä terveystietojen toisiokäytöstä ottaen huomioon, että asetuksen velvoitteet terveystietoihin pääsystä vastaavan elimen tehtävistä ja muista toisiokäytön ehdoista toteutetaan. Sosiaali- ja terveysministeriössä tullaan arvioimaan tarkemmin, mitä muutoksia kansalliseen lainsäädäntöön asetuksen täytäntöönpano edellyttää. 

Sosiaali- ja terveysministeriö on asettanut EHDS-asetuksen kansallisen toimeenpanon tueksi asetuksen kansallisen koordinaation ohjausryhmän. Ohjausryhmällä on kaksi alaryhmää, terveystietojen ensisijaisen käytön ja toissijaisen käytön alaryhmät, jotka käsittelevät asetuksen ensisijaisen ja toissijaisen käytön artikloja ja arvioivat niiden vaikutuksia lainsäädäntöön, viranomaisiin ja muihin toimijoihin.  

Sosiaali- ja terveysministeriössä valmistellaan kahta lainsäädäntöhanketta, joissa toteutetaan EHDS-asetuksen toimeenpanosta aiheutuvat muutokset kansalliseen lainsäädäntöön. Hallituksen esitys EHDS-asetusta täydentävästä sääntelystä sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annettuun lakiin ja siihen liittyviin lakeihin on tarkoitus viedä eduskuntaan syksyllä 2025. Hallituksen esitys EHDS-asetusta täydentävästä sääntelystä sosiaali- ja terveystietojen toissijaisesta käytöstä annettuun lakiin ja siihen liittyviin lakeihin on tarkoitus viedä eduskuntaan syksyllä 2026.  

2.9  Datanhallinta-asetus

Euroopan parlamentin ja neuvoston asetus (EU) 2022/868 eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta (datanhallinta-asetus) tuli voimaan 23.6.2022 ja sen soveltaminen alkoi 24.9.2023. Datanhallinta-asetuksen tarkoituksena on parantaa datan jakamisen edellytyksiä sisämarkkinoilla luomalla yhdenmukaiset puitteet datan vaihtamiselle ja vahvistamalla tietyt datan hallintaa koskevat perusvaatimukset kiinnittäen erityistä huomiota jäsenvaltioiden välisen yhteistyön helpottamiseen. Asetus on suoraan sovellettavaa EU:n sääntelyä.  

Datanhallinta-asetus säätelee edellytyksistä, jotka koskevat julkisen sektorin hallussa olevien tiettyjen datan luokkien uudelleenkäyttöä unionissa. Asetus säätelee muun muassa julkisen sektorin hallussa olevan suojatun datan uudelleenkäyttöä, mukaan lukien henkilötietoja sisältävien tietoaineistojen uudelleenkäyttöä. Asetuksen II luvussa asetetaan menettelysäännöt julkisen sektorin hallussa olevan suojatun datan uudelleenkäytölle.  

Datanhallinta-asetuksen 1 artiklan 2 kohdan mukaan asetus ei rajoita sellaisten kansallisen lainsäädännön erityisten säännösten soveltamista, jotka koskevat tiettyihin datan luokkiin pääsyä tai niiden uudelleenkäyttöä. Lisäksi asetus ei rajoita kansallisen lainsäädännön mukaisten julkisen sektorin elinten sellaisten velvoitteiden soveltamista, jotka koskevat datan uudelleenkäytön sallimista, eikä muiden kuin henkilötietojen käsittelyyn liittyvien vaatimusten soveltamista. Jos alakohtaisessa kansallisessa lainsäädännössä vaaditaan julkisen sektorin elimiä noudattamaan erityisiä teknisiä, hallinnollisia tai organisatorisia lisävaatimuksia, sovelletaan myös kyseisen alakohtaisen kansallisen lainsäädännön kyseisiä säännöksiä. Kaikkien tällaisten lisävaatimusten on oltava syrjimättömiä, oikeasuhteisia ja puolueettomasti perusteltuja. 

Toisiolaki on kansallista lainsäädäntöä, joka sisältää erityisiä säännöksiä sosiaali- ja terveystietojen uudelleenkäytöstä ja julkisen sektorin elinten velvoitteista, jotka koskevat datan uudelleenkäyttöä. Datanhallinta-asetus ei rajoita tällaisten kansallisten erityissäännösten soveltamista. Siltä osin kuin toisiolaissa ei säädetä uudelleenkäyttöä koskevia erityissäännöksiä, julkisten sektorin elinten tulisi noudattaa datanhallinta-asetuksen vaatimuksia datan uudelleenkäytössä. Julkisen sektorin elinten tulee noudattaa muun muassa datanhallinta-asetuksen 6 artiklan maksusääntelyä. 

Datanhallinta-asetuksen 6 artiklan 2 kohdan mukaan julkisen sektorin elinten datan uudelleenkäytöstä perittävien maksujen on oltava avoimia, syrjimättömiä, oikeasuhteisia ja objektiivisesti perusteltuja, eikä niillä saa rajoittaa kilpailua. Artiklan 4 kohdan mukaan julkisen sektorin elimet voivat asettaa datan saataville alennettuun hintaan tai maksutta, erityisesti pk-yrityksille ja startup-yrityksille, kansalaisyhteiskunnan toimijoille ja oppilaitoksille. Tätä varten julkisen sektorin elimet voivat laatia luettelon uudelleenkäyttäjien ryhmistä, joiden saataville tietoja uudelleenkäytöstä annetaan alennettuun hintaan tai maksutta. 

Artiklan 5 kohdan mukaan maksujen on perustuttava kustannuksiin, joita aiheutuu datan uudelleenkäyttöä koskevien pyyntöjen käsittelystä ja rajoituttava välttämättömiin kustannuksiin, jotka muodostuvat datan jäljentämisestä, saataville asettamisesta ja jakelusta, oikeuksien selvittämisestä, anonymisoinnista tai muusta henkilötietojen ja kaupallisesti luottamuksellisten tietojen valmistelusta 5 artiklan 3 kohdan mukaisesti, turvallisen käsittely-ympäristön ylläpitämisestä, tämän luvun mukaisen uudelleenkäytön sallimista koskevan oikeuden hankkimisesta julkisen sektorin ulkopuolisilta kolmansilta osapuolilta ja uudelleenkäyttäjien tukemisesta näiden hakiessa suostumusta rekisteröidyiltä ja lupaa datan haltijoilta, joiden oikeuksiin ja etuihin tällainen uudelleenkäyttö voi vaikuttaa. Artiklan 6 kohdan mukaan jäsenvaltioiden on vahvistettava maksujen laskentaperusteet ja -menetelmä ja julkaistava ne. Julkisen sektorin elimen on julkaistava kuvaus kustannusten pääluokista ja kustannusten jakamisessa käytetyistä säännöistä. 

Datanhallinta-asetuksen 9 artiklassa säädetään uudelleenkäyttöpyyntöjen käsittelystä. Artiklan 1 kohdan mukaan toimivaltaisten julkisen sektorin elinten on annettava datan uudelleenkäyttöpyyntöjä koskeva päätös kahden kuukauden kuluessa pyynnön vastaanottamisesta, paitsi jos kansallisessa lainsäädännössä on vahvistettu lyhyempiä määräaikoja. Poikkeuksellisen laajojen ja monimutkaisten uudelleenkäyttöpyyntöjen tapauksessa kyseistä kahden kuukauden määräaikaa voidaan pidentää enintään 30 päivällä. Toisiolain 47 §:n mukaan tietolupahakemus tulee käsitellä viipymättä ja viimeistään 3 kuukauden kuluessa. Tietolupahakemuksen käsittelyaikaa voidaan jatkaa enintään 3 kuukaudella, jos kyseessä on poikkeuksellisen laaja ja usean eri rekisterinpitäjän tietojen käsittely taikka erityisen vaativa harkinta. Toisiolain 47 §:n mukaiset käsittelyajat ovat osittain ristiriidassa datanhallinta-asetuksen 9 artiklan kanssa. Datanhallinta-asetus ei kuitenkaan rajoita kansallisen erityislainsäädännön soveltamista sosiaali- ja terveystietojen käytöstä. On perusteltua, että toisiolain alaan kuuluvien arkaluonteisten henkilötietojen lupaharkinnassa voi tietyissä tilanteissa kulua kauemmin kuin datanhallinta-asetuksessa säädetty 2 kuukautta ja 30 päivää. Myös EHDS-asetuksessa on säädetty poikkeuksesta datanhallinta-asetuksessa säädettyihin käsittelyaikoihin. 

EHDS-asetuksessa on viittauksia datanhallinta-asetukseen. EHDS-asetuksen 1 artiklan 3 kohdan mukaan asetuksen soveltaminen ei rajoita unionin muiden säädösten, jotka koskevat sähköisten terveystietojen käyttöä, jakamista tai toissijaista käyttöä taikka sähköisten terveystietojen käsittelyyn liittyviä unionin vaatimuksia, muun muassa tietosuoja-asetuksen, ja datanhallinta-asetuksen soveltamista. EHDS-asetuksen 2 artiklan määritelmissä viitataan datanhallinta-asetuksen 2 artiklan 1 alakohdan määritelmiin datasta, pääsystä, data-altruismista, julkisen sektorin elimestä ja turvatusta käsittely-ympäristöstä.  

EHDS-asetusta sovellettaessa otetaan siis huomioon myös datanhallinta-asetuksen säännökset. EDHS-asetus on kuitenkin terveystietojen uudelleenkäyttöä koskevaa unionin erityislainsäädäntöä, jossa poiketaan osittain datanhallinta-asetuksen sääntelystä. Poikkeuksia datanhallinta-asetukseen on säädetty muun muassa EHDS-asetuksen 62 artiklan 2 kohdassa (julkisen sektorin elimen maksut) ja 68 artiklan 4 kohdassa (tietolupahakemuksen käsittelyaika). Kun EHDS-asetusta aletaan soveltaa, sen 62 artiklaa sovelletaan toisiokäytöstä perittäviin maksuihin datanhallinta-asetuksen 6 artiklan sijasta. 

4.1  Keskeiset ehdotukset

Esityksessä ehdotetaan useita keskeisiä muutoksia sosiaali- ja terveystietojen toissijaisesta käytöstä annettuun lakiin ja siihen liittyviin lakeihin. Muutosehdotukset liittyvät tietolupien, tietopyyntöjen ja tietoaineistojen käsittelyyn, kansainväliseen tutkimusyhteistyöhön, toisiokäytön maksuihin, tietoaineistojen ja tulosten anonymisointiin sekä toisiolain suhteeseen kliinisiin tutkimuksiin. 

Tietolupien ja tietopyyntöjen sekä tietoaineistojen käsittely

Toisiolakia ehdotetaan muutettavaksi niin, että toisiolain mukaisten tietolupien ja tietopyyntöjen käsittelyssä mahdollistettaisiin hybridimalli, jossa hakija voisi käyttää sekä keskitetyn mallin mukaista tietolupa- ja tietopyyntökäsittelyä että hajautetun mallin mukaista käsittelyä. Voimassa olevan lain mukaan Tietolupaviranomainen käsittelee kaikki tietolupahakemukset, jotka koskevat usean toisiolain 6 §:n organisaation tietoaineistoja ja kaikki toisiolain mukaiset tietopyynnöt. Muutosehdotusten myötä myös muut toisiolain 6 §:ssä tarkoitetut organisaatiot voisivat käsitellä usean organisaation tietoaineistoja koskevia tietolupia ja toisiolain mukaisia tietopyyntöjä. Muutosehdotusten tavoitteena on luoda joustavuutta nykyiseen osittain keskitettyyn tietolupien ja tietopyyntöjen käsittelymalliin ja mahdollistaa tietolupien ja tietopyyntöjen tehokas käsittely. 

Muutosehdotusten myötä tietolupahakemuksen tekijä voisi toimittaa hakemuksen, joka koskee useamman kuin yhden toisiolain 6 §:ssä tarkoitetun organisaation tietoaineistoja joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. Jos hakija päättäisi toimittaa hakemuksen Tietolupaviranomaiselle, hakemuksen käsittelyprosessi toteutettaisiin kuten nykyisessä mallissa, jolloin Tietolupaviranomainen käsittelisi hakemuksen ja myöntäisi tietoluvan usean organisaation tietoaineistoja koskien. Hakijalla olisi siis mahdollisuus edelleen käyttää keskitetyn mallin mukaista yhden luukun palvelua, jossa hakija saisi sekä tietoluvan että tietoaineistot keskitetysti. 

Jos taas hakija toimittaisi hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, tällöin hakemus käsiteltäisiin ja tietolupa myönnettäisiin erikseen jokaisen hakemuksen kohteena olevan organisaation toimesta. Hakija saisi vastauksena hakemukseensa usean tietoluvan, joista jokainen koskisi kyseisen organisaation omia tietoaineistoja.  

Yksittäisellä organisaatiolla olisi mahdollisuus luovuttaa lupatoimivalta omien tietojensa osalta Tietolupaviranomaiselle. Esimerkiksi tilanteessa, jossa organisaatiolla ei olisi resursseja käsitellä tietolupia, se voisi valtuuttaa Tietolupaviranomaisen käsittelemään tietoluvat sen omien tietoaineistojen osalta. 

Tietolupahakemusten osalta, jotka koskevat vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, säilyisi voimassa olevan lainsäädännön mukainen periaate, jonka mukaan tällainen hakemus toimitettaisiin kyseiselle organisaatiolle, joka vastaisi itse tietolupaa koskevasta päätöksestä. Poikkeuksena nykymalliin olisi kuitenkin, että yksittäiset organisaatiot voisivat käsitellä myös toisiolain mukaisia tietopyyntöjä, eli pyyntöjä saada aggregoituja tilastotietoja niiden tietoaineistoista. 

Hybridimalli koskisi myös toisiolain mukaisia tietopyyntöjä. Tietopyynnön tekijä voisi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:n mukaisen organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai erikseen jokaiselle tietopyynnön kohteena olevalle organisaatiolle. Jos tietopyynnön tekijä toimittaisi pyynnön jokaiselle pyynnön kohteena olevalle organisaatiolle erikseen, tällöin tietopyyntö käsiteltäisiin jokaisen pyynnön kohteena olevan organisaation toimesta. Yksittäinen organisaatio voisi luovuttaa toimivallan käsitellä tietopyyntöjä Tietolupaviranomaiselle. 

Toisiolakia ehdotetaan muutettavaksi myös tietoaineistojen kokoamistehtävien osalta. Voimassa olevan lain mukaan Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi tietoturvalliseen käyttöympäristöön, jos kyseessä on usean organisaation tietoaineistoja koskeva tietolupa. 

Toisiolakia ehdotetaan muutettavaksi hajautetun mallin mukaisesti niin, että Tietolupaviranomaisen lisäksi myös jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu viranomainen (Terveyden ja hyvinvoinnin laitos, Kansaneläkelaitos, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus tai jokin sosiaali- ja terveydenhuollon julkinen palvelunjärjestäjä) voisi toteuttaa tietoaineistojen kokoamistehtäviä. Jos kyseessä olisi usean organisaation tietoaineistoja koskeva tietolupahakemus tai tietopyyntö, jonka hakija on toimittanut organisaatioille, ne voisivat päättää, että joko Tietolupaviranomainen tai jokin edellä tarkoitettu viranomainen toteuttaisi tietoaineistojen kokoamistehtävät. Tietoaineistojen kokoaminen ja esikäsittely voitaisiin siis edelleen antaa Tietolupaviranomaisen tehtäväksi. Se viranomainen, jolle tehtävä annettaisiin, kokoaisi ja tarvittaessa yhdistelisi ja esikäsittelisi sekä pseudonymisoisi tai anonymisoisi tietoluvassa yksilöidyt tiedot sekä luovuttaisi tuottamansa tietoaineiston luvansaajan käsiteltäväksi tietoturvalliseen käyttöympäristöön. 

Sen lisäksi, että tietoaineistojen kokoamistehtäviä voitaisiin antaa Tietolupaviranomaisen lisäksi myös muille edellä tarkoitetuille viranomaisille, muutosehdotuksessa mahdollistettaisiin tietoaineistojen esikäsittely yksittäisten organisaatioiden toimesta hajautetusti. Sellaisessa tilanteessa, jossa ei olisi tarve yhdistää eri organisaatioiden tietoaineistoja toisiinsa, toisiolain 6 §:ssä tarkoitetut organisaatiot voisivat koota, esikäsitellä ja pseudonymisoida tai anonymisoida omat tietoaineistonsa ja luovuttaa esikäsitellyt tietoaineistot luvansaajan valitsemaan tietoturvalliseen käyttöympäristöön. Jokainen organisaatio esikäsittelisi ja toimittaisi omat tietoaineistonsa tietoturvalliseen käyttöympäristöön erikseen. Jos tietoaineistojen käsittely toteutettaisiin hajautetusti, mutta organisaatioilla olisi tarve pseudonymisoida tietoaineistoja yhtenäisellä tunnisteella, organisaatiot voisivat sopia käyttävänsä pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta. 

Kansainvälinen tutkimusyhteistyö

Kansainvälisen tutkimusyhteistyön edistämiseksi toisiolakiin ehdotetaan lisättäväksi uusi 51 c §, jossa säädettäisiin tietoaineistojen luovutuksesta luvansaajalle muuhun turvalliseen käyttöympäristöön kuin toisiolain 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Toisiolain 20 §:ssä tarkoitettuja tietoturvallisia käyttöympäristöjä ei tällä hetkellä ole Suomen ulkopuolella, mikä vaikeuttaa suomalaisten tutkijoiden osallistumista kansainväliseen tutkimusyhteistyöhön, jossa haluttaisiin yhdistää suomalaisia ja ulkomaisia tietoaineistoja toisiinsa. 

Uuden toisiolain 51 c §:n tarkoituksena olisi säätää poikkeuslupamenettelystä, jonka perusteella olisi mahdollista luovuttaa toisiolain mukaisia tietoaineistoja johonkin muuhun turvalliseen käyttöympäristöön kuin toisiolain 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Päätös siitä, voitaisiinko tietoaineistoja luovuttaa muuhun turvalliseen käyttöympäristöön, toteutettaisiin hankekohtaisen riskiarvioinnin perusteella. Kyseessä voisi olla esimerkiksi tutkimushanke, jossa tietoaineistoja käsiteltäisiin jonkin tunnetun ja luotettavan ulkomaisen yliopiston tai yliopistosairaalan turvallisessa käyttöympäristössä. 

Arvioinnin poikkeustietoluvan soveltamisesta tekisi Tietolupaviranomainen toisiolain 51 c §:ssä säädettyjen vaatimusten perusteella. Hakijan tulisi perustella syyt poikkeusluvalle ja toimittaa Tietolupaviranomaiselle tarvittava dokumentaatio, jotta se voisi arvioida 51 c §:n vaatimusten täyttymistä. Jotta poikkeustietolupa voitaisiin myöntää, kansalliseen turvallisuuteen ja muiden luovutettavaan tietoaineistoon kohdistuvien riskien tulisi olla vähäiset. Tietoaineiston käsittelyn tietosuojan ja tietoturvan tason tulisi olla riittävä. Lisäksi poikkeusluvan edellytyksenä olisi, että hankkeessa olisi mukana taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa. 

Toisiokäytön maksut

Toisiokäytön maksujen osalta ehdotetaan lisättäväksi toisiolain 49 §:ään, että tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulee olla läpinäkyviä. Muutosehdotuksen tarkoituksena olisi lisätä tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen ja niiden kustannusperusteiden läpinäkyvyyttä, jotta tietolupahakemuksen ja tietopyynnön tekijällä olisi selkeästi tiedossa, mihin tietolupa- ja tietopyyntökäsittelyyn liittyvät kustannukset perustuvat. 

Lisäksi toisiolain 50 §:stä ehdotetaan poistettavaksi Tietolupaviranomaisen läpilaskutusvelvoite. Läpilaskutusvelvoitteen poistaminen tarkoittaisi sitä, että silloin kun Tietolupaviranomainen olisi myöntänyt tietoluvan usean organisaation tietoaineistoja koskien, rekisterinpitäjien poimintakustannusten periminen tapahtuisi erikseen jokaisen rekisterinpitäjän toimesta ja poimintakustannukset eivät olisi osa Tietolupaviranomaisen perimää maksua. Tietolupaviranomainen perisi lupapäätöksistä ja tietoaineistojen käsittelystä perittävät maksut. Muutosehdotuksen tarkoituksena olisi vähentää ennakkolaskutukseen liittyvää hallinnollista taakkaa ja selkeyttää maksujen perusteita. 

Tietoaineistojen ja tulosten anonymisointi

Toisiolain 52 §:n tietoturvallisista käyttöympäristöistä ulos otettavien tulosten anonymisoinnin sääntelyä ehdotetaan selkeytettäväksi. Pykälän mukaan luvansaajan vastuulla olisi anonymisoida tietoturvallisista käyttöympäristöistä ulos otettavat tulokset. Tietolupaviranomainen voisi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle. Tietolupaviranomainen varmistaisi tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella. Tulosten anonymisoinnin yhdenmukaistamisen edistämiseksi Tietolupaviranomainen voisi antaa tarkempia määräyksiä tulosten anonymisoinnista. 

Anonymisoitujen tietoaineistojen käsittelyn helpottamiseksi toisiolakiin ehdotetaan lisättäväksi uusi 51 d §, jossa säädettäisiin anonymisoitujen tietoaineistojen luovuttamisesta. Pykälä mahdollistaisi anonymisoitujen tietoaineistojen luovuttamisen toisiolain 20 §:ssä tarkoitettujen tietoturvallisten käyttöympäristöjen ulkopuolelle, jos tietyt pykälässä säädetyt edellytykset täyttyvät. Luvan myöntämisen edellytyksenä olisi, että tietoaineistoon kohdistuvat riskit olisivat vähäiset ja että tietoaineisto olisi mahdollista anonymisoida luotettavalla tavalla. 

Toisiolain soveltuminen kliinisiin tutkimuksiin

Toisiolakiin ehdotetaan lisättäväksi uusi 2 §:n 4 momentti, jossa säädettäisiin siitä, että toisiolakia ei sovellettaisi kliinisissä tutkimuksissa tapahtuvaan henkilötietojen käsittelyyn. Lääketutkimuslakiin, lääkinnällisistä laitteista annettuun lakiin sekä tutkimuslakiin ehdotetaan lisättäväksi täsmentävät säännökset siitä, millä edellytyksillä tutkittavaa koskevat rekisteritiedot olisi mahdollista saada kliinisten tutkimusten käyttöön. 

Ehdotuksen tarkoituksena olisi selkiyttää toisiolain soveltamiseen nykyisin liittyvää epäselvyyttä siitä, miltä osin ja millä tavalla toisiolakia tulisi soveltaa kliinisissä tutkimuksissa tapahtuvaan tietojen käsittelyyn. Jatkossa tiedot olisi mahdollista saada kliinisten tutkimusten käyttöön suoraan edellä mainittujen kliinisiä tutkimuksia koskevien lakien nojalla ilman toisiolain mukaista menettelyä edellyttäen, että tutkittava tai hänen laillinen edustajansa on antanut tietoon perustuvan suostumuksen tutkimukseen osallistumiselle (osallistumissuostumus) taikka että laissa säädetyt edellytykset hätätilatutkimuksen suorittamiselle täyttyvät, jos kyse on hätätilatutkimuksesta. Lisäksi edellytettäisiin, että tietojen saaminen ja käsittely on välttämätöntä tutkimuksen suorittamiseksi. 

Vastaavan kaltaiset edellytykset potilasasiakirjoihin merkittyjen tietojen saamisesta kliinisten tutkimusten käyttöön sisältyvät jo nyt lääketutkimuslain 34 §:ään ja tutkimuslain 21 c §:ään, minkä ohella lääketutkimuslain 34 §:ssä säädetään myös THL:n Hilmo-, avoHilmo- ja tartuntatautirekisterin mikrobilöydöksiä koskevien tietojen saamisesta kliinisten lääketutkimusten käyttöön kyseisillä edellytyksillä. Ehdotettavilla täsmennyksillä ei siten lähtökohtaisesti säädettäisi uusia edellytyksiä tietojen saamiselle kliinisten tutkimusten käyttöön. Ehdotus kuitenkin laajentaisi lääketutkimuslain 34 §:n ja tutkimuslain 21 c §:n sääntelyn piiriin kuuluvien tietojen joukkoa voimassa olevaan lainsäädäntöön nähden. Ehdotuksen tarkoituksena on selkiyttää ja yhdenmukaistaa tietojen saamiseen liittyviä menettelyjä ja edellytyksiä eri tutkimustyyppien kohdalla. Täsmennykset mainittuihin kliinisiä tutkimuksia koskeviin lakeihin ovat tarpeellisia, jotta lakien soveltamiskäytännössä ei jatkossa ilmenisi epäselvyyttä siitä, millä edellytyksillä ja minkä lain nojalla tutkittavia koskevat rekisteritiedot on mahdollista saada kliinisten tutkimusten käyttöön. 

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

Vaihtoehto 1: Toisiolakia ei muuteta, vaan odotetaan EHDS-asetusta

Yksi vaihtoehto ehdotetuille muutoksille olisi tässä vaiheessa olla muuttamatta toisiolakia ja sen sijaan toteuttaa kansallisen lainsäädännön tarkastelu EU:n asetuksen eurooppalaisesta terveystietoalueesta toimeenpanon yhteydessä. EHDS-asetus tulee merkittävästi vaikuttamaan toisiokäyttöä koskevaan sääntelyyn ja sen toimeenpanon yhteydessä tulee arvioida, mitä kansallista lainsäädäntöä tullaan pitämään voimassa asetuksen säännösten lisäksi. Toisiolakia tullaan siis tarkastelemaan EHDS-asetuksen toimeenpanon yhteydessä. 

Asetuksen toimeenpanon valmistelu on aloitettu sosiaali- ja terveysministeriössä. EHDS-asetuksen toisiokäyttöä koskevaa 4 lukua tullaan soveltamaan 4 vuoden kuluttua asetuksen voimaantulosta, vuonna 2029. EHDS-asetuksen 4 luvun soveltamisala on osittain laajempi kuin toisiolain soveltamisala; Asetuksen 4 lukuun sisältyy tietokategorioita ja käyttötarkoituksia, jotka eivät tällä hetkellä sisälly Suomen toisiolakiin, kuten esimerkiksi biopankkitiedot ja tekoälyalgoritmien kouluttaminen. EHDS-asetus tulee siis joiltain osin laajentamaan toisiokäytön tietokategorioita ja käyttötarkoituksia. Toisaalta asetus koskee ainoastaan terveystietoja, kun taas toisiolakia sovelletaan myös sosiaalihuollon tietoihin. 

EHDS-asetuksessa ei ole mahdollistettu hajautettua mallia, vaan sen mukaan kansallinen terveystietoihin pääsystä vastaava elin (tietolupaviranomainen) käsittelee kaikki kyseisen maan terveystietoja koskevat tietolupahakemukset ja tietopyynnöt. Jäsenmaiden on mahdollista kuitenkin nimetä useita tietolupaviranomaisia, joista yksi toimisi koordinoivana tahona. Asetuksen mukaan on myös mahdollista nimetä luotettuja terveystietojen haltijoita, joiden olisi mahdollista käsitellä niiden tietoja koskevia tietolupahakemuksia. Terveystietojen haltijat eivät kuitenkaan voisi suoraan myöntää tietolupaa omien tietojensa osalta, vaan lopullisen päätöksen tekisi tietolupaviranomainen terveystietojen haltijan tekemän ehdotuksen pohjalta. EHDS-asetuksen 1 artiklassa säädetty kansallinen liikkumavara mahdollistaa kansallisen lainsäädännön erityissäännösten soveltamisen toisiokäytössä. Kansallisesti olisi siis mahdollista pitää voimassa lainsäädäntöä, joka mahdollistaa myös muita malleja saada pääsy terveystietoihin kuin EHDS-asetuksessa säädetty malli. 

EHDS-asetuksen 62 artiklassa säädetään toisiokäytöstä perittävistä maksuista. Joiltain osin asetuksen sääntely maksuista on kattavampaa kuin voimassa olevan toisiolain sääntely. Asetuksen maksuartikla koskee myös terveystietojen haltijoita. EHDS-asetuksen myötä toisiokäytön maksuja koskeva sääntely tulee yhtenäistymään EU-jäsenmaissa, mikä osaltaan voi myös edesauttaa eurooppalaista tutkimusyhteistyötä. 

EHDS-asetuksessa säädetään turvatuista käsittely-ympäristöistä. Asetus tulee luomaan yhteiset eurooppalaiset vaatimukset käyttöympäristöille, joita tullaan perustamaan kaikkiin jäsenmaihin. Tämä tulee merkittävästi helpottamaan eurooppalaista tutkimusyhteistyötä. Käyttöympäristöjen tarkemmat vaatimukset tullaan asettamaan komission täytäntöönpanosäädöksessä, joka tulee laatia viimeistään vuonna 2027. Toisiolain tietoturvallisten käyttöympäristöjen vaatimukset tulee yhdenmukaistaa EHDS-asetuksen ja komission täytäntöönpanosäädöksen vaatimusten kanssa, jotta tutkimusyhteistyö EU-maiden välillä olisi sujuvaa. 

Ennen EHDS-asetuksen soveltamista kansainvälistä tutkimusyhteistä olisi mahdollista toteuttaa niin, että ulkomaisille tutkijoille annettaisiin pääsy toisiolain alaisiin tietoihin tietoturvallisissa käyttöympäristöissä etäyhteyden avulla. Suomessa toisiolaissa omaksuttu ratkaisu on osittain jopa sallivampi kuin muissa Pohjoismaissa. Esimerkiksi Tanskassa on linjattu, että tanskalaisten terveystietoja ei pääsääntöisesti luovuteta maan ulkopuolelle. Tietoaineistojen käsittely suomalaisissa tietoturvallisissa käyttöympäristöissä voisi myös kannustaa ulkomaisia tutkimusryhmiä tuomaan investointeja ja tutkimushankkeita Suomeen. 

Toisiolaki ei estä sitä, että jokin ulkomainen toimija voisi auditoida käyttöympäristönsä toisiolain ja Tietolupaviranomaisen määräyksen mukaisesti. On oletettavaa, että kiinnostus tietoturvallisten käyttöympäristöjen vaatimuksia kohtaan kasvaa, kun EHDS-asetuksen soveltaminen lähestyy. 

Vaihtoehto 2: Toisiolakiin toteutetaan muita muutoksia.

Vaihtoehto ehdotetuille muutoksille olisi toteuttaa joitain muita muutoksia toisiolakiin kuin tässä esityksessä on ehdotettu. Toisiolakiin on ehdotettuja erilaisia muutoksia siitä lähtien, kun nykyinen laki tuli voimaan. Myös alkuperäisessä toisiolain hallituksen esityksessä oli arvioitu erilaisia toteuttamisvaihtoehtoja. 

Esityksessä ehdotettavat muutokset perustuvat toisiolaista esitettyihin muutosehdotuksiin, joita ovat tuoneet esille erilaiset sidosryhmät. Toisiolain haasteita on käsitelty keskusteluissa sidosryhmien kanssa syksyllä 2023 ja toisiolain sidosryhmätilaisuudessa 7.6.2024. Keskustelujen perusteella tunnistettiin keskeisimmät toisiolain ja toisiokäytön haasteet. Keskeisiä haasteita ja niiden ratkaisuehdotuksia käsiteltiin toisiolain korjaamisen työryhmässä syksyllä 2024 ja ratkaisuehdotukset esitykseen valmisteltiin keskustelujen perusteella. 

Esityksessä ei ole tarkoitus toteuttaa toisiolain kokonaisuudistusta, vaan toisiolakia tullaan tarkastelemaan uudestaan EHDS-asetuksen toimeenpanon yhteydessä. EHDS-asetuksen toimeenpanon yhteydessä on mahdollista tarkastella myös sellaisten muutosehdotusten toteuttamista toisiolakiin, jotka eivät sisälly tähän esitykseen. Tässä esityksessä tarkoituksena on toteuttaa ne välttämättömät muutokset, jotka sujuvoittaisivat ja helpottaisivat tutkimusta ja muuta toisiokäyttöä ennen EHDS-asetuksen soveltamista. 

Sosiaali- ja terveysministeriössä on käynnissä lisäksi tutkimuslainsäädännön selkiyttämisen hanke. Lainsäädäntöhanke tulee osaltaan selkeyttämään tutkimuslainsäädännön johdonmukaisuutta ja sen yhteensovittamista toisiolain kanssa. 

Kansainvälisen tutkimusyhteistyön osalta olisi myös mahdollista esittää muunlaisia muutosehdotuksia. Yhtenä vaihtoehtona ehdotetulle poikkeustietolupamenettelylle olisi ehdottaa toisiolain 20 §:n mukaisten tietoturvallisten käyttöympäristöjen vaatimusten muuttamista niin, että vaatimukset edistäisivät kansainvälisen tutkimusyhteistyön toteutumista. Tietoturvallisten käyttöympäristöjen vaatimusten muuttamista arvioitiin hallituksen esityksen luonnoksessa, jota valmisteltiin vuonna 2021 (STM154:00/2021). 

Toisiolaissa säädetään tietoturvallisille käyttöympäristöille asetettavista vaatimuksista ainoastaan yleisellä tasolla ja tarkemmat määräykset vaatimuksista antaa Tietolupaviranomainen toisiolain 24 §:n mukaisesti. Vuoden 2021 hallituksen esitysluonnoksessa ehdotettiin, että Tietolupaviranomaisen määräystä tietoturvallisten käyttöympäristöjen vaatimuksista muutettaisiin niin, että vaatimuksia olisi mahdollista täyttää myös kansainvälisiä standardeja ja menettelyjä noudattamalla. Lisäksi ehdotettiin, että tietoturvallisten käyttöympäristöjen vaatimustenmukaisuuden arviointeja voisivat toteuttaa tietoturvallisuuden arviointilaitosten lisäksi EU-asetuksen mukaiset akkreditoidut sertifiointielimet. Tarkoituksena muutosehdotuksissa oli helpottaa ulkomaisten käyttöympäristöjen hyväksymistä toisiolain mukaisiksi käyttöympäristöiksi. 

Lausuntopalautteen perusteella esitysluonnoksen valmistelua päätettiin olla jatkamatta. Lausunnoissa katsottiin epätodennäköiseksi, että toisiolain ja Tietolupaviranomaisen määräyksen muuttaminen niin, että käyttöympäristöjen vaatimuksia olisi mahdollista täyttää kansainvälisillä standardeilla tai menettelyillä olisi omiaan lisäämään ulkomaisten toimijoiden halukkuutta ottaa Suomen kansallisen lainsäädännön vaatimukset huomioon ja auditoida käyttöympäristönsä toisiolain mukaisesti. Näin ollen ehdotus ei tulisi todennäköisesti muuttamaan nykytilaa, jossa ulkomaiset toimijat eivät ole auditoineet käyttöympäristöjä toisiolain vaatimusten mukaisesti. Lisäksi lausunnoissa kiinnitettiin erityistä huomiota siihen, että Valviralla ei olisi käytännöllisesti katsoen mahdollisuutta valvoa ulkomaisten käyttöympäristöjen vaatimustenmukaisuutta. Valvontatehtävän siirtyminen Suomen ulkopuolelle ja muulle kuin viranomaistoimijalle nähtiin ongelmallisena. 

Sitä, että toisiolain 20 §:n mukaisten tietoturvallisten käyttöympäristöjen vaatimuksia ei muutettaisi tässä vaiheessa, perustelee myös se, että EHDS-asetuksen myötä käyttöympäristöille ollaan kehittämässä yhteiset eurooppalaiset vaatimukset vuonna 2027. Toisiolain mukaisten käyttöympäristöjen vaatimukset tulee yhteensovittaa EHDS-asetuksen mukaisten vaatimusten kanssa. Jos vaatimuksia muutettaisiin ennen EHDS-asetuksen soveltamista, käyttöympäristöjen palveluntarjoajien tulisi toteuttaa tarvittavat muutokset käyttöympäristöjen vaatimuksiin kahteen kertaan, mikä tarkoittaisi palveluntarjoajille lisäkustannuksia. 

Vaihtoehto 3: Kumotaan toisiolaki.

Yhtenä vaihtoehtona ehdotetuille muutoksille olisi ehdottaa toisiolain kumoamista. Toisiolain kumoamista ovat ehdottaneet jotkin tahot toisiolain voimassaolon aikana. 

Toisiolain kumoaminen tarkoittaisi sitä, että toisiolaissa säädetyt käyttötarkoitukset ja prosessit tietolupien ja tietopyyntöjen käsittelylle eivät olisi enää voimassa. Tällöin tulisi käyttää muuta voimassa olevaa lainsäädäntöä, jotta pääsy tietoon olisi mahdollista. Toisiolain kumoaminen tulisi todennäköisesti vaikeuttamaan toisiokäyttöä, sillä toisiolain voimassaolon aikana kehitetyt prosessit hakemusten ja tietojen käsittelylle eivät olisi enää käytettävissä. 

Tietojen luovuttamisen perusteena olisi mahdollista käyttää esimerkiksi julkisuuslain 28 §:ää, jonka mukaan viranomainen voi antaa yksittäistapauksessa luvan tietojen saamiseen salassa pidettävästä asiakirjastaan tieteellistä tutkimusta, tilastointia taikka viranomaisen suunnittelu- tai selvitystyötä varten, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Julkisuuslain mukaista lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Jos asiakirjaan sisältyvät tiedot on annettu viranomaiselle sen suostumuksella, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, lupaa ei saa antaa vastoin suostumuksessa tiedon käytölle ja luovutukselle asetettuja ehtoja. Jos lupa tarvitaan usean saman ministeriön alaisen viranomaisen asiakirjasta, luvasta päättää ministeriö asianomaisia viranomaisia tarvittaessa kuultuaan. 

Julkisuuslaki ei siis mahdollista kaikkia niitä käyttötarkoituksia, joista toisiolaissa on tällä hetkellä säädetty. Toisiolain kumoaminen tarkoittaisi sitä, että jokainen viranomainen tekisi erikseen päätöksen siitä, luovuttaako se salassa pidettäviä tietoja niitä pyytävälle. Jos kyseessä olisi usean saman ministeriön alaisen viranomaisen asiakirjasta, salassa pidettävien tietojen luovuttamisesta päättäisi ministeriö. 

Toisiolain voimaantulon yhteydessä kumottiin laki terveydenhuollon valtakunnallisista henkilörekistereistä (556/1989) ja kumottiin tai muutettiin muun lainsäädännön säännöksiä, jotka koskivat tietojen luovuttamista tutkimukseen tai muihin käyttötarkoituksiin. Toisiolain tarkoituksena oli yhtenäistää ja selkeyttää erilaisia lupakäytäntöjä, joita oli syntynyt hajanaisen lainsäädännön myötä. Toisiolain kumoaminen voisi tarkoittaa palaamista aiempaan hajanaiseen ja epäyhtenäiseen lupakäytäntöön. 

EHDS-asetus tulee suoraan sovellettavana EU-asetuksena säätämään terveystietojen toisiokäytöstä ja kansallinen lainsäädäntö tulee yhteensovittaa niin, että se ei ole asetuksen kanssa ristiriidassa. EHDS-asetuksen 1 artiklan 7 kohdan mukaan asetuksen soveltaminen ei kuitenkaan rajoita sellaisten unionin tai kansallisen lainsäädännön erityissäännösten soveltamista, joissa säädetään pääsystä sähköisiin terveystietoihin jatkokäsittelyä varten, jonka suorittavat jäsenvaltioiden julkisen sektorin elimet, unionin toimielimet, elimet ja laitokset taikka yksityiset tahot, joille on unionin tai kansallisen lainsäädännön nojalla annettu yleistä etua koskeva tehtävä tällaisen tehtävän suorittamiseksi. Lisäksi 1 artiklan 8 kohdan mukaan asetus ei vaikuta sellaiseen pääsyyn sähköisiin terveystietoihin niiden toissijaista käyttöä varten, josta on sovittu julkisten tai yksityisten tahojen välisillä sopimus- tai hallinnollisilla järjestelyillä. 

Suomessa olisi siis mahdollista pitää voimassa sellaista lainsäädäntöä, jossa mahdollistetaan pääsy terveystietoihin jatkokäsittelyä varten yleistä etua koskevan tehtävän suorittamiseksi. Tällainen lainsäädäntö voisi mahdollistaa sen, että otettaisiin huomioon kansalliset tarpeet yleistä etua koskevan tehtävän suorittamiseen liittyvissä käsittelytoimissa. 

EHDS-asetuksen mukainen sääntely terveystietojen toisiokäytölle tulee sovellettavaksi vuonna 2029 ja mahdollinen toisiolain kumoaminen tulisi olemaan vain väliaikainen vaihe ennen asetuksen säännösten soveltamista. EHDS-asetuksen toisiokäyttöä koskeva sääntely muistuttaa olennaisilta osin toisiolakia. Tästä syystä toisiolain kumoaminen ei tulisi vaikuttamaan pitkällä aikavälillä terveystietojen toisiokäytön sääntelyyn. 

5.2  Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

Ulkomaista lainsäädäntöä ja ulkomailla käytettyjä keinoja arvioitiin toisiolain hallituksen esityksen (HE 159/2017 vp) yhteydessä sivuilla 32–58 ja hallituksen esityksen toisiolain 60 §:n muuttamisesta (HE 96/2021 vp) yhteydessä sivulla 21. 

Suomen itsenäisyyden juhlarahasto Sitran koordinoima TEHDAS (Towards the European Health Data Space) Joint Action –hanke on selvittänyt raportissaan terveystietojen toisiokäytön sääntelyä Euroopassa. TEHDAS Joint Action . Report on secondary use of health data through European case studies 

Raportissa todetaan, että Euroopan hallinto- ja terveystietojärjestelmissä on eroja ja EU:n jäsenvaltioissa on kansallisia terveystiedon hallintamalleja keskitetyistä malleista hajautettuihin ja federoituihin järjestelmiin. Raportin mukaan yhteisesti sovitun toissijaisen käytön määritelmän puute muodostaa esteen rajat ylittävälle datan jakamiselle. Toissijaisella käytöllä ei ole oikeusperustaa kaikissa EU-maissa, eikä ole myöskään olemassa selvää rajanvetoa ensisijaisen ja toissijaisen käytön välillä. Lisäksi eri maiden väliset erot tietosuoja-asetuksen tulkinnassa ja kansallisten lisäsääntöjen olemassaolo voivat hankaloittaa terveystietojen toissijaista käyttöä yli jäsenvaltioiden rajojen. Päällekkäisten lakien olemassaolo EU:ssa ja kansallisella tasolla on johtanut eroihin datan jakamisen tulkinnassa ja soveltamisessa eri puolilla Eurooppaa. 

Kansallisten tietosuojaviranomaisten ja Euroopan tietosuojaneuvosto EDPB:n ohjeistusta ja tulkintakäytäntöä tietosuoja-asetuksesta kertyy koko ajan lisää. Tällä hetkellä eri maissa sovelletaan erilaisia sääntöjä, jotka voivat viivästyttää ja vaikeuttaa rajat ylittävää tutkimusta ja tiedon jakamista, koska suostumus- ja terveystietojen jakamista koskevat säännöt ovat epäselviä. Myös erilaisten yhteentoimivuusstandardien käyttö Euroopassa tekee tietojen ja tutkimustulosten vertailusta ja jakamisesta haastavaa. 

Euroopan komissio on julkaissut muistion EU:n jäsenvaltioiden terveystietoja koskevien säännösten arvioinnista tietosuoja-asetuksen valossa. Assessment of the EU Member States’ rules on health data in the light of GDPR, ks. . https://ec.europa.eu/newsroom/sante/items/702120/en Muistion mukaan kaikissa jäsenvaltioissa on olemassa mekanismi, jonka avulla tutkijat voivat käsitellä terveystietoja, jotka on kerätty alun perin toisessa tarkoituksessa. Toisiokäytön hyväksynnässä on yleensä mukana jonkinlainen tutkimuseettinen komitea tai joissain tapauksissa hyväksynnän tietojen käsittelylle antaa keskitetty viranomainen. Usein kansallinen tietosuojaviranomainen on mukana hyväksymisprosessissa.  

Ranska

Ranskassa tuli voimaan heinäkuussa 2019 terveydenhuoltojärjestelmän organisaatiosta ja muutoksesta annettu laki ja sen myötä perustettiin Ranskan Health Data Hub. Health Data Hubin tavoitteena on mahdollistaa pääsy pseudonymisoituihin terveystietoihin ja niiden analysointi tietoturvallisessa käyttöympäristössä tietosuoja ja kansalaisten oikeudet huomioiden. 

Lain mukaan terveystietojen käsittelyn oikeusperuste on yleinen etu ja käsittely ei edellytä rekisteröidyn suostumusta. Eettinen arviointilautakunta arvioi, onko hanke yleisen edun mukainen. Myös yksityiset yhteisöt ja yritykset voivat pyytää pääsyä tietoihin yleisen edun perusteella. Laki ei salli pääsyä tunnisteellisiin henkilötietoihin, vaan tiedot tulee pseudonymisoida. TEHDAS: Recommendations for European countries when planning national legislation s. 28-29. 

Terveystietojen käyttö edellyttää tietolupahakemuksen lähettämistä Health Data Hubille. Health Data Hub ei kuitenkaan myönnä tietolupia, vaan hakemuksen käsittelevät ja hyväksyvät riippumaton eettinen arviointilautakunta ja Ranskan tietosuojaviranomainen (CNIL).  

Health Data Hubin teknisellä alustalla on korkea tietoturvan ja tietosuojan taso, joka täyttää tietosuoja-asetuksen, valtion tietojärjestelmien turvallisuuspolitiikan ja kansallisen terveystietojärjestelmän viitetietojärjestelmän vaatimukset. Teknisellä alustalla käsiteltävien tietojen tulee sijaita EU:ssa. Tietoja säilytetään tällä hetkellä Alankomaissa sijaitsevissa Microsoftin datakeskuksissa, jotka on sertifioitu terveystietojen ylläpitäjiksi. 

Tiedot on tallennettu salattuun muotoon käyttäen suojattua laitteistoturvamoduulia, jolla on kansainvälisesti tunnustetut sertifioinnit. Heath Data Hub ei saa lain mukaan antaa kolmannelle osapuolelle alustalla käytettävää salausavainta. Pääsyä alustalle hallitaan vahvalla tunnistuksella. Tiedon haltija pseudonymisoi aineiston ennen kuin se toimitetaan Health Data Hubin tietoturvalliseen käyttöympäristöön tai muuhun tietoturvalliseen käyttöympäristöön. Käyttäjät saavat pääsyn hankkeen kannalta välttämättömiin tietoihin käyttöympäristössä, johon ei ole internetyhteyttä. Ympäristöstä voidaan tuoda ulos vain anonymisoituja tuloksia Health Data Hubin ylläpitäjän luvalla. 

Tanska

Tanskassa ei ole voimassa erillistä lakia sosiaali- ja terveystietojen toisiokäytöstä. Tärkeimmät toisiokäyttöön liittyvät kansalliset lait ovat laki terveystutkimushankkeen tutkimuseettisestä arvioinnista, terveyslaki ja tietosuojalaki. Terveystietojen toissijaista käyttöä rahoittavat Tanskassa valtio, rekisteripohjaisen tutkimuksen koordinoiva elin, yksityisen sektorin toimijat ja eri säätiöt, kuten Novo Nordisk ja Tanskan riippumaton tutkimusrahasto. TEHDAS: Mapping health data management systems through country visits: development, needs and expectations of the EHDS, s. 22-26. 

Tanskan sisä- ja terveysministeriön alainen terveystietoviranomainen perustettiin marraskuussa 2015. Sen muodostavat johto, sihteeristö ja seitsemän osastoa, joissa työskentelee noin 300 työntekijää. Viranomaisen tehtävänä on vastata terveystietojen hallinnasta ja hyödyntämisestä. Terveystietoviranomainen tarjoaa pääsyn terveystietoihin ja pääsyä tukeviin digitaalisiin ratkaisuihin. 

Tanskan terveydenhuoltojärjestelmän tiedot ovat digitaalisessa muodossa ja terveystietoja on mahdollista analysoida tietoturvallisessa käyttöympäristössä, jota rekisterinpitäjät ylläpitävät. Terveystietoihin pääsy edellyttää tietolupahakemusta ja eettistä arviointia. Hakemus tehdään tietoaineistojen rekisterinpitäjille. Rekisterinpitäjät antavat pääsyn pyydettyyn tietoaineistoon tietoturvallisessa käyttöympäristössä, jossa tietoja voidaan analysoida. Pääsy on kuitenkin sallittua vain, jos tutkijalla on sidonnaisuuksia hyväksyttyyn tanskalaiseen tutkimuslaitokseen. Kustannukset tietojen saamiseen vaihtelevat rekisterinpitäjittäin. Yleisesti tiedon tulee olla pseudonymisoitua, jotta siihen voidaan saada pääsy. Tutkimuslaitokselta voidaan evätä pääsy tietoihin tietyksi ajanjaksoksi, jos se ei noudata tietosuojaa koskevia vaatimuksia. 

Tanskalaisia terveystietoja ei lähtökohtaisesti luovuteta ulkomaille. Erityistapauksissa tietojen luovutukseen ulkomaille voidaan tehdä poikkeuksia. 

Ruotsi

Ruotsissa ei ole voimassa erillistä lakia sosiaali- ja terveystietojen toisiokäytöstä. Tärkeimmät toisiokäyttöön liittyvät kansalliset lait ovat laki virallisista tilastoista, laki eettisestä arvioinnista, tietosuojalaki, potilastietolaki, laki terveydenhuollon valtakunnallisista rekistereistä ja biopankkilaki. Terveystietojen saaminen edellyttää eettisen arviointiviranomaisen hyväksyntää. Ruotsin biotieteiden innovaatio- ja tutkimusstrategia painottaa datan toissijaista käyttöä ja tiedon potentiaalin hyödyntämistä. TEHDAS: Mapping health data management systems through country visits: development, needs and expectations of the EHDS, s. 58-62. 

Terveys-, biopankki- ja genomitietoa säilytetään hajautetusti omilla tahoillaan. Seurannan ja toissijaisen käytön aineistot keräävät kansallisiin rekistereihin eri tiedonhaltijat. Rekisterinhyödyntäjätyökalu tarjoaa metatietoja kansallisista rekistereistä, biopankkien näytekokoelmista ja muista merkittävistä tutkimustietokannoista. Käytännössä sekä kansalliset että kansainväliset tutkijat voivat saada aggregoituja tietoja käyttöönsä. Yksilötasoiseen terveystietoon käsiksi pääsy vaatii eettisen arviointiviranomaisen hyväksynnän. 

Pääsääntöisesti käytössä oleva tietoturvallinen käyttöympäristö on Ruotsin tilastoviraston omistama MONA (Microdata Online Access). Tutkija voi ladata ympäristöstä käyttöönsä saamiaan tietoja jatkoanalyysiä varten. 

Norja

Norjassa ei ole voimassa erillistä lakia sosiaali- ja terveystietojen toisiokäytöstä. Norjaan on perustettu Helsedataservice, joka toimii kansallisena tietolupaviranomaisena. Helsedataservice palvelee sekä terveystiedon käyttäjiä että terveysrekistereitä. Tavoitteena on sujuvoittaa tutkijoiden tiedonsaantia terveyteen liittyvissä hankkeissa. Helsedataservicessä on käytössä yhtenäinen hakuprosessi tietojen saamiselle eri terveysviranomaisilta. Sen alustalla on toiminto, joka antaa tutkijoille mahdollisuuden etsiä ja tutkia muuttujia useista terveystietolähteistä, mikä mahdollistaa tehokkaamman tutkimuksen suunnittelun. Secondary use of health data in Nordic co-operation s. 13-14. 

Norjan sosiaali- ja terveysministeriö toteutti 1.1.2024 merkittävän organisaatiomuutoksen terveystiedon hyödyntämisen lisäämiseksi, jossa Helsedataservice ja kaikki kansalliset terveysrekisterit koottiin Norjan kansanterveyslaitokseen. 

Alankomaat

Alankomaiden terveys-, hyvinvointi- ja urheiluministeriö kehittää tiekarttaa terveystietojen toissijaista käyttöä varten. Alankomaissa ei ole voimassa erillistä lakia sosiaali- ja terveystietojen toisiokäytöstä. Oikeusperusta terveystietojen käytöstä tutkimukseen ja innovaatioon on osittain epäselvä. TEHDAS: Mapping health data management systems through country visits: development, needs and expectations of the EHDS, s. 48. 

Alankomaiden tilastovirasto CBS (Centraal Bureau voor de Statistiek) vastaa kansallisen tilastotiedon keräämisestä ja tiedolla johtamisesta. Tilastovirasto tarjoaa kaksi pääasiallista tiedonsaantitapaa: tilastotason aineistoja ja mikroaineistoja. Tilastotiedot ovat ladattavissa tilastoviraston verkkosivuilta tai ne voidaan hakea automaattisesti OData-protokollan kautta. Mikroaineisto edellyttää erityistä tietolupahakemusta. TEHDAS: Description of steps in accessing individual-level data for national and EU researchers in a selection of centralised systems and decentralised systems s. 5. 

Mikroaineistoja annetaan vain laitoksille, jotka harjoittavat tutkimusta tai tilastollista toimintaa. Mikroaineistoja ei luovuteta yksittäisille henkilöille. Kansainvälisiä instituutioita suositellaan hakemaan aineistoja yhteistyössä alankomaalaisten instituutioiden kanssa. CBS aloitti mikroaineistojen luovuttamisen noin 20 vuotta sitten, mikä näkyy tietolupahakemusten tehokkaassa käsittelyssä (käsittelyaika on noin 2–8 viikkoa, jos pyynnön esittävä laitos on esirekisteröity). Mikrodata on saatavilla ainoastaan tietoturvallisessa käyttöympäristössä, ja sitä voi käyttää ainoastaan tilastollisissa tarkoituksissa. Lisäksi tutkimuskuvauksen tulee olla tarkoin määritelty ottaen huomioon tietosuoja-asetuksen mukaiset käyttötarkoitussidonnaisuudet. 

6.1  Lausuntopalaute keskeisistä ehdotuksista

Hybridimalli

Hybridimallin käyttöönottoa kannatti hieman alle puolet lausunnonantajista. Hybridimalli koettiin keskitettyyn malliin verrattuna joustavampana, ja sen nähtiin sujuvoittavan ja nopeuttavan tutkimustoimintaa. Noin neljäsosa lausunnonantajista näki hybridimallissa etuja, mutta myös riskejä. Hybridimallia eivät lähtökohtaisesti kannattaneet Tietolupaviranomainen, Valvira, eduskunnan oikeusasiamies, Suomen akatemian Strategisen tutkimuksen DataLiteracy -hanke, Jyväskylän yliopisto, Into Certification Oy, Tieteentekijöiden liitto sekä Valtakunnallinen aluehallintovirastojen hallinto- ja kehittämispalvelut HAKE. 

Monet, niin myönteisesti kuin kriittisesti hybridimalliin suhtautuneet lausunnonantajat pitivät mallin onnistumisen kannalta tärkeänä, että rekisterinpitäjien tehtävien lisääntyessä niille turvattaisiin riittävät resurssit sekä ohjeistus käytäntöjen yhdenmukaisuuden turvaamiseksi. 

Hybridimallia kritisoineet lausunnonantajat näkivät hybridimallin riskinä sen, ettei se ratkaisisi nykytilassa koettuja ongelmia. Osa lausunnonantajista katsoi, että sen käyttöönotto voisi jopa vaikeuttaa lupaprosesseja entisestään. Hakemusten ja pyyntöjen käsittelyn hajauttaminen voisi johtaa lupaprosessin monimutkaistumiseen ja kustannusten kasvuun, sekä lisätä päällekkäistä hallinnollista taakkaa. Riskinä on, että hybridimallissa organisaatioiden toimintamallit ja käytännöt voisivat muodostua epäyhdenmukaisiksi ja hakija voisi päätyä maksamaan luvasta ja tiedoista hybridimallissa yhteensä enemmän kuin keskitetyssä mallissa. 

Tietolupaviranomainen toi esille lausunnossaan, että hybridimallin riskinä on, että tutkijoiden taakka kasvaa, kun lupahakemuksia tai tietopyyntöjä joutuu tekemään useita yhden sijaan. Lisäksi on riski, että terveystietojen saaminen toisiokäyttöön hidastuu, kallistuu ja aiheuttaa päällekkäistä hallinnollista taakkaa. 

Hybridimalliin kielteisesti tai kriittisesti suhtautuneiden lausunnonantajien kannanotoissa vaihtoehtoisina keinoina nykytilan haasteiden ratkaisemiseksi nähtiin Tietolupaviranomaisen resurssien lisääminen, nykyisen mallin säilyttäminen ja toisiolain muutosten toteuttaminen EHDS-asetuksen toimeenpanon yhteydessä. 

Laajasti kannatettiin sitä, että keskitetty malli säilyisi vaihtoehtona hajautetun mallin rinnalla. Lisäksi kannatettiin ehdotuksia siitä, että rekisterinpitäjät voisivat käsitellä pyyntöjä saada aggregoituja tilastotietoja ja voisivat siirtää toimivallan suorittaa toisiolain mukaisia tehtäviä Tietolupaviranomaiselle. Tietoaineistojen yhdistämisen osalta lausunnonantajat toivoivat, että tietoaineistojen kokoajana toimisi aina Tietolupaviranomainen, jos organisaatiot eivät pääsisi kokoavasta viranomaisesta yhteisymmärrykseen. 

Useat lausunnonantajat kiinnittivät huomiota siihen, että tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteuttaminen tulisi varmistaa hybridimallissa. Tähän liittyen toivottiin, että rekisteröity voisi käyttää oikeuksiaan, kuten oikeutta vastustaa henkilötietojen käsittelyä, keskitetyn palvelun avulla. 

Kansainvälinen tutkimusyhteistyö

Enemmistö lausunnonantajista suhtautui positiivisesti kansainvälistä tutkimusyhteistyötä koskevan muutosehdotuksen tavoitteisiin. Hieman yli puolet lausunnonantajista kertoi kannattavansa esitystä. Useat lausunnonantajat toivoivat kuitenkin selkeytystä säännöksessä käytettyihin käsitteisiin. 

Osa lausunnonantajista suhtautui ehdotukseen varauksellisesti tai ehdotti siihen muutoksia. Ehdotettavan sääntelyn riskeinä nähtiin muun muassa kansalliseen turvallisuuteen kohdistuvat riskit, ulkomaiseen turvalliseen käyttöympäristöön luovutettavien tietojen riskiarvioinnin toteuttaminen käytettävissä olevien resurssien ja osaamisen puitteissa, sekä suomalaisten viranomaisten rajalliset mahdollisuudet toteuttaa valvontaa ulkomaisissa käyttöympäristöissä tapahtuvaan tietojen käsittelyyn. Eduskunnan oikeusasiamies ja ESiOR Oy ilmoittivat suhtautuvansa muutosehdotukseen kielteisesti. 

Toisiokäytön maksut

Suurin osa toisiokäytön maksusääntelyä koskevia ehdotuksia kommentoineista lausunnonantajista kannatti ehdotettuja muutoksia. Lausunnonantajat kuitenkin toivoivat, että sääntely mahdollistaisi edelleen alennettujen maksujen asettamisen tietyille hakijaryhmille ja mahdollisuuden olla perittämättä maksuja silloin, kun tutkimusta toteutetaan organisaation sisällä. Lausunnonantajat kiinnittivät huomiota myös siihen, että ehdotetut muutokset maksusääntelyyn eivät tulisi muuttamaan sitä, että toisiokäytön kustannukset ovat korkeita ja toisiokäytön maksujen hintataso vaihtelee huomattavasti eri hyvinvointialueiden ja organisaatioiden välillä. 

Tulosten ja tietojen anonymisoinnin sääntely

Suurin osa anonymisoinnin asiakokonaisuutta kommentoineista lausunnonantajista kannatti tulosten ja tietojen anonymisoinnin sääntelyn ehdotettuja muutoksia. Kannatusta sai erityisesti luvansaajalle annettava mahdollisuus antaa anonymisointi Tietolupaviranomaisen tehtäväksi, ja Tietolupaviranomaiselle annettava mahdollisuus antaa tarkempia määräyksiä anonymisoinnin toteuttamisesta. Lausunnonantajat kiinnittivät myös huomiota siihen, että anonymisointi vaatii sen tekijältä erityisosaamista. 

Kliiniset tutkimukset

Kliinistä tutkimusta koskevat ehdotukset keräsivät kommentteja hieman yli puolelta lausunnonantajista. Lausunnonantajat pitivät muutosehdotuksia lähtökohtaisesti kannatettavina. 

Ehdotettuun sääntelyyn ja sen perusteluihin esitettiin myös tarkennuksia. Osa lausunnonantajista halusi selkeytystä siihen, merkitsisivätkö ehdotetut muutokset suoraa tiedonsaantioikeutta vai onko lupaa tietojen saamiseen haettava rekisterinpitäjiltä. Oikeusministeriö ja eduskunnan oikeusasiamies pitivät soveltamisalaan tehtäviä muutoksia merkittävinä. Oikeusministeriö ja eduskunnan oikeusasiamies katsoivat, että säännösten perusteluita tulisi täydentää ja tiedonsaantioikeussäännöksiä tarkentaa sääntelyn täsmällisyyden ja tarkkarajaisuuden vaatimuksen näkökulmasta. Myös tietosuojavaltuutetun toimisto kiinnitti lausunnossaan huomiota siihen, millä perusteella kliiniset tutkimukset voitaisiin asettaa henkilötietojen käsittelyn suojatoimien osalta erilaiseen asemaan kuin toisiolain alaiset tutkimukset. 

6.2  Lausuntopalautteen perusteella toteutetut muutokset

Hallituksen esitykseen toteutettiin useita muutoksia lausuntopalautteen perusteella. Muutoksia toteutettiin muun muassa hybridimallia ja kliinisiä tutkimuksia koskevin säännöksiin. Lisäksi hallituksen esityksen vaikutustenarviointeja ja säätämisjärjestysperusteluita täsmennettiin ja laajennettiin. Nykytilan kuvaukseen lisättiin tekstiä tietosuoja-asetuksen, tietosuojalain ja datanhallinta-asetuksen säännöksistä sekä kliinisiä tutkimuksia koskevasta sääntelystä. 

Hybridimallin osalta muutoksia toteutettiin muun muassa toisiolain 6 a, 6 b, 36 a ja 51 §:iin. Toisiolain 51 §:n säännöksiä selkeytettiin siirtämällä sääntelyä uusiin 51 a ja 51 b pykäliin. Säännökset tietoaineistojen luovuttamisesta muuhun turvalliseen käyttöympäristöön ja anonymisoitujen tietoaineistojen luovuttamisesta siirrettiin uusiin 51 c ja d pykäliin. Muutosten tavoitteena on lisätä säännösten selkeyttä ja luettavuutta. Toisiolain 51 §:n osalta täsmennettiin sitä, mitkä toisiolain 6 §:ssä tarkoitetut viranomaistoimijat voisivat toimia usean organisaation tietoaineistojen kokoajana ja yhdistäjänä listaamalla kyseiset viranomaiset. Lisäksi lausuntopalautteen perusteella toteutettiin muutos, jonka perusteella Tietolupaviranomainen toimisi aina usean organisaation tietoaineistojen kokoajana ja yhdistäjänä, jos kokoavasta viranomaisesta ei päästäisi yhteisymmärrykseen. 

Lakiin lisättiin uusi 7 a §, jonka tarkoituksena on säilyttää voimassa olevan lain 11 §:n 2 momentissa ja 44 §:n 2 momentissa säännelty Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskeva erityisasema hybridimallissa. 

Toisiokäytön maksuja koskevaa 49 §:ää muutettiin rajaamalla lisäys maksujen läpinäkyvyyteen. Muut maksuja koskevat vaatimukset tulevat suoraan datanhallinta-asetuksen 6 artiklasta. 

Kliinisiä tutkimuksia koskevan ehdotuksen osalta toteutettiin useita muutoksia. Toisiolain 2 §:n 4 momenttia selkeytettiin säätämällä siitä, että toisiolakia ei sovellettaisi kliinisissä tutkimuksissa tapahtuvaan rekisteritietojen käsittelyyn. Lisäksi kliinisissä tutkimuksissa käsiteltävien rekisteritietojen luovuttamista koskevat tarkemmat säännökset lisättiin kliinisestä lääketutkimuksesta annettuun lakiin, lääketieteellisestä tutkimuksesta annettuun lakiin ja lääkinnällisistä laitteista annettuun lakiin. Lisäksi Terveyden ja hyvinvoinnin laitoksesta annetun lain ja sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain sääntelyä selkeytettiin. 

Kliinisiä tutkimuksia koskevaan lainsäädäntöön lisättiin rekisterinpitäjä- ja rekisterikohtaisesti tiedonsaantioikeus kyseisiin tutkittavaa koskeviin rekisteritietoihin. Jatkovalmistelussa kiinnitettiin huomiota erityisesti lausuntokierroksella saadun palautteen perusteella siihen, tulisiko tiedonsaantioikeuden piiriin kuuluvien tietojen joukkoa rajata tarkkarajaisemmin sen perusteella, minkä yksittäisten tietojen voidaan arvioida olevan välttämättömiä kliinisten tutkimusten suorittamisen kannalta. Valmistelussa kuitenkin arvioitiin, että yksityiskohtaisempien rajausten tekeminen lain tasolla tietoaineistokohtaisesti ei ole perusteltua ottaen huomioon tieteellisen tutkimustoiminnan luonteen ja ominaispiirteet. 

Lisäksi jatkovalmistelussa arvioitiin, tulisiko kliinisten tutkimusten tiedonsaantioikeuden piiriin ehdotettavia tietojoukkoja rajata koskemaan eri tavoin eri kliinisten tutkimusten tutkimustyyppejä. Esityksessä ei kuitenkaan päädytty tekemään tietoaineistokohtaisia rajauksia, vaan esityksessä ehdotettu tiedonsaantioikeus koskee yhtäläisesti niin kliinisiä lääketutkimuksia, lääkinnällisten laitteiden kliinisiä tutkimuksia, ivd-laitteiden suorituskykytutkimuksia kuin myös tutkimuslain alaisia lääketieteellisiä tutkimuksia. Tämä johtuu siitä, että kliinisten tutkimusten tutkimusasetelmat voivat vaihdella merkittävästikin toisistaan myös saman tutkimustyypin sisällä, eikä etukäteen ole mahdollista määrittää, mitkä tietojoukot kussakin yksittäistapauksessa ovat välttämättömiä tutkimusten suorittamiseksi. Kliinisissä tutkimuksissa tiedon tarpeet täsmentyvät tutkimuksen edetessä, ja käsiteltävien tietojen laajuus saattaa vaihdella potilaskohtaisestikin. Tiedonsaantioikeuden piiriin kuuluvien tietokategorioiden yksityiskohtaisempi listaaminen lain tasolla ei myöskään olisi aikaa kestävä tai tieteellisen tutkimustoiminnan nopeaa kehittymistä huomioiva ratkaisu. On myös huomattava, että tiedonsaantioikeuden sisällön laajuuden eriyttäminen eri tutkimustyyppien kohdalla johtaisi sääntelyn pirstaloitumiseen, mikä saattaisi aiheuttaa merkittäviä haasteita säännösten soveltamiskäytännössä ja tutkimusten käytännön toteuttamisessa. 

Hallituksen esitysluonnoksessa oli ehdotus toisiolain 41 §:n muuttamisesta Uudenmaan alueen tietojohtamisen mahdollistamiseksi. Ehdotuksen mukaan HUS-yhtymälle olisi annettu oikeus saada ja käsitellä sellaisia Uudenmaan hyvinvointialueiden ja Helsingin kaupungin potilastietoja, jotka olisivat välttämättömiä Uudenmaan alueen potilaiden palveluketjujen kehittämiseksi ja arvioimiseksi. Muutosehdotuksen tarkoituksena oli mahdollistaa Uudenmaan alueen potilastietojen tietojohtaminen vastaavalla tavalla kuin muilla hyvinvointialueilla. Uudenmaan alueella sosiaali- ja terveydenhuollon palvelut ovat erillisten viranomaisten järjestämisvastuulla ja asiakastiedoilla on useampia rekisterinpitäjiä, jonka vuoksi Uudenmaan alueella ei ole mahdollista toteuttaa vastaavanlaista tietojohtamista kuin yhtenäisellä hyvinvointialueella. 

Lausuntopalautteessa kiinnitettiin huomiota siihen, että sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetussa laissa ei ole säädetty HUS-yhtymälle Uudenmaan alueen tietojohtamisen tehtävää. Jatkovalmistelussa on arvioitu, että Uudenmaan alueen tietojohtamisen tehtävästä ja siihen liittyvistä tiedonsaantioikeuksista tulisi säätää tarkemmin lain tasolla. HUS-yhtymän järjestämisvastuusta on säädetty sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain (615/2021) 5 §:ssä. HUS-yhtymä vastaa niiden terveydenhuollon palvelujen järjestämisestä, joista on säädetty 5 §:n 2 momentissa ja niistä terveydenhuollon palveluista, jotka on sovittu HUS-järjestämissopimuksessa. Pääasiassa HUS-yhtymän vastuulla on Uudenmaan alueen erikoissairaanhoidon palvelujen järjestäminen. Lausuntopalautteessa toivottiin, että HUS-yhtymä voisi käsitellä Uudenmaan alueen potilastietojen lisäksi myös sosiaalihuollon asiakastietoja tietojohtamisen käyttötarkoituksessa. HUS-yhtymälle ei ole säädetty sosiaalihuollon palvelujen järjestämisvastuuta, jonka vuoksi sosiaalihuollon tietojen käyttämisestä tietojohtamisen käyttötarkoituksesta tulisi säätää. 

HUS-yhtymän tehtävistä ei säädetä toisiolaissa, jonka vuoksi pelkästään toisiolain muuttaminen ei olisi riittävää Uudenmaan alueen tietojohtamisen tehtävästä säätämiseksi. Tämän vuoksi esityksen jatkovalmistelussa on katsottu, että Uudenmaan alueen tietojohtamista koskeva ehdotus olisi tarkoituksenmukaista käsitellä sellaisen lainsäädäntöhankkeen yhteydessä, jossa muutetaan järjestämislakia. Sosiaali- ja terveysministeriössä on valmisteilla hallituksen esitys sosiaali- ja terveydenhuollon järjestämisestä annetun lain muuttamisesta (monituottajuus STM060:00/2024). Uudenmaan alueen tietojohtamista koskevat muutosehdotukset olisi mahdollista sisällyttää lainsäädäntöhankkeen toiseen vaiheeseen, joka valmistellaan syksyllä 2025 ja joka on tarkoitus viedä eduskuntaan keväällä 2026. Samassa yhteydessä olisi perusteltua yhdenmukaistaa sosiaali- ja terveydenhuollon järjestämisestä annetun lain 29 §:ssä säädetty hyvinvointialueen sosiaali- ja terveydenhuollon seuranta ja arviointivelvollisuus sekä toisiolain 41 §:ssä säädetty tietojohtamisen käyttötarkoitus. 

Lausuntopalautteen perusteella toisiolain soveltamisalaa ja suhdetta muuhun lainsäädäntöön täsmennettiin lain 1 ja 2 §:ssä siirtämällä voimassa olevan 1 §:n sisältöä tietoaineistoista ja organisaatioista lain 2 §:ään. Muutoksen tarkoituksena on selkeyttää toisiolain soveltamisalaa. Jatkovalmistelussa tunnistettiin lisäksi tarve muuttaa toisiolain 8 §:ää vastaamaan paremmin Tietolupaviranomaisen tulosohjauksen ja sote-tietojen toisiokäytön kehittämisen ohjauksen tarpeita. Toisiolain 8 §:n muuttaminen tukisi muita esityksessä ehdotettuja muutoksia. 

Lausuntopalautteessa toivottiin muutoksia toisiolain 2 §:ssä tarkoitettuihin käyttötarkoituksiin muun muassa muuttamalla opetuksen käyttötarkoitusta ja lisäämällä käyttötarkoituksiin algoritmien ja tekoälyohjelmien opettaminen, kehittäminen ja testaaminen. Lisäksi kehittämis- ja innovaatiotoiminnan käyttötarkoitusta toivottiin muutettavaksi niin, että käyttötarkoitukseen olisi mahdollista saada yksilötasoista tietoa tietolupahakemuksen perusteella.  

Esityksessä ei ehdoteta muutettavaksi toisiolain 2 §:ssä säädettyjä käyttötarkoituksia, sillä käyttötarkoituksia tullaan joka tapauksessa tarkastelemaan ja yhdenmukaistamaan EHDS-asetuksen toimeenpanoa koskevassa hallituksen esityksessä. EHDS-asetuksen 53 artiklan perusteella terveystietoja on mahdollista käsitellä muun muassa terveydenhuolto- tai hoiva-alan ammatilliseen tai korkea-asteen koulutus- tai opetustoimintaan sekä terveydenhuolto- tai hoiva-alaan liittyvään tieteelliseen tutkimukseen. EHDS-asetuksessa tieteellisen tutkimuksen käyttötarkoitukseen sisältyvät tuotteiden tai palvelujen kehittämis- ja innovointitoimet sekä algoritmien kouluttaminen, testaaminen ja arvioiminen. EHDS-asetus siis mahdollistaa yksilötasoisen tiedon käyttämisen kehittämis- ja innovointitoimintaan tietoluvan perusteella. Toisiolain käyttötarkoitukset on tarkoitus yhteensovittaa EHDS-asetuksen kanssa. 

EHDS-asetuksen 4 luku sisältää sääntelyä muun muassa 51 artiklan 3 kohdassa sähköisten terveystietojen rikastamisesta ja parannuksista, 61 artiklan 5 kohdassa kliinisesti merkittävien havaintojen ilmoittamisesta, 62 artiklassa toisiokäytön maksuista, 63 artiklassa vaatimusten noudattamisen valvonnasta, 64 artiklassa hallinnollisten seuraamusmaksujen määräämisestä, 71 artiklassa oikeudesta kieltää terveystietojen käsittely toissijaista käyttöä varten ja 73 artiklassa käyttöympäristöistä. EHDS-asetus tulee yhdenmukaistamaan EU-maiden sääntelyä ja kansallinen toisiolaki tulee yhteensovittaa asetuksen kanssa. 

Lausuntopalautteessa kiinnitettiin huomiota tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteuttamiseen ja erityisesti 21 artiklan mukaisen vastustamisoikeuden käyttöön. Lausunnonantajat huomauttivat, että rekisteröityjen oikeuksien käyttäminen tulisi järjestää keskitetyn palvelun kautta, jotta rekisteröidyn ei tarvitsisi lähettää pyyntöä useille eri rekisterinpitäjille. EHDS-asetuksessa säädetään erityisestä oikeudesta kieltää terveystietojen käsittely toissijaista käyttöä varten. Tämä kielto-oikeus on erillinen tietosuoja-asetuksen 21 artiklassa tarkoitetusta vastustamisoikeudesta. EHDS-asetuksen 71 artiklan mukaisesta kielto-oikeudesta on mahdollisuus poiketa kansallisella lainsäädännöllä. EHDS-asetuksen toimeenpanoa koskevassa hallituksen esityksessä tullaan toteuttamaan EHDS-asetuksen 71 artiklan edellyttämät muutokset kansalliseen lainsäädäntöön. Samalla tullaan tarkastelemaan mahdollisen kansallisesti keskitetyn palvelun perustamista rekisteröityjen oikeuksien käyttämiselle. 

7.1  Laki sosiaali- ja terveystietojen toissijaisesta käytöstä

1 §.Lain tavoite . Pykälää ehdotetaan muutettavaksi lain soveltamisalan selkeyttämisen vuoksi. Voimassa olevan lain 1 § sisältää sääntelyä lain soveltamisalaan kuuluvista tietoaineistoista ja organisaatioista, joista olisi tarkoituksenmukaista säätää lain soveltamisalaa koskevassa 2 §:ssä. Pykälää ehdotetaan muutettavaksi niin, että pykälä sisältäisi ainoastaan lain yleiset tavoitteet.  

Pykälän mukaan toisiolain tavoitteena olisi mahdollistaa sosiaali- ja terveystietojen tehokas ja tietoturvallinen käsittely toissijaisissa käyttötarkoituksissa. Lain tavoitteena olisi lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä. 

2 §.Soveltamisala ja suhde muuhun lainsäädäntöön . Pykälää ehdotetaan muutettavaksi soveltamisalaa koskevien säännösten osalta niin, että pykälään lisättäisiin voimassa olevan 1 §:n sisältöä tietoaineistoista ja organisaatioista. Muutoksen tarkoituksena olisi selkeyttää toisiolain soveltamisalaa. Pykälän otsikkoa tarkennettaisiin niin, että siinä säännellään lain soveltamisalasta ja suhteesta muuhun lainsäädäntöön. Lisäksi pykälään ehdotetaan lisättäväksi uusi 4 momentti, jossa säädettäisiin siitä, että toisiolakia ei sovelleta kliinisissä tutkimuksissa tapahtuvaan henkilötietojen käsittelyyn.  

Pykälän 1 momenttia muutettaisiin niin, että sen mukaan toisiolaissa annettaisiin tietosuoja-asetusta täydentävät säännökset, kun 2 momentissa tarkoitettuja tietoja käsitellään mainitussa momentissa tarkoitettuihin käyttötarkoituksiin. 

Voimassa olevan pykälän 1 momentissa säännellyt käyttötarkoitukset siirrettäisiin 2 momenttiin. Voimassa olevan pykälän 2 momentin sääntely organisaatioista ja tietojen käsittelyyn liittyvistä rajauksista sisältyisi muutettuun 2 momenttiin. 

Pykälän 2 momentissa säädettäisiin, että toisiolakia sovelletaan 6 §:ssä tarkoitettujen organisaatioiden sekä yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen käsittelyyn ja niiden yhdistämiseen Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Digi- ja väestötietoviraston henkilötietoihin 6, 7 ja 7 a §:ssä säädetyin rajauksin, kun kyseisiä tietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa: 

1) tilastointi; 

2) tieteellinen tutkimus; 

3) kehittämis- ja innovaatiotoiminta; 

4) opetus; 

5) tietojohtaminen; 

6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; 

7) viranomaisen suunnittelu- ja selvitystehtävä. 

Pykälän 3 momentin mukaan luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 2 momentissa tarkoitettuihin käyttötarkoituksiin säädettäisiin 4 ja 5 luvussa. 

Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jossa säädettäisiin siitä, että toisiolakia ei sovelleta kliinisissä tutkimuksissa tapahtuvaan henkilötietojen käsittelyyn tilanteissa, joissa kliinisen tutkimuksen tutkittavalta tai hänen lailliselta edustajaltaan on saatu suostumus tutkimukseen osallistumiseksi tai jos hätätilanteessa suoritettavan kliinisen tutkimuksen suorittamisen edellytykset täyttyvät. Kliinisellä tutkimuksella tarkoitetaan tässä yhteydessä sellaista ihmiseen kohdistuvaa kajoavaa tutkimusta, joka on joko EU:n lääketutkimusasetuksessa tarkoitettu kliininen lääketutkimus, EU:n MD-asetuksessa tarkoitettu lääkinnällisen laitteen kliininen tutkimus, EU:n IVD-asetuksessa tarkoitettu in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimus tai tutkimuslaissa tarkoitettu lääketieteellinen tutkimus. 

Edellä jaksossa 2.6 kuvatulla tavalla toisiolain soveltumisesta kliinisiin tutkimuksiin on ollut epäselvyyttä toisiolain voimaantulosta lähtien. Toisiolakia ei ole alun perin tarkoitettu sovellettavaksi kliinisiin tutkimuksiin. Toisiolain suhdetta kliinisiin tutkimuksiin ei kuitenkaan ole riittävällä tavalla tuotu esiin toisiolaissa lain tasolla tai sen säätämiseen johtaneissa valmisteluaineistoissa. Tämä on johtanut epäselvyyteen siitä, mitä lakia ja minkälaisia menettelyjä noudattaen toisiolain tarkoittamat tietoaineistot olisi mahdollista saada kliinisten tutkimusten käyttöön. Toisiolain voimaantulon jälkeen lainsäädäntöön on lisätty yksittäisiä kliinisten tutkimusten tiedonsaantioikeuksia koskevia erityissäännöksiä, jotka koskevat potilasasiakirjoihin merkittyjen tietojen käyttämistä kliinisissä tutkimuksissa sekä THL:n Hilmo-, avoHilmo- ja tartuntatautirekisterin mikrobilöydöksiä koskevien tietojen käyttämistä kliinisissä lääketutkimuksissa. Nämä muutokset ovat kuitenkin johtaneet sääntelyn osittaiseen pirstaloitumiseen sekä tahattomiin vastakohtapäätelmiin siitä, että toisiolakia sovellettaisiin muiden henkilötietojen käsittelyyn kliinisissä tutkimuksissa. Ehdotettu säännös on siten tarpeellinen ilmentämään laintasoisesti toisiolain alkuperäisen tarkoituksen siitä, ettei toisiolakia tule soveltaa kliinisissä interventiotutkimuksissa tapahtuvaan henkilötietojen käsittelyyn. 

Kliinisissä tutkimuksissa ja rekisteritutkimuksissa tapahtuvan henkilötietojen käsittelyn erilainen lainsäädännöllistä asema on perusteltu useasta eri syystä. Toisiolain perusratkaisut on alun perin säädetty rekisteritutkimusten lähtökohdista käsin. Rekisteritutkimukset ja kliiniset tutkimukset kuitenkin eroavat toisistaan merkittävillä tavoilla. Rekisteritutkimukset perustuvat olemassa olevien tietojen käyttämiseen, ja ne ovat monesti retrospektiivisiä eli tutkimuksessa tarkastellaan rekisteritietojen avulla menneitä tapahtumia. Rekisteritutkimuksissa tutkimuksen kohteena oleviin henkilöihin ei kohdisteta tutkimuksesta johtuvia interventioita. Niin sanotuissa puhtaissa rekisteritutkimuksissa tutkimusryhmä ei ole lainkaan kontaktissa tutkimuksen kohteena oleviin henkilöihin, vaan tutkittavia koskeva aineisto kerätään yksinomaan olemassa olevia rekisteritietoja hyödyntämällä. Tutkimuksen kohteena olevat henkilöt eivät siten välttämättä saa lainkaan suoraa tietoa siitä, että heitä koskevia tietoja käytetään tutkimuksessa eikä heiltä itseltään pyydetä suostumusta tutkimukseen osallistumiseen tai heitä koskevien henkilötietojen käsittelyyn tutkimuksessa. Henkilötietojen käsittelystä ja rekisteröityjen oikeuksien käyttämisestä on kuitenkin saatavilla tietoa Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden verkkosivuilta. Rekisteritutkimuksilla ei myöskään lähtökohtaisesti ole suoraa vaikutusta tutkimuksen kohteena olevien henkilöiden saamaan hoitoon eivätkä tutkittavat henkilöt altistu tutkimusten riskeille samaan tapaan kuin kliinisissä tutkimuksissa. Tutkittavan henkilön rooli rekisteritutkimuksessa on siten yleensä passiivinen. 

Kliinisten tutkimusten suorittamista puolestaan koskee jaksossa 2.6.2 kuvattu erityislainsäädäntö. Kliiniset tutkimukset tulee suorittaa tiukan tutkimusprotokollan mukaisesti, joka on hyväksytettävä lääketieteellisessä tutkimuseettisessä toimikunnassa ennen tutkimuksen aloittamista. Lääke- ja laitetutkimusten osalta edellytetään lisäksi Fimean lupaa. Kliinisissä tutkimuksissa tutkittavien henkilöiden osallistuminen tutkimukseen on aktiivista ja tietoista. Kliiniset tutkimukset ovat prospektiivisia eli niissä tutkitaan tutkittavan lääkkeen, laitteen tai muun hoitomenetelmän tai -toimenpiteen vaikutusta tutkittavan terveydentilaan etenevästi. Kliinisissä tutkimuksissa tutkimusryhmä on suorassa kontaktissa tutkittaviin henkilöihin ja heihin kohdistetaan tutkimuksesta johtuvia kajoavia toimenpiteitä, kuten esimerkiksi tutkimuslääkkeen antaminen, näytteenotto tai kirurgisen toimenpiteen suorittaminen. Kliinisessä tutkimuksessa tuotetaan uutta tietoa, ja tutkimus on usein myös osa potilaan hoitoa. Vastaavasti tutkittava voi altistua tutkimuksesta aiheutuville potentiaalisille haittavaikutuksille tai muille riskeille. 

Kliinisiä tutkimuksia koskeva lainsäädäntö edellyttää tutkittavan tietoon perustuvaa suostumusta tutkimukseen osallistumiseksi. Suostumuksen vaatimuksista ja tutkittavalle tai muulle suostumuksenantajalle annettavan informaation sisällöstä on myös tarkkaan säädetty. Tutkimustyyppikohtaisen informaation lisäksi tutkittavalle tulee antaa tietoa myös tutkimuksessa suoritettavasta henkilötietojen käsittelystä, mukaan lukien tutkimuksessa käsiteltävistä rekisteritiedoista. Tiedot saatuaan suostumuksenantaja voi harkita tutkimukseen osallistumista kaikki tutkimuksen ominaispiirteet huomioiden, ja harkintansa perusteella joko antaa suostumuksensa tutkimukseen osallistumiselle tai kieltäytyä siitä. Vaikka rekisteröidyn suostumusta ei pääsääntöisesti tule käyttää henkilötietojen käsittelyperusteena kliinisissä tutkimuksissa, vaan osallistumissuostumuksessa kyse on tutkimuseettisestä suojatoimenpiteestä, toimii suostumus samalla myös tietosuojaoikeudellisena suojatoimenpiteenä. Osallistumissuostumuksen antaessaan henkilö antaa samalla tahdonilmaisun myös siitä, että hän hyväksyy tutkimuksessa toteutettavan rekisteritietojen käsittelyn. Kliinisissä tutkimuksissa tapahtuvan rekisteritietojen käsittelyn voidaan siten katsoa kuuluvan tutkittavan tiedollisen itsemääräämisoikeuden piiriin ja, toisin kuin rekisteritutkimuksissa, kliinisissä tutkimuksissa tutkittavat käyttävät aktiivisesti tätä oikeuttaan harkitessaan tutkimukseen osallistumistaan. 

Kliinisten tutkimusten suorittamista myös valvotaan tutkimuksen aikana, minkä lisäksi lainsäädännössä on asetettu tutkimuksen toimeksiantajalle ja tutkijalle erilaisia kliinisten tutkimusten tietojen käsittelyyn ja turvallisuusraportointiin liittyviä velvollisuuksia. Näitä velvoitteita ei kuitenkaan ole mahdollista täyttää, jos henkilötietojen käsittely kliinisissä tutkimuksissa tulisi toteuttaa toisiolain vaatimusten mukaisesti. Esimerkiksi EU:n lääketutkimusasetus edellyttää, että tutkimuksen toimeksiantajan tulee ilmoittaa Euroopan lääkeviraston ylläpitämään sähköiseen tietokantaan tutkimuksessa ilmenneistä epäillyistä odottamattomista vakavista haittavaikutuksista, eikä näitä ilmoituksia ole mahdollista tehdä, jos tutkimuksen henkilötietojen käsittely tulisi toteuttaa toisiolain mukaisissa tietoturvallisissa käyttöympäristöissä. EU:n lääketutkimusasetuksen sekä MD-asetuksen ja IVD-asetuksen sääntelyn valossa lisäksi epäselvää on, onko mainittujen asetusten alla toteutettavissa tutkimuksissa lainkaan sallittua soveltaa erityisiä kansallisia tietoturvavaatimuksia, sillä asetusten tarkoituksena on ollut yhdenmukaistaa kliinisten lääke- ja laitetutkimusten toteuttamisen edellytykset koko EU:n alueella eivätkä asetukset tältä osin sisällä nimenomaista kansallista liikkumavaraa. 

Toisiolain sijasta kliinisissä tutkimuksissa tapahtuvaan henkilötietojen käsittelyyn sovellettaisiin muuta lainsäädäntöä. Keskeisin näistä olisi EU:n yleinen tietosuoja-asetus. Lisäksi jotta ehdotetun muutoksen myötä ei ilmenisi epäselvyyttä siitä, minkä lain nojalla rekisteritietoja on mahdollista saada kliinisten tutkimusten käyttöön, esityksen 2.–4. lakiehdotuksissa säädettäisiin eräistä kliinisten tutkimusten lakiin perustuvista tiedonsaantioikeuksista. Näiden lisäksi tutkimuksiin olisi mahdollista saada muita rekisteritietoja muun kuhunkin käsittelytilanteeseen soveltuvan lainsäädännön nojalla. 

3 §.Määritelmät . Pykälän 10 kohdan tietoturvallinen käyttöpalvelu ehdotetaan muutettavaksi tietoturvalliseksi siirtopalveluksi. Tarkoituksena on selkeyttää määritelmää, sillä tietoturvallisessa siirtopalvelussa siirretään toisiolain mukaisia tietoja ja tietoaineistoja.  

Pykälän 12 kohdan tietopyyntöjen hallintajärjestelmä ehdotetaan muutettavaksi asiointipalveluksi. Tarkoituksena on selkeyttää määritelmää, sillä asiointipalvelussa käsitellään sekä tietolupahakemuksia että tietopyyntöjä. 

Pykälän 13 kohdassa tehtäisiin tekninen muutos, jossa yksityisten palvelujen tuottajien osalta viitattaisiin sosiaali- ja terveydenhuollon valvonnasta annettuun lakiin (741/2023). 

5 §.Tietolupaviranomaisen tehtävät . Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että Tietolupaviranomainen käsittelisi tietolupia ja tietopyyntöjä sekä vastaisi tietoluvassa tai tietopyynnössä tarkoitettujen tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön.  

Pykälän 2 momenttia ehdotetaan muutettavaksi niin, että tietopyyntöjen hallintajärjestelmä korvattaisiin sanalla asiointipalvelu ja tietoturvallinen käyttöpalvelu korvattaisiin sanalla tietoturvallinen siirtopalvelu. Momenttia muutettaisiin 20 §:n mukaisesti niin, että Tietolupaviranomainen järjestäisi tietoturvallista käyttöympäristöä koskevan palvelun, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja. 

Pykälän 4 momenttia ehdotetaan muutettavaksi vastaamaan 52 §:ään tehtyjä muutoksia. Tietolupaviranomainen voisi tuottaa anonymisoidut tulokset ja varmistaa tuotettujen tulosten anonymisoinnin. Tulosten anonymisoinnista säädettäisiin 52 §:ssä. 

6 §.Organisaatiot ja tietoaineistorajaukset . Pykälän otsikkoa ehdotetaan muutettavaksi niin, että siinä ei viitattaisi enää palveluihin, vaan organisaatioihin ja tietoaineistorajauksiin. Lain rakennetta ehdotetaan muutettavaksi niin, että tietolupa- ja tietopyyntökäsittelyyn liittyvää toimivaltaa säänneltäisiin omissa pykälissään ja lain 10, 11 ja 44 § kumottaisiin. Tietolupaviranomaisen ja muiden 6 §:ssä tarkoitettujen organisaatioiden vastuut toisiokäytön palveluista kävisivät ilmi 3 luvun pykälistä, eikä niitä olisi tarpeen listata erillisessä pykälässä. Tietolupa- ja tietopyyntökäsittelyyn liittyvästä toimivallasta säädettäisiin erikseen.  

Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siinä ei viitattaisi viranomaisten ja organisaatioiden vastuulla oleviin palveluihin, vaan organisaatioihin, joiden henkilötietoja voitaisiin käsitellä lain nojalla 2 §:n mukaisiin käyttötarkoituksiin. 

Pykälän 1 momentin 11 kohdassa tehtäisiin tekninen muutos, jossa Väestörekisterikeskus muutettaisiin Digi- ja väestötietovirastoksi. 

6 a §.Tietolupakäsittelyyn liittyvä toimivalta. Lakiin ehdotetaan lisättäväksi uusi pykälä tietolupakäsittelyyn liittyvästä toimivallasta. Pykälä selkeyttäisi lain rakennetta ja mahdollistaisi nykyistä hajautetumman mallin toisiolain mukaisten tietolupien käsittelylle.  

Pykälän 1 momentissa säädettäisiin, että jos tietolupahakemus koskisi Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, hakemus toimitettaisiin Tietolupaviranomaiselle, joka tekisi tietolupaa koskevan päätöksen. Näiden tietojen osalta säilytettäisiin nykytila, jonka mukaisesti kyseisiä tietolupia käsittelisi ainoastaan Tietolupaviranomainen. Kanta-palvelun tietoja koskevat tietolupahakemukset on katsottu edelleen järkeväksi keskittää Tietolupaviranomaiselle.  

Yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien tietojen lupatoimivalta olisi edelleen viranomaistoimijalla, sillä tietolupien myöntämisen katsotaan sisältävän sellaista harkintavaltaa, jota ei voida antaa yksityisen toimijan vastuulle. Asiasta säädetään perustuslain 124 §:ssä, jonka mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Oikeus luovuttaa arkaluonteisia ja salassa pidettäviä henkilötietoja muuhun kuin niiden ensisijaiseen käyttötarkoitukseen koskee lisäksi perustuslain 10 §:n 1 momentissa säädetty oikeus yksityiselämän suojaan. Toisiolain hallituksen esityksessä (HE 159/2017 vp) katsottiin, että henkilötietojen suojan sekä sosiaali- ja terveyspalveluiden toiminnan kannalta keskeisen asiakkaan luottamuksen suojan vuoksi vastuu tietolupien myöntämisestä on perusteltua uskoa näissä tilanteissa viranomaiselle. Tietolupakäsittelyn selkeyden ja yhdenmukaisuuden vuoksi on katsottu hyväksi säilyttää nykytila, jossa yksityisten palvelunjärjestäjien tietojen osalta tietoluvat käsittelisi Tietolupaviranomainen.  

Pykälän 2 momentissa säädettäisiin, että hakija voisi toimittaa tietolupahakemuksen, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. 

Pykälän 3 momentissa säädettäisiin, että jos hakija toimittaisi tietolupahakemuksen Tietolupaviranomaiselle, se tekisi tietolupaa koskevan päätöksen kaikkien hakemuksen kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos taas hakija toimittaisi hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekisi tietolupaa koskevan päätöksen omien tietoaineistojensa osalta.  

Hakija voisi siis edelleen toimittaa usean organisaation tietoaineistoja koskevan tietolupahakemuksen Tietolupaviranomaiselle ja käyttää keskitetyn mallin mukaista yhden luukun palvelua, jossa hakija saisi sekä tietoluvan että tietoaineistot keskitetysti. Jos hakija toimittaisi hakemuksen Tietolupaviranomaiselle, tietolupa käsiteltäisiin kuten nykyisessä mallissa. Hakija voisi kuitenkin hajautetun mallin mukaisesti toimittaa hakemuksen erikseen jokaiselle hakemuksen kohteena olevalle organisaatiolle. Jos hakija toimittaisi tietolupahakemuksen erikseen jokaiselle organisaatiolle, hän saisi vastaukseksi usean tietolupapäätöksen. Organisaatiot arvioisivat tietolupahakemuksen omien tietoaineistojensa osalta. Organisaatioiden tulisi kuitenkin ottaa huomioon hakemuksen arvioinnissa se, millainen vaikutus eri rekisterinpitäjien tietoaineistojen yhdistämisellä olisi. 

Voimassa olevan lain mukaan 6 §:ssä tarkoitetut organisaatiot käsittelevät tietolupahakemukset, jotka koskevat niiden omia tietoaineistoja. Hajautetussa mallissa rekisterinpitäjät käsittelisivät edelleen tietolupahakemuksen omien tietoaineistojensa osalta. Jos hakija on valinnut toimittaa tietolupahakemuksen, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, jokaiselle organisaatiolle erikseen, hakijan tulee ilmoittaa hakemuksessaan, minkä kaikkien toisiolain 6 §:ssä tarkoitettujen organisaatioiden tietoja hakemus koskee. Organisaatiot voisivat tarvittaessa tehdä yhteistyötä sellaisen tietolupahakemuksen käsittelyssä, joka koskee usean organisaation tietoja. 

Toisiolain 46 §:n 2 momentin mukaisesti Tietolupaviranomainen antaa määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista. Yhteiset vaatimukset tietolupahakemuksen, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista helpottavat toisiolain 6 §:ssä tarkoitettujen organisaatioiden välistä yhteistyötä ja yhdenmukaisuutta tietolupahakemusten ja tietopyyntöjen käsittelyssä. 

Pykälän 4 momentissa säädettäisiin, että jos tietolupahakemus koskisi vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, hakemus toimitettaisiin kyseiselle organisaatiolle, joka tekisi tietolupaa koskevan päätöksen. Yksittäisen organisaation olisi siis mahdollista edelleen käsitellä omia tietoaineistojaan koskeva tietolupahakemus. 

Hallintolain (434/2003) 6 §:n mukaisesti viranomaisten on kohdeltava hallinnossa asioivia tasapuolisesti sekä käytettävä toimivaltaansa yksinomaan lain mukaan hyväksyttäviin tarkoituksiin. Viranomaisen toimien on oltava puolueettomia ja oikeassa suhteessa tavoiteltuun päämäärään nähden. 

Pykälän 5 momentissa säädettäisiin, että tietolupapäätöksestä vastaava organisaatio voi pyytää tietosuojavaltuutetulta lausuntoa tietolupahakemuksesta, jos arvioi sen tarpeelliseksi. Tämä oikeus on myös voimassa olevassa laissa. 

6 b §.Tietopyyntökäsittelyyn liittyvä toimivalta . Lakiin ehdotetaan lisättäväksi uusi pykälä tietopyyntökäsittelyyn liittyvästä toimivallasta. Vastaavasti kuin tietoluvissa, myös tietopyynnöissä mahdollistettaisiin aiempaa hajautetumpi malli. Pykälä vastaisi sisällöltään 6 a §:ää.  

Pykälän 1 momentissa säädettäisiin, että jos tietopyyntö koskisi Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, tietopyyntö toimitettaisiin Tietolupaviranomaiselle, joka tekisi tietopyyntöä koskevan päätöksen. 

Pykälän 2 momentissa säädettäisiin, että hakija voisi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle, tai jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen. 

Pykälän 3 momentissa säädettäisiin, että jos hakija toimittaa tietopyynnön Tietolupaviranomaiselle, se tekisi tietopyyntöä koskevan päätöksen kaikkien tietopyynnön kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos taas hakija toimittaisi tietopyynnön jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekisi tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta. 

Pykälän 4 momentissa säädettäisiin, että jos tietopyyntö koskisi vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, tietopyyntö toimitettaisiin kyseiselle organisaatiolle, joka tekisi tietopyyntöpäätöksen. 

6 c §.Tietolupa- ja tietopyyntökäsittelyyn liittyväntoimivallan siirto. Lakiin ehdotetaan lisättäväksi uusi pykälä tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirrosta.  

Pykälän 1 momentissa säädettäisiin, että 6 §:ssä tarkoitettu organisaatio voisi luovuttaa toimivallan antaa tietolupa- ja tietopyyntöpäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle. Tietolupaviranomainen tekisi tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia ja tietopyyntöjä koskevat päätökset. 

Pykälän tarkoituksena on mahdollistaa yksittäisille organisaatioille mahdollisuus siirtää toisiolain mukaiseen tietolupa- ja tietopyyntökäsittelyyn liittyvä toimivalta Tietolupaviranomaiselle. Voimassa olevan toisiolain mukaan organisaatiot voivat siirtää tietolupiin liittyvän toimivallan Tietolupaviranomaiselle. Toimivallan siirto voitaisiin toteuttaa esimerkiksi tilanteessa, jossa organisaatio katsoo tarkoituksenmukaiseksi ja resurssien kannalta tehokkaaksi sen, että Tietolupaviranomainen käsittelisi sen tietoaineistoja koskevat tietoluvat ja tietopyynnöt. Organisaatio voisi luovuttaa toimivallan Tietolupaviranomaiselle määräajaksi tai toistaiseksi voimassa olevaksi ajaksi ja se voisi myös milloin tahansa päättää toimivallan siirron. 

Pykälän 2 momentissa säädettäisiin, että jos organisaatio olisi luovuttanut toimivallan Tietolupaviranomaiselle tai kyseessä olisi tietolupahakemus tai tietopyyntö, joka koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, ja hakija on toimittanut tietolupahakemuksen tai tietopyynnön jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, Tietolupaviranomainen tekisi tietolupaa tai tietopyyntöä koskevan päätöksen toimivallan luovuttaneen organisaation, Kanta-palveluihin tallennettujen tietojen ja yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien rekisteritietojen osalta. 

Jos kyseessä olisi hakemus, jonka hakija on toimittanut usealle rekisterinpitäjälle, Tietolupaviranomainen käsittelisi hakemuksin niiltä osin, kun hakemus koskee toimivallan siirtäneen organisaation tietoja, Kanta-palveluiden tietoja tai yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien tietoja. 

7 §.Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset . Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset ehdotetaan säilytettäväksi, sillä tilastoviranomaisilla on tilastolain nojalla erityisasema tilastotarkoitukseen kerättyjen tietojen käsittelyssä. Pykälän 1 momenttiin ehdotetaan lisättäväksi viittaukset tietopyyntöihin, sillä hajautetun mallin mukaisesti organisaatiot voisivat käsitellä myös toisiolain mukaisia tietopyyntöjä.  

Pykälän 1 momentista ehdotetaan poistettavaksi kaksi viimeistä virkettä, joiden mukaan lupahakemus tulee toimittaa tietopyyntöjen hallintajärjestelmän välityksellä. Nykyistä tietopyyntöjen hallintajärjestelmää ei ole pystytty tehokkaasti hyödyntämään välineenä välittää lupahakemuksia ja tietoja tilastoviranomaisille. Tietopyyntöjen hallintajärjestelmän sijaan tietojen luovuttamiseen on käytetty muita keinoja. Tämän vuoksi virkkeet ehdotetaan poistettavaksi vanhentuneena. 

Pykälän 3 momentin viittaus 51 §:n 4 momenttiin päivitettäisiin 51 §:n 3 momenttiin. 

7 a §.Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskevat poikkeukset. Voimassa olevan lain 11 §:n 2 momentissa ja 44 §:n 2 momentissa säännelty Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskeva erityisasema ehdotetaan säilytettäväksi ja sitä koskeva sääntely siirrettäisiin uuteen 7 a pykälään. Pykälän tarkoituksena on säilyttää Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskeva poikkeus samanlaisena kuin voimassa olevassa laissa.  

Pykälän mukaan Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen 6 §:n 9–11 kohdassa tarkoitettuihin tietoihin kohdistuvaan tietolupahakemukseen tai tietopyyntöön sovellettaisiin toisiolain säännöksiä silloin, jos näitä tietoja yhdistetään yhden tai usean 6 §:n 1–8 kohdassa tarkoitetun rekisterinpitäjän tietoihin, Kanta-palveluihin tallennettuihin tietoihin tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin. 

Eläketurvakeskuksella, Digi- ja väestötietovirastolla ja Tilastokeskuksella säilyisi näin ollen toimivalta niiden 6 §:ssä tarkoitettuihin aineistoihin silloin, kun pyydetään pelkästään yhden organisaation tietoja tai niiden aineistoja yhdistettynä keskenään. 

8 §.Tietolupaviranomaisen korkean tason asiantuntijaryhmä. Pykälää ehdotetaan muutettavaksi niin, että pykälästä kumottaisiin 1–3 momentit. Voimassa olevan 8 §:n 4 momentin sääntely Tietolupaviranomaisen korkean tason asiantuntijaryhmästä säilytettäisiin ja pykälän otsikko muutettaisiin vastaamaan muutosta.  

Muutosehdotuksen tarkoituksena on selkeyttää Tietolupaviranomaisen toiminnan ohjausta. Toisiolain 4 §:n 2 momentin mukaisesti Tietolupaviranomainen toimii sosiaali- ja terveysministeriön tulosohjauksessa. Voimassa olevan toisiolain 8 §:n 1–3 momentit ovat sisältäneet sääntelyä sekä Tietolupaviranomaisen tulosohjauksesta että rekisterinpitäjien toiminnan yhteisestä kehittämisestä. Ohjausryhmässä on ollut epäselvää, keskitytäänkö ohjauksessa Tietolupaviranomaisen toimintaan vai laajempaan sote-tietojen toisiokäytön kehittämiseen. Ohjausta halutaan selkeyttää niin, että Tietolupaviranomaisen tulosohjaus olisi erillinen kokonaisuus sote-tietojen toisiokäytön kehittämisestä. Tarkemman sääntelyn kumoaminen mahdollistaisi tulosohjauksen ja sote-tietojen toisiokäytön ohjauksen järjestämisen erillisissä kokonaisuuksissa ja joustavammalla kokoonpanolla. Tietolupaviranomainen toimisi edelleen sosiaali- ja terveysministeriön tulosohjauksessa. Tämän lisäksi olisi mahdollista asettaa muita toisiokäyttöä tukevia ryhmiä, kuten laajempi sote-tietojen toisiokäytön kehittämisen ohjausryhmä sekä TKI-toiminnan kehittämisryhmä. Ohjauksen selkeyttäminen palvelisi samalla muiden esityksessä ehdotettujen muutosten toimeenpanoa. 

10 §.Organisaatioiden toissijaista käyttöä varten tuottamat palvelut . Pykälä ehdotetaan kumottavaksi. Palveluista ei olisi tarpeen säätää erikseen, sillä Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden vastuut palvelujen järjestämisestä käyvät ilmi 3 luvun pykälistä.  

11 §.Organisaatioiden vastuut palveluista . Pykälä ehdotetaan kumottavaksi. Tietolupa- ja tietopyyntökäsittelyyn liittyvästä toimivallasta säädettäisiin 6 a ja 6 b §:ssä.  

13 §.Neuvontapalvelu . Pykälän 2 momenttia ehdotetaan muutettavaksi niin, että siinä ei enää viitattaisi 10 §:n mukaisiin palveluihin.  

14 §.Tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siihen lisättäisiin viittaus 6 §:ssä tarkoitettuihin organisaatioihin.  

Pykälän voimassa oleva 2 momentti ehdotetaan kumottavaksi, sillä se on toistoa 51 §:stä. 

Pykälän 3, 4 ja 5 momentti muuttuisivat 2, 3 ja 4 momentiksi. 

Pykälän uuteen 2 momenttiin lisättäisiin viittaus 6 §:ssä tarkoitettuihin organisaatioihin. Myös 6 §:ssä tarkoitettujen organisaatioiden olisi säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista.  

16 §.Tietolupaviranomaisen asiointipalvelu. Pykälän otsikko ehdotetaan muutettavaksi niin, että tietopyyntöjen hallintajärjestelmä muutettaisiin Tietolupaviranomaisen asiointipalveluksi.  

Pykälän 1, 2 ja 3 momentissa muutettaisiin viittaus tietopyyntöjen hallintajärjestelmästä asiointipalveluksi. Lisäksi pykälän 1 momenttia ehdotetaan muutettavaksi niin, että asiointipalvelun välityksellä toimitettaisiin vain keskeiset Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä keskeiset hakijan laatimat selvitykset ja täydennykset sekä hakemusta koskevat muutokset. Muutoksen tarkoituksena olisi mahdollistaa hakemuskäsittelyn aikana toimitettavien pienimuotoisten selvitysten ja täydennysten toimittaminen sähköpostilla. 

17 §.Tietoturvallinen siirtopalvelu. Pykälän otsikko ehdotetaan muutettavaksi niin, että tietoturvallinen käyttöpalvelu muutettaisiin tietoturvalliseksi siirtopalveluksi.  

Pykälän 1, 2 ja 3 momentissa viittaukset tietoturvalliseen käyttöpalveluun muutettaisiin viittauksiksi tietoturvalliseen siirtopalveluun. 

Lisäksi 1 momenttia ehdotetaan muutettavaksi niin, että siinä viitattaisiin 6 §:ssä tarkoitettuihin organisaatioihin ja mahdollistettaisiin siirtopalvelun käyttö myös 6 §:ssä tarkoitettujen organisaatioiden välillä sekä 6 §:ssä tarkoitettujen organisaatioiden ja hakijoiden välillä. Tämä antaisi hajautetussa mallissa 6 §:n organisaatioille mahdollisuuden käyttää tietojen luovuttamiseen jo olemassa olevaa tietoturvallista siirtopalvelua. 

20 §.Tietoturvallinen käyttöympäristö. Pykälää ehdotetaan muutettavaksi niin, että hakemuksessa ei tarvitsisi enää erikseen esittää syytä sille, miksi tietoaineistoja halutaan käsitellä jossain muussa tietoturvallisessa käyttöympäristössä kuin Tietolupaviranomaisen tietoturvallisessa käyttöympäristössä. Kaikkien tietoturvallisten käyttöympäristöjen tulee täyttää samat toisiolaissa ja Tietolupaviranomaisen määräyksessä säännellyt tietosuoja- ja tietoturvavaatimukset, jolloin ei olisi enää syytä tehdä erottelua Tietolupaviranomaisen tietoturvallisen käyttöympäristön ja muiden tietoturvallisten käyttöympäristöjen välillä.  

Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että Tietolupaviranomaisen tai muun 6 §:ssä tarkoitetun organisaation tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely toteutettaisiin tietoturvallisessa käyttöympäristössä. Tietolupaviranomainen järjestäisi yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä koskevan palvelun. Tietoturvallisia käyttöympäristöjä koskevia palveluita voisivat tarjota myös muut organisaatiot. 

Pykälän 2 momenttia ehdotetaan muutettavaksi niin, että siihen lisätään viittaus 6 §:ssä tarkoitettuihin organisaatioihin. 

Pykälän 3 momenttia ehdotetaan muutettavaksi niin, että sekä Tietolupaviranomaisen tietoturvallisen käyttöympäristön että muiden tietoturvallisten käyttöympäristöjen tulee täyttää 2 momentissa ja 21–29 §:ssä säädetyt edellytykset. 

21 §.Tietoturvallisen käyttöympäristön käyttäjien tunnistaminen . Pykälän 2 momentti, jonka mukaan sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä tunnistamisen ja todentamisen teknisestä toteuttamisesta, ehdotetaan kumottavaksi. Sähköisen tunnistamisen ja todentamisen teknisestä toteuttamisesta säädetään muun muassa EU:n asetuksessa (910/2014) sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009).  

23 §.Tietoturvallisen käyttöympäristön suojaaminen . Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siinä viitattaisiin tiedonhallintalain (906/2019) 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin. Aiempi viittaus julkisuuslain 36 §:ään on vanhentunut. Nykyiset valtion viranomaisten tietoturvallisuutta koskevat velvoitteet löytyvät tiedonhallintalaista. Tiedonhallintalain myötä julkisuuslain nojalla annettu asetus tietoturvallisuudesta valtionhallinnossa (681/2010) kumottiin.  

36 §.Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä . Pykälän 2 ja 3 momenttia ehdotetaan muutettavaksi niin, että viittaukset tietoturvalliseen käyttöpalveluun muutettaisiin viittauksiksi tietoturvalliseen siirtopalveluun.  

36 a §.Tietoaineistojen kokoajanoikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä . Lakiin ehdotetaan lisättäväksi uusi 36 a § tietoaineistojen kokoajan oikeudesta saada ja käsitellä tietoja salassapitovelvoitteiden estämättä. Pykälä vastaisi 36 §:n sisältöä, ja antaisi 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitetulle organisaatiolle, joka toimisi usean organisaation tietoaineistojen kokoajana, oikeuden saada ja käsitellä tietoja.  

Pykälän 1 momentissa säädettäisiin, että jos 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio olisi 51 §:ssä tarkoitetulla tavalla valittu usean organisaation tietoaineistojen kokoajaksi, sillä on salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä oikeus pyynnöstä saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä: 

1) tietoluvassa tarkoitetut tiedot tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä luovuttamiseksi luvansaajan käsiteltäväksi; 

2) tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai onko 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; sekä 

3) aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot; 

4) muut organisaation tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot kuin 1–3 kohdassa tarkoitetut tiedot. 

Tietoaineistojen kokoaja voisi käsitellä ainoastaan sellaisia tietoja, jotka olisivat välttämättömiä tietoluvassa tarkoitettujen tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi ja aggregoidun tilastotiedon tuottamiseksi. Tietoaineistojen kokoajalla ei olisi pääsyä muihin organisaatioiden rekisteritietoihin. Tietoaineistojen kokoaja pyytäisi organisaatioita luovuttamaan tietoluvassa tai tietopyynnössä tarkoitetut tiedot ja se suorittaisi niiden kokoamisen, yhdistelemisen ja esikäsittelyn kuten Tietolupaviranomainen voimassa olevan lain mukaan. 

Pykälän 2 momentissa säädettäisiin, että 1 momentissa tarkoitetut tiedot luovutetaan tietoaineistojen kokoajan käyttöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. Tietoaineistojen kokoaja voisi käyttää tietojen vastaanottamiseen joko olemassa olevaa 17 §:n mukaista tietoturvallista siirtopalvelua tai jotain muuta tietoturvallista palvelua. Tällaisen palvelun tulisi täyttää samat vaatimukset kuin 17 §:ssä tarkoitetun siirtopalvelun. 

Toisiolain 17 §:n 2 momentin mukaan henkilötietojen eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella, kun niitä välitetään tietoturvallisen siirtopalvelun välityksellä. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen siirtopalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. 

Pykälän 3 momentissa säädettäisiin, että tietoaineistojen kokoaja voisi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä sellaisista 6 §:ssä tarkoitettujen organisaatioiden tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. 

Pykälän 4 momentissa säädettäisiin, että tietoaineistojen kokoaja olisi pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä. 

37 §.Kehittämis- ja innovaatiotoiminta . Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siihen lisätään viittaus 6 §:ssä tarkoitettuihin organisaatioihin. Tietopyyntöjen käsittelyoikeus hajautettaisiin, jolloin myös 6 §:ssä tarkoitetut organisaatiot voisivat käsitellä tietopyyntöjä kehittämis- ja innovaatiotoiminnan käyttötarkoitukseen.  

42 §.Sosiaali- ja terveydenhuollon viranomaisohjaus ja –valvonta . Pykälän 3 momenttia ehdotetaan muutettavaksi niin, että viittaus tietoturvalliseen käyttöpalveluun muutettaisiin viittaukseksi tietoturvalliseen siirtopalveluun.  

43 §.Tietoluvan myöntämisen yleiset perusteet . Pykälän 5 momenttia ehdotetaan muutettavaksi niin, että siihen lisättäisiin viittaukset 6 §:ssä tarkoitettuihin organisaatioihin.  

44 §.Tietolupakäsittelyyn liittyvä toimivalta. Pykälä ehdotetaan kumottavaksi. Tietolupakäsittelyyn liittyvästä toimivallasta säädettäisiin uudessa 6 a §:ssä.  

45 §.Tietopyynnön käsittely . Pykälän 1 ja 2 momenttia ehdotetaan muutettavaksi niin, että niihin lisättäisiin viittaus 6 §:ssä tarkoitettuihin organisaatioihin. Hajautetun mallin mukaisesti myös 6 §:ssä tarkoitetut organisaatiot voisivat käsitellä tietopyyntöjä.  

46 §.Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että viittaukset tietopyyntöjen hallintajärjestelmään muutetaan viittauksiksi asiointipalveluun.  

Pykälän 2 momentissa Tietolupaviranomaisen määräyksen alaa ehdotetaan laajennettavaksi niin, että määräykseen sisältyisi myös tietolupa- ja tietopyyntöpäätöksen tietosisältö ja tietorakenteet. Momentin mukaan Tietolupaviranomainen antaisi määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista. Hybridimallissa on tärkeää, että kaikki 6 §:ssä tarkoitetut organisaatiot noudattavat yhtenäisiä ohjeistuksia ja malleja tietolupahakemusten, tietopyyntöjen, sekä tietolupa- ja tietopyyntöpäätösten käsittelyssä. 

47 §.Tietolupakäsittelyn määräajat. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että viittaus viranomaiseen muutettaisiin viittaukseksi organisaatioon.  

Pykälän 2 momenttia ehdotetaan muutettavaksi niin, että siihen lisätään viittaukset 6 §:ssä tarkoitettuun organisaatioon. 

Pykälän 3 momenttiin ehdotetaan tehtäväksi tekninen muutos, jossa 44 §:n 4 momentti muutettaisiin 6 a §:n 5 momentiksi. 

Pykälän 4 momenttia ehdotetaan muutettavaksi niin, että siihen lisättäisiin vastaavasti kuin 48 §:ssä aika hakijan lisäselvitykselle. Jos hakijan hakemuksensa tai pyyntönsä tueksi esittämä selvitys olisi riittämätön, rekisterinpitäjän olisi ilmoitettava viipymättä Tietolupaviranomaiselle ja hakijalle, mitä lisäselvitystä edellytetään. Tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot olisi tällöin toimitettava Tietolupaviranomaiselle 15 arkipäivän kuluessa siitä, kun hakijalta saadut lisäselvitykset olisivat riittäviä. 

48 §.Tietojen luovutuksia koskevat määräajat. Pykälää ehdotetaan muutettavaksi niin, että 51 §:ssä tarkoitetun tietoaineistojen kokoajan tehtävä lisättäisiin pykälään.  

Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että sen kaksi viimeistä virkettä siirretään pykälän uudeksi 3 momentiksi. 

Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan 6 §:ssä tarkoitetun rekisterinpitäjän olisi luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot 51 §:ssä tarkoitetun tietoaineistojen kokoajan pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun organisaatiot olisivat tehneet päätöksen siitä, että tiedot saa luovuttaa hakijalle. 

Pykälän 2, 3 ja 4 momentti muuttuisivat 4, 5 ja 6 momentiksi ja niihin lisättäisiin viittaus 51 §:ssä tarkoitettuun tietoaineistojen kokoajaan. 

49 §.Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulisi olla läpinäkyviä.  

Muutoksen tarkoituksena olisi lisätä tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen ja niiden kustannusperusteiden läpinäkyvyyttä, jotta tietolupahakemuksen ja tietopyynnön tekijällä olisi selkeästi tiedossa, mihin tietolupa- ja tietopyyntökäsittelyyn liittyvät kustannukset perustuvat. Toisiokäytön maksujen kustannusperusteissa on ollut epäselvyyttä erityisesti rekisterinpitäjien poimintakustannusten ja yksittäisten rekisterinpitäjien myöntämien tietolupien osalta. Muutoksen tarkoituksena olisi lisätä maksujen läpinäkyvyyttä ja näin ollen myös parantaa maksujen yhtenäisyyttä eri rekisterinpitäjien välillä. 

Toisiokäytön viranomaismaksuihin sovelletaan valtion maksuperustelakia (150/1992). Valtion maksuperustelain 6 §:n mukaan julkisoikeudellisesta suoritteesta valtiolle perittävän maksun suuruuden tulee vastata suoritteen tuottamisesta valtiolle aiheutuvien kokonaiskustannusten määrää. Valtion maksuperustelakia sovelletaan valtion viranomaisten maksuihin. Hyvinvointialueiden maksuista säädetään hyvinvointialueesta annetussa laissa (611/2021). Lain 22 §:n mukaan hyvinvointialueen aluevaltuusto päättää palveluista ja muista suoritteista perittävien maksujen yleisistä perusteista. 

Toisiokäytön maksuissa tulee ottaa huomioon datanhallinta-asetuksen 6 artiklan säännökset julkisen sektorin elinten datan uudelleenkäytöstä perittävistä maksuista. Julkisen sektorin elimellä tarkoitetaan datanhallinta-asetuksessa valtion viranomaisia, alue- tai paikallisviranomaisia, julkisoikeudellisia laitoksia tai yhden tai useamman tällaisen viranomaisen tai julkisoikeudellisen laitoksen muodostamia yhteenliittymiä. Datanhallinta-asetusta sovelletaan toisiolain 6 §:ssä tarkoitettujen organisaatioiden toimintaan. 

Datanhallinta-asetuksen 6 artiklan 2 kohdan mukaan julkisen sektorin elinten datan uudelleenkäytöstä perittävien maksujen tulee olla avoimia, syrjimättömiä, oikeasuhteisia ja objektiivisesti perusteltuja, eikä niillä saa rajoittaa kilpailua. Artiklan 4 kohdan mukaan julkisen sektorin elimet voivat asettaa datan saataville alennettuun hintaan tai maksutta, erityisesti pk-yrityksille ja startup-yrityksille, kansalaisyhteiskunnan toimijoille ja oppilaitoksille. Tätä varten julkisen sektorin elimet voivat laatia luettelon uudelleenkäyttäjien ryhmistä, joiden saataville tietoja uudelleenkäytöstä annetaan alennettuun hintaan tai maksutta. Datanhallinta-asetus sallii datan saataville asettamisen alennettuun hintaan tai maksutta, mikä mahdollistaa sen, että toisiolain mukaiset organisaatiot voivat edelleen asettaa alennettuja maksuja tai olla perimättä maksuja tietyiltä käyttäjäryhmiltä. 

Datanhallinta-asetuksen 6 artiklan 5 kohdan mukaan maksujen on perustuttava kustannuksiin, joita aiheutuu datan uudelleenkäyttöä koskevien pyyntöjen käsittelystä ja rajoituttava välttämättömiin kustannuksiin, jotka muodostuvat datan jäljentämisestä, saataville asettamisesta ja jakelusta, oikeuksien selvittämisestä, anonymisoinnista tai muusta henkilötietojen ja kaupallisesti luottamuksellisten tietojen valmistelusta 5 artiklan 3 kohdan mukaisesti, turvallisen käsittely-ympäristön ylläpitämisestä, luvun mukaisen uudelleenkäytön sallimista koskevan oikeuden hankkimisesta julkisen sektorin ulkopuolisilta kolmansilta osapuolilta ja uudelleenkäyttäjien tukemisesta näiden hakiessa suostumusta rekisteröidyiltä ja lupaa datan haltijoilta, joiden oikeuksiin ja etuihin tällainen uudelleenkäyttö voi vaikuttaa. Artiklan 6 kohdan mukaan julkisen sektorin elimen on julkaistava kuvaus kustannusten pääluokista ja kustannusten jakamisessa käytetyistä säännöistä. 

50 §.Palveluista perittävät korvaukset. Pykälää ehdotetaan muutettavaksi niin, että siitä poistettaisiin Tietolupaviranomaisen läpilaskutusvelvollisuus.  

Pykälän 1 momentissa säädetään Tietolupaviranomaisen palveluista perittävistä korvauksista. Muiden viranomaisten palveluista perittävistä korvauksista säädetään valtion maksuperustelaissa, viranomaista koskevassa erityislainsäädännössä tai hyvinvointialueesta annetussa laissa. 

Pykälän 2 momentin viimeinen virke ja 3 momentti ehdotetaan kumottavaksi niin, että Tietolupaviranomaisella ei olisi rekisterinpitäjien poimintakustannusten läpilaskutusvelvollisuutta. 

Läpilaskutusvelvoitteen poistaminen tarkoittaisi sitä, että silloin kun Tietolupaviranomainen on myöntänyt tietoluvan usean organisaation tietoaineistoja koskien, poimintakustannusten periminen tapahtuisi erikseen jokaisen rekisterinpitäjän toimesta. Rekisterinpitäjien poimintakustannukset eivät olisi enää osa Tietolupaviranomaisen luvansaajalta pyytämää korvausta. Muutoksen tarkoituksena on selkeyttää kustannusten laskuttamismenettelyä niin, että hakijalle olisi selkeää, mikä osa kustannuksista koostuu Tietolupaviranomaisen menettelystä ja mikä osa rekisterinpitäjien poimintamenettelystä. Lisäksi tarkoituksena on vähentää laskutukseen liittyvää hallinnollista taakkaa ja haasteita, joita on liittynyt ennakkolaskutusprosessiin. 

Hallintolain 8 §:n 1 momentin mukaan viranomaisen on toimivaltansa rajoissa annettava asiakkailleen tarpeen mukaan hallintoasian hoitamiseen liittyvää neuvontaa sekä vastattava asiointia koskeviin kysymyksiin ja tiedusteluihin. Tietolupaviranomaisen ja muiden toisiolaissa tarkoitettujen viranomaisten tulee tarjota tätä neuvontaa. Hakijan on mahdollista tiedustella hallintolain perusteella asiointia koskevia tietoja, kuten kustannusarviota tietoluvan tai tietopyynnön toteuttamisesta. 

Pykälän 4 momentin viimeinen virke ehdotetaan kumottavaksi. Sen mukaan tietoturvallisuuden arviointilaitoksen suorittamasta arvioinnista perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä. Tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) 11 §:ssä säädetään maksusta, jonka Liikenne- ja viestintävirasto perii tietoturvallisuuden arviointilaitoksen hyväksymistä koskevan asian käsittelystä. Tämä maksu veloitetaan arviointilaitoksen hyväksyntää hakevalta taholta. Hyväksytyt tietoturvallisuuden arviointilaitokset voivat hinnoitella markkinoilta hankittavat palvelunsa vapaasti ja sopia arvioinnista aiheutuvista kustannuksista toimeksiantajan kanssa. Arviointilaitosten suorittamiin arviointeihin liittyvistä maksuista ei ole säädetty. 

51 §.Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen. Pykälää ehdotetaan muutettavaksi niin, että tietoaineistojen käsittelyssä mahdollistetaan hajautettu malli. Usean organisaation tietoaineistoja voisivat koota ja yhdistellä Tietolupaviranomaisen lisäksi myös muut pykälässä tarkoitetut viranomaiset. Lisäksi voimassa olevan pykälän sisältöä jaettaisiin useampaan pykälään sääntelyn selkeyden vuoksi.  

Pykälän otsikkoa ehdotetaan muutettavaksi niin, että siihen lisättäisiin tietopyyntöpäätökset. Hajautetun mallin mukaisesti tietopyyntöjen käsittelyoikeus annettaisiin myös 6 §:ssä tarkoitetuille organisaatioille ja pykälässä tarkoitetut viranomaiset voisivat suorittaa tietoaineistojen kokoamista myös tietopyyntöjen osalta. 

Pykälän 1 momenttia muutettaisiin niin, että jos Tietolupaviranomainen olisi myöntänyt tietoluvan tai tehnyt tietopyyntöpäätöksen, se kokoaisi ja tarvittaessa yhdistelisi ja esikäsittelisi sekä pseudonymisoisi tai anonymisoisi tietoluvassa yksilöidyt tiedot tai tuottaisi tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 

Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan, jos hakemus tai tietopyyntö on koskenut usean organisaation tietoja ja kukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöpäätöksen omien tietoaineistojensa osalta, kyseiset organisaatiot voisivat päättää, että joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio kokoaisi tietoaineistot. Jos organisaatiot eivät pääsisi yhteisymmärrykseen siitä, mikä organisaatio kokoaisi tietoaineistot, tietoaineistot kokoaisi Tietolupaviranomainen. Tietoaineistojen kokoaja myös tarvittaessa yhdistelisi ja esikäsittelisi sekä pseudonymisoisi tai anonymisoisi tietoluvassa yksilöidyt tiedot tai tuottaisi tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 

Usean organisaation tietoaineistoja voisivat koota ja esikäsitellä Tietolupaviranomaisen lisäksi myös Terveyden ja hyvinvoinnin laitos, Kansaneläkelaitos, Lupa- ja valvontavirasto, Lääkealan turvallisuus- ja kehittämiskeskus tai jokin sosiaali- ja terveydenhuollon julkinen palvelunjärjestäjä silloin, kun ne ovat tietolupahakemuksen tai tietopyynnön kohteena. Usean organisaation tietoaineistojen kokoamis- ja yhdistämistehtävä on perustelua antaa viranomaistoimijalle, sillä kyse on arkaluonteisten ja erityisten henkilötietoryhmien käsittelystä. 

Terveyden ja hyvinvoinnin laitos, Lupa- ja valvontavirasto ja Lääkealan turvallisuus- ja kehittämiskeskus ovat julkisuuslain 4 §:n 1 momentin 1 kohdassa tarkoitettuja valtion virastoja tai laitoksia. Kansaneläkelaitos on julkisuuslain 4 §:n 1 momentin 5 kohdassa tarkoitettu viranomainen. Terveyden ja hyvinvoinnin laitos, Kansaneläkelaitos, Lupa- ja valvontavirasto ja Lääkealan turvallisuus- ja kehittämiskeskus käsittelevät arkaluonteisia sosiaali- ja terveystietoja niiden lakisääteisten tehtävien puitteissa. Viranomaisilla on voimassa olevan lainsäädännön nojalla oikeus vastaanottaa ja käsitellä muiden viranomaisten ja organisaatioiden tietoja lakisääteisten tehtäviensä puitteissa. Kyseisille viranomaistoimijoille olisi perusteltua antaa oikeus koota ja yhdistellä usean organisaation tietoaineistoja silloin, kun ne ovat tietolupahakemuksen tai tietopyynnön kohteena. 

Toisiolain 6 §:n 8 kohdan mukaiset sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät ovat sosiaali- tai terveydenhuollon palvelunantajia, joilla on viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden. Kohdan soveltamisalaan kuuluvat hyvinvointialueet, Helsingin kaupunki ja HUS-yhtymä. Julkisuuslain 4 §:n 1 momentin 4 kohdan mukaan viranomaisella tarkoitetaan myös hyvinvointialueen ja hyvinvointiyhtymän viranomaisia sekä kunnallisia viranomaisia. 

Sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisestä Uudellamaalla annetun lain 2 §:n 3 ja 4 momentin mukaan HUS-yhtymä on hyvinvointialueesta annetun lain 58 §:ssä tarkoitettu hyvinvointiyhtymä ja siihen sovelletaan, mitä hyvinvointialueesta annetun lain 8 luvussa säädetään hyvinvointiyhtymästä. HUS-yhtymän järjestäessä järjestämislain nojalla terveydenhuoltoa siihen sovelletaan lisäksi, mitä sosiaali- ja terveydenhuollon järjestämisestä annetun lain tietyissä pykälissä säädetään hyvinvointialueesta. HUS-yhtymään sovelletaan lisäksi, mitä muualla laissa säädetään terveydenhuollon järjestämisestä. 

Hyvinvointialueet, Helsingin kaupunki ja HUS-yhtymä saisivat oikeuden koota ja yhdistellä usean organisaation tietoaineistoja. Toimijat käsittelevät arkaluonteisia sosiaali- ja terveystietoja niiden lakisääteisten tehtävien puitteissa. Hyvinvointialueilla, Helsingin kaupungilla ja HUS-yhtymällä on kokemusta arkaluonteisten sosiaali- ja terveystietojen käsittelystä sekä ensiö- että toisiokäytön tarkoituksissa. Hyvinvointialueilla ja HUS-yhtymässä toteutetaan sosiaali- ja terveystietojen tutkimustoimintaa ja niillä on vakiintuneet käytännöt tutkimuksessa käytettyjen tietojen käsittelylle. Toimijoille olisi perusteltua antaa oikeus koota ja yhdistellä tietoaineistoja silloin, kun ne ovat tietolupahakemuksen tai tietopyynnön kohteena. Tehtävä tulisi helpottamaan toisiokäyttöä erityisesti hyvinvointialueiden tutkimustoiminnassa. 

Jotta viranomaiset voisivat toteuttaa tietoaineistojen kokoamis- ja yhdistämistehtäviä, niiden tulisi varmistaa riittävät resurssit ja osaaminen usean organisaation tietoaineistojen käsittelyyn. Usean organisaation tietoaineistojen kokoamistehtävistä ovat olleet alustavasti kiinnostuneita Terveyden ja hyvinvoinnin laitos, HUS-yhtymä ja jotkin hyvinvointialueet. Käytännössä viranomaisten tulisi varmistaa samantyyppisen osaamisen hankkiminen kuin tällä hetkellä Tietolupaviranomaisella on tietoaineistojen yhdistelystä. Toimijoita ei kuitenkaan edellytettäisi suorittamaan kokoamis- ja yhdistämistehtäviä, vaan tehtävä voitaisiin antaa myös Tietolupaviranomaiselle. 

Organisaatiot voisivat käsitellä tietoluvassa tai tietopyynnössä tarkoitettuja tietoja 36 a §:ssä tarkoitetulla tavalla. Organisaatioilla olisi oikeus saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä tehtäviensä hoitamiseksi välttämättömät tiedot, kuten tietoluvassa tarkoitetut tiedot niiden kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot. Organisaatiot voisivat saada ja käsitellä ainoastaan tietoluvan tai tietopyynnön käsittelemiseksi tarvittavia välttämättömiä tietoja. 

Toisiolain 6 §:ssä tarkoitetuille sosiaali- ja terveysministeriölle, Työterveyslaitokselle, Eläketurvakeskukselle ja Digi- ja väestötietovirastolle ei olisi perusteltua antaa oikeutta suorittaa toisiolain alaisten organisaatioiden tietoaineistojen kokoamis- ja yhdistämistehtäviä. Kyseiset organisaatiot eivät tällä hetkellä suorita sellaisia sosiaali- ja terveystietojen käsittelytehtäviä tai eivät ole tehtäviensä perusteella sen tyyppisiä toimijoita, joka perustelisi niiden toimimista tietoaineistojen kokoamis- ja yhdistämistehtävissä. 

Toisiolakia sovelletaan Digi- ja väestötietovirastoon siltä osin kuin lain mukaisiin tarkoituksiin tarvitaan väestötietojärjestelmästä henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja. Sosiaali- ja terveysministeriö ja Digi- ja väestötietovirasto eivät voimassa olevan lainsäädännön mukaan suorita sellaisia sosiaali- ja terveystietojen käsittelytehtäviä, joka perustelisi niiden toimimista tietoaineistojen kokoamis- ja yhdistämistehtävissä. 

Toisiolain 6 §:n 6 kohdassa tarkoitettu Työterveyslaitos on työterveyslaitoksen toiminnasta ja rahoituksesta annetun lain 1 §:n mukaan työsuojelu- ja työterveysalan tutkimus- ja palvelutoimintaa varten perustettu itsenäinen julkisoikeudellinen yhteisö. Lain 2 a §:n mukaan Työterveyslaitos voi käyttää altistumismittausten rekistereiden ja työperäisten sairauksien rekisterin tietoja alansa tutkimus- ja selvitystoimintaan ja luovuttaa niistä tietoja toimialansa yksilöityä tieteellistä tutkimusta varten siten kuin viranomaisten toiminnan julkisuudesta annetun lain 28 §:ssä säädetään. Julkisuuslain 4 §:n 1 momentin 5 kohdan mukaan viranomaisella tarkoitetaan myös itsenäisiä julkisoikeudellisia laitoksia. 

Toisiolain 6 §:n 10 kohdassa tarkoitettu Eläketurvakeskus on Eläketurvakeskuksesta annetun lain (397/2006) 1 §:n mukaan työeläkelaeissa tarkoitetun työeläketurvan toimeenpanon ja kehittämisen yhteiselin. Julkisuuslain 4 §:n 1 momentin 5 kohdan mukaan Eläketurvakeskuksen asiakirjoihin lakia sovelletaan 4 §:n 2 momentin mukaisesti. Julkisuuslain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. 

Ottaen huomioon Työterveyslaitoksen ja Eläketurvakeskuksen lainsäädännössä säädetyn aseman ja tehtävät, organisaation eivät ole sen tyyppisiä toimijoita, joille olisi perusteltua antaa oikeutta käsitellä toisiolain alaisten organisaatioiden tietoja tietoaineistojen kokoamis- ja yhdistämistehtävissä. 

Hakija voisi tietolupahakemuksessa tai tietopyynnössä ehdottaa, mikä 51 §:ssä tarkoitettu organisaatio toimisi tietojen kokoajana. Hakemuksen tai pyynnön kohteena olevat organisaatiot tekisivät tätä koskevan päätöksen perustuen muun muassa käytettävissä oleviin resursseihin ja osaamiseen. Organisaatiot voisivat päättää, että tietoaineistot kokoaisi joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio. Tietoaineistojen kokoajaa koskevan päätöksen tulisi olla yksimielinen. Jos organisaatiot eivät kuitenkaan pääsisi yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaisi Tietolupaviranomainen. 

Tietolupahakemuksen tekijällä on oikeus valita se tietoturvallinen käyttöympäristö, johon hän haluaa tietoluvan nojalla saadut tietoaineistot käsiteltäväksi. Lähtökohtaisesti olisi perusteltua, että tietoaineistojen kokoajana toimisi se viranomainen, jonka tietoturvalliseen käyttöympäristöön hakija toivoo tietoaineistot toimitettavaksi. Tässäkin voitaisiin kuitenkin tehdä tapauskohtaista harkintaa. Tietoturvallisen käyttöympäristön palveluntarjoajana voi toimia myös yksityinen taho. Yksityisillä palveluntarjoajilla ei olisi mahdollisuutta toimia tietoaineistojen kokoajana, vaan tämän tehtävän tulisi aina olla viranomaisen vastuulla. Tietoluvassa tarkoitetut tietoaineistot sisältävät arkaluonteisia ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, joiden käsittely on perusteltua antaa viranomaisen tehtäväksi. 

Yleisen tietosuoja-asetuksen 28 artiklan mukaan rekisterinpitäjät voivat antaa henkilötietojen käsittelytehtäviä niiden lukuun toimiville henkilötietojen käsittelijöille. Tietosuoja-asetuksen 28 artiklan mukaan rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Edellä tarkoitetuilla viranomaisilla olisi mahdollisuus käyttää tietojen kokoamistehtävissä niiden lukuun toimivia henkilötietojen käsittelijöitä, jos noudatetaan tietosuoja-asetuksen vaatimuksia. 

Pykälän 2, 3 ja 5 momentti kumottaisiin ja 2 momentin sisältö siirrettäisiin muutettuna uuteen 51 a §:ään. Pykälän 3 ja 5 momentin sisältö siirrettäisiin muutettuna uuteen 51 b §:ään. 

Pykälän entinen 4 momentti muuttuisi 3 momentiksi. Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen erityisasema tilastoviranomaisena säilytettäisiin ennallaan, joka tarkoittaisi sitä, että jos käyttötarkoitukseen tarvittaisiin Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, kyseinen tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot. Momenttiin lisättäisiin tilastoviranomaisille oikeus tuottaa tietopyynnössä tarkoitettu aggregoitu tilastotieto. 

51 a §.Tietoaineistojen käsittely yksittäisessä organisaatiossa. Lakiin ehdotetaan lisättäväksi uusi 51 a § tietoaineistojen käsittelystä yksittäisessä organisaatiossa.  

Pykälän 1 momentissa säädettäisiin, että jos hakija ilmoittaa tietolupahakemuksessa tai tietopyynnössä, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, että usean organisaation tietoaineistoja ei ole tarpeen yhdistellä, jokainen hakemuksessa tai tietopyynnössä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi omat tietoaineistonsa tai tuottaa niistä aggregoidun tilastotiedon. Organisaatiot voisivat käyttää pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta. 

Momentin tarkoituksena olisi mahdollistaa tietoaineistojen käsittely hajautetusti niin, että jokainen organisaatio käsittelisi ja toimittaisi omat tietoaineistonsa tietoturvalliseen käyttöympäristöön erikseen. Jos usean organisaation tietoaineistot olisi tarpeen pseudonymisoida yhtenäisellä pseudonymisointiavaimella, voisi Tietolupaviranomainen toimia pseudonymisointiavaimen tuottajana. 

Pykälän 2 momentissa säädettäisiin, että jos hakemus tai tietopyyntö on koskenut vain organisaation omia tietoaineistoja, tietoluvan myöntänyt tai tietopyyntöpäätöksen tehnyt 6 §:ssä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. 

Pykälän 3 momentissa säädettäisiin, että organisaatio voisi luovuttaa toimivallan pykälässä tarkoitettuun tietoaineistojen käsittelyyn omien tietoaineistojensa osalta Tietolupaviranomaiselle. 

Yksittäisille 6 §:ssä tarkoitetuille organisaatioille annettaisiin oikeus anonymisoida omat tietoaineistonsa. Pykälästä poistettaisiin viittaus siihen, että tietoaineistot tulisi aina toimittaa anonymisoitavaksi Tietolupaviranomaiselle. Organisaatio voisi kuitenkin luovuttaa toimivallan suorittaa tietoaineiston käsittelytehtäviä, kuten anonymisointia, Tietolupaviranomaiselle. 

51 b §.Tietoaineistojen luovutus tietoturvalliseen käyttöympäristöön. Lakiin ehdotetaan lisättäväksi uusi 51 b § tietoaineistojen luovutuksesta tietoturvalliseen käyttöympäristöön. Voimassa olevassa laissa tietoaineistojen luovutuksesta säädetään 51 §:n 3 momentissa. Sääntelyyn lisättäisiin viittaus 51 c ja 51 d §:ssä tarkoitettuihin poikkeustietolupiin.  

Pykälän 1 momentissa säädettäisiin, että muissa kuin 51 c ja 51 d §:ssä tarkoitetuissa tilanteissa tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. 

Pykälän 2 momentissa säädettäisiin, että käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset. 

51 c §.Tietoaineistojen luovutus luvansaajalle muuhun turvalliseen käyttöympäristöön. Lakiin ehdotetaan lisättäväksi uusi 51 c § tietoaineistojen luovutuksesta luvansaajalle muuhun turvalliseen käyttöympäristöön. Pykälän tarkoituksena olisi mahdollistaa kansainvälinen tutkimusyhteistyö toisiolain alaisilla tietoaineistoilla. Pykälä mahdollistaisi toisiolain mukaisten tietoaineistojen luovutuksen myös sellaisiin turvallisiin käyttöympäristöihin, jotka eivät olisi toisiolain 20 §:ssä tarkoitettuja tietoturvallisia käyttöympäristöjä. Tietoaineistoja olisi siis mahdollista luovuttaa myös tiettyihin ulkomaisiin käyttöympäristöihin, jos hakija voisi osoittaa täyttävänsä pykälän vaatimukset. Kyseessä voisi olla esimerkiksi jonkin tunnetun ja luotettavan ulkomaisen yliopiston tai yliopistosairaalan käyttöympäristö. Pykälän on tarkoitus olla väliaikainen ratkaisu kansainvälisen tutkimusyhteistyön mahdollistamiselle ennen EU:n asetuksen eurooppalaisesta terveystietoalueesta soveltamista.  

Pykälän 1 momentissa säädettäisiin, että Tietolupaviranomainen voisi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voitaisiin luovuttaa muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Tällainen tietolupa voitaisiin myöntää, jos: 

kansalliseen turvallisuuteen kohdistuvat ja muut tietoluvan nojalla luovutettavaan tietoaineistoon kohdistuvat riskit ovat vähäiset; 

yhtenä osallistujana hankkeessa on taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa; ja  

tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä on riittävä. 

Pykälän 2 momentissa säädettäisiin, että hakijan tulisi perustella tietolupahakemuksessaan, miksi tietoaineistoa ei olisi mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja antaa kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voisi arvioida, täyttyvätkö 1 momentissa säädetyt edellytykset. Tietolupaan voitaisiin liittää tarkempia tietojen käsittelyä koskevia ehtoja. 

Hakijan tulisi toimittaa Tietolupaviranomaiselle kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voisi arvioida 1 momentin vaatimusten toteutumista. Hakijan tulisi toimittaa tietolupahakemuksen liitteenä tiedonhyödyntämissuunnitelma ja tietosuojalainsäädännön mukainen tietosuoja- ja tietoturvadokumentaatio. Hakijan tulisi toimittaa hakemukseen lisätietoja Tietolupaviranomaisen pyynnöstä. 

Hakijan tulisi perustella hakemuksessaan, miksi poikkeustietolupa tulisi myöntää ja tietoaineistoa ei olisi mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. Lähtökohtaisesti poikkeustietolupaa olisi mahdollista hakea vain sellaisessa tilanteessa, jossa tietoja ei olisi hankkeen käyttötarkoituksen ja toteuttamisen kannalta mahdollista käsitellä toisiolain 20 §:n mukaisessa tietoturvallisessa käyttöympäristössä. Kyseessä voisi olla esimerkiksi tilanne, jossa tietojen luovuttaminen muuhun turvalliseen käyttöympäristöön olisi välttämätöntä kansainväliseen tutkimusyhteistyöhön osallistumiseksi ja kyseinen kansainvälinen rekisteritutkimushanke olisi tieteellisesti merkittävä. Jos hankkeessa tapahtuva tietojen käsittely olisi mahdollista toteuttaa toisiolain 20 §:n mukaisessa tietoturvallisessa käyttöympäristössä, tiedot tulisi luovuttaa kyseiseen käyttöympäristöön. 

Tietolupaviranomainen arvioisi tapauskohtaisesti, voidaanko poikkeustietolupa myöntää. Harkinnan tulisi perustua kokonaisarviointiin, jossa otetaan huomioon sekä hankkeen toteutumisesta aiheutuvat potentiaaliset hyödyt että käsittelystä aiheutuvat mahdolliset riskit. Arvioidessa 1 momentissa tarkoitettuja vaatimuksia tulisi ottaa huomioon luovutettavaan tietoaineistoon kohdistuvat riskit ja erityisesti luovutettavan tietoaineiston laajuus ja laatu. Arvioinnissa voidaan ottaa huomioon sopimusjärjestelyt tietosuojaan ja tietoturvaan liittyvien riskien hallitsemiseksi. Käyttöympäristön ylläpitäjän tulisi olla tunnettu ja luotettava taho. Muihin kuin 20 §:ssä tarkoitettuihin käyttöympäristöihin ei tulisi luovuttaa tietoaineistoja, jotka voisivat aiheuttaa kansalliseen turvallisuuteen kohdistuvan riskin. Kansalliseen turvallisuuteen voisivat vaikuttaa esimerkiksi pyynnöt saada laajaa tietoaineistoa koskien suomalaisten sosiaali- tai terveystietoja tai sosioekonomisia tietoja. 

Riskien tulisi olla vähäiset, jotta poikkeustietolupa olisi mahdollista myöntää. Riskin madaltamiseksi muuhun turvalliseen käyttöympäristöön tulisi luovuttaa lähtökohtaisesti ainoastaan anonymisoituja tietoaineistoja. Anonymisoidussa tiedossa jäännösriski yksittäisen henkilön tunnistamisesta on vähäinen. Tietoaineistot olisi mahdollista luovuttaa pseudonymisoidussa muodossa vain, jos se olisi käyttötarkoituksen kannalta välttämätöntä. Tällöinkin tulisi varmistaa, että tietoaineistojen laajuus ja laatu olisi arvioitu riskien ja minimointiperiaatteen kannalta ja muut tietojen käsittelyä koskevat vaatimukset täytettäisiin. 

Hankkeessa tulisi olla mukana taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa. Kyseessä voisi olla yksittäinen suomalainen tutkija tai tutkimusorganisaatio, joka on sijoittautunut Suomeen. Vaatimus suomalaisen tutkijan tai tutkimusorganisaation osallistumisesta hankkeeseen voisi osaltaan vähentää niitä riskejä, joita tietoaineiston käsittely ja luovutus Suomen ulkopuolelle voisi aiheuttaa. Toisaalta vaatimus myös kannustaisi tutkimusyhteistyötä suomalaisten ja ulkomaisten tutkimusorganisaatioiden välillä. 

Tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä tulisi olla riittävä. Vaatimuksen täyttämiseksi tietoaineistojen käsittelystä ja käyttöympäristöstä, johon luovutus tapahtuisi, tulisi olla käytettävissä tietosuoja-asetuksen näkökulmasta riittävä tietosuoja- ja tietoturvadokumentaatio. Huomioon tulee ottaa muun muassa tietosuoja-asetuksen 24 artiklan rekisterinpitäjän vastuu, 25 artiklan sisäänrakennettu ja oletusarvoinen tietosuoja, 30 artiklan seloste käsittelytoimista ja 32 artiklan käsittelyn turvallisuus. Jos henkilötietojen käsittely voisi todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, käsittelystä tulisi olla laadittuna tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Joissain tilanteessa kyseeseen voisi tulla myös tietosuoja-asetuksen 36 artiklan mukainen valvontaviranomaisen ennakkokuuleminen. Jos hankkeessa luovutettaisiin henkilötietoja kolmansiin maihin, luovutuksessa tulisi huomioida yleisen tietosuoja-asetuksen V luvun vaatimukset henkilötietojen siirrosta kolmansiin maihin, kuten 45 artiklan mukainen tietosuojan riittävyyttä koskeva päätös. Rekisterinpitäjän vastuulla on laatia tietosuoja-asetuksen mukainen dokumentaatio henkilötietojen käsittelystä. 

Pykälän 2 momentin mukaan tietolupaan voitaisiin liittää tarkempia tietojen käsittelyä koskevia ehtoja. Tarkemmissa ehdoissa tulisi ottaa huomioon poikkeusluvan kohteena olevan käyttöympäristön erityispiirteet, kuten käyttöympäristön valvonta ja tuotettujen tulosten anonymisointi. Suomalaisten viranomaisten mahdollisuudet valvoa Suomen ulkopuolella sijaitsevassa käyttöympäristössä tapahtuvaa tietojen käsittelyä ovat vähäiset. Poikkeustietolupa vaikuttaa myös mahdollisuuteen varmistaa käyttöympäristöstä ulos otettavien tulosten anonymisointi. Toisiolain 52 §:n sääntelyä sovelletaan ainoastaan 20 §:n mukaisiin tietoturvallisiin käyttöympäristöihin. Poikkeustietolupaan olisi mahdollista liittää tarkempia tietojen käsittelyä koskevia ehtoja, joiden tarkoituksena olisi varmistaa, että käyttöympäristöstä ulos otettavat tiedot on anonymisoitu luotettavasti. Tarpeen mukaan tulisi edellyttää, että Tietolupaviranomainen varmistaisi tuotettujen tulosten anonymisoinnin. 

Pykälän 3 momentissa säädettäisiin, että jos Tietolupaviranomainen olisi myöntänyt 1 momentissa tarkoitetun tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi muussa turvallisessa käyttöympäristössä kuin 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. 

51 d §.Anonymisoitujen tietoaineistojen luovutus. Lakiin ehdotetaan lisättäväksi uusi 51 d § anonymisoitujen tietoaineistojen luovutuksesta. Pykälä mahdollistaisi anonymisoitujen tietoaineistojen luovuttamisen toisiolain 20 §:ssä tarkoitettujen tietoturvallisten käyttöympäristöjen ulkopuolelle, jos tietyt edellytykset täyttyvät.  

Pykälän 1 momentissa säädettäisiin, että 6 §:ssä tarkoitettu organisaatio voisi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos tietolupahakemus koskee ainoastaan kyseisen organisaation tietoja. Jos tietolupahakemus koskisi usean 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen voisi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle. 

Organisaatio voisi myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos kyseessä olisi tietolupahakemus, joka koskisi ainoastaan sen omia tietoaineistoja. Jos taas tietolupahakemus koskisi usean 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen käsittelisi tietolupahakemuksen. Tietolupaviranomainen käsittelisi usean organisaation tietoaineistoja koskevat tietoluvat, jotta keskitetty viranomainen voisi arvioida koko tietolupahakemuksessa pyydettävään tietoaineistoon kohdistuvia riskejä ja voisi anonymisoida koko tietoaineiston yhdenmukaisella ja luotettavalla tavalla. Yksittäisillä organisaatioilla ei olisi mahdollisuutta arvioida koko tietoaineistoon kohdistuvia riskejä, jos ne käsittelisivät tietolupahakemuksen vain omien tietoaineistojensa osalta. 

Poikkeuslupaa olisi mahdollista hakea sellaisissa tilanteissa, joissa anonymisoitujen tietoaineistojen käsittely olisi mahdollista toteuttaa turvallisesti muussa käyttöympäristössä kuin toisiolain 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. Hakijan tulisi hakemuksessaan perustella, miksi anonymisoidut tiedot tulisi luovuttaa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle. Kyseessä voisi olla esimerkiksi tilanne, jossa muussa käyttöympäristössä olisi tarjolla teknisiä ominaisuuksia tai ohjelmistoja, joita ei olisi tarjolla 20 §:ssä tarkoitetuissa käyttöympäristöissä. 

Pykälän 2 momentissa säädettäisiin, että 6 §:ssä tarkoitettu organisaatio voisi luovuttaa toimivallan antaa pykälässä tarkoitettuja tietolupapäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle. Tietolupaviranomainen tekisi tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia koskevat päätökset. 

Pykälän 3 momentissa säädettäisiin, että 1 momentissa tarkoitetun luvan myöntämisen edellytyksenä olisi, että tietoaineistoon kohdistuvat riskit ovat vähäiset ja että tietoaineisto on mahdollista anonymisoida luotettavalla tavalla. Riskien arviointi tulisi toteuttaa tapauskohtaisesti ja ottaen huomioon tietoaineiston laajuus ja laatu. Tiedot tulisi voida anonymisoida tavalla, jossa anonymisoidusta tietoaineistosta ei olisi mahdollista tunnistaa yksittäistä rekisteröityä. Tällaisiin anonymisoituihin tietoihin ei enää sovelleta tietosuojalainsäädännön vaatimuksia. 

Tietosuoja-asetuksen johdan-osan 26 kohdan mukaan tietosuojaperiaatteita ei sovelleta anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. 

Jos kyseessä oleva tietoaineisto sisältäisi tietoja, joihin kohdistuva uudelleentunnistamisen riski lisätietoja käyttämällä olisi korkea tai tietoaineistoa ei olisi mahdollista muusta syystä anonymisoida luotettavalla tavalla, tietolupahakemus olisi mahdollista käsitellä kuten tavallinen tietolupa, jolloin tietoaineistot luovutettaisiin käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. 

Pykälän 4 momentissa säädettäisiin, että 6 §:ssä tarkoitettu organisaatio tai Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä anonymisoi tietoluvassa yksilöidyt tiedot ja luovuttaa tuottamansa anonymisoidun tietoaineiston luvansaajalle. Jos yksittäinen organisaatio olisi myöntänyt tietoluvan sen omia tietoaineistojaan koskien, se esikäsittelisi ja anonymisoisi tietoaineistot ja luovuttaisi anonymisoidut tiedot luvansaajalle. Jos taas Tietolupaviranomainen olisi myöntänyt tietoluvan, se esikäsittelisi ja anonymisoisi tietoaineistot ja luovuttaisi anonymisoidut tiedot luvansaajalle. 

52 §.Tulosten tuominen ulos tietoturvallisesta käyttöympäristöstä . Pykälän otsikko ehdotetaan muutettavaksi niin, että pykälä koskisi tulosten tuomista ulos tietoturvallisesta käyttöympäristöstä. Voimassa olevassa pykälässä säädetään tietoluvan nojalla luovutetuista tiedoista johdettujen tulosten julkaisusta. Pykälässä on kuitenkin tarkoituksena säätää siitä, minkälaisia tietoja voidaan ottaa ulos tietoturvallisesta käyttöympäristöstä, ei niinkään tulosten julkaisusta. Pykälän tarkoituksena on varmistaa, että tietoturvallisista käyttöympäristöistä ei voida ottaa ulos henkilötietoja.  

Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan tuoda ulos tietoturvallisesta käyttöympäristöstä, luvansaaja anonymisoisi tietoturvallisesta käyttöympäristöstä ulos otettavat tulokset. Tulosten anonymisointi olisi lähtökohtaisesti luvansaajan vastuulla. Tietolupaviranomainen voisi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle. 

Pykälän 2 momenttia ehdotetaan muutettavaksi kokonaisuudessaan. Sen mukaan, jos tulokset olisi anonymisoinut luvansaaja, sen tulisi ilmoittaa Tietolupaviranomaiselle, että se aikoo tuoda tulokset ulos tietoturvallisesta käyttöympäristöstä. Tietolupaviranomainen varmistaisi tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella. Tietolupaviranomainen varmistaisi anonymisoinnin sekä sellaisten tietolupien osalta, jotka se on itse myöntänyt, että muiden organisaatioiden myöntämien tietolupien osalta. Anonymisoinnin varmistamisessa olisi mahdollista käyttää teknisiä ratkaisuja, jotka helpottaisivat ja sujuvoittaisivat varmistamista. Tietolupaviranomainen varmistaisi anonymisoinnin riskiperusteisen arvioinnin perusteella. Esimerkiksi sellaisten tietoaineistojen, joihin kohdistuu matala riski rekisteröityjen tunnistamisesta tai luvansaajien, jotka ovat aiemmin tuottaneet luotettavasti anonymisoituja tuloksia osalta tulosten anonymisoinnin varmistamista olisi mahdollista toteuttaa satunnaisilla tarkastuksilla. Tietolupaviranomainen ilmoittaisi luvansaajalle luvansaajan tekemän ilmoituksen perusteella, tuleeko se varmistamaan anonymisoinnin. 

Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan Tietolupaviranomainen voisi antaa tarkempia määräyksiä tulosten anonymisoinnista. Määräyksessä olisi mahdollista tarkemmin määrittää, miten tietoturvallisesta käyttöympäristöstä ulos otettavien tulosten anonymisointi tulisi toteuttaa yhdenmukaisella ja luotettavalla tavalla. 

58 §.Muutoksenhaku. Pykälään ehdotetaan teknisiä muutoksia, jossa viittaukset toteutettaisiin nykyisten ohjeistusten mukaisesti ja viittaus hallintolainkäyttölakiin päivitettäisiin oikeudenkäynnistä hallintoasioissa annettuun lakiin (808/2019). Pykälän 2 momentin toinen lause ehdotetaan kumottavaksi, sillä jatkovalitusoikeudesta säädetään oikeudenkäynnistä hallintoasioissa annetun lain 107 §:ssä . 

60 §. Siirtymäsäännökset. Pykälän 4, 8 ja 9 momentteihin ehdotetaan tehtäväksi muusta esityksestä johtuvia teknisiä muutoksia.  

7.2  Laki kliinisestä lääketutkimuksesta

30 §.Muutoksenhaku. Pykälään lisättäisiin maininta siitä, että 34 §:n 1 momentissa mainitun viranomaisasemassa olevan rekisterinpitäjän 34 §:n nojalla tekemään rekisteritietojen luovuttamista koskevaan päätökseen saisi vaatia oikaisua. Ehdotus liittyy 34 §:ään ehdotettaviin muutoksiin, joissa säädettäisiin kliinisten lääketutkimusten eri rekisteritietoihin kohdistuvista tiedonsaantioikeuksista sekä rekisterinpitäjän velvollisuudesta tehdä päätös tietojenluovutuspyynnön johdosta.  

34 §.Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa . Pykälän otsikko muutettaisiin vastaamaan paremmin pykälään ehdotettavien säännösten sisältöä. Pykälään esitettävät muutokset liittyvät 1. lakiehdotukseen sisältyvään ehdotukseen siitä, ettei toisiolakia sovellettaisi kliinisissä lääketutkimuksissa tapahtuvaan henkilötietojen käsittelyyn tilanteessa, jossa tutkittavalta on saatu osallistumissuostumus tutkimukseen tai jossa hätätilatutkimuksen suorittamisen edellytykset täyttyvät. Voimassa olevassa pykälässä säädetään kliinisen lääketutkimuksen toimeksiantajan, hänen edustajansa, tutkijan ja tutkimusryhmän jäsenen oikeudesta saada ja käsitellä potilasasiakirjoihin merkittyjä tietoja sekä THL:n Hilmo-, avoHilmo- ja tartuntatautirekisterin mikrobilöydöksiä koskevia tietoja tutkimuksen suorittamista varten. THL:n rekisteritietojen osalta tiedonsaantioikeus koskee nykyisin myös tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen edustajaa. Jotta jatkossa ei esiintyisi epäselvyyttä siitä, minkä lain alla tietyt muut kliinisissä lääketutkimuksissa keskeisesti tarvittavat rekisteritiedot on mahdollista saada tutkimusten käyttöön, ehdotetaan pykälään asiasta nimenomaista sääntelyä.  

Ehdotetun 1 momentin perusteella kliinisten lääketutkimusten käyttöön olisi mahdollista saada sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja momentin 1–6 kohdissa tarkoitetuilta rekisterinpitäjiltä. Kohdassa 1 tarkoitettujen THL:n rekisteritietojen osalta tiedonsaantioikeus vastaisi voimassa olevaa sääntelyä. THL:n tautirekistereiden ja hoitoilmoitusrekistereiden tietoja sekä terveydenhuollon palvelunkäyttöä koskevia tietoja voidaan hyödyntää esimerkiksi lääkkeen teho- ja haittaprofiilin arvioimisessa erilaisissa potilasryhmissä, epidemiologisten vertailujen tekemisessä sekä hoitomenetelmien kehittämissä. Momentin 2 kohta koskisi Kelan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja sekä Kelan reseptikeskukseen tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista. Kelan lääkekorvaus- ja reseptitietojen sekä sosiaalietuustietojen avulla voidaan selvittää lääkkeen käyttäjien hoitoon sitoutumista, lääkevaihtoja sekä mahdollisia työ- tai toimintakyvyn muutoksia. Lisäksi Kelan etuus- ja lääkekorvaustiedot mahdollistavat lääkehoidon toteutuman ja vaikuttavuuden arvioinnin. Kohdassa 3 säädetty tiedonsaantioikeus koskisi Lupa- ja valvontaviraston henkilötietoja niiltä osin kuin ne käsittelevät sosiaali- ja terveydenhuoltoon liittyviä asioita. Lupa- ja valvontaviraston tietoja voidaan käyttää taustamuuttujina sekä vertailun välineenä osana esimerkiksi sellaista lääkehoidon tutkimusta, jossa hoitoympäristön, henkilöstön ja potilasturvallisuuden näkökulmien huomioiminen on tutkimuksen luotettavuuden kannalta keskeistä. Kohta 4 koskisi Työterveyslaitoksen työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä saatavia tietoja. Kohta 5 koskisi Fimean rekisteritietoja, joista keskeisimmät olisivat lääkkeiden erityisluparekisterin tiedot, lääkkeiden haittavaikutusrekisterin tiedot sekä lääkinnällisten laitteiden vaaratilannerekisterin tiedot. Myös Fimealle tehtävistä veri- ja kudosturvallisuuteen liittyvistä ilmoituksista saatavat tiedot kuuluisivat ehdotetun sääntelyn piiriin. Fimean rekisteritietoja voidaan käyttää esimerkiksi tutkittavan lääkehoidon turvallisuusprofiilin täydentämiseen tai haittavaikutusten vertailuun. 

Ehdotetun 6 kohdan mukaan tiedonsaantioikeus koskisi sosiaali- ja terveydenhuollon toiminnassa tallennettuja tutkittavaa koskevia henkilötietoja sosiaali- ja terveydenhuollon julkisilta ja yksityisiltä palvelunjärjestäjiltä. Jo voimassa olevan lain mukaan kliinisissä lääketutkimuksissa on mahdollista käsitellä potilasasiakirjoihin merkittyjä tietoja, mutta ehdotettu sääntely laajentaisi oikeuden koskemaan myös sosiaalihuollon tietoja. Esimerkiksi laajoissa rokotetutkimuksissa sosiaalihuollon rekisteritiedot voivat olla tärkeä tiedonlähde, kun halutaan arvioida rokotteen estävää vaikutusta esimerkiksi laitoshoitoon tai muuhun sosiaalihuollon tukipalveluihin joutumiselle. Tällä vuorostaan on huomattava vaikutus rokotteiden kustannusvaikuttavuusarviointeihin, sillä laitoshoitoon joutuminen on erityisen kallis toimenpide. Samankaltaisia tutkimusasetelmia voi olla esimerkiksi psyykenlääkkeiden tutkimuksessa, kun arvioidaan lääkehoidon vaikuttavuutta tutkittavan sosiaalihuollon tuen tarpeeseen. 

Pykälän 1 momentissa säädetty tiedonsaantioikeus olisi rajattu 1–6 kohdissa tarkoitettujen rekisterinpitäjien 1 momentissa tarkoitettuihin välttämättömiin tietoihin. Tätä yksityiskohtaisempien rajausten tekeminen lain tasolla tietoaineistokohtaisesti ei ole katsottu perustelluksi tai edes mahdolliseksi ottaen huomioon tieteellisen tutkimustoiminnan luonteen ja ominaispiirteet. Kliinisten lääketutkimusten toteuttaminen vaatii tyypillisesti ainakin diagnostiikka-, toimenpide-, lääkitys- ja laboratoriotietojen käyttöä. Kuitenkin kliinisten lääketutkimusten – samoin kuin muidenkin esityksessä tarkoitettujen kliinisten tutkimusten – tutkimusasetelmat voivat erota toisistaan merkittävästikin, mistä syystä etukäteen ei ole mahdollista poissulkevasti ennakoida, mitkä tietoaineistot kussakin yksittäistapauksessa ovat välttämättömiä tutkimusten suorittamiseksi. Kliinisissä tutkimuksissa tiedon tarpeet täsmentyvät tutkimuksen edetessä, ja käsiteltävien tietojen laajuus saattaa vaihdella potilaskohtaisestikin. Kliinisten tutkimusten tiedontarpeet kehittyvät ajassa, mistä syystä tietokategorioiden tarkempi yksityiskohtainen listaaminen tai poissulkeva rajaaminen lain tasolla ei olisi aikaa kestävä tai tieteellisen tutkimustoiminnan nopeaa kehittymistä huomioiva ratkaisu. Rekisteritietoja hyödyntämällä tietyissä tutkimusasetelmissa voidaan myös välttyä altistamasta tutkittavaa ylimääräisille interventioille ja siten vähentää tutkimuksesta tutkittavalle aiheutuvaa rasitusta ja potentiaalista haittaa. Ehdotuksen perusteella ei kuitenkaan olisi mahdollista automaattisesti saada tutkimuksen käyttöön mitä tahansa tietoja, vaan edellytyksenä 1 momentissa tarkoitettujen tietojen saamiselle ja muulle käsittelylle olisi nykytilaa vastaavasti se, että tietojen saanti ja käsittely on välttämätöntä, ja tämän edellytyksen täyttyminen arvioitaisiin tapauskohtaisesti. 

Toisin kuin toisiolain 6 §:ssä, lääketutkimuslaissa ei säädettäisi sosiaali- ja terveysministeriön, Eläketurvakeskuksen ja Digi- ja väestötietoviraston rekisteritietoihin sekä Tilastokeskuksen kuolemansyyn selvittämisestä annetussa laissa tarkoitettuihin kuolinsyytietoihin kohdistuvista tiedonsaantioikeuksista. Sosiaali- ja terveysministeriön osalta esityksen valmistelussa ei ole tunnistettu, että ministeriöllä olisi rekisterinpidossaan sellaisia henkilötietoja, joita tyypillisesti tarvittaisiin kliinisten lääketutkimusten suorittamiseksi. Eläketurvakeskuksen ja Digi- ja väestötietoviraston rekisteritietojen sekä Tilastokeskuksen kuolinsyytietojen osalta puolestaan sovelletaan jo nykyisinkin lähtökohdiltaan erilaista menettelyä tietojen luovuttamisessa tutkimusten käyttöön kuin muiden säännöksessä mainittujen organisaatioiden kohdalla. Tästä syystä Eläketurvakeskuksen, DVV:n ja Tilastokeskuksen sisällyttämistä säännöksessä ehdotetun tiedonsaantioikeuden piiriin ei ole katsottu tarkoituksenmukaiseksi. Eläketurvakeskus on voinut jo nykytilassa luovuttaa tietojaan julkisuuslain 28 §:n nojalla silloin, kun Eläketurvakeskuksen tietoja ei ole yhdistetty toisiolain 6 §:ssä tarkoitetun toimijan tietoihin. DVV:n tietojen luovuttamisesta on erityissääntelyä väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalvelusta annetun lain 28 ja 30 §:ssä, joka mahdollistaa tarpeellisten tietojen luovuttamisen tieteelliseen tutkimukseen. Vastaavasti Tilastokeskuksen osalta tilastolain 19 §:n 2 momentissa säädetään, että kuolemansyytietojen luovuttamisessa tutkimuskäyttöön sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 28 §:ää. 

Lisäksi erona voimassa olevaan toisiolain sääntelyyn nähden myöskään Kelan Kanta-palveluihin sisältyvät tiedot eivät kuuluisi ehdotetun tiedonsaantioikeussäännöksen piiriin. Tämä johtuu siitä, että Kela ei ole Kanta-palveluun tallennettujen tietojen rekisterinpitäjä, vaan se toimii henkilötietojen käsittelijänä Kanta-palveluihin tallennetuille tiedoille. Kanta-palvelun tietojen käsittelyyn ja luovuttamiseen liittyvistä menettelyistä ja vastuista on yksityiskohtaista sääntelyä asiakastietolaissa. Esityksen valmistelussa on arvioitu, että Kanta-tietojen sisällyttäminen ehdotetun sääntelyn piiriin edellyttäisi Kanta-palveluista tapahtuvien tiedonluovutusprosessien yksityiskohtaista läpikäyntiä ja arviointia, mitä ei tässä yhteydessä ole mahdollista tehdä, vaan asia edellyttäisi laajempaa jatkovalmistelua. 

Ehdotetun 1 momentin tarkoituksena ei kuitenkaan olisi poissulkevasti säätää siitä, etteikö tutkimuksissa saisi käyttää muitakin kuin 1 momentissa tarkoitettuja tietoja. Muut tiedot olisi mahdollista saada tutkimusten käyttöön muun kussakin tilanteessa sovellettavan lain, kuten esimerkiksi julkisuuslain, nojalla. Esityksessä ehdotettavan kokonaisuuden kannalta keskeistä on, ettei toisiolakia sovellettaisi tietojen luovuttamiseen ja käsittelyyn, kun tutkittavalta on saatu osallistumissuostumus tutkimukseen tai jos hätätilatutkimuksen suorittamisen edellytykset täyttyvät. 

Pykälän 1 momenttiin ehdotetuilla muutoksilla lisäksi yhtenäistettäisiin niiden tahojen joukkoa, jotka ovat oikeutettuja saamaan ja käsittelemään momentin tarkoittamia tietoja pykälässä säädetyn tiedonsaantioikeuden nojalla. Nykyisin tutkimusta valvovan viranomaisen tai tutkimuksen perusteella myyntilupaa myöntävän viranomaisen edustajalla on lääketutkimuslain 34 §:n 4 momentin perusteella tiedonsaantioikeus THL:n Hilmo-, avoHilmo- ja tartuntatautirekisterin mikrobilöydöksiä koskeviin tietoihin silloin, kun niitä on hyödynnetty kliinisen lääketutkimuksen suorittamisessa, ja näiden tahojen tiedonsaantioikeus on siis tarkoitus ulottaa koskemaan myös muita säännöksessä tarkoitettuja kliinisen tutkimuksen suorittamisessa hyödynnettyjä tietoja. Oikeus tietojen saamiseen koskisi ennen kaikkea tutkimusta valvovaa ulkomaalaista viranomaista, jolla yksittäistapauksessa saattaa olla tarvetta kohdistaa valvontatoimenpiteitä Suomessa toteutettuun kliiniseen lääketutkimukseen. Kliinisten lääketutkimusten kohdalla eri maiden lääkeviranomaiset saattavat kohdentaa hyvää kliinistä tutkimustapaa (good clinical practice, ”GCP”) koskevia tarkastuksia muissa maissa suoritettuihin kliinisiin lääketutkimuksiin. Tällaiset tarkastukset voivat koskea esimerkiksi tilanteita, joissa tietyssä maassa suoritettavan tutkimuksen yhteydessä viitataan muualla suoritetun tutkimuksen tuloksiin, ja kyseisen maan viranomaisella on tarve varmentaa viitatun tutkimuksen suorittaminen hyvän kliinisen tutkimustavan standardien mukaisesti ja sen tulosten luotettavuus. Hyvän kliinisen tutkimustavan kansainväliset standardit on vahvistettu ICH:n (International Council on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use) hyvää kliinistä tutkimustapaa koskevassa ohjeessa, jonka uusin päivitys on hyväksytty tammikuussa 2025. Guideline for Good Clinical Practice E6(R3) Ohje edellyttää, että tutkimuksen toimeksiantajan tulee varmistaa, että niin kotimaisten kuin ulkomaisten toimivaltaisten viranomaisten on sallittua suorittaa tutkimukseen kohdistuvia tarkastuksia, joiden piiriin sisältyy muun muassa suora pääsyoikeus tutkimuksen lähdetietoihin.  

Lisäksi jos Suomessa suoritetun kliinisen lääketutkimuksen tulosten perusteella lääkkeelle haetaan myyntilupaa jossakin muussa maassa, voi myyntilupaa myöntävän viranomaisen edustajalla olla tarve suorittaa tarkastus asianomaiseen tutkimukseen Suomessa. Esimerkiksi Yhdysvaltain lääkeviranomainen voi osana lääkkeen myyntilupaharkintaa suorittaa hyvän kliinisen tutkimustavan noudattamiseen liittyviä tarkastuksia eurooppalaisiin tutkimuskeskuksiin. Asetelma vastaa tilannetta, jossa muun muassa suomalaiset GCP-tarkastajat tarkastavat EU:n ulkopuolella suoritettuja kliinisiä lääketutkimuksia Euroopan lääkeviraston koordinoimana. Jotta tällaiset hyvän kliinisen tutkimustavan noudattamisen valvomiseen liittyvät ulkomaalaisten viranomaisten suorittamat tarkastukset voitaisiin toteuttaa kattavasti ja niiden perusteella tuottaa luotettavia tarkastushavaintoja, tulee tarkastajilla olla pääsy Suomessa tutkimuksen tekemisessä käytettyihin tietoihin. Säännös ei kuitenkaan oikeuttaisi automaattista tiedonsaantioikeutta, vaan tietojen saamisen ja käsittelyn tulisi olla yksittäistapauksessa välttämätöntä tarkastuksen tai muun tutkimuksen valvontaan liittyvän viranomaistehtävän toteuttamiseksi. Rekisterinpitäjän, jonka tietoihin pääsyä pyydettäisiin, tulisi arvioida pyyntöä 2–6 momenteissa säädettyjä edellytyksiä vasten. Fimean tiedonsaantioikeuksiin sen sijaan sovellettaisiin jatkossakin lääketutkimuslain 28 §:ää. 

Pykälän 2 ja 3 momentteja ehdotetaan muutettavaksi 1 momenttiin ehdotettavien muutosten johdosta siten, että pelkkien potilasasiakirjatietojen sijasta momenteissa viitattaisiin jatkossa 1 momentissa tarkoitettuihin tietoihin. Voimassa olevissa 2 ja 3 momenteissa säädetään lisäedellytykseksi 1 momentissa tarkoitettujen tietojen saamiselle ja käsittelylle se, että tutkittava tai tilanteen mukaan hänen laillinen edustajansa on antanut tietoon perustuvan suostumuksensa tutkimukseen osallistumiselle taikka että laissa säädetyt edellytykset hätätilatutkimuksen suorittamiselle täyttyvät, jos kyse on hätätilatutkimuksesta. Pykälän 2 momentissa viitatussa tutkittavan suostumuksessa ei siis olisi kyse henkilötietojen käsittelyperusteesta vaan henkilötietojen käsittelyyn liittyvästä suojatoimenpiteestä (ks. StVM 22/2021 vp, s. 16–17). Kliinisiin lääketutkimuksiin ja muihin lääketieteellisiin tutkimuksiin soveltuvia henkilötietojen käsittelyperusteita on arvioitu laajasti lääketutkimuslain säätämiseen johtaneessa hallituksen esityksessä (HE 18/2020 vp). Henkilötietojen käsittely kliinisessä lääketutkimuksessa perustuu lähtökohtaisesti lakiin, ei rekisteröidyn suostumukseen. 

Pykälän 4 ja 5 momentteja ehdotetaan muutettavaksi kokonaisuudessaan. Momenttien muuttuessa oikeus 4 momentissa nykyisin viitattujen THL:n Hilmo-, avo-Hilmo- ja tartuntatautirekisterin mikrobilöydöksiä koskevien tietojen saamiseen ja muuhun käsittelyyn kliinisissä lääketutkimuksissa perustuisi jatkossa ehdotettuun 1 momenttiin. Nykyisen 5 momentin sääntely kliinisissä lääketutkimuksissa noudatettavista tietoturvavaatimuksista puolestaan sisältyisi osittain implisiittisesti ehdotetun 4 momentin sääntelyyn. Muutosten myötä 5 momentista kuitenkin kumoutuisi määräyksenantovaltuutus, jossa on säädetty Fimean oikeudesta antaa tarkempia määräyksiä kliinisissä lääketutkimuksissa noudatettavista tietoturvavaatimuksista. Fimea ei ole ryhtynyt toimenpiteisiin tällaisten määräysten antamiseksi voimassa olevan sääntelyn aikana. Lisäksi epäselvää on, voidaanko kliinisissä lääketutkimuksissa noudatettavista tietoturvavaatimuksista säätää kansallisesti ottaen huomioon, että EU:n lääketutkimusasetuksen tarkoituksena on harmonisoida kliinisten lääketutkimusten suorittamista koskevat edellytyksen EU:n alueella eikä asetus sisällä nimenomaista liikkumavaraa kansallisten tietoturvavaatimusten säätämiseksi. 

Muutetuissa 4 ja 5 momenteissa säädettäisiin tietojen luovuttamiseen liittyvästä menettelystä 1 momentissa mainituissa rekisterinpitäjissä. Käytännössä pyyntö tietojen saamisesta osoitettaisiin suoraan asianomaiselle rekisterinpitäjälle, joka arvioisi, täyttyvätkö pykälässä tietojen saamiselle ja muulle käsittelylle säädetyt edellytykset. Tutkimuksen käyttöön ei olisi ehdotuksen perusteella mahdollista saada automaattisesti mitä tahansa tutkittavia henkilöitä koskevia tietoja, vaan käsiteltävien tietojen tulisi olla välttämättömiä juuri kyseisen yksittäisen tutkimushankkeen suorittamisen kannalta. Kyse ei siten olisi rutiiniluonteisesti toistuvasta salassa pidettävien henkilötietojen luovuttamisesta viranomaisten tai yksityisten organisaatioiden rekistereistä, vaan tietojen luovuttamisen arviointi toteutettaisiin tutkimushankekohtaisesti. Edellä todetulla tavalla tutkimuksessa tarvittavien välttämättömien tietojen laajuus saattaa vaihdella jopa potilaskohtaisestikin yksittäisen tutkimushankkeen sisällä, ja tiedon tarpeet saattavat muuttua tutkimuksen edetessä. Tietojoukot, joita 1 momentin perusteella olisi mahdollista saada eri rekisterinpitäjiltä, eroavat toisistaan muun muassa tietojen luonteen ja laajuuden osalta sekä siinä, miten eri tietoja tutkimuksen toteuttamisen aikana käytännössä käsitellään. 

Muutettavaksi ehdotettavan 4 momentin perusteella tietojen luovuttamisen edellytyksenä olisi, että luovutuksessa voidaan varmistua tietojen käsittelyn riittävästä tietosuojan ja tietoturvan tasosta, ja tätä seikkaa tiedot luovuttavan rekisterinpitäjän tulisi arvioida kunkin tutkimushankkeen ominaispiirteet ja muut tapauskohtaiset seikat huomioiden. Ehdotus ilmentäisi siten tietosuoja-asetuksessa omaksuttua riskiperusteista lähestymistapaa henkilötietojen käsittelyssä. Lisäksi erikseen säädettäisiin, ettei tietoja saisi luovuttaa, jos luovuttamisen tai luovutuksen saajan toiminnan voidaan perustellusta syystä epäillä vaarantavan kansallista turvallisuutta. 

Eri rekisterinpitäjien kyvykkyydet arvioida tietojen luovuttamiseen liittyviä riskejä sekä kliinisiin tutkimuksiin soveltuvia riittäviä henkilötietojen käsittelyn suojatoimia saattavat vaihdella. Tältä osin on kuitenkin syytä huomata, että ennen tutkimuksen käynnistymistä tutkimushanke on arvioitu ja hyväksytty Fimeassa ja Tukijassa. Lääketutkimusasetuksen mukaan Fimealle ja Tukijalle toimitettavan tutkimushakemuksen yhteydessä tulee toimittaa muun muassa kuvaus järjestelyistä, joilla varmistetaan sovellettavien tietosuojasääntöjen noudattaminen tutkimuksessa. Erityisesti tulee toimittaa kuvaus organisatorisista ja teknisistä järjestelyistä, jotka toteutetaan käsiteltyjen tietojen tai henkilötietojen luvattoman saannin, luovuttamisen, levittämisen, muuttamisen tai häviämisen välttämiseksi sekä kuvaus toimenpiteistä, jotka toteutetaan kirjattujen tietojen luottamuksellisuuden ja tutkittavien henkilötietojen luottamuksellisuuden varmistamiseksi, samoin kuin kuvaus toimenpiteistä, jotka toteutetaan tietosuojarikkomustapauksissa mahdollisten haitallisten vaikutusten lievittämiseksi. 

Tutkimushankkeelle myönnetty Fimean lupa tukisi siten rekisterinpitäjän harkintaa tietojen luovuttamisesta. Tietosuoja-asetuksen nojalla rekisterinpitäjän vastuulla on kuitenkin varmistua sen rekisterinpidossa olevien henkilötietojen käsittelyn asianmukaisuudesta, mikä ehdotetun sääntelyn yhteydessä merkitsee varmistumista henkilötietojen luovuttamiseen liittyvien käsittelytoimien lainmukaisuudesta. Rekisterinpitäjän tulisi siten arvioida tietojen luovuttamista koskevaa pyyntöä tietosuoja-asetuksessa säädettyjä edellytyksiä vasten, ottaen huomioon muun muassa tietojen minimoinnin periaatteen sekä tilanteen mukaan myös kolmansiin maihin tapahtuvat henkilötietojen luovutukset. Harkinnassa tulisi kuitenkin ottaa huomioon edellä todettu lähtökohta siitä, että kliinisissä tutkimuksissa ei aina ole etukäteen mahdollista ehdottoman tarkkarajaisesti määrittää, mitkä yksittäiset muuttujatiedot ovat tutkimuksen suorittamisen kannalta välttämättömiä kunkin tutkittavan kohdalla. Tästä syystä arviointikynnystä luovutettavien tietojoukkojen osalta ei tulisi asettaa suhteettoman korkealle, vaan arvioinnissa tulisi huolehtia myös siitä, että tieteellisen tutkimuksen vapaus turvataan ja että käytännön edellytykset tutkimusten tekemiselle säilyvät. 

Rekisterinpitäjällä säilyisi harkintavaltaa tietojen luovutusten edellytysten olemassaolon arvioimisessa. Menettelyssä noudatettaisiin yleistä hallintolaissa säädettyä prosessia hallintoasian käsittelystä. Hallintolaissa säädetyn mukaisesti asia olisi käsiteltävä ilman aiheetonta viivytystä, ja rekisterinpitäjällä olisi asian käsittelyn aikana mahdollisuus pyytää täydennyksiä ja lisäselvityksiä, jos ne arvioitaisiin tarpeellisiksi. Jos viranomaisasemassa oleva rekisterinpitäjä kieltäytyisi luovuttamasta pyydettyjä tietoja, ehdotetun 5 momentin mukaan se tekisi asiasta päätöksen. Asianosaisella olisi oikeus vaatia päätökseen oikaisua 30 §:ään lisättävän sääntelyn nojalla. 

Tietojen luovuttamisessa noudatettavan prosessin osalta on lisäksi syytä huomata, että ehdotukseen sisältyvien tietojoukkojen luonne ja käyttötapa tutkimushankkeen aikana eroaa tietyiltä osin toisistaan. Jaksossa 2.6.3 todetulla tavalla potilasrekisterin tietojen käyttö vertautuu potilaan hoidon yhteydessä toteutettavaan henkilötietojen ensiökäyttöön ja siten terveyden- ja sairaanhoidon yhteydessä tapahtuvaan tosiasialliseen hallintotoimintaan, jossa ei tyypillisesti tehdä hallintopäätöksiä. Jo aiemmin lääketutkimuslain säätämisen yhteydessä on tunnistettu, ettei kliinisen lääketutkimuksen tai muun kliinisen tutkimuksen toteuttamisen yhteydessä voida käytännössä soveltaa menettelyä, jossa tutkija tai tutkimuksen toimeksiantaja etukäteen määrittelee tiedot, joita tutkimuspaikan potilasrekistereistä pyydetään tutkimuksen käyttöön, vaan tiedon tarpeet muotoutuvat tutkimuksen edetessä. Lisäksi tutkimuspotilaan hoito tutkimuksen yhteydessä edellyttää uusien merkintöjen tekemistä potilastietojärjestelmään lääkäritutkijan tai muun tutkimusryhmän jäsenen toimesta. Tästä syystä tällaisiin tietojen pääsyssä noudatettava prosessi olisi luonnostaankin erilainen kuin muiden rekisterinpitäjien tietojen kohdalla eikä yksittäisten tietojoukkojen tai muuttujatietojen luovuttamisesta tutkimuksen käyttöön tutkimuspaikalla voida edellyttää nimenomaisen hallintopäätöksen tekemistä. Jotta tutkimus saadaan suorittaa tutkimuspaikalla, esimerkiksi hyvinvointialueen ylläpitämässä sairaalassa tai muussa terveydenhuollon toimintayksikössä, edellyttää tämä organisaation myöntämää tutkimuslupaa. Menettely ei perustu nimenomaiseen lain säännökseen, mutta se on käytännön toiminnassa vakiintuneeksi muotoutunut käytäntö. Organisaation myöntämä tutkimuslupa joko implisiittisesti tai nimenomaisesti sisältää myös luvan käsitellä organisaation rekisterinpidossa olevia potilasrekisterin tietoja tutkimuksen suorittamiseksi. Lisäksi ensiökäytössä sovellettavat periaatteet terveydenhuollon ammattihenkilöiden työrooliensa mukaan määräytyvistä oikeuksista käsitellä potilastietoja tulevat sovellettaviksi myös kliinisten tutkimusten tekemisen kohdalla. Tutkimuspaikan organisaatiollakin kuitenkin olisi oikeus kieltäytyä tietojen käytön sallimisesta, jos siihen arvioitaisiin olevan perusteltua aihetta. Käytännössä tämä saattaisi merkitä koko tutkimusluvan epäämistä aiotussa tutkimuspaikassa. 

Pykälään lisättävän uuden 6 momentin mukaan tiedot olisi pseudonymisoitava ennen 1 momentissa tarkoitettuihin käyttötarkoituksiin luovuttamista, ellei ole erityistä syytä menetellä toisin. Säännös ilmentäisi tietosuoja-asetuksessa omaksuttua lähestymistapaa siitä, että henkilötietojen pseudonymisoinnilla voidaan vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä, minkä lisäksi se olisi eräs keino toteuttaa tietosuoja-asetuksessa edellytettyjä teknisiä ja organisatorisia toimenpiteitä asetuksessa säädettyjen tietosuojaperiaatteiden noudattamiseksi. On kuitenkin syytä korostaa, että pseudonymisoimisessa tulisi soveltaa menettelyjä, jotka mahdollistavat tutkimusten käytännön toteuttamisen. Kliinisten lääketutkimusten, samoin kuin muidenkin esityksessä tarkoitettujen kliinisten tutkimusten, käyttöön lähtökohtaisesti pyydetään rekisteritietoja täydentämään tutkimuksessa muilla tavoin kerättyjä tai kerättäviä tietoja. Pyydettävät tiedot koskevat tutkittavia, joiden henkilöllisyys on tutkimusryhmän tiedossa ja jotka ovat antaneet nimenomaisen suostumuksensa tutkimukseen osallistumiseksi sekä hyväksyneet heitä koskevien rekisteritietojen käsittelyn tutkimuksessa. Käytännössä tutkimusryhmä pyytää tiedot rekisterinpitäjiltä tutkittavien nimien ja henkilötunnuksien perusteella. Tutkimuksen käytännön toteuttamisen kannalta lähtökohtaisesti välttämätöntä on, että eri lähteistä peräisin olevat tutkittavaa koskevat tiedot pystytään yhdistämään toisiinsa. Pseudonymisoinnissa tulisi siten käyttää tutkimushankkeen omia pseudonymisointikoodeja tai muita menettelyjä, joilla varmistetaan, että tiedot ovat tarvittavassa laajuudessa yhdistettävissä keskenään. Ehdotetun 6 momentin mukaan luovutuksensaaja saisi itse toteuttaa eri lähteistä peräisin olevien tietojen yhdistämisen. Tiedot olisi myös mahdollista luovuttaa tunnisteellisina, jos tähän arvioitaisiin olevan aihetta. Käytännön syistä esimerkiksi potilasasiakirjatietojen käsittely tutkimuspaikalla tulisi lähtökohtaisesti voida toteuttaa suorilla tunnistetiedoilla varustettuna. Sen sijaan tunnisteellisten henkilötietojen toimittaminen esimerkiksi tutkimuksen toimeksiantajalle ei yleensä ole tarpeen tilanteissa, joissa tutkimuksen toimeksiantajana on muu taho kuin tutkija itse. 

7.3  Laki lääkinnällisistä laitteista

20 a §.Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa . Pykälä olisi uusi. Pykälän tarkoituksena olisi lääketutkimuslain 34 §:ään ehdotettavien muutosten tapaan selkiyttää sitä, millä tavalla ja mitä lakia noudattaen pykälässä tarkoitetut rekisteritiedot olisi mahdollista saada lääkinnällisten laitteiden kliinisten tutkimusten sekä ivd-laitteiden suorituskykytutkimusten käyttöön ottaen huomioon, ettei menettelyyn sovellettaisi toisiolakia. Laitetutkimusten käyttöön on jo nykyisin ollut mahdollista saada toisiolain estämättä potilasasiakirjoihin merkittyjä tietoja tutkimuslain 21 c §:n sekä lääkinnällisistä laitteista annetun lain 20 §:n 3 momentin viittaussäännöksen nojalla. Muiden toisiolaissa viitattujen tietojen osalta tilanne on kuitenkin ollut epäselvä ja THL:n rekisteritietojen osalta myös epäyhdenvertainen kliinisiin lääketutkimuksiin nähden.  

Laitetutkimuksissa tapahtuvaan tutkittavaa koskevien rekisteritietojen käsittelyyn voitaisiin sinänsä jatkossakin soveltaa tutkimuslain 21 c §:ää, jota esityksessä ehdotetaan muutettavaksi vastaavalla tavalla kuin tässä ehdotettu lääkinnällisistä laitteista annetun lain uusi 20 a § sekä lääketutkimuslain 34 §:ään ehdotetut muutokset. Tutkimuslain osittainen soveltuminen lääkinnällisten laitteiden kliinisiin tutkimuksiin ja ivd-laitteiden suorituskykytutkimuksiin on kuitenkin monimutkainen kokonaisuus eri lakien soveltamiskäytännön kannalta. Tästä syystä tilanteen selkiyttämiseksi ehdotetaan nimenomaisen pykälän lisäämistä asiasta lääkinnällisistä laitteista annettuun lakiin. Tarkoituksena on, että kliinisten tutkimusten eri tutkimustyyppeihin sovellettavat säännökset olisivat keskenään mahdollisimman yhteensopivat tutkimusten yhdenvertaisen kohtelun sekä eri lakien yhtäaikaisen sujuvan soveltamisen varmistamiseksi. 

Pykälän 1 momentissa säädettäisiin laitetutkimuksen toimeksiantajan, hänen edustajansa, tutkijan ja tutkimusryhmän jäsenen oikeudesta saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi. Tiedonsaantioikeuden piiriin kuuluvien tietojen joukko olisi sama kuin 2. lakiehdotuksen nojalla kliinisten lääketutkimusten sekä 4. lakiehdotuksen nojalla tutkimuslain alaisten lääketieteellisten tutkimustenkin kohdalla. 

Kliinisten tutkimusten tiedonsaantioikeussääntelyä olisi myös mahdollista eriyttää toisistaan tutkimustyyppikohtaiset ominaispiirteet huomioiden. Esityksessä ehdotetaan kuitenkin säädettäväksi kaikkien kliinisten tutkimusten tiedonsaantioikeuksista yhtäläisin perustein, sillä samat näkökohdat, joita edellä on esitetty tutkimusasetelman sekä tutkimushetken mukaan määrittyvistä tiedon tarpeista, koskevat identtisesti kaikkia kliinisiä tutkimuksia. On myös huomattava, että tiedonsaantioikeuden sisällön laajuuden eriyttäminen eri tutkimustyyppien kohdalla johtaisi sääntelyn pirstaloitumiseen, mikä saattaisi aiheuttaa merkittäviä haasteita säännösten soveltamiskäytännössä ja tutkimusten käytännön toteuttamisessa. Erityisesti kliinisiä lääke- ja laitetutkimuksia toteutetaan tietyissä tilanteissa yhdistelmätutkimuksina, jolloin saman tutkimussuunnitelman alla tutkitaan sekä lääkettä että laitetta, ja tutkimusosiot voivat liittyä toisiinsa hyvinkin kiinteästi. Yhdistelmätutkimuksissa hyvin haasteelliseksi muodostuisi, jos saman tutkimushankkeen sisällä jouduttaisiin erottelemaan, mistä eri lähteistä peräisin olevia tietoja on sallittua käyttää mihinkin tutkimuksen osuuteen, eikä tällaista erottelua todennäköisesti olisi mahdollista tehdä. 

Edellä esitetyistä syistä ei ole mahdollista poissulkevasti etukäteen määrittää tarkemmin, mitkä yksittäiset tietokategoriat tai muuttujatiedot ovat välttämättömiä kunkin kliinisen tutkimustyypin toteuttamiseksi, vaan lähtökohdan tulisi olla Suomessa toteutettavat tutkimukset mahdollistava siten, että tutkimuksilla on pääsy niiden toteuttamisen kannalta välttämättömiin tietoihin. Lääkinnällisten laitteiden kliinisten tutkimusten suorittaminen edellyttää lähtökohtaisesti ensinnäkin nykysääntelyä vastaavasti pääsyä tutkittavaa koskeviin potilastietoihin, joiden lisäksi tutkimusten toteuttaminen voi edellyttää myös muita tietoja. Muun muassa THL:n hoitoilmoitusrekisterin terveydenhuollon palvelunkäyttöä koskevia tietoja voidaan edellyttää esimerkiksi tutkittaessa lääkinnällisiä laitteita, jotka on kehitetty kroonisten sairauksien hallintaan. Tiedot voivat olla välttämättömiä esimerkiksi sen selvittämiseksi, vähentääkö laite käyttäjien terveydenhuollon käyntien määrää tai sairaanhoidon tarvetta. Vastaavasti kroonisten sairauksien hallintaan kehitetyn lääkinnällisen laitteen tutkimuksessa voidaan edellyttää Kelan etuustietoja laitteen työkykyyn kohdistuvien vaikutusten selvittämiseksi. Lisäksi Kelan lääkkeenmääräys- sekä -toimitustiedot voivat olla välttämättömiä tutkittaessa sellaisia lääkinnällisiä laitteita, jotka korvaavat, täydentävät tai annostelevat lääkitystä. 

Työterveyslaitoksen työperäisten sairauksien rekisterin sekä biologisten altistumismittausten rekisterin tietoja voidaan edellyttää työperäisten sairauksien tunnistamiseen, hoitoon ja niiltä suojautumiseen kehitettyjen laitteiden, kuten suojainten ja testauslaitteiden kliinisessä tutkimuksessa. Fimean haittavaikutus- ja vaaratilannerekisterin tietoja voidaan edellyttää erilaisten implanttien ja proteesien turvallisuuden arviointiin ja potilasturvallisuuden edistämiseen tähtäävissä tutkimuksissa. Tällöin voitaisiin käyttää esimerkiksi tietoja vastaavien laitteiden haittatapahtumista. Sosiaalihuollon tiedot voivat olla välttämättömiä lääkinnällisten laitteiden tutkimuksissa silloin, kun tutkimuksessa tarkastellaan, miten lääkinnällinen laite vaikuttaa tutkittavan elämänlaatuun, palveluntarpeeseen tai muuhun toimintakykyyn. Erityisesti tutkimusasetelmissa, joissa tutkittava laite on suunnattu sosiaalihuollon asiakkaille kuten ikääntyneille, vammaisille tai lastensuojelun asiakkaille, sosiaalihuollon taustatiedot ovat merkityksellisiä tutkimusasetelman luotettavuuden kannalta. Esimerkiksi ikäihmisille suunnattujen lääkinnällisten laitteiden tutkimuksessa tällaiset tiedot voivat olla välttämättömiä laitteen todellisten terveys-, turvallisuus ja hyvinvointivaikutusten seuraamiseen laitteen aiotussa käyttötarkoituksessa ja ympäristössä. 

Vastaavasti kuin kliinisten lääketutkimusten kohdalla, myös lääkinnällisten laitteiden kliiniset tutkimukset ja ivd-laitteiden suorituskykytutkimukset edellyttävät eettistä ennakkoarviointia ja Fimean lupaa. Erona kliinisiin lääketutkimuksiin eettisen ennakkoarvioinnin suorittaa alueellinen eettinen toimikunta. Arvioinnin lähtökohdat ovat monilta osin samankaltaiset kuin lääketutkimustenkin osalta, ja myös laitetutkimusten kohdalla hakemusasiakirjojen yhteydessä Fimealle tulee toimittaa tiedot järjestelyistä, joilla tutkimuksessa varmistetaan henkilötietojen suojaamista ja luottamuksellisuutta koskevien sääntöjen noudattaminen. Myös laitetutkimusten osalta eettisen toimikunnan myönteinen lausunto ja Fimean myöntämä tutkimuslupa osaltaan tukisivat rekisterinpitäjän harkintaa tietojenluovutustilanteissa. 

Muilta osin pykälän 2–6 momenteissa säädetyt edellytykset tietojen saamiseksi ja luovuttamiseksi olisivat samat kuin lääketutkimuslain 34 §:nkin kohdalla. Momenttien tarkempien perustelujen osalta viitataan siten edellä oleviin lääketutkimuslain 34 §:n muuttamista koskeviin perusteluihin. 

56 §.Muutoksenhaku . Pykälään lisättäisiin maininta siitä, että 20 a §:n 1 momentissa mainitun viranomaisasemassa olevan rekisterinpitäjän 20 a §:n nojalla tekemään rekisteritietojen luovuttamista koskevaan päätökseen saisi vaatia oikaisua. Ehdotus liittyy 20 a §:ään ehdotettaviin muutoksiin, joissa säädettäisiin lääkinnällisten laitteiden kliinisten tutkimusten ja ivd-laitteiden suorituskykytutkimusten eri rekisteritietoihin kohdistuvista tiedonsaantioikeuksista sekä rekisterinpitäjän velvollisuudesta tehdä päätös tietojenluovutuspyynnön johdosta.  

7.4  Laki lääketieteellisestä tutkimuksesta

21 c §.Eräiden tutkittavaa koskevien rekisteritietojen käyttö tutkimuksessa. Pykälä ehdotetaan muutettavaksi kokonaisuudessaan. Voimassa olevassa pykälässä säädetään potilasasiakirjatietojen käyttämisestä tutkimuslain alaisessa lääketieteellisessä tutkimuksessa vastaavaan tapaan kuin lääketutkimuslain 34 §:ssä. Pykälään ehdotettavien muutosten tarkoituksena olisi lääketutkimuslain 34 §:ään ehdotettavien muutosten tapaan selkiyttää se, millä tavalla ja mitä lakia noudattaen pykälässä tarkoitetut rekisteritiedot olisi mahdollista saada tutkimuslaissa tarkoitettujen lääketieteellisten tutkimusten käyttöön ottaen huomioon, ettei menettelyyn 1. lakiehdotuksen perusteella sovellettaisi toisiolakia.  

Vastaavasti kuin kliinisten lääketutkimusten ja laitetutkimusten kohdalla, pykälän 1 momentissa säädettäisiin tutkimuksen toimeksiantajan, hänen edustajansa, tutkijan ja tutkimusryhmän jäsenen oikeudesta saada ja käsitellä sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta- ja tutkimustarkoituksissa tallennettuja tutkittavaa koskevia henkilötietoja tutkimuslaissa tarkoitetun lääketieteellisen tutkimuksen suorittamiseksi ja tutkimukseen liittyvän laissa säädetyn velvoitteen noudattamiseksi. Tiedonsaantioikeuden piiriin kuuluvien tietojen joukko olisi sama kuin 2. lakiehdotuksen nojalla kliinisten lääketutkimusten sekä 3. lakiehdotuksen nojalla lääkinnällisten laitteiden kliinisten tutkimusten ja ivd-laitteiden suorituskykytutkimustenkin kohdalla. Kuten muidenkin kliinisten tutkimusten kohdalla, myös tutkimuslain tarkoittamien lääketieteellisten tutkimusten tiedontarpeet vaihtelevat hankekohtaisesti ja rekisteritietoja hyödyntämällä tietyissä tutkimusasetelmissa voidaan välttyä altistamasta tutkittavaa ylimääräisille interventioille. 

Lääketieteellisissä tutkimuksissa esimerkiksi pitkäaikaisilla seurantatutkimuksilla voidaan selvittää sairauksien syitä, kehittää menetelmiä sairauksien ehkäisyyn ja tutkia ihmisen terveyteen vaikuttavia riskitekijöitä. Erityisesti koko tutkittavan elinkaaren kattavissa tai sukupolvet ylittävissä seurantatutkimuksissa pääsy useisiin erilaisiin rekisteritietoihin on välttämätöntä tutkittavan terveyden seuraamiseksi. Tutkimuksen luotettavuuden kannalta tutkittavalta itseltään saatua tietoa tämän elinaikana ilmaantuvista sairauksista tulee voida todentaa esimerkiksi THL:n hoitoilmoitusrekisteristä ja Kelan lääkekorvaustiedoista ilmenevillä tiedoilla. Myös moniammatillisten hoitomallien tutkiminen esimerkiksi monisairaiden tai fyysisiä, psyykkisiä ja sosiaalisia ongelmia kokevien potilaiden hoitoon voi moniammatillisen luonteensa vuoksi edellyttää diagnoosi- ja sairaalajaksotietojen sekä sosiaalietuuksien ja -palveluiden käyttöä kuvaavien tietojen käyttämistä hoitomallin laadun ja luotettavuuden varmentamiseksi. Lisäksi joidenkin hoitomallien tutkimuksessa hoitoympäristöön, henkilöstöön ja potilasturvallisuuteen liittyvien näkökulmien huomioiminen voi olla tutkimuksen luotettavuuden kannalta keskeistä, jolloin osana tällaista tutkimusta voidaan käyttää Lupa- ja valvontaviraston tietoja taustamuuttujina sekä vertailun välineenä. Sosiaalihuollon rekisteritiedot ovat keskeisiä erityisesti pitkäkestoisten hoitopolkujen arviointiin liittyvissä tutkimuksissa, joissa potilaan toimintakyvyn ja arjessa selviytymisen seuranta ei rajoitu pelkästään terveydenhuoltoon, vaan ulottuu myös sosiaalipalveluihin. Esimerkiksi iäkkäiden potilaiden kuntoutumisen, palveluasumisen tai kotihoidon tarpeen muutokset ovat keskeisiä vaikuttavuuden mittareita. Samoin vakavista komplikaatioista kärsineiden potilaiden toimintakyvyn seuraaminen voi vaatia pääsyä esimerkiksi palveluasumisen kirjauksiin, sillä tutkittavat eivät välttämättä heikon toimintakykynsä vuoksi pysty itse raportoimaan tilastaan. 

Ehdotetuissa 2–4 momenteissa tietojen saamisen ja käsittelyn edellytykseksi säädettäisiin tutkittavan osallistumissuostumus. Säännösten aineellinen sisältö vastaisi voimassa olevia 3–5 momentteja sekä lääketutkimuslain 34 §:ssä säädettyjä tutkittavan suostumukseen liittyviä edellytyksiä. Ehdotetuissa 5–7 momenteissa säädettäisiin tietojen luovuttamisen edellytyksistä ja luovuttamisessa noudatettavasta prosessista samaan tapaan kuin lääketutkimuslain 34 §:ssäkin. Momenttien perustelujen osalta viitataan siten edellä oleviin lääketutkimuslain 34 §:n muuttamista koskeviin perusteluihin. 

Tutkimuslain alaisissa lääketieteellisissä tutkimuksissa on enemmän variaatiota kuin kliinisissä lääketutkimuksissa ja laitetutkimuksissa, sillä tutkimuslaki kattaa hyvin laajan skaalan erilaisia tutkimuksia. Tutkimuslain sääntely ei myöskään ole yhtä yksityiskohtaista kuin lääke- ja laitetutkimuksia koskeva sääntely. Tutkimuslain alaisen tutkimuksen arvioi ennakolta alueellinen lääketieteellinen tutkimuseettinen toimikunta. Eettisen toimikunnan on tutkimussuunnitelmaa arvioidessaan otettava erityisesti huomioon tutkimukseen liittyvien hyötyjen ja haittojen vertailu, tutkimuksen tarpeellisuus ja merkitys, tutkimuksen ja sen suunnittelun asianmukaisuus ottaen huomioon tilastolliset näkökohdat, tutkimuksen koeasetelma ja menetelmät, hyödyn ja riskien arvioinnin asianmukaisuus ja niitä koskevien johtopäätösten perusteltavuus, tietoon perustuvaa suostumusta koskevien vaatimusten noudattaminen sekä tutkittavien rekrytointiin liittyvät yksityiskohtaiset menettelytavat. 

Erityisesti tutkimuslain alla toimivien pitkien seurantatutkimusten osalta on esitetty pohdintaa siitä, missä menee kliinisen tutkimuksen ja rekisteritutkimuksen raja. Vaihtelevia näkemyksiä on myös esitetty siitä, kuinka vanhojen suostumusten voidaan katsoa oikeuttavan tietojen saamiseen 2–4 momenteissa säädetyllä tavalla, sekä siitä, kuinka pitkään tutkimuksesta annetun eettisen toimikunnan lausunnon voidaan tulkita olevan voimassa, jotta niiden perusteella olisi mahdollista luovuttaa rekisteritietoja tutkimuksen käyttöön pykälässä ehdotettavalla tavalla. Tämän osalta on kuitenkin korostettava, että eettisen toimikunnan lausunnon tai tutkittavan suostumuksen voimassaolon kyseenalaistaminen tietojenluovutuspyynnön arvioinnin yhteydessä tulisi olla mahdollista ainoastaan, jos rekisterinpitäjällä on osoittaa asialliset perusteet sen tueksi. Jos eettisen toimikunnan aiemmin arvioima tutkimussuunnitelma sekä tutkittavilta saatu suostumus ja tutkittaville annettu henkilötietojen käsittelyyn liittyvä informaatio vastaisivat rekisterinpitäjälle tehtävän tiedonluovutuspyynnön sisältöä, ei rekisterinpitäjällä pääsääntöisesti olisi perustetta arvioida asiaa toisin. Muunlaisen tulkinnan tekeminen edellyttäisi, että rekisterinpitäjä pystyisi selkeästi osoittamaan toimintaympäristössä tapahtuneen muutoksen tai muun syyn, minkä vuoksi tietojen saamisen edellytysten ei arvioitaisi täyttyvän. Jos rekisterinpitäjä kuitenkin arvioisi, ettei eettisen toimikunnan lausunto tai tutkittavan suostumus ole pätevä peruste tietojen saamiseksi, rekisterinpitäjällä olisi mahdollisuus edellyttää asiasta lisäselvityksiä taikka viime kädessä kieltäytyä tietojen luovuttamisesta. Ottaen huomioon, että eettisten toimikuntien tutkimushankkeista antamat lausunnot katsotaan nykyisin hallintopäätöksiksi tutkimuslain 17 §:n 5 momentin nojalla, toimijoiden olisi kuitenkin voitava luottaa eettisen toimikunnan lausunnon oikeusvoimaan myös muissa viranomaisprosesseissa. 

Sääntelykokonaisuuden hahmottamisen helpottamiseksi voimassa oleva 1 momentti siirrettäisiin pykälän loppuun uudeksi 8 momentiksi. Momentti sisältää informatiivisen viittauksen asiakastietolain sääntelyyn potilasasiakirjoihin tehtävistä merkinnöistä ja potilasasiakirjojen säilyttämisestä. 

22 a §.Muutoksenhaku viranomaisen päätökseen . Pykälän 1 momenttiin lisättäisiin maininta siitä, että 21 c §:n 1 momentissa mainitun viranomaisasemassa olevan rekisterinpitäjän 21 c §:n nojalla tekemään rekisteritietojen luovuttamista koskevaan päätökseen saisi vaatia oikaisua. Ehdotus liittyy 21 c §:ään ehdotettaviin muutoksiin, joissa säädettäisiin tutkimuslain alaisten lääketieteellisten tutkimusten eri rekisteritietoihin kohdistuvista tiedonsaantioikeuksista sekä rekisterinpitäjän velvollisuudesta tehdä päätös tietojenluovutuspyynnön johdosta. Lisäksi pykälän otsikkoa muutettaisiin, sillä voimassa oleva pykälä on otsikoitu koskemaan muutoksenhakua Fimean päätökseen, mutta jatkossa 1 momentin perusteella oikaisua olisi siis mahdollista hakea muunkin viranomaisen kuin Fimean tutkimuslain alla tekemään päätökseen.  

7.5  Laki Terveyden ja hyvinvoinnin laitoksesta

5 a §.Tietojen luovuttaminen . Pykälää ehdotetaan muutettavaksi niin, että 2 momentti kumottaisiin tarpeettomana ja 1 momenttia muutettaisiin. Jatkossa 1 momentissa tarkoitettujen THL:n rekisteritietojen luovuttaminen kliinisten tutkimusten käyttöön tapahtuisi lääketutkimuslain 34 §:n, lääkinnällisistä laitteista annetun lain 20 a §:n sekä tutkimuslain 21 c §:n nojalla.  

7.6  Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä

61 §.Potilastietojen luovuttaminen kliiniseen lääketutkimukseen ja lääketieteelliseen tutkimukseen . Pykälä ehdotetaan kumottavaksi, sillä säännökset potilastietojen luovuttamisesta kliinisiin tutkimuksiin sisältyisivät jatkossa lääketutkimuslain 34 §:ään, lääkinnällisistä laitteista annetun lain 20 a §:ään ja tutkimuslakin 21 c §:ään. Kumottava pykälä on voimassa olevassa laissa informatiivinen viittaus muuhun lainsäädäntöön, eikä se itsessään sisällä aineellista sääntelyä.  

11.1  Esityksen riippuvuus muista esityksistä

Esitys liittyy tutkimuslainsäädännön selkiyttämisestä annettavaan hallituksen esitykseen sekä EU:n asetusta eurooppalaisesta terveystietoalueesta täydentävän kansallisen lainsäädännön hallituksen esityksiin. Tutkimuslainsäädännön selkiyttämisen hankkeessa tullaan osittain tarkastelemaan myös toisiolakia suhteessa siihen, miten toisiolakia sovelletaan tutkimuksissa, joihin sovelletaan myös muuta tutkimuslainsäädäntöä. EHDS-asetuksen toimeenpano taas vaikuttaa keskeisesti toisiokäytön sääntelykokonaisuuteen ja toimeenpanon yhteydessä tulee arvioida, mitä täydentävää kansallista lainsäädäntöä tullaan pitämään voimassa asetuksen soveltamisen jälkeen. 

12.1  Yksityiselämän suoja

Toisiolain hallituksen esityksessä (HE 159/2017) arvioitiin erityisesti esityksen suhdetta yksityiselämän suojaan ja julkisuusperiaatteeseen sekä julkisen vallan käyttöön. Hallituksen esityksessä toisiolain muuttamisesta (HE 96/2021 vp) käsiteltiin esityksen suhdetta yksityiselämän suojaan ja tarkasteltiin perustuslakivaliokunnan lausuntokäytäntöä liittyen henkilötietojen käsittelyyn, lailla säätämisen vaatimukseen, tiedonsaantioikeuksiin ja arkaluonteisten tietojen käsittelyyn. 

Esitys on merkityksellinen perustuslain 10 §:n 1 momentissa turvatun yksityiselämän ja henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. 

Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (esim. PeVL 10/2014 vp, s. 6/II, PeVL 17/2016 vp, s. 2—3, PeVL 38/2016 vp, s. 2, PeVL 15/2018 vp). Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). 

Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä (PeVL 15/2018 vp). Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (PeVL 38/2016 vp, s. 3). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 71/2014 vp, s. 3/I, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). 

Perustuslakivaliokunnan lausuntokäytännön mukaan on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5). 

Perustuslakivaliokunnan lausuntokäytännön mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla (ks. PeVL 14/2018 vp, s. 5). 

Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Lainsäätäjän liikkumavaraa rajoittaa erityisesti arkaluonteisten henkilötietojen käsittelystä säädettäessä se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). 

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 65/2018 vp, s. 45, PeVL 15/2018 vp, s. 40). 

Yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta on painottanut, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6). 

Lakiehdotusten mukainen henkilötietojen käsittely kuuluu EU:n yleisen tietosuoja-asetuksen soveltamisalan piiriin. Esityksessä huomioidaan tietosuoja-asetuksen sallima kansallinen liikkumavara. Kansallista liikkumavaraa voidaan käyttää silloin, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Sääntelyliikkumavaraa sisältyy myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn osalta tietosuoja-asetuksen 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin sekä 4 kohtaan. 

Tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan kansallinen lainsäädäntö voi sisältää yksityiskohtaisempia säännöksiä asetuksen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan nämä erityiset säännökset voivat sisältää yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä, asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitettuja toimenpiteitä. Jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. 

Henkilötietojen käsittelylle tulee olla tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen oikeusperuste. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle tulee lisäksi olla tietosuoja-asetuksen 9 artiklan 2 kohdan mukainen peruste. Erityisiä henkilötietoryhmiä ovat tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettiset tai biometriset tiedot henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot sekä luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot. 

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia tietoja ei voida suoraan rinnastaa yleisen tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Kyseisten tietojen rekisteröinnin on kuitenkin kansallisesti katsottu sisältävän tavanomaista suuremman riskin kansalaisten yksityisyydelle ja oikeusturvalle, minkä vuoksi tietoja on perusteltua pitää valtiosääntöisesti arvioiden arkaluonteisina (PeVL 15/2018 vp, s. 38). 

Tietosuoja-asetuksen 9 artiklan 2 kohdan g ja j alakohtien mukaan erityisten henkilötietoryhmien käsittely tärkeää yleistä etua koskevasta syystä tai tieteellisiä tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden tai jäsenvaltion lainsäädännön nojalla edellyttää, että käsittely on oikeasuhtaista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja lainsäädännössä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. 

Tietosuoja-asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja tulee toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat muun muassa henkilötietojen pseudonymisointi sekä muut tekniset, menettelylliset ja organisatoriset toimenpiteet. 

Tietosuoja-asetuksen 89 artiklan 1 kohdan mukaan tieteellisiä tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tietosuoja-asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisia toimenpiteitä voivat olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin. 

Toisiolaki

Hallituksen esityksessä HE 159/2017 vp on arvoitu tarkemmin toisiolaissa tarkoitettujen henkilötietojen käsittelyn oikeusperusteet eri käyttötarkoitusten osalta. Tietolupaviranomaisen ja muiden toisiolain nojalla tietoja käsittelevien organisaatioiden oikeus käsitellä henkilötietoja perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan ja 9 artiklan 2 kohdan g alakohtaan. Tiedonsaajien henkilötietojen käsittely perustuu käyttötarkoituksesta riippuen tietosuoja-asetuksen 6 artiklan 1 kohdan a, c, e tai f alakohtaan ja erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan g, h tai j alakohtaan. Esityksessä ehdotetut muutokset eivät tulisi muuttamaan henkilötietojen käsittelyn oikeusperusteita, vaan oikeusperusteet säilyisivät samana myös muutettujen ja uusien säännösten osalta. 

Tähän esitykseen on sisällytetty vain sellaiset tietosuoja-asetusta ja tietosuojalakia täydentävät säännökset, joiden arvioidaan olevan välttämättömiä. Esityksessä ehdotetut säännökset toimisivat tietosuoja-asetuksen edellyttäminä suojatoimina rekisteröityjen perusoikeuksien ja etujen suojaamiseksi. Ehdotetut säännökset sisältyvät näin ollen tietosuoja-asetuksessa jäsenvaltioille annettuun kansalliseen liikkumavaraan. 

Hallituksen esityksessä toisiolain muuttamisesta (HE 96/2021 vp) on kuvattu toisiolain tietosuojaa ja tietoturvaa koskevia järjestelyitä, jotka suojaavat toisiotarkoituksessa käsiteltäviä henkilötietoja. Toisiolaissa on säädetty useita suojatoimenpiteitä rekisteröityjen oikeuksien ja vapauksien turvaamiseksi, joiden tarkoituksena on vähentää tai poistaa henkilötietojen käsittelystä aiheutuvia riskejä. Toisiolaissa säädettäviä suojatoimenpiteitä ovat muun muassa 14 §:n tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu, 15 §:n tunnisteiden hallinnointipalvelu, 16 §:n Tietolupaviranomaisen asiointipalvelu, 17 §:n tietoturvallinen siirtopalvelu, 18 §:n yleiset tietoturvavaatimukset, 19 §:n lokitietovaatimukset, 20-29 §:ssä säädetyt tietoturvallisia käyttöympäristöjä koskevat vaatimukset, 4 luvussa säädetyt henkilötietojen käsittelyn perusteet, 5 luvussa säädetyt tietolupahakemusten ja tietopyyntöjen sekä tietoaineistojen käsittelyä koskevat vaatimukset, 53 §:n tietolupakäsittelystä vastaavien viranomaisten selvitysvelvollisuus, 54 §:n salassapitovelvoitteet sekä 56 §:ssä säädetyt valvontatehtävät. Edellä tarkoitetut suojatoimet olisivat edelleen voimassa myös ehdotettujen muutettujen ja uusien säännösten osalta. 

Hybridimallissa tietolupahakemusten, tietopyyntöjen ja tietoaineistojen käsittelyn yhteydessä henkilötietoja voisivat käsitellä ainoastaan Tietolupaviranomainen ja toisiolain 6 §:ssä tarkoitetut organisaatiot, joiden suorittamaan henkilötietojen käsittelyyn sovelletaan tietosuojalainsäädännön ja toisiolain vaatimuksia. Tietolupahakemusten, tietopyyntöjen ja tietoaineistojen käsittelyn yhteydessä tulisi varmistaa, että henkilötietoja käsitellään vain niiltä osin, kuin ne ovat välttämättömiä hakemuksen tai pyynnön käsittelemiseksi. 

Luvansaajan olisi mahdollista käsitellä toisiolain alaisia henkilötietoja vain niissä tilanteissa, joissa joko Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio olisi myöntänyt tietolupahakemuksen perusteella tietoluvan. Toisiolaki sisältää mahdollisimman tarkkarajaisesti ne käyttötarkoitukset, joihin tietoja voidaan luovuttaa, sekä perusteet, joilla tietolupa voidaan myöntää. Tietojen minimointiperiaatteen mukaisesti tietoluvan hakijalle luovutetaan vain sellaisia tietoja, jotka ovat tarpeellisia hankkeen käyttötarkoituksen kannalta. Tietopyynnön perusteella muodostetaan aggregoituja tilastotietoja, joista ei ole mahdollista tunnistaa yksittäistä rekisteröityä. Tietoluvan nojalla käsiteltävät tietoaineistot tulee pseudonymisoida tai anonymisoida ennen niiden luovuttamista tietoturvalliseen käyttöympäristöön. Tietoturvallisia käyttöympäristöjä koskevat toisiolain ja Tietolupaviranomaisen määräyksen vaatimukset. Ennen kuin tietoluvan perusteella tuotettuja tuloksia voidaan tuoda ulos tietoturvallisesta käyttöympäristöstä, tulokset tulee anonymisoida. Tietolupaviranomainen tulisi edelleen varmistamaan tietoturvallisista käyttöympäristöistä ulos otettavien tulosten anonymisoinnin. 

Luvansaajaa koskisi toisiolain 54 §:n mukainen salassapitovelvollisuus. Toisiolain 54 §:ssä laajennetaan julkisuuslain salassapitosäännökset koskemaan myös muita kuin viranomaisten tietoja. Lisäksi pykälässä kielletään pääsääntöisesti tietojen käyttö yksittäistä henkilöä koskevassa päätöksenteossa. Salassapitovelvollisuuden tarkoituksena on samalla turvata yksilöiden henkilötietojen suojaa perusoikeutena. 

Usean organisaation tietoaineistojen kokoamistehtävä olisi mahdollista antaa ainoastaan Tietolupaviranomaiselle tai 51 §:ssä tarkoitetulle viranomaistoimijalle. Tietosuojalainsäädäntö asettaa viranomaisille velvollisuuden toteuttaa henkilötietojen käsittelyä tietosuojaperiaatteiden mukaisesti. Toisiolain 36 a §:ssä säädettäisiin siitä, että 51 §:ssä tarkoitetulla viranomaisella olisi oikeus saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot. Tiedot voitaisiin luovuttaa viranomaisen käyttöön 17 §:ssä tarkoitetun tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. 

Toisiolain 51 c ja 51 d §:ssä tarkoitetuissa poikkeustietoluvissa säädettäisiin erityisistä edellytyksistä, joiden perusteella poikkeuslupa olisi mahdollista myöntää. Jos tietolupahakemus ei täyttäisi erityisiä edellytyksiä, hakemus olisi mahdollista käsitellä tavanomaisena tietolupahakemuksena, jolloin tietoaineistot luovutettaisiin toisiolain 20 §:n mukaiseen tietoturvalliseen käyttöympäristöön. Ehdotetussa 51 c §:ssä Tietolupaviranomainen arvioisi hakijan toimittaman dokumentaation perusteella tietoaineistoon ja tietojen käsittelyyn liittyviä riskejä. Tietoaineistoon kohdistuvien riskien tulisi olla vähäiset ja tietoaineiston käsittelyn tietosuojan ja tietoturvan taso tulisi olla riittävä, jotta poikkeuslupa voitaisiin myöntää. Tiedot tulisi anonymisoida tai pseudonymisoida ennen niiden luovuttamista muuhun turvalliseen käyttöympäristöön. Lisäksi Tietolupaviranomainen voisi liittää tietolupaan tarkempia tietojen käsittelyä koskevia ehtoja. 

Ehdotetun 51 d §:n mukaisen poikkeusluvan myöntämisen edellytyksenä olisi, että tietoaineistoon kohdistuvat riskit olisivat vähäiset ja että tietoaineisto olisi mahdollista anonymisoida luotettavalla tavalla. Tietolupaviranomainen suorittaisi poikkeusluvan arvioinnin ja tietoaineistojen anonymisoinnin, jos kyse olisi usean organisaation tiedoista. Anonymisointi tulisi suorittaa niin, että tietoaineistosta ei olisi mahdollista tunnistaa yksittäistä rekisteröityä. 

Tietolupaviranomaisen ja muiden toisiolain mukaisesti tietolupia myöntävien organisaatioiden on omalta osaltaan seurattava ja valvottava, että niiden myöntämien lupien ehtoja noudatetaan. Toisiolain 56 §:n mukaan, jos Tietolupaviranomaisella tai toisiolain mukaisesti tietolupia myöntävällä viranomaisella on perusteltua syytä epäillä, että sen myöntämän tietoluvan perusteella tietoja käsittelevä ei käsittele henkilötietoja lain mukaisesti, sen on viipymättä tehtävä ilmoitus tietosuojavaltuutetulle. 

Kliiniset tutkimukset

Kliinisten tutkimusten yhteydessä tapahtuvasta henkilötietojen käsittelyn oikeusperusteessa on säädetty suoraan lääketutkimuslaissa ja tutkimuslaissa. Lääketutkimusten osalta henkilötietojen käsittelyn oikeusperuste on tietosuoja-asetuksen 6 artiklan 1 kohdan e tai c alakohta ja 9 artiklan 2 kohdan i alakohta. Lääketieteellisten tutkimusten, lääkinnällisten laitteiden kliinisten tutkimusten ja ivd-laitteiden suorituskykyä koskevien tutkimusten osalta henkilötietojen käsittelyn oikeusperuste on tietosuoja-asetuksen 6 artiklan 1 kohdan e tai c alakohta ja 9 artiklan 2 kohdan i alakohta. Tällä esityksellä ei ole tarkoitus muuttaa kyseisissä laeissa säädettyjä henkilötietojen käsittelyn oikeusperusteita, vaan oikeusperusteet säilyisivät muutosehdotusten myötä edelleen samana. 

Kliinisten tutkimusten osalta henkilötietojen käsittelyn suojatoimet tulevat suoraan yleisestä tietosuojalainsäädännöstä. Henkilötietojen käsittelyssä noudatetaan yleistä tietosuoja-asetusta ja tietosuojalakia. Kliinisissä tutkimuksissa tulee noudattaa tietosuojaperiaatteita ja muita henkilötietojen käsittelyä koskevia vaatimuksia. Rekisterinpitäjien tulee toteuttaa erityisten henkilötietoryhmien suojaamiseksi sekä sisäänrakennetun ja oletusarvoisen tietosuojan täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi. Jos käsittely voisi todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on toteutettava ennen henkilötietojen käsittelyä tietosuojaa koskeva vaikutustenarviointi. 

Yhteistä kaikille kliinisille tutkimuksille niiden tutkimusasetelmasta riippumatta on, että tutkimus on ennakkoon arvioitu eettisessä toimikunnassa laissa asetettuja kriteerejä vasten. Lääke- ja laitetutkimusten osalta edellytetään lisäksi Fimean lupaa, jonka myöntämisen yhteydessä Fimea arvioi muun muassa tutkimuksen koeasetelman hyväksyttävyyden sekä tutkittavien suojelemisen vaatimusten noudattamisen. 

Kliinisissä lääketutkimuksissa Fimea ja valtakunnallinen lääketieteellinen tutkimuseettinen toimikunta arvioivat hakemuksen ja Fimea myöntää luvan tutkimuksen toteuttamiseen. Lääketieteellisissä tutkimuksissa alueellinen lääketieteellinen tutkimuseettinen toimikunta arvioi tutkimushankkeen ennakolta ja antaa siitä lausunnon. Tutkimuseettisen toimikunnan on arvioitava tutkimussuunnitelma ja sille toimitettu muu asiakirja-aineisto ja otettava harkinnassaan huomioon erityisesti muun muassa tutkimuksen ja sen suunnittelun asianmukaisuus ja tietoon perustuvaa suostumusta koskevien vaatimusten noudattaminen. 

Kliinisiä tutkimuksia koskeva lainsäädäntö edellyttää tutkittavan tietoon perustuvaa suostumusta tutkimukseen osallistumiseksi. Suostumuksen vaatimuksista ja tutkittavalle tai muulle suostumuksenantajalle annettavan informaation sisällöstä on tarkkaan säädetty. Suostumuksen antamisen yhteydessä suostumuksenantajalle tulee antaa tietoa tutkimuksessa toteutettavasta henkilötietojen käsittelystä, mukaan lukien tutkimuksessa käsiteltävistä rekisteritiedoista. Tiedot saatuaan suostumuksenantaja voi harkita tutkimukseen osallistumista kaikki tutkimuksen ominaispiirteet huomioiden, ja harkintansa perusteella joko antaa suostumuksensa tutkimukseen osallistumiselle tai kieltäytyä siitä. Vaikka rekisteröidyn suostumusta ei pääsääntöisesti tule käyttää henkilötietojen käsittelyperusteena kliinisissä tutkimuksissa, vaan osallistumissuostumuksessa kyse on tutkimuseettisestä suojatoimenpiteestä, toimii suostumus samalla myös tietosuojaoikeudellisena suojatoimenpiteenä. Osallistumissuostumuksen antaessaan henkilö antaa samalla tahdonilmaisun myös siitä, että hän hyväksyy tutkimuksessa toteutettavan rekisteritietojen käsittelyn. Kliinisissä tutkimuksissa tapahtuvan rekisteritietojen käsittelyn voidaan siten katsoa kuuluvan tutkittavan tiedollisen itsemääräämisoikeuden piiriin ja kliinisissä tutkimuksissa tutkittavat käyttävät aktiivisesti tätä oikeuttaan harkitessaan tutkimukseen osallistumistaan. 

Esityksessä ehdotetut tiedonsaantioikeudet mahdollistaisivat tutkittavaa koskevien rekisteritietojen käytön kliinisissä tutkimuksissa. Pyyntö tietojen saamisesta osoitettaisiin suoraan asianomaiselle rekisterinpitäjälle, joka arvioisi, täyttyvätkö tietojen saamiselle ja muulle käsittelylle säädetyt edellytykset. Tutkimuksen käyttöön ei olisi ehdotuksen perusteella mahdollista saada automaattisesti mitä tahansa tutkittavia henkilöitä koskevia tietoja, vaan käsiteltävien tietojen tulisi olla välttämättömiä juuri kyseisen yksittäisen tutkimushankkeen suorittamisen kannalta. Tutkimuksessa tarvittavien välttämättömien tietojen laajuus saattaa vaihdella yksittäisen tutkimushankkeen sisällä, ja tiedon tarpeet saattavat muuttua tutkimuksen edetessä. 

Tutkimushankkeelle myönnetty eettisen toimikunnan tai Fimean lupa tukisi rekisterinpitäjän harkintaa tietojen luovuttamisesta. Tietosuoja-asetuksen nojalla rekisterinpitäjän vastuulla on varmistua sen rekisterinpidossa olevien henkilötietojen käsittelyn asianmukaisuudesta, mikä ehdotetun sääntelyn yhteydessä merkitsee varmistumista henkilötietojen luovuttamiseen liittyvien käsittelytoimien lainmukaisuudesta. Rekisterinpitäjän tulisi siten arvioida tietojen luovuttamista koskevaa pyyntöä tietosuoja-asetuksessa säädettyjä edellytyksiä vasten, ottaen huomioon muun muassa tietojen minimoinnin periaatteen sekä tilanteen mukaan myös kolmansiin maihin tapahtuvat henkilötietojen luovutukset. Arviointikynnystä luovutettavien tietojoukkojen osalta ei kuitenkaan tulisi asettaa suhteettoman korkealle, vaan arvioinnissa tulisi huolehtia myös siitä, että tieteellisen tutkimuksen vapaus turvataan ja että käytännön edellytykset tutkimusten tekemiselle säilyvät. 

Kliinisestä lääketutkimuksesta annetun lain 34 §:ssä, lääkinnällisistä laitteista annetun lain 20 a §:ssä ja lääketieteellisestä tutkimuksesta annetun lain 21 c §:ssä säädetty tiedonsaantioikeus rajautuisi 1–6 kohdissa tarkoitettujen rekisterinpitäjien 1 momentissa tarkoitettuihin välttämättömiin tietoihin. Tarkempi arviointi kyseisten rekisterinpitäjien rekisteritietojen käytön tarpeellisuudesta kliinisissä tutkimuksissa sisältyy pykälien säännöskohtaisiin perusteluihin. Ehdotettuja säännöksiä yksityiskohtaisempien rajausten tekeminen rekisterinpitäjien tietoaineistoihin ei ole katsottu perustelluksi tai edes mahdolliseksi ottaen huomioon tieteellisen tutkimustoiminnan luonteen ja ominaispiirteet. Kliinisten tutkimusten tutkimusasetelmat voivat erota toisistaan merkittävästikin, mistä syystä etukäteen ei ole mahdollista poissulkevasti ennakoida, mitkä tietoaineistot kussakin yksittäistapauksessa ovat välttämättömiä tutkimusten suorittamiseksi. Kliinisissä tutkimuksissa tiedon tarpeet täsmentyvät tutkimuksen edetessä, ja käsiteltävien tietojen laajuus saattaa vaihdella potilaskohtaisestikin. Kliinisten tutkimusten tiedontarpeet kehittyvät ajassa, mistä syystä tietokategorioiden tarkempi yksityiskohtainen listaaminen tai poissulkeva rajaaminen lain tasolla ei olisi aikaa kestävä tai tieteellisen tutkimustoiminnan nopeaa kehittymistä huomioiva ratkaisu. Rekisteritietoja hyödyntämällä tietyissä tutkimusasetelmissa voidaan myös välttyä altistamasta tutkittavaa ylimääräisille interventioille ja siten vähentää tutkimuksesta tutkittavalle aiheutuvaa rasitusta ja potentiaalista haittaa. Ehdotuksen perusteella ei kuitenkaan olisi mahdollista automaattisesti saada tutkimuksen käyttöön mitä tahansa pykälässä tarkoitettuja tietoja, vaan edellytyksenä tietojen saamiselle ja muulle käsittelylle olisi nykytilaa vastaavasti se, että tietojen saanti ja käsittely on välttämätöntä, ja tämän edellytyksen täyttyminen arvioitaisiin tapauskohtaisesti. Tarkempi arviointi kliinisten tutkimusten tiedonsaantioikeuksista ja rekisteritietojen käytöstä tutkimuksissa sisältyy kliinisisistä tutkimuksista annetun lain 34 §:n, lääkinnällisistä laitteista annetun lain 20 a §:n ja lääketieteellisestä tutkimuksesta annetun lain 21 c §:n säännöskohtaisiin perusteluihin. 

Esityksessä ehdotetaan säädettäväksi kaikkien kliinisten tutkimusten tiedonsaantioikeuksista yhtäläisin perustein. Tiedonsaantioikeuden sisällön laajuuden eriyttäminen eri tutkimustyyppien kohdalla johtaisi sääntelyn pirstaloitumiseen, mikä saattaisi aiheuttaa merkittäviä haasteita säännösten soveltamiskäytännössä ja tutkimusten käytännön toteuttamisessa. Erityisesti kliinisiä lääke- ja laitetutkimuksia toteutetaan tietyissä tilanteissa yhdistelmätutkimuksina, jolloin saman tutkimussuunnitelman alla tutkitaan sekä lääkettä että laitetta, ja tutkimusosiot voivat liittyä toisiinsa hyvinkin kiinteästi. Yhdistelmätutkimuksissa hyvin haasteelliseksi muodostuisi, jos saman tutkimushankkeen sisällä jouduttaisiin erottelemaan, mistä eri lähteistä peräisin olevia tietoja on sallittua käyttää mihinkin tutkimuksen osuuteen. 

Kliinisiä tutkimuksia koskevat vaatimukset, kuten eettisen toimikunnan arviointi ja Fimean tutkimuslupa sekä suostumuksenantajan tietoon perustuva suostumus osallistua tutkimukseen toimivat tietosuoja-asetuksen mukaisina suojatoimina henkilötietojen käsittelylle. Tämän lisäksi kliinisissä tutkimuksissa noudatetaan yleisen tietosuojalainsäädännön vaatimuksia. Rekisteritietojen käytön välttämättömyyttä ja oikeasuhtaisuutta arvioidaan sekä tutkimuslupaa myönnettäessä että yksittäisten rekisterinpitäjien taholla luovuttamisen yhteydessä. Ehdotetut säännökset sisältyvät tietosuoja-asetuksessa jäsenvaltioille annettuun kansalliseen liikkumavaraan. 

Edellä esitetyn perusteella ehdotetut säännökset turvaavat yksityiselämän suojan sekä henkilötietojen suojan vaatimukset perustuslain edellyttämällä tavalla. 

12.2  Julkisen vallan käyttö

Perustuslain 124 §:ssä säädetään hallintotehtävän antamisesta muulle kuin viranomaiselle. Sen mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkista valtaa sisältävää tehtävää voi hoitaa vain viranomainen. Tällaista merkittävää julkista valtaa voi sisältyä toisiolain perusteella toteutettavaan lupaharkintaan ja tietojen luovuttamiseen. Julkisen hallintotehtävän hoitaminen on 124 §:n perusteella pääsääntöisesti viranomaisen tehtävä ja se voidaan antaa muille kuin viranomaisille vain rajoitetusti.  

Perustuslakivaliokunnan tulkintakäytännöstä ilmenee, että perustuslain 124 §:n mukaisella hallintotehtävän antamisella muulle kuin viranomaiselle voi etenkin yksityisen oikeusasemaan olennaisesti vaikuttavissa tilanteissa olla vain viranomaistoimintaa täydentävä ja avustava luonne. Perustuslakivaliokunnan käytännössä on arvioitu muun muassa oikeusapu- ja edunvalvontapalveluja (PeVL 16/2016 vp), oleskelulupatehtäviä (PeVL 62/2014 vp), passin antamista koskevan menettelyn ulkoistamista (PeVL 6/2013 vp), viranomaisten turvallisuusverkkotoiminnan antamista valtionyhtiölle (PeVL 8/2014 vp) sekä rautatieliikenteen vaatimuksenmukaisuuden teknisen arvioinnin ja tarkastustehtävien antamista yksityiselle oikeushenkilölle (PeVL 16/2002 vp). Kyse on ollut viranomaistoiminnalle edellytyksiä luovasta, teknisluontoisesta tai epäitsenäisestä toimintakokonaisuudesta. 

Esityksessä ehdotetaan, että yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän tietoja koskevan tietoluvan tai tietopyynnön myöntäisi myös uudistetun toisiolain mukaisesti aina Tietolupaviranomainen. Viranomainen siis päättäisi aina yksityisen sosiaali- ja terveydenhuollon palvelunjärjestäjän tietojen osalta siitä, voidaanko sen salassa pidettäviä henkilötietoja käyttää laissa säädettyihin tarkoituksiin. Säännös on olemassa jo voimassa olevassa toisiolaissa ja sitä ei ole tarkoitus muuttaa. Toisiolakia valmisteltaessa katsottiin, että rekisteritietojen luovuttamiseen liittyvää toimivaltaa ei voisi perustuslain 124 §:n nojalla antaa yksityisen toimijan vastuulle, vaan tietolupakäsittelyn pitäisi olla aina viranomaisen vastuulla. Tätä perusteltiin sillä, että kyseessä on rekisteröityjen oikeusasemaan merkittävästi vaikuttavasta päätöksestä, joka sisältää väärinkäytön mahdollisuuksia. Se, että lupakäsittelystä vastaisi viranomainen, liittyy osaltaan perustuslain 10 §:ssä turvattuun henkilötietojen suojaan, perustuslain 124 §:ään ja tarkoituksenmukaisuusharkintaan. 

Edellä esitetyn perusteella ehdotetut säännökset eivät olisi ristiriidassa perustuslain 124 §:n kanssa. 

12.3  Norminantovaltuudet

Perustuslain 80 §:n 1 momentin mukaan ministeriö ja valtioneuvosto voivat antaa asetuksia perustuslaissa tai muussa laissa säädetyn valtuuden nojalla. Lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Perustuslain 80 §:n 2 momentin mukaan muu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Perustuslaista johtuvista syistä valtuuden kattamat asiat on määriteltävä tarkasti laissa. Valtuutuksen säätämiselle laissa on perustuslakivaliokunnan lausuntokäytännössä kohdistettu vaatimuksia sääntelyn täsmällisyydestä ja tarkkarajaisuudesta (PeVL 19/2002 vp, s. 5, PeVL 1/2004 vp, s. 2 ja PeVL 17/2010 vp, s. 2). 

Esityksessä toisiolain 52 §:ää ehdotetaan muutettavaksi niin, että pykälään lisättäisiin uusi 3 momentti, jonka mukaan Tietolupaviranomainen voisi antaa tarkempia määräyksiä tulosten anonymisoinnista. Tarkempien määräysten antaminen tulosten anonymisoinnista olisi tarpeellista, jotta tulosten anonymisointia suoritettaisiin yhdenmukaisesti ja luotettavasti. 

Toisiolain 46 §:n 2 momentissa Tietolupaviranomaisen määräyksen alaa ehdotetaan laajennettavaksi niin, että määräykseen sisältyisi myös tietolupa- ja tietopyyntöpäätöksen tietosisältö ja tietorakenteet. Hybridimallissa olisi tärkeää, että kaikki 6 §:ssä tarkoitetut organisaatiot noudattavat yhtenäisiä ohjeistuksia ja malleja tietolupahakemusten, tietopyyntöjen, sekä tietolupa- ja tietopyyntöpäätösten käsittelyssä. 

Tietolupaviranomaiselle ehdotetut määräyksenantovaltuudet olisi rajoitettu koskemaan teknisluonteisia yksityiskohtia, joiden antaminen sopii luontevasti Tietolupaviranomaisen tehtäviin. Yksilöiden oikeusaseman perusteet taas määräytyisivät lain säännösten perusteella. 

Edellä esitetyn perusteella ehdotuksen norminantovaltuudet eivät olisi ristiriidassa perustuslain 80 §:n kanssa.  

12.4  Tieteen vapaus

Perustuslain 16 §:n 3 momentin mukaan tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. Ehdotettu sääntely on merkityksellistä perustuslain 16 §:n 3 momentissa turvatun tieteen vapauden kannalta. Tieteen vapauteen kuuluu sen harjoittajan oikeus valita tutkimusaiheensa ja -menetelmänsä. Tieteen suuntautumisen tulee toteutua ensisijaisesti tieteellisen yhteisön itsensä harjoittaman tieteen kritiikin kautta (PeVL 4/2025 vp, kappale 2). Tieteen vapautta rajoittavan sääntelyn tulee valiokunnan mukaan olla täsmällistä ja tarkkarajaista (PeVL 52/2022 vp, kappale 16). 

Perustuslakivaliokunta on arvioinut henkilötietojen käsittelyä tutkimuskäyttöön perustuslain 16 §:n 3 momentissa turvatun tieteen, taiteen ja ylimmän opetuksen vapauden kannalta (ks. PeVL 37/2024 vp, kappale 20 ja PeVL 25/2021 vp, kappale 9). Valiokunta on viitannut myös siihen, että EU:n tietosuoja-asetuksen mukaan myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa. Valiokunta arvioi myös toisiolain säätämisen yhteydessä, että käsittely tällaisiin yleisen edun mukaisiin tarkoituksiin ei ole ongelmallista perustuslain 10 §:n 1 momentissa turvattujen yksityiselämän ja henkilötietojen suojan kannalta (PeVL 1/2018 vp, s. 5, ks. myös PeVL 3/2004 vp, s. 2/II). 

Valiokunta piti toisiolakia arvioidessaan kuitenkin erityisen valitettavana sitä, että arvioitavana ollut esitys oli jouduttu tietosuoja-asetuksen voimaantuloaikataulusta johtuen antamaan ennen hallituksen esitystä Euroopan unionin yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi. Valiokunta kiinnitti huomiota siihen, että toisiolakia koskevassa hallituksen esityksessä viitataan siihen, että tietosuojalaista aiheutuu todennäköisesti rajoituksia ainakin silloin, kun henkilötietoja käsitellään tutkimus- ja tilastointitarkoituksiin. Valiokunnan mielestä oli selvää, että tällaisessa sääntelyasetelmassa valtioneuvoston olisi ollut syytä antaa yleislakia koskeva esitys ennen erityislakia koskevaa esitystä (PeVL 1/2018 vp, s. 5). Valiokunta arvioi sittemmin tietosuojalain sääntelyä myös tieteen vapauden perustuslainsuojan näkökulmasta ja kehotti hallintovaliokuntaa muuttamaan sääntelyä eräiltä osin tietosuoja-asetuksen mahdollistamissa rajoissa siten, että tieteen vapaus tulee paremmin turvatuksi (PeVL 14/2018 vp, s. 17).  

Perustuslakivaliokunnan saaman selvityksen mukaan toisiolain sääntely on merkinnyt tietosuoja-asetuksen sääntelyä huomattavasti pidemmälle meneviä tieteelliseen tutkimukseen kohdistuvia vaikutuksia. Ottaen huomioon tietosuoja-asetuksen suoraan soveltuva riskiperustainen sääntely valiokunnan mielestä perustuslaista ei johdu lähtökohtaisesti velvollisuutta säädellä tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä koskevaa käsittelyä tieteellisessä tutkimuksessa tietosuoja-asetuksen edellyttämää sisällöllisesti enemmän rajoittavin säännöksin. Merkityksellistä on myös, että tietojen käsittelystä tieteellistä tutkimusta varten säädetään lisäksi tietosuojalaissa. Sääntelyn on kuitenkin kokonaisuutena arvioiden luotava riittävät edellytykset arkaluontoisten henkilötietojen suojan tosiasialliselle toteutumiselle (PeVL 4/2021 vp, kappale 21, PeVL 20/2020 vp, s. 5—6). Valiokunta on pitänyt henkilötietojen suojan kannalta keskeisenä myös tiedollista itsemääräämisoikeutta erityisesti lääketieteellisen tutkimuksen ja potilastietojen käsittelyn kohdalla (ks. esim. PeVL 4/2021 vp, PeVL 23/2020 vp, s. 9, PeVL 2/2018 vp, s. 8). 

Perustuslakivaliokunnan käsityksen mukaan toisiolaki on osoittautunut käytännössä vaikeasti sovellettavaksi ja aiheuttanut usein epäselvyyttä suhteesta muuhun lainsäädäntöön (ks. myös PeVL 23/2020 vp, s. 7). Valiokunta on varsin usein kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn muodostumiseen sekavaksi ja vaikeasti hahmottuvaksi (ks. esim. PeVL 4/2021 vp, kappale 13 ja siinä viitatut lausunnot). Valiokunta on edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (ks. esim. PeVL 60/2014 vp, s. 3/I). Tämän johdosta perustuslakivaliokunta katsoi, että toisiolain uudistamistarpeita tulisi tarkastella huolellisesti erityisesti tieteellisen tutkimuksen näkökulmasta 8 PeVL 25/2021 vp, kappale 13). 

Tietosuoja-asetuksen 89 artiklassa säädetään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevista suojatoimista ja poikkeuksista. Artiklan 1 kohdan mukaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tietosuoja-asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisia toimenpiteitä voivat olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin. 

Esityksessä ehdotettujen muutosten tavoitteena on edistää tieteellisen tutkimuksen ja kehittämistoiminnan sekä kliinisten tutkimusten edellytyksiä. Ehdotetut muutokset tulisivat joustavoittamaan ja helpottamaan sosiaali- ja terveystietojen käsittelyä tieteellisen tutkimuksen ja kliinisten tutkimusten tarkoituksissa. Ehdotettujen muutosten tavoitteena on lisätä tieteellisen tutkimuksen vapautta.  

Ehdotuksen soveltamisalaan kuuluvat sosiaali- ja terveystiedot ovat arkaluonteisia ja erityisiin henkilötietoryhmiin kuuluvia tietoja. Ehdotuksessa säännellyt henkilötietojen käsittelyn suojatoimet varmistavat perustuslain 10 §:ssä 1 momentissa turvatun yksityiselämän ja henkilötietojen suojan ja tietosuoja-asetuksen ja tietosuojalain erityisiä henkilötietoryhmiä koskevien tietojen käsittelyä koskevien vaatimusten toteutumista.  

Säännösten soveltamisessa on kyse tieteellisen tutkimuksen vapauden ja henkilötietojen suojan turvaamisen tasapainosta. Toisiolain 38 §:n 2 momentissa asetetaan velvollisuus huolehtia lupaharkinnassa siitä, että tieteellisen tutkimuksen vapaus turvataan. Ehdotetut muutokset eivät tulisi muuttamaan tätä, vaan tieteellisen tutkimuksen vapaus tulisi edelleen turvata lupaharkinnassa. 

Edellä esitetyn perusteella ehdotus ei olisi ristiriidassa perustuslain 16 §:n 3 momentin kanssa. 

Hallitus katsoo edellä esitetyillä perusteilla, että esitys on sopusoinnussa perustuslain kanssa, minkä vuoksi ehdotettu laki voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon, koska esitys sisältää arkaluonteisten henkilötietojen käsittelyyn ja luovuttamiseen liittyvää sääntelyä ja sääntely on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Lisäksi sääntely on merkityksellistä perustuslain 16 §:n 3 momentissa turvatun tieteen vapauden kannalta.